IndustryHub
APPRENDRE / NORMES / IEC

IEC 61511

IEC 61511

Sécurité fonctionnelle / Systèmes Instrumentés de Sécurité pour le secteur des industries de procédé

IEC 61511 est la norme internationale pour la conception, l'implémentation, l'exploitation et la maintenance des Systèmes Instrumentés de Sécurité (SIS) dans les industries de procédé. C'est l'application sectorielle pour les industries de procédé du cadre plus large IEC 61508.

Organisme
IEC
Family
Sécurité fonctionnelle
Première publication
2003
Dernière révision
2016 (Édition 2)
Prochaine révision
2027 (prévu, en révision)
Statut
current
Accès
Payant (boutique IEC — ~270 CHF pour les 3 parties)

Structure du document

IEC 61511-1

Cadre, définitions, exigences système, matériel et programmation applicative

La partie normative. Définit le cycle de vie sécurité (16 phases), la documentation requise, la compétence et les exigences techniques (bornes PFD, contraintes architecturales, défaillances de cause commune).

IEC 61511-2

Guide pour l'application de IEC 61511-1

Annexe informative avec exemples pratiques, bonnes pratiques recommandées et clarifications pour l'application industrielle.

IEC 61511-3

Guide pour la détermination des niveaux d'intégrité de sécurité requis

Méthodologies de détermination du SIL : Risk Graph (Annexe E), LOPA (Annexe F), Matrice de risque (Annexe C). Chaque méthode a ses forces — Risk Graph est rapide, LOPA est rigoureuse, la matrice de risque est intuitive.

Concepts clés

Fonction Instrumentée de Sécurité(SIF)
Une fonction de sécurité avec un Niveau d'Intégrité de Sécurité (SIL) spécifié, implémentée par un Système Instrumenté de Sécurité (SIS). Exemple : 'détecter le niveau très haut dans la cuve T-101 et fermer la vanne d'entrée XV-101 en moins de 3 secondes, cible SIL 2'.
Système Instrumenté de Sécurité(SIS)
Composé d'une ou plusieurs SIFs. Inclut capteurs, automate logique (typiquement un PLC de sécurité comme Pilz, HIMA, Siemens S7-1500F) et éléments terminaux (actionneurs + vannes), plus interfaces utilisateur et bypass.
Système de Contrôle de Procédé de Base(BPCS)
La couche de contrôle 'normal' du procédé (DCS, PLC). N'est PAS un SIS. IEC 61511 exige l'indépendance entre BPCS et SIS pour éviter les défaillances de cause commune.
Niveau d'Intégrité de Sécurité(SIL)
Niveau discret (1 à 4) spécifiant les exigences d'intégrité de sécurité. SIL 4 est le plus élevé (rarement vu dans l'industrie de procédé — le maximum typique est SIL 3). Chaque SIL a une plage cible de PFDavg.
Probabilité de Défaillance sur Demande (moyenne)(PFDavg)
Mesure utilisée en mode Low Demand. SIL 1 : 10⁻² ≤ PFD < 10⁻¹ ; SIL 2 : 10⁻³ ≤ PFD < 10⁻² ; SIL 3 : 10⁻⁴ ≤ PFD < 10⁻³ ; SIL 4 : 10⁻⁵ ≤ PFD < 10⁻⁴.
Facteur de Réduction du Risque(RRF)
RRF = 1 / PFDavg. Souvent utilisé en sortie de LOPA comme un 'combien de fois le risque est réduit' intuitif.
Tolérance aux Défaillances Matérielles(HFT)
Capacité du SIS à assurer sa fonction de sécurité en présence de N défaillances matérielles. HFT=0 = architecture 1oo1 ; HFT=1 = 1oo2/2oo3, etc. Le HFT requis dépend du SIL et de la classification sous-système Type A vs B (IEC 61508-2 Tableaux 2/3).
Fraction de Défaillances Sûres(SFF)
SFF = (λSD + λSU + λDD) / λtot. Fraction des défaillances qui sont sûres (S) ou dangereuses-mais-détectées (DD). Utilisée avec le HFT pour les contraintes architecturales.
Failure In Time(FIT)
Convention standard du taux de défaillance : 1 FIT = 1 défaillance par 10⁹ heures. Préférée au MTBF dans les fiches techniques de sécurité fonctionnelle.
Test de fonctionnement(PT)
Test fonctionnel complet périodique de la SIF (intervalle typique : 1-5 ans). Restaure la SIF à l'état 'aussi bon que neuf'. Une couverture de test insuffisante → dérive dans le temps, le PFD augmente.
Management of Change(MOC)
Processus obligatoire selon IEC 61511 clause 5.2.5 — tout changement matériel, logiciel ou applicatif du SIS doit déclencher une revue formelle et une revalidation.

Notes & guidance

Ce que IEC 61511 vous demande réellement

Si vous travaillez sur une usine de procédé — chimie, raffinerie, pharma, pétrole & gaz, papeterie — et que votre installation a des interverrouillages conçus pour prévenir les catastrophes (sur-remplissage, surpression, détection feu/gaz, arrêt d’urgence), vous implémentez IEC 61511 que vous le sachiez ou non. La norme formalise ce que l’industrie a appris à la dure à travers Bhopal, Buncefield, Texas City et des dizaines d’incidents moins médiatisés.

L’idée centrale est directe : identifier les dangers, décider de combien de réduction de risque chaque couche de protection doit fournir, puis concevoir et exploiter vos systèmes de sécurité avec assez de rigueur pour livrer effectivement cette réduction de risque sur des décennies.

Le cycle de vie sécurité en 16 phases

IEC 61511-1 spécifie un cycle de vie complet, pas juste une checklist de conception. Chaque phase a des entrées requises, des sorties et des activités de vérification :

  1. Analyse des dangers et des risques (typiquement HAZOP + LOPA)
  2. Allocation des fonctions de sécurité aux couches de protection
  3. Spécification des exigences de sécurité (SRS)
  4. Conception et ingénierie du SIS
  5. Installation, mise en service, validation
  6. Exploitation et maintenance
  7. Modification (Management of Change)
  8. Mise hors service

Plus les activités de management (FSM — Functional Safety Management), exigences de compétence, audit (FSA stages 1-5) et vérification à chaque étape.

La plupart des installations implémentent cela comme un processus à jalons : impossible de quitter une phase sans produire les sorties documentées que la phase suivante exige. C’est exactement la structure imposée par l’app IEC 61511 Lifecycle.

Comment le SIL est déterminé

L’Annexe F de IEC 61511-3 documente la Layer of Protection Analysis (LOPA) comme méthode quantitative recommandée :

  1. Partir d’un scénario de danger identifié en HAZOP (ex. : “sur-remplissage de T-101 dû à la défaillance de LIC-101”)
  2. Estimer la fréquence initiatrice (typiquement 0,1-10 par an pour les défaillances d’instruments)
  3. Estimer la sévérité de conséquence (morts, environnement, financier)
  4. Calculer la fréquence tolérable selon les critères de risque de l’entreprise (ex. : fréquence de décès < 10⁻⁵/an)
  5. Créditer les Couches de Protection Indépendantes (réponse opérateur, soupape de sécurité, BPCS) — typiquement chacune donne un facteur 10 si indépendante et efficace
  6. L’écart restant est ce que la SIF doit combler → cela définit le SIL requis

En pratique, la plupart des SIFs en raffinerie/pétrochimie sont à SIL 1 ou SIL 2. SIL 3 est rare et demande un travail sérieux d’architecture et de fiabilité. SIL 4 dans l’industrie de procédé n’est essentiellement jamais vu — son PFD < 10⁻⁴ est difficile à démontrer sans architectures redondantes diversifiées et une couverture de test très élevée.

Contraintes architecturales (clause 11)

Pour chaque sous-système (capteur, logique, élément terminal), la norme impose :

  • Exigences HFT (Hardware Fault Tolerance) selon la cible SIL et la classification Type A/B
  • Exigences SFF (Safe Failure Fraction)
  • Un calcul PFD utilisant les équations Markov, arbres de défaillance ou simplifiées de IEC 61508-6
  • Prise en compte des défaillances de cause commune via le facteur β (typique 2-10 %)

Le convertisseur PFD ↔ SIL et le calculateur FIT ↔ MTBF dans notre section outils permettent de vérifier rapidement si votre conception candidate est dans la bonne plage, avant de faire la totalité du calcul architectural dans l’app FS.

Pourquoi c’est important

Le coût d’une erreur est asymétrique. Une SIF SIL 2 conçue et exploitée à la qualité SIL 1 semble identique sur le papier — jusqu’à ce qu’une demande réelle survienne une fois tous les 5-10 ans. Alors la différence entre PFD 5×10⁻³ et PFD 5×10⁻² devient la différence entre un quasi-accident et une fatalité.

L’app Functional Safety sur industryhub.cloud implémente le cycle de vie IEC 61511 complet : assistant Risk Graph (Annexe G), moteur PFD selon IEC 61508-6, gating FSA avec signatures, scheduler de proof tests, piste d’audit et génération de Berichte au format Word dans 3 langues (DE / EN / FR).

Industries concernées

  • Pétrole & Gaz (upstream, midstream, downstream)
  • Chimie & Pétrochimie
  • Pharmaceutique & Biotech
  • Pâte & Papier
  • Production électrique (notamment fours, turbines)
  • GNL, hydrogène, CCUS
  • Eau & eaux usées (selon applicabilité)
  • Agroalimentaire (procédés haute pression / chauds spécifiques)

Outils associés

Apps associées

Normes liées

Pour aller plus loin