Le SIL ne se choisit pas, il se calcule

Une erreur fréquente : « on va mettre du SIL 3 pour être tranquille ». Le SIL n’est pas un niveau de confort qu’on achète, c’est le résultat d’un calcul qui part du risque réel. Viser trop haut coûte cher et ne rend pas plus sûr si le reste ne suit pas ; viser trop bas laisse un risque inacceptable.

La chaîne de raisonnement

1. Identifier le danger. Que peut-il arriver de grave ? Une surpression, un débordement, un emballement de réaction. On utilise des méthodes structurées comme le HAZOP (analyse des dangers et de l’exploitabilité).

2. Évaluer le risque. Le risque combine deux facteurs :

$\text{Risque} = \text{Gravité} \times \text{Fréquence}$

Quelle est la gravité des conséquences (blessés, morts, atteinte à l’environnement) ? À quelle fréquence le scénario peut-il survenir ? On compare ensuite au risque tolérable, dont l’ordre de grandeur courant pour le risque individuel est de 10⁻⁴ à 10⁻⁵ par an.

3. Déterminer la réduction de risque nécessaire. L’écart entre le risque sans protection et le risque tolérable est le facteur de réduction de risque (RRF) que la fonction de sécurité doit apporter. La méthode courante est la LOPA (analyse des couches de protection).

Du facteur de réduction au SIL

Chaque facteur de réduction correspond à un SIL, et à chaque SIL correspond une plage de probabilité de défaillance à la sollicitation moyenne ($\mathrm{PFD}_{avg}$), liées par :

$\mathrm{RRF} = \frac{1}{\mathrm{PFD}_{avg}}$

SIL	Réduction de risque (RRF)	PFDavg (faible sollicitation)
SIL 1	10 – 100	10⁻¹ – 10⁻²
SIL 2	100 – 1 000	10⁻² – 10⁻³
SIL 3	1 000 – 10 000	10⁻³ – 10⁻⁴
SIL 4	10 000 – 100 000	10⁻⁴ – 10⁻⁵

Ces plages valent en mode faible sollicitation (la fonction est sollicitée moins d’une fois par an) — le cas du procédé. En forte sollicitation ou mode continu, on ne raisonne plus en PFDavg mais en PFH (probabilité de défaillance dangereuse par heure). Le calculateur réduction de risque → SIL et le calculateur PFD → SIL font ces conversions directement.

La PFD se construit, elle ne se décrète pas

Une fois le SIL connu, il devient une cible pour la fonction instrumentée de sécurité (SIF), réalisée par un système instrumenté de sécurité (SIS). Or la PFD d’une SIF est la somme des contributions de ses sous-systèmes :

$\mathrm{PFD}_{avg} = \mathrm{PFD}_{capteur} + \mathrm{PFD}_{logique} + \mathrm{PFD}_{actionneur}$

Dans cet exemple, l’actionneur (la vanne) domine la PFD : c’est presque toujours le maillon faible d’une SIF, car c’est l’organe mécanique le moins fiable. Atteindre un SIL ne se résume donc pas à un chiffre : il faut aussi l’architecture (redondance) et la robustesse aux défaillances. Une architecture 1oo2 tolère une panne (tolérance aux anomalies matérielles HFT = 1) ; la SFF (proportion de défaillances en sécurité) doit elle aussi atteindre un seuil minimal imposé par la norme. Ce point est développé dans l’article Sécurité fonctionnelle et IEC 61508.

L’erreur à ne jamais faire

Confier la protection au système qui assure déjà la conduite. La boucle de régulation qui pilote le procédé ne doit pas être celle qui le protège : si elle tombe en panne, on perd les deux à la fois. Le système de sécurité est indépendant du système de conduite — c’est un principe fondamental, détaillé dans la boucle de régulation et encadré par les normes IEC 61508 et IEC 61511.