Le terme « système SIL » est un terme très souvent employé qui mène souvent à confusion. En effet, si l’on prend la signification de l’abréviation SIL, nous obtenons Safety Integrity Level, soit en français, niveau d’intégrité de la sécurité. Or l’intégrité de la sécurité est la probabilité pour qu’un système relatif à la sécurité, exécute de manière satisfaisante les fonctions de sécurité requises dans toutes les conditions spécifiées.
Ainsi la désignation SIL, apposée à un système, renvoie automatiquement sur une (ou des) fonction(s) du système E/E/EP (Electrique/Electronique/Electronique Programmable), pour être ensuite étendue, par conception, au(x) composant(s) matériel(s) et/ou logiciel(s) qui participent à la (ou les) fonction(s).
Plus concrètement, si l’on considère un système téléphone numérique simplifié, celui-ci à plusieurs fonctions principales dont certaines sont:
- Appeler,
- Recevoir un appel
Ainsi le niveau de confiance associé à ce système réside en fait, sur la bonne exécution de ses fonctions. Ensuite, ces fonctions sont, par conception, réparties sur différents composants du système qui peuvent être logiciels (le logiciel de traitement du signal, le logiciel de gestion de l’affichage,..) ou matériels (le clavier de numérotation, l’écran LCD, les carte électroniques, l’alimentation,..).
Ainsi le niveau d’intégrité de sécurité SIL renvoie automatiquement sur, une fonction d’un système, qui elle-même renvoie automatiquement sur des matériels ou des logiciels, et ceci, bien évidement dans le cas de systèmes E/E/EP. On parlera donc d’intégrité de sécurité d’une fonction, d’intégrité de sécurité d’un matériel et d’intégrité de sécurité d’un logiciel, avec :
- L’intégrité de sécurité du matériel revient à définir la partie de l’intégrité de sécurité du système liée aux défaillances aléatoires du matériel qui pourraient mener à un évènement dangereux.
- L’intégrité de sécurité du logiciel revient à définir la probabilité pour qu’un logiciel, dans un système électronique programmable, exécute ses fonctions de sécurité dans toutes les conditions spécifiées.
En fait, Il existe 2 SIL. Le SIL et le SSIL. SSIL pour software SIL. Le SSIL n’est pas une probabilité mais un niveau de confiance. C’est aussi le cas pour le SIL. A partir d’un THR (Tolerable Hazard Rate – taux de défaillance) on peut identifier un niveau de SIL, mais un niveau de SIL n’est pas une probabilité … attention car 10-12 donne SIL4 mais SIL4 ne donne pas 10-9 (ne pas lire la table d’allocation a l’envers) ….
Pour le logiciel, le SSIL est encore plus loin de la probabilité car il n’y a aucun lien …. la norme ne donne (heureusement pour nous) aucune table liant le THR et le SSIL.
En complément et pour finir, il faut noter qu’on ne dit pas système SIL mais on dit que le système atteint le SIL x …..
Petite précision:
Cet article traite des systèmes SIL, pas uniquement issus de la norme EN 50128. En effet, la norme EN 61508 ne fait pas état des niveaux SSIL(Software Safety Integrity Level), mais seulement de niveaux SIL.
De plus, tel qu’il est exprimé dans l’article, et tel que cela est définit dans les normes, le niveau de SIL n’est, en effet, pas réduit à une probabilité (THR), cependant, l’intégrité de sécurité d’un logiciel revient bien à définir la probabilité pour que ce logiciel, dans un système électronique programmable, exécute ses fonctions de sécurité dans toutes les conditions spécifiées.
Effectivement, il ne faut pas perdre de vue le fait qu’au-delà de la Mathématique, le but principal d’une démonstration est d’emporter la confiance de l’approbateur chargé de statuer sur le cas du moment (introduire un nouveau système dans sa phase de vie utile, utilisation ou exploitation, ou bien valider la modification d’un système déjà en exploitation, etc.).
Et une probabilité n’est pas forcément le meilleur moyen d’y parvenir surtout pour les aspects faisant intervenir les risques liés aux erreurs humaines (parlez-en à un juge dans le cas d’une expertise après accident…) !
Dans cet ordre d’idée, la norme 61508 a donc introduit – assez bien finalement, malgré les défauts qu’auront relevés par endroit les lecteurs attentifs – une notion de niveau de confiance : dans (S)SIL, il y a « IL », c’est-à-dire « Integrity Level », autrement dit « Niveau d’Intégrité », ce qui correspond au concept de « confiance ».
Mais qui dit confiance dit en général consensus… donc lorsque le consensus est difficile à obtenir, la confiance n’est pas toujours au rendez-vous !
Et c’est bien le problème pour l’exemple du logiciel : la notion de probabilité n’a jamais vraiment fait l’objet d’un consensus franc et massif, à ma connaissance, surtout pour les logiciels impliqués dans la sécurité.
Même si l’on peut la plupart du temps définir la probabilité d’un événement, quel que soit cet événement, et même si des modèles de « fiabilité de logiciel » existent, il reste difficile de convaincre de l’utilité des résultats numériques qu’on obtient au bout du compte, et de conclure sur la confiance finale que l’on peut avoir dans le système utilisant ce logiciel.
L’un des apports principaux des niveaux SIL ou SSIL est donc à mon avis d’attirer l’attention sur un niveau global de sûreté de fonctionnement et de qualité d’un système et de son logiciel, afin de ne pas perdre de vue les multiples pièges tendus en travers du chemin des personnes qui auront à en produire et exploiter les spécifications, la conception, la réalisation et finalement la production, l’installation puis l’exploitation : identifier ces pièges et décrire d’une façon claire les mesures qu’on a imaginées pour les contrer est alors un grand pas vers le niveau SIL recherché ! Les modèles mathématiques et les résultats numériques associés trouvent alors tout leur sens dans ce cadre.
Enfin, pour terminer ce commentaire – un peu long j’en conviens ! – il ne faut pas oublier que la simple mention d’un niveau SIL n’est qu’une sorte d’étiquette : utiliser cette information brutalement sans tenir compte de toutes les restrictions sous-jacentes qui fixent les conditions de validité de cette étiquette est un très bon raccourci vers une catastrophe !