1.

Analyse des risques : définir la réduction du

risque requise
Apprenez à connaître les étapes à mettre en œuvre dans le cadre de la réduction du risque.
Comment calcule-t-on le niveau SIL ? Quelles sont les procédures et méthodes utilisées pour
identifier les risques et quantifier la réduction du risque à appliquer ?
Tout d'abord, tous les risques existants sont identifiés lors de l'analyse des risques. Il convient
ensuite de définir si une réduction est requise pour chacun des risques identifiés. Le cas échéant,
la réduction du risque nécessaire doit être quantifiée à l'aide de méthodes d'analyse des
risques, qui fournissent des résultats sous la forme d'une exigence SIL.
Une exigence SIL peu élevée (SIL 1) signifie que seule une réduction faible du risque est
nécessaire ; dans le cas d'une exigence SIL plus élevée (SIL 3, par exemple), un niveau de
réduction du risque plus important doit être mis en place.
Différentes procédures sont disponibles pour identifier les risques et quantifier les éventuelles
réductions de risque, en utilisant en général une assistance logicielle. Le processus
d'identification des risques est souvent exécuté en parallèle de l'étude HAZOP (étude des
risques et de l'exploitabilité). Les méthodes habituellement utilisées pour quantifier les
éventuelles réductions du risque (évaluations SIL) incluent un graphique de risque, une analyse
de la couche de protection ou LOPA (« Layer of Protection Analysis ») ainsi qu'une matrice des
risques.

2. Mise en œuvre de la réduction du risque

La deuxième partie de notre série d'articles aborde la mise en œuvre pratique de
la réduction du risque. Elle explore la possibilité d'une réduction totale du risque et décrit la
conception des équipements de protection. Plusieurs types d'erreurs et leurs conséquences
sont décrits plus en détail.
Les risques encourus sont normalement réduits en installant d'autres circuits électriques et de
télécommunications agissant comme une fonction de sécurité, en complément
des équipements électriques et de télécommunications requis pour des raisons
 d'exploitation : ces circuits de sécurité sont uniquement utilisés dans le cas d'une défaillance de
l'équipement d'exploitation. On appelle ce type d'équipement, utilisé exclusivement dans le cadre
de la réduction du risque, « équipement de protection » ou fonctions Z.
Le degré de réduction du risque atteint en utilisant un équipement de protection dépend du
bon fonctionnement de cet équipement. Si toute défaillance était impossible, il serait possible
d'éliminer totalement le risque concerné. Le risque résiduel serait alors nul. Cet état de fait n'étant
pas réaliste en pratique, seul un degré limité de réduction du risque peut être atteint en utilisant
un équipement de protection. Même s'il reste toujours un risque résiduel, il est tellement réduit
qu'il peut être toléré. L'objectif du processus de conception consiste à mettre en œuvre
l'équipement de protection de sorte que le niveau de réduction du risque obtenu soit aussi proche
que possible du niveau d'intégrité de sécurité (SIL) requis.
Si la réduction du risque est insuffisante (le SIL de l'équipement de protection est moins élevé
que le SIL requis), il subsiste un risque résiduel non tolérable. À l'inverse, si la réduction du
risque est excessive (le SIL de l'équipement de protection est plus élevé que le SIL requis), il en
découle une charge de travail trop élevée qui n'est pas justifiable.
Vous trouverez des informations sur la façon dont les équipements de protection doivent être
conçus afin d'atteindre un degré spécifique de réduction du risque (un SIL spécifique) dans les
documents EN 61511 et VDI/VDE 2180. Il est essentiel de se demander pourquoi les
équipements de protection peuvent subir des défaillances : les exigences de conception des
équipements de protection peuvent être définies à partir des réponses à ces questions. Une
enquête détaillée révèle qu'il existe en principe deux types d'erreurs qui peuvent provoquer une
défaillance de l'équipement de protection :
 Erreur systématique
 Erreur aléatoire
 3. Évaluation de la sécurité fonctionnelle

La dernière partie de cette série d'articles explore la pertinence d'un système de gestion
de la sécurité fonctionnelle et explique en quoi ce composant central de la sécurité
fonctionnelle est indispensable pour remplir les critères d'une exigence SIL.
Les normes en matière de sécurité fonctionnelle requièrent la vérification ou la validation de
toutes les activités et de tous les résultats en appliquant le principe du double regard. Elles ont
un impact sur la totalité du cycle de vie de sécurité des équipements de protection. Il est
ainsi nécessaire d'évaluer correctement à la fois l'analyse des risques (exigence SIL) et le
processus de mise en œuvre des mesures de réduction du risque.
Il convient de souligner explicitement ici que l'intégralité du cycle de vie de sécurité, y compris
la documentation obligatoire, doit être traitée au sein du système de gestion de la sécurité
fonctionnelle (FSM). On utilise le système FSM pour
 éviter les erreurs systématiques ;
 s'assurer que toutes les activités et tous les résultats (documents, matériels, logiciels) ayant un
impact sur la réduction du risque peuvent être identifiés et audités.
Le système de gestion de la sécurité fonctionnelle (FSM) est un composant central de la
sécurité fonctionnelle et il est indispensable à la définition d'une exigence SIL.