Safety PLC — Automates de sécurité
Les automates qui ne se trompent pas — ou plutôt qui détectent leurs propres défaillances et passent en état sûr. Certifiés IEC 61508 SIL 2 à SIL 3, architecture redondante interne (1oo2D, 2oo3), diagnostics permanents, séparation logique standard / sécurité. Cœur des SIS (Safety Instrumented Systems) en industrie procédé et des arrêts d'urgence machine.
Principes fondamentaux
Un Safety PLC n'est pas plus rapide ni plus puissant qu'un PLC standard — il est conçu pour DÉTECTER ses propres défaillances. Quatre principes structurants distinguent un automate certifié IEC 61508 d'un automate ordinaire.
Architecture redondante interne
Deux ou trois processeurs exécutent la même logique en parallèle et comparent leurs résultats. Si discordance, on bascule en état sûr (« fail-safe »). Topologies typiques : 1oo1D, 1oo2, 1oo2D, 2oo3, 2oo4.
Diagnostics permanents
Tests automatiques de la CPU, mémoire, I/O, bus interne à chaque cycle. Couverture diagnostique (DC) typique > 90 % pour SIL 2, > 99 % pour SIL 3. Sans diagnostic, pas de prétention SIL.
État sûr défini
Pour chaque sortie : le concepteur définit l'état sûr (typiquement « désexcité » = vanne fermée, moteur arrêté). Sur défaut détecté, le PLC force toutes les sorties à leur état sûr en moins du temps de réponse de sécurité (SFRT).
Séparation standard / safety
Tâches de sécurité scrutées dans un espace mémoire dédié, isolées des tâches standard par firmware certifié. Pas de variables partagées sans mécanisme de validation. Permet d'avoir un seul automate hybride (S7-1500F, ControlLogix GuardLogix).
Architectures redondantes (HFT)
La notation MooN signifie « M canaux opérationnels sur N totaux » pour que la fonction reste assurée. Plus N est grand, plus la tolérance aux défaillances matérielles (HFT) est élevée — mais le coût aussi.
| Topologie | Description |
|---|---|
| 1oo1D | 1 canal + diagnostic. Faible coût. SIL 2 max avec très haut DC. |
| 1oo2 | 2 canaux indépendants. Sécurité élevée mais disponibilité moindre (un canal en défaut → arrêt). |
| 1oo2D | 2 canaux + diagnostic. Si un canal défaille mais diagnostiqué, on continue sur l'autre. Le plus utilisé en pratique SIL 3. |
| 2oo3 | 3 canaux avec vote majoritaire. Très haute disponibilité ET sécurité. Le plus coûteux. Typique des SIS critiques Triconex / HIMA. |
| 2oo4 | 4 canaux, vote 2 sur 4. Très haute disponibilité — un canal peut être en maintenance sans dégradation. Réservé aux applications critiques (nucléaire, pétrochimie offshore). |
Vendeurs par secteur
| Secteur | SIL | Vendeurs typiques |
|---|---|---|
| Procédé (SIS) | SIL 3 | HIMA HIMax / HIMatrix, Schneider Triconex, Emerson DeltaV SIS, Yokogawa ProSafe-RS, Honeywell Safety Manager, ABB AC 800M HI, Siemens SIMATIC Safety |
| Machine (E-stop, light curtains) | SIL 2 / PL d-e | Pilz PSS 4000, Siemens S7-1500F / S7-300F, Rockwell GuardLogix / Compact GuardLogix, Schneider Modicon M580 Safety, B&R Safety, Beckhoff TwinSAFE |
| Brûleurs (BMS) | SIL 3 | HIMA HIMatrix, Honeywell Safety Manager, Siemens SIMATIC PCS 7 + S7-1500F |
| Énergie / nucléaire | SIL 4 / Cat 1E | Westinghouse Common Q, Framatome Teleperm XS, Mitsubishi MELTAC, Siemens SPPA-T2000 |
Tendances 2026
Plateforme hybride standard + safety
Un seul automate gère les deux : Siemens S7-1500 standard + tâches F (failsafe), Rockwell ControlLogix + GuardLogix. Engineering unique, communication entre les deux univers via variables qualifiées. Économie matériel et formation.
Bus de sécurité fonctionnel
PROFIsafe (sur PROFINET), CIP Safety (sur EtherNet/IP), FSoE (sur EtherCAT), openSAFETY. Permet d'envoyer des messages safety sur un bus standard avec contrôle d'intégrité bout-en-bout. IEC 61784-3.
IO-Link Safety
Extension safety du protocole IO-Link single-drop. Permet de connecter capteurs et actionneurs safety à coût raisonnable. Spec IEC 61131-9 amendement 2022.
Certification cyber des Safety PLC
IEC 62443-4-2 SL 2-3 devient obligatoire — le Triton/Trisis (2017) a démontré qu'un SIS non-protégé est une cible. Les nouveaux Safety PLC sont co-certifiés IEC 61508 (safety) + IEC 62443 (cyber).
Normes
- IEC 61508 — Norme mère — Functional safety of E/E/PE safety-related systems
- IEC 61511 — Application IEC 61508 à l'industrie de procédé (SIS)
- IEC 62061 — Sécurité fonctionnelle des machines — version sectorielle
- ISO 13849-1 — Parts relatives à la sécurité des systèmes de commande (PL a-e)
- IEC 61784-3 — Fieldbuses de sécurité fonctionnelle (PROFIsafe, CIP Safety, FSoE)
- IEC 62443-4-2 — Cybersécurité — exigences techniques pour composants IACS