Blog
L’étude SIL : comprendre et dimensionner les fonctions instrumentées de sécurité
Les études SIL sont utilisées dans les industries à risques : chimie, énergie, mines, pétrochimie ou encore traitement de l’eau, les installations industrielles fonctionnant souvent avec des pressions élevées, des températures importantes ou des substances dangereuses.
Dans ces environnements, une simple défaillance peut parfois déclencher un enchaînement d’événements menant à un accident majeur.
C’est précisément pour cette raison que les installations industrielles sont équipées de nombreuses barrières de sécurité :
- soupapes de sécurité
- systèmes d’arrêt automatique
- capteurs de pression ou de niveau
- systèmes d’alarme pour les opérateurs
Mais une question essentielle se pose :
Ces systèmes sont-ils suffisamment fiables pour empêcher un accident ?
Car en matière de sécurité industrielle, la présence d’une barrière ne suffit pas.
Il faut également s’assurer que cette barrière fonctionnera au moment où l’on en aura réellement besoin.
C’est là qu’interviennent les études SIL (Safety Integrity Level).
Les études SIL permettent de répondre à une question centrale dans la gestion des risques industriels :
Quel niveau de fiabilité doit avoir une fonction de sécurité pour réduire le risque à un niveau acceptable ?
Autrement dit, l’étude SIL permet de dimensionner correctement les fonctions de sécurité automatisées afin qu’elles apportent une réduction de risque démontrable.
Cette démarche s’inscrit dans le cadre des normes internationales :
- IEC 61508
- IEC 61511
qui définissent le cycle de vie des systèmes instrumentés de sécurité (SIS).
Cependant, malgré leur importance, les études SIL sont souvent perçues comme complexes ou réservées aux spécialistes des procédés.
L’objectif de cet article est donc de démystifier cette méthode et d’expliquer simplement :
- ce qu’est réellement le SIL
- comment une étude SIL est réalisée
- comment elle s’intègre dans une analyse de risques (HAZOP)
et pourquoi elle constitue aujourd’hui un outil essentiel pour les managers HSE et les chefs de projet.
1. Comprendre simplement ce qu’est le SIL
Avant de parler de méthode ou de calculs, il est important de comprendre ce que signifie réellement le terme SIL.
Le Safety Integrity Level (SIL) représente le niveau de réduction de risque fourni par une fonction instrumentée de sécurité.
Autrement dit, le SIL permet de répondre à la question :
De combien une fonction de sécurité doit-elle réduire le risque pour être considérée comme acceptable ?
Pour comprendre cela, prenons un exemple simple.
Imaginons un réacteur industriel dans lequel la pression peut augmenter dangereusement.
Si la pression dépasse une certaine limite, une explosion pourrait se produire.
Pour éviter cela, l’installation est équipée d’une fonction instrumentée de sécurité, par exemple :
- un capteur de pression
- un automate de sécurité
- une vanne qui coupe automatiquement l’alimentation
Lorsque la pression dépasse un seuil critique, le système déclenche automatiquement un arrêt.
Cette fonction est appelée :
SIF — Safety Instrumented Function
Une SIF est donc une fonction de sécurité automatisée composée de trois éléments :
1️⃣ un capteur
2️⃣ un système de logique (automate de sécurité)
3️⃣ un actionneur (vanne, arrêt pompe, fermeture ligne…)
L’ensemble de ces fonctions constitue ce que l’on appelle un :
SIS — Safety Instrumented System
Mais pour que cette fonction de sécurité soit réellement efficace, il faut déterminer à quel point elle doit être fiable.
C’est précisément ce que définit le niveau SIL.
Les normes internationales définissent quatre niveaux SIL.
Niveau SIL | Réduction de risque approximative |
SIL 1 | réduction du risque par 10 |
SIL 2 | réduction du risque par 100 |
SIL 3 | réduction du risque par 1000 |
SIL 4 | réduction du risque par 10000 |
Plus le niveau SIL est élevé, plus la fonction de sécurité doit être fiable.
Dans la plupart des installations industrielles :
- SIL 1
- SIL 2
- SIL 3
sont les niveaux les plus courants.
Le niveau SIL 4 est rarement utilisé dans l’industrie des procédés.
Il est également important de comprendre une idée souvent mal comprise :
Le SIL n’est pas une propriété d’un équipement.
Un capteur ou une vanne n’est pas « SIL2 » ou « SIL3 ».
Le SIL s’applique à une fonction de sécurité complète.
C’est donc la combinaison :
capteur + logique + actionneur
qui doit atteindre un certain niveau de performance.
La question devient alors :
Comment déterminer le niveau SIL nécessaire pour une fonction de sécurité ?
Pour répondre à cette question, il faut d’abord comprendre où se situe l’étude SIL dans l’analyse des risques industriels.
2- Où se situe l’étude SIL dans l’analyse des risques industriels ?
Une étude SIL ne se réalise jamais isolément.
Elle fait partie d’une démarche structurée d’analyse des risques, généralement mise en place lors de la conception d’une installation industrielle ou lors de modifications importantes d’un procédé.
Pour comprendre son rôle, il faut voir l’ensemble de la chaîne d’analyse des risques utilisée dans l’industrie des procédés.
Dans la plupart des projets industriels, les études de sécurité suivent une logique progressive :
- Identification des dangers
- Analyse des déviations du procédé
- Évaluation du niveau de risque
- Définition des fonctions de sécurité nécessaires
C’est dans cette troisième étape que l’étude SIL intervient.
De manière simplifiée, le processus se déroule généralement de la façon suivante :
Identification des dangers (HAZID)
↓
Analyse des déviations du procédé (HAZOP)
↓
Analyse des couches de protection (LOPA)
↓
Détermination du niveau SIL
↓
Conception du système instrumenté de sécurité (SIS)
Chaque étape répond à une question différente.
Étude | Question principale |
HAZID | Quels sont les dangers présents dans l’installation ? |
HAZOP | Que peut-il se passer si le procédé dévie de son fonctionnement normal ? |
LOPA / SIL | Les protections existantes sont-elles suffisantes pour réduire le risque ? |
SIS | Comment concevoir le système de sécurité pour atteindre le niveau de protection requis ? |
On comprend alors que l’étude SIL n’est pas une analyse de risques initiale.
Elle intervient après que les scénarios dangereux ont déjà été identifiés, généralement lors d’un HAZOP.
Le lien essentiel entre HAZOP et étude SIL
Le HAZOP (Hazard and Operability Study) est une méthode d’analyse systématique utilisée pour identifier les déviations possibles d’un procédé industriel.
Concrètement, une équipe multidisciplinaire analyse les schémas de procédé (P&ID) et examine chaque partie de l’installation afin d’identifier :
- les déviations possibles
- les causes potentielles
- les conséquences possibles
- les barrières de sécurité existantes
Par exemple, lors d’un HAZOP, on pourrait identifier un scénario tel que :
Déviation : débit entrant supérieur au débit sortant
Conséquence : débordement d’un bassin
Barrières existantes :
- capteur de niveau
- alarme de niveau haut
- trop-plein de sécurité
Ce type de scénario est exactement ce que l’on retrouve dans les résultats d’un HAZOP. Dans certains projets industriels, comme par exemple l’analyse réalisée sur un système d’alimentation en eau dessalinisée, les scénarios étudiés peuvent inclure des situations telles que le débordement d’un bassin dû à un déséquilibre de débit entre différentes parties du système.
Dans ce cas, plusieurs protections peuvent déjà être présentes, comme :
- un transmetteur de niveau
- une alarme niveau haut
- un système de débordement contrôlé
Ces protections sont appelées couches de protection.
Mais le HAZOP ne permet pas de répondre à une question essentielle :
Ces protections réduisent-elles suffisamment le risque ?
C’est précisément à ce moment que l’étude SIL intervient.
Elle permet d’évaluer si les protections existantes sont suffisantes, ou si une fonction instrumentée de sécurité supplémentaire est nécessaire.
Pour cela, on utilise généralement une méthode appelée :
LOPA — Layer of Protection Analysis
La méthode LOPA : le cœur de l’analyse SIL
La LOPA (Layer of Protection Analysis) est une méthode semi-quantitative utilisée pour évaluer l’efficacité des différentes couches de protection mises en place dans une installation industrielle.
Son objectif est relativement simple :
déterminer si les protections existantes permettent de réduire le risque à un niveau acceptable.
La LOPA repose sur une idée fondamentale :
dans une installation industrielle, le risque est réduit par plusieurs couches de protection successives.
Ces couches peuvent être :
- des protections techniques (soupapes, capteurs, automatismes)
- des protections organisationnelles (procédures, formation opérateur)
- des protections physiques (digues, murs de protection)
Dans une analyse LOPA, chaque couche de protection est évaluée en fonction de son efficacité à réduire le risque.
On parle alors de :
IPL — Independent Protection Layer
Une IPL doit répondre à plusieurs critères :
- être indépendante de l’événement initiateur
- être fiable
- être vérifiable
- agir suffisamment rapidement
Quelques exemples d’IPL couramment utilisés dans l’industrie :
Couche de protection | Exemple |
Système instrumenté de sécurité | arrêt automatique |
Soupape de sécurité | protection contre surpression |
Alarme opérateur + action | intervention humaine |
Procédures opératoires | procédures d’exploitation |
Chaque couche possède un facteur de réduction du risque, qui permet de quantifier son efficacité.
Par exemple :
Protection | Réduction du risque |
procédure opératoire | facteur 10 |
soupape de sécurité | facteur 100 |
système SIL2 | facteur 100 |
Ces valeurs permettent d’évaluer la réduction globale du risque apportée par l’ensemble des protections.
Pour aider les équipes projet à réaliser ce type d’analyse, j’ai mis à disposition un exemple de feuille de calcul LOPA similaire à celle utilisée dans de nombreuses études industrielles.
📥 Télécharger un exemple de feuille LOPA (outil utilisé pour le calcul du SIL)
Cet outil permet notamment de :
- identifier les événements initiateurs
- prendre en compte les couches de protection existantes
- calculer la fréquence résiduelle d’un événement
déterminer si une fonction SIL est nécessaire.
3. Ce qu’une étude SIL permet réellement de décider
Une étude SIL peut conduire à trois conclusions possibles :
1️⃣ Les protections existantes sont suffisantes
Dans ce cas, aucune fonction SIL supplémentaire n’est nécessaire.
C’est une situation assez fréquente dans les installations bien conçues.
2️⃣ Une fonction instrumentée de sécurité est nécessaire
Dans ce cas, l’étude SIL permet de déterminer :
- le niveau SIL requis (SIL1, SIL2, SIL3)
- les exigences de performance de la fonction de sécurité
3️⃣ Une modification de conception est préférable
Parfois, la meilleure solution n’est pas d’ajouter un système SIL, mais plutôt :
- modifier le procédé
- réduire les inventaires
- ajouter une protection passive
C’est ce que l’on appelle la sécurité intrinsèque.
Dans la section suivante, nous allons maintenant voir comment une étude SIL est réalisée concrètement, étape par étape.
Nous verrons notamment :
- comment identifier les événements initiateurs
- comment évaluer les couches de protection
comment déterminer le SIL requis pour une fonction de sécurité.
4- Comment se déroule concrètement une étude SIL ?
Une étude SIL suit généralement une méthodologie structurée basée sur la Layer of Protection Analysis (LOPA).
La LOPA est une méthode semi-quantitative qui permet d’évaluer si les différentes couches de protection d’une installation permettent de réduire le risque à un niveau acceptable.
Concrètement, une étude SIL consiste à répondre à trois questions successives :
1️⃣ Quel événement dangereux peut se produire ?
2️⃣ Quelles protections existent déjà pour empêcher cet événement ?
3️⃣ Si ces protections ne suffisent pas, quel niveau SIL est nécessaire ?
Pour répondre à ces questions, l’analyse se déroule généralement en plusieurs étapes successives.
Étape 1 — Identifier les scénarios dangereux
La première étape consiste à identifier les scénarios dangereux qui nécessitent une analyse SIL.
Ces scénarios ne sont généralement pas inventés lors de l’étude SIL.
Ils proviennent directement des résultats du HAZOP.
Chaque scénario correspond à une déviation du procédé pouvant conduire à une conséquence dangereuse.
Par exemple :
Déviation | Cause possible | Conséquence |
Pression élevée | panne régulation | rupture équipement |
Débit trop élevé | vanne bloquée | débordement réservoir |
Niveau trop haut | déséquilibre des flux | débordement bassin |
Dans certains projets industriels, des scénarios typiques peuvent être par exemple :
- un débordement de bassin dû à un déséquilibre entre le débit entrant et le débit sortant
- une perte de communication entre deux systèmes de contrôle entraînant une mauvaise régulation du niveau
Ces scénarios deviennent alors des événements à analyser dans l’étude SIL.
L’objectif de cette première étape est donc de définir clairement :
- l’événement dangereux
- la conséquence associée
- les protections déjà présentes dans l’installation.
Étape 2 — Identifier les événements initiateurs
Une fois le scénario défini, il faut identifier ce qui peut déclencher cet événement.
On parle alors d’événement initiateur.
Un événement initiateur peut être :
- une défaillance d’équipement
- une erreur humaine
- une perte d’énergie
- une perturbation externe
Quelques exemples fréquents dans l’industrie :
Événement initiateur | Exemple |
Défaillance d’équipement | panne pompe |
Défaillance instrumentation | boucle de contrôle défaillante |
Erreur humaine | mauvaise manœuvre |
Événement externe | impact engin, coupure électrique |
Pour réaliser une analyse cohérente, ces événements sont associés à des fréquences typiques d’occurrence basées sur l’expérience industrielle et sur des bases de données comme celles du CCPS.
Par exemple :
Événement initiateur | Fréquence typique |
défaillance boucle de contrôle | 10⁻¹ par an |
défaillance équipement rotatif | 10⁻¹ par an |
erreur humaine (tâche routinière) | 10⁻² par opportunité |
impact externe | 10⁻² par an |
Pour faciliter ce travail, j’ai mis à disposition un tableau des fréquences d’événements initiateurs utilisé dans les analyses LOPA.
📥 Télécharger le tableau des fréquences d’événements initiateurs
Ce type de tableau est souvent utilisé comme référence lors des ateliers SIL afin d’harmoniser les hypothèses de calcul.
Étape 3 — Identifier les couches de protection existantes
Une fois le scénario et l’événement initiateur identifiés, l’étape suivante consiste à analyser les protections déjà présentes dans l’installation.
Dans la méthode LOPA, ces protections sont appelées :
IPL — Independent Protection Layers
Une couche de protection indépendante est un système capable de :
- prévenir un événement dangereux
- ou en réduire les conséquences
et qui fonctionne indépendamment des autres protections.
Quelques exemples d’IPL courantes :
Type de protection | Exemple |
protection instrumentée | arrêt automatique |
protection mécanique | soupape de sécurité |
protection opérateur | alarme + action opérateur |
protection passive | digue de rétention |
Mais pour qu’une protection soit considérée comme une véritable IPL, elle doit répondre à plusieurs critères :
- indépendance par rapport à l’événement initiateur
• fiabilité démontrable
• capacité à être testée ou vérifiée
• efficacité suffisante pour réduire le risque
Toutes les protections identifiées lors du HAZOP ne sont donc pas automatiquement des IPL.
Étape 4 — Évaluer l’efficacité des couches de protection
Chaque couche de protection possède une probabilité de défaillance.
Cette probabilité permet de déterminer de combien elle réduit le risque.
On utilise généralement deux indicateurs :
PFD — Probability of Failure on Demand
RRF — Risk Reduction Factor
La relation entre ces deux indicateurs est simple :
RRF = 1 / PFD
Par exemple :
Protection | PFD | Réduction du risque |
procédure opératoire | 0.1 | 10 |
soupape de sécurité | 0.01 | 100 |
système SIL2 | 0.01 | 100 |
Ces valeurs sont utilisées dans l’analyse LOPA pour calculer la réduction globale du risque apportée par les différentes couches de protection.
Pour faciliter ce travail, tu peux télécharger le tableau de crédits IPL utilisé dans les études SIL.
📥 Télécharger le tableau des crédits IPL
Cet outil est très utile pour :
- identifier les protections valides
- attribuer un facteur de réduction cohérent
- éviter les surestimations de performance.
5. Comment déterminer le niveau SIL requis ?
Une fois que l’on a :
- identifié le scénario dangereux
- défini l’événement initiateur
- identifié les couches de protection existantes (IPL)
il est possible de déterminer si le risque est acceptable ou non.
Pour cela, la méthode LOPA consiste à calculer ce que l’on appelle la fréquence résiduelle de l’événement dangereux.
Autrement dit :
À quelle fréquence cet événement pourrait-il se produire après prise en compte des protections existantes ?
Étape 5 — Calculer la fréquence résiduelle du scénario
Le calcul repose sur une logique simple.
On part de la fréquence de l’événement initiateur, puis on applique la réduction apportée par chaque couche de protection.
La formule simplifiée est la suivante :
Fréquence finale = Fréquence initiatrice ÷ (RRF1 × RRF2 × RRF3 …)
où :
- RRF = Risk Reduction Factor (facteur de réduction du risque)
Chaque couche de protection diminue donc progressivement la probabilité que le scénario se produise.
Exemple simplifié
Prenons un exemple pédagogique.
Scénario étudié: Débordement d’un réservoir.
- Événement initiateur: Défaillance du système de régulation de niveau.
- Fréquence estimée : 10⁻¹ par an
Cela signifie qu’en moyenne cet événement pourrait se produire une fois tous les 10 ans.
Couches de protection existantes
- Protection 1: Alarme niveau haut + intervention opérateur
- Réduction du risque : RRF = 10
- Protection 2: Soupape de décharge
- Réduction du risque : RRF = 100
Calcul de la fréquence finale
- Fréquence finale = 10⁻¹ ÷ (10 × 100)
- Fréquence finale = 10⁻⁴ par an
Cela signifie que l’événement dangereux pourrait se produire une fois tous les 10 000 ans.
Étape 6 — Comparer au risque tolérable
Une fois la fréquence résiduelle calculée, il faut la comparer aux critères de tolérance du risque définis par l’organisation ou par la réglementation.
Ces critères définissent la fréquence maximale acceptable pour un événement dangereux, en fonction de sa gravité.
Par exemple :
Gravité | Fréquence tolérable |
Catastrophique | 10⁻⁵ |
Critique | 10⁻⁴ |
Sérieuse | 10⁻³ |
Modérée | 10⁻² |
Ainsi :
- si la fréquence calculée est inférieure au seuil tolérable, le risque est considéré comme acceptable
- si elle est supérieure, des mesures supplémentaires sont nécessaires.
Pour faciliter ce type d’évaluation, tu peux télécharger le tableau de fréquences d’événements tolérables utilisé dans les études SIL.
📥 Télécharger le tableau des fréquences d’événements tolérables
Étape 7 — Déterminer si une fonction SIL est nécessaire
Trois situations peuvent se présenter.
- Cas 1 — Le risque est acceptable
Si la fréquence résiduelle est inférieure au seuil tolérable :
👉 aucune fonction SIL supplémentaire n’est nécessaire.
Les protections existantes sont jugées suffisantes.
Dans certaines études industrielles, il arrive fréquemment que l’analyse montre que les couches de protection déjà présentes permettent de réduire suffisamment le risque.
- Cas 2 — Une réduction de risque supplémentaire est nécessaire
Si la fréquence calculée reste trop élevée, il faut introduire une nouvelle couche de protection.
Très souvent, cette nouvelle protection sera une :
SIF — Safety Instrumented Function
Par exemple :
- arrêt automatique d’une pompe
- fermeture d’une vanne
- mise en sécurité d’un équipement
- Cas 3 — Détermination du niveau SIL requis
Le niveau SIL correspond à la réduction de risque supplémentaire nécessaire.
Prenons un exemple.
Si l’analyse montre que la fréquence actuelle est : 10⁻³
mais que la fréquence tolérable est : 10⁻⁵
il faut réduire le risque d’un facteur : 100
Dans ce cas, une fonction SIL2 serait nécessaire.
SIL | Réduction du risque |
SIL1 | 10 |
SIL2 | 100 |
SIL3 | 1000 |
Ce qu’il faut retenir
La logique d’une étude SIL peut finalement être résumée en trois étapes simples :
1️⃣ identifier les scénarios dangereux
2️⃣ analyser les couches de protection existantes
3️⃣ déterminer si une réduction de risque supplémentaire est nécessaire
Lorsque c’est le cas, l’étude permet de définir le niveau SIL requis pour la fonction de sécurité.
Mais une fois ce niveau SIL déterminé, le travail ne s’arrête pas là.
Il faut ensuite concevoir un système instrumenté de sécurité capable d’atteindre ce niveau de performance.
C’est ce que nous allons voir dans la prochaine section.
6. Concevoir une fonction instrumentée de sécurité conforme au niveau SIL requis
Déterminer le niveau SIL requis est une étape importante, mais ce n’est pas la finalité de l’étude.
Une fois le niveau SIL défini, il faut s’assurer que la fonction de sécurité mise en place sera capable d’atteindre ce niveau de performance dans la réalité.
Autrement dit :
l’installation doit être conçue de manière à ce que la fonction de sécurité atteigne effectivement le niveau SIL déterminé lors de l’analyse.
C’est ici qu’intervient la conception du SIS — Safety Instrumented System.
7. Comprendre l’architecture d’une fonction instrumentée de sécurité (SIF)
Une SIF (Safety Instrumented Function) est une fonction de sécurité automatisée conçue pour mettre une installation dans un état sûr lorsqu’une situation dangereuse est détectée.
Une SIF est généralement composée de trois éléments principaux.
1 — Les capteurs
Les capteurs permettent de détecter la situation dangereuse.
Exemples :
- capteur de pression
- capteur de niveau
- capteur de température
- détecteur de gaz
Leur rôle est de déclencher la fonction de sécurité lorsque le seuil critique est atteint.
2 — La logique de sécurité
La logique de sécurité est généralement assurée par un automate de sécurité (Safety PLC).
Cet automate :
- reçoit les signaux des capteurs
- analyse les conditions de déclenchement
- ordonne l’action de sécurité
Contrairement aux systèmes de contrôle classiques, les automates de sécurité sont conçus pour atteindre des niveaux élevés de fiabilité.
3 — Les actionneurs
Les actionneurs permettent de mettre l’installation dans un état sûr.
Exemples :
- fermeture d’une vanne
- arrêt d’une pompe
- ouverture d’une soupape
- arrêt d’un compresseur
Ces équipements doivent agir rapidement et de manière fiable.
8. Le rôle essentiel des tests périodiques
Même les systèmes de sécurité les plus fiables peuvent se dégrader avec le temps.
C’est pourquoi les normes IEC 61508 et IEC 61511 imposent la réalisation de tests périodiques de fonctionnement.
Ces tests permettent de vérifier que :
- les capteurs fonctionnent correctement
- l’automate réagit correctement
- les actionneurs se déclenchent comme prévu
La fréquence de ces tests influence directement la probabilité de défaillance de la fonction de sécurité.
En pratique, une fonction SIL peut nécessiter :
- un test annuel
- un test semestriel
- parfois des tests plus fréquents
9. Le cycle de vie SIL : une responsabilité qui dépasse la phase de conception
Une idée importante souvent mal comprise est que le SIL n’est pas uniquement une étude de conception.
Les normes internationales définissent un cycle de vie complet des systèmes instrumentés de sécurité.
Ce cycle de vie comprend notamment :
1️⃣ la définition des exigences de sécurité
2️⃣ la conception du système
3️⃣ l’installation et la mise en service
4️⃣ l’exploitation de l’installation
5️⃣ la maintenance
6️⃣ les modifications du système
Autrement dit :
le niveau SIL doit être maintenu tout au long de la vie de l’installation.
Cela implique notamment :
- une maintenance rigoureuse
- une gestion des modifications (Management of Change)
- une documentation claire des fonctions de sécurité.
10. Pourquoi cette étape concerne directement les managers HSE et les chefs de projet
Dans de nombreux projets industriels, les études SIL sont parfois perçues comme des analyses purement techniques réalisées par des spécialistes.
En réalité, leurs résultats ont un impact direct sur les décisions de projet.
Par exemple :
- le choix de certaines architectures de sécurité
- le niveau de redondance des capteurs
- la complexité du système d’automatisme
- les coûts d’exploitation et de maintenance
Comprendre la logique des études SIL permet donc aux managers HSE et aux chefs de projet :
- de mieux interpréter les recommandations issues des analyses de risques
- d’éviter les surdimensionnements coûteux
- de s’assurer que les fonctions de sécurité seront réellement efficaces.
11. Les erreurs fréquentes dans les études SIL
Les études SIL sont aujourd’hui largement utilisées dans l’industrie des procédés. Pourtant, dans de nombreux projets, certaines erreurs reviennent régulièrement et peuvent conduire soit à sous-évaluer un risque, soit à surdimensionner inutilement les systèmes de sécurité.
Comprendre ces erreurs permet d’améliorer considérablement la qualité des analyses et la pertinence des décisions prises lors des projets industriels.
1 — Confondre SIL d’un équipement et SIL d’une fonction
C’est probablement l’erreur la plus fréquente.
On entend souvent des phrases comme :
- « cette vanne est SIL2 »
- « ce capteur est certifié SIL3 »
En réalité, le SIL ne s’applique pas à un équipement isolé, mais à une fonction instrumentée de sécurité complète (SIF).
Autrement dit, le niveau SIL dépend de la performance globale du système :
Capteur → Automate de sécurité → Actionneur
Même si chaque équipement est certifié pour une utilisation SIL, la fonction complète doit être analysée et vérifiée.
2 — Considérer toutes les protections comme des IPL
Lors des ateliers LOPA, il est tentant de considérer chaque protection identifiée dans le HAZOP comme une couche de protection indépendante (IPL).
Or, toutes les protections ne répondent pas aux critères nécessaires.
Pour être considérée comme une IPL, une protection doit être :
- indépendante de l’événement initiateur
- suffisamment fiable
- testable
- capable d’agir dans le délai nécessaire
Par exemple, deux alarmes basées sur le même capteur ne constituent pas deux IPL indépendantes.
Cette erreur peut conduire à surestimer la réduction de risque apportée par le système.
3 — Sous-estimer l’importance des facteurs humains
Les actions opérateurs sont souvent considérées comme une couche de protection.
Cependant, leur efficacité dépend fortement de plusieurs facteurs :
- la charge de travail de l’opérateur
- le temps disponible pour réagir
- la clarté de l’alarme
- la qualité des procédures
Dans certains cas, une intervention humaine peut être considérée comme une IPL valable, mais uniquement si :
- l’événement est clairement identifiable
- l’opérateur dispose de suffisamment de temps pour agir
- la procédure est bien définie.
4 — Surdimensionner les niveaux SIL
Dans certains projets, par précaution ou par manque d’expérience, on peut être tenté d’exiger des niveaux SIL très élevés.
Or, cela peut entraîner :
- des architectures complexes
- des coûts d’investissement importants
- des contraintes de maintenance élevées
L’objectif d’une étude SIL n’est pas d’atteindre le niveau de sécurité maximal, mais de réduire le risque à un niveau acceptable (ALARP).
Une bonne analyse permet souvent d’éviter des systèmes de sécurité inutilement complexes.
5 — Oublier le cycle de vie des fonctions de sécurité
Une étude SIL ne doit pas être considérée comme un exercice ponctuel réalisé uniquement pendant la phase de conception.
Dans la réalité, le niveau SIL doit être maintenu tout au long de la vie de l’installation.
Cela implique notamment :
- des tests périodiques des fonctions de sécurité
- une maintenance adaptée
- une gestion rigoureuse des modifications (Management of Change)
Sans ces mesures, la performance réelle du système peut rapidement s’éloigner du niveau de sécurité initialement prévu.
Conclusion générale
Les études SIL constituent aujourd’hui un élément central de la maîtrise des risques dans les installations industrielles.
Elles permettent de passer d’une approche qualitative de la sécurité à une approche structurée et démontrable, fondée sur l’analyse des scénarios dangereux et l’efficacité des couches de protection.
En s’appuyant sur les résultats des analyses de risques comme le HAZOP et sur des méthodes comme la LOPA, l’étude SIL permet de déterminer le niveau de fiabilité nécessaire des fonctions instrumentées de sécurité.
Bien comprises et correctement mises en œuvre, ces analyses permettent de concevoir des installations à la fois :
- plus sûres
- plus robustes
- et économiquement optimisées.
Pour les managers HSE et les chefs de projet, comprendre les principes des études SIL constitue donc un véritable atout pour piloter efficacement la sécurité des projets industriels.
FAQ — Études SIL (Safety Integrity Level)
Qu’est-ce qu’une étude SIL ?
Une étude SIL (Safety Integrity Level) est une analyse de sécurité utilisée pour déterminer le niveau de fiabilité requis d’une fonction instrumentée de sécurité.
Son objectif est de s’assurer qu’un système de sécurité automatisé (arrêt d’urgence, fermeture de vanne, arrêt de pompe, etc.) est suffisamment fiable pour réduire le risque industriel à un niveau acceptable.
Les études SIL sont généralement réalisées selon les normes internationales IEC 61508 et IEC 61511.
Quelle est la différence entre une SIF et un SIS ?
Les deux notions sont souvent confondues.
SIF — Safety Instrumented Function
Une SIF est une fonction de sécurité spécifique.
Exemple : arrêter une pompe si la pression dépasse un seuil.
Une SIF est composée de :
- capteurs
- automate de sécurité
- actionneurs.
SIS — Safety Instrumented System
Le SIS est l’ensemble des fonctions instrumentées de sécurité présentes dans une installation.
Autrement dit :
- une installation peut contenir plusieurs SIF
- l’ensemble de ces fonctions constitue le SIS.
À quoi sert une étude SIL dans un projet industriel ?
Une étude SIL permet de :
- vérifier si les protections existantes réduisent suffisamment le risque
- déterminer si une fonction de sécurité supplémentaire est nécessaire
- définir le niveau de performance requis pour cette fonction.
Elle aide donc à dimensionner correctement les systèmes de sécurité, en évitant à la fois :
- les sous-dimensionnements dangereux
- les surdimensionnements coûteux.
Quelle est la différence entre HAZOP et étude SIL ?
Le HAZOP est une méthode d’analyse de risques utilisée pour identifier :
- les déviations possibles du procédé
- leurs causes
- leurs conséquences
- les protections existantes.
L’étude SIL intervient ensuite pour évaluer si ces protections permettent réellement de réduire le risque à un niveau acceptable.
En résumé :
Étude | Objectif |
HAZOP | identifier les scénarios dangereux |
SIL / LOPA | évaluer l’efficacité des protections |
Qu’est-ce que la méthode LOPA ?
La LOPA (Layer of Protection Analysis) est une méthode semi-quantitative utilisée pour analyser les différentes couches de protection d’une installation industrielle.
Elle permet de :
- identifier les couches de protection indépendantes (IPL)
- estimer la fréquence d’un événement dangereux
- déterminer si une réduction de risque supplémentaire est nécessaire.
La LOPA est la méthode la plus couramment utilisée pour déterminer le niveau SIL requis.
Qu’est-ce qu’une couche de protection indépendante (IPL) ?
Une IPL (Independent Protection Layer) est une protection capable de prévenir ou de limiter un événement dangereux de manière indépendante des autres protections.
Exemples d’IPL :
- soupape de sécurité
- système d’arrêt automatique
- alarme opérateur avec intervention
- digue de rétention.
Pour être considérée comme une IPL, une protection doit être :
- indépendante
- fiable
- testable.
Combien de niveaux SIL existent ?
Les normes internationales définissent quatre niveaux SIL.
Niveau | Réduction du risque approximative |
SIL 1 | réduction du risque ×10 |
SIL 2 | réduction du risque ×100 |
SIL 3 | réduction du risque ×1000 |
SIL 4 | réduction du risque ×10000 |
Dans l’industrie des procédés, les niveaux SIL1, SIL2 et SIL3 sont les plus courants.
Le niveau SIL4 est rarement utilisé.
Un équipement peut-il être « SIL2 » ou « SIL3 » ?
Pas exactement.
Un équipement peut être certifié pour une utilisation dans une application SIL, mais le niveau SIL s’applique toujours à la fonction de sécurité complète (SIF).
Le SIL dépend donc de l’ensemble du système :
- capteurs
- automate
- actionneurs
- architecture
- fréquence de test.
Quand doit-on réaliser une étude SIL ?
Les études SIL sont généralement réalisées :
- lors de la conception d’une nouvelle installation industrielle
- lors de modifications importantes du procédé
- lors de la mise en conformité avec certaines réglementations
- lors de revues de sécurité des installations existantes.
Elles sont souvent réalisées après les études HAZOP.
Qui doit participer à une étude SIL ?
Une étude SIL est généralement réalisée par une équipe multidisciplinaire comprenant :
- ingénieurs procédés
- spécialistes instrumentation / automatisme
- experts HSE
- exploitants de l’installation.
Cette diversité permet d’obtenir une analyse réaliste des scénarios et des protections existantes.
Une étude SIL garantit-elle qu’un accident ne peut pas se produire ?
Non.
Aucune méthode ne peut garantir un risque nul.
L’objectif des études SIL est de réduire le risque à un niveau acceptable, généralement défini selon le principe ALARP (As Low As Reasonably Practicable).
Cela signifie que le risque est réduit autant que raisonnablement possible, compte tenu des contraintes techniques et économiques.
N’hésitez pas à nous contacter pour organiser une réunion gratuite afin d’échanger sur vos besoins et vous accompagner dans la mise en place ou la mesure de la maturité de votre système de Management SST dans vos projets.
