IoT et Maintenance Prédictive en Zone SEVESO : Architecture

Les sites SEVESO (seuil haut et seuil bas) imposent des contraintes uniques à la maintenance prédictive : zonage ATEX, exigences de cyber-sécurité OT, conformité réglementaire, et impératifs absolus de sûreté de fonctionnement. Voici comment déployer une architecture IoT prédictive dans ce contexte exigeant — sur la base de retours d'expérience de la Vallée de la Chimie de Lyon et du PIPA (Plaine de l'Ain).

Le défi SEVESO pour la maintenance prédictive

La directive SEVESO III (2012/18/UE) classe les sites manipulant des substances dangereuses en seuils bas et seuils hauts. Pour la maintenance, cela implique :

• Habilitation du personnel : RP1/RP2 (Risque Procédé Industriel), formation ATEX niveau 2, plan d'intervention spécifique
• Matériel certifié ATEX : les capteurs IoT doivent être conformes à la zone (0, 1, 2 pour gaz / 20, 21, 22 pour poussières)
• Disponibilité maximale : un arrêt non planifié peut compromettre la sécurité (réacteurs chimiques en cycle, équipements de mesure de niveau, vannes critiques)
• Traçabilité réglementaire : DREAL contrôle régulièrement, exigence de preuves documentées

Architecture IoT en 4 couches

Couche 1 — Capteurs terrain (ATEX certifiés)

Sur zone ATEX, on choisit des capteurs avec marquage CE Ex et catégorie correspondante :

• Capteurs vibratoires ATEX : ifm VES004 (Ex II 2G Ex d IIC T6), Erbessd Foresight ATEX, Schaeffler OPTIME Pro
• Capteurs température : Endress+Hauser TR67 (Ex ia / Ex d), Banner Engineering ATEX
• Capteurs ultrasons (fuites gaz, fuites vapeur) : UE Systems Ultraprobe ATEX
• Capteurs corrosion : technologies à fil résistif, marquées Ex

Coût indicatif : 1 200 à 3 500 € HT par capteur ATEX (vs 300-800 € pour un capteur standard).

Couche 2 — Gateway / concentrateur ATEX

Le gateway concentre les données des capteurs en local, applique un premier prétraitement, et transmet vers le cloud. Sur site SEVESO :

• Gateways ATEX : Phoenix Contact RAD-2400-IFS, Pepperl+Fuchs WL3xx Ex
• Protocoles radio : LoRaWAN ATEX, ISA100, WirelessHART (couramment utilisés en pétrochimie)
• Backup filaire : Ethernet industriel (Profinet, EtherCAT) pour les équipements critiques

Couche 3 — Sécurité réseau OT (Operational Technology)

C'est le point souvent négligé qui peut compromettre toute l'architecture :

• Segmentation réseau : OT isolée de l'IT corporate par firewall industriel (Stormshield, Fortinet, Cisco IE)
• Authentification forte : certificats sur chaque capteur, rotation périodique
• Chiffrement TLS bout-en-bout obligatoire
• Conformité IEC 62443 (cyber-sécurité industrielle) — exigence montante des DREAL
• Détection d'intrusion OT : Nozomi Networks, Claroty, Tenable.ot

Couche 4 — Plateforme cloud + analytics

Deux options selon la criticité :

• Cloud public (Azure IoT, AWS IoT Core) : flexibilité maximale, mais souvent rejeté par les sites Seveso seuil haut pour des raisons de souveraineté
• Cloud privé / on-premise (PTC ThingWorx, Siemens MindSphere déployé localement) : privilégié pour les sites sensibles, contrôle total des données

L'IA appliquée à la maintenance prédictive (modèles ML pour détection d'anomalies) est de plus en plus déployée en edge — sur le gateway lui-même — pour éviter les latences et limiter les transferts vers le cloud.

Cas d'usage prioritaires en SEVESO

Équipement	Mesure IoT	Bénéfice attendu
Pompe centrifuge process	Vibration + température palier + courant moteur	Anticipation cavitation, roulements, déséquilibre
Vanne motorisée critique	Courant moteur + position + nombre de manœuvres	Détection grippage, usure du presse-étoupe
Échangeur thermique	Température entrée/sortie + pression différentielle	Suivi encrassement, planification nettoyage
Réservoir / cuve atmosphérique	Capteurs corrosion + déformation	Prévention de la fuite catastrophique
Système de détection gaz	Test fonctionnel automatique périodique	Garantie de disponibilité de la sécurité
Torchère / brûleur	Température + analyse vibratoire ventilateur	Continuité du système de sécurité

Aspects réglementaires et conformité

Le déploiement IoT en zone SEVESO implique :

• Mise à jour du DRPCE (Document Relatif à la Protection Contre les Explosions) intégrant les capteurs ajoutés
• Validation par l'organisme habilité avant mise en service (APAVE, BUREAU VERITAS, SOCOTEC)
• Information de la DREAL sur le projet, voire autorisation préalable pour les sites SH
• Plan de Maîtrise des Risques (PMR) à actualiser

Coût et ROI

Pour un site SEVESO seuil bas moyen (50-100 équipements critiques) :

• CAPEX initial : 80 000 à 250 000 € (capteurs ATEX, gateways, infrastructure réseau, plateforme)
• OPEX annuel : 30 000 à 80 000 € (cloud, maintenance plateforme, analyse experte, cybersécurité)
• Bénéfices : -30 à -60% d'arrêts non planifiés, économies maintenance 15-25%, et surtout réduction quasi-totale du risque d'incident industriel majeur lié à une défaillance équipement

Le ROI purement comptable se mesure en 2-4 ans. Mais la valeur prévention d'incident SEVESO (potentiellement plusieurs millions d'euros + impact réputationnel) rend l'investissement quasi-systématiquement justifié.

Notre approche

Nous intervenons sur les sites SEVESO de la métropole lyonnaise (Pierre-Bénite, Feyzin, Saint-Fons) et du PIPA (Saint-Vulbas) en partenariat avec des intégrateurs spécialisés IoT industriel. Notre équipe est habilitée RP1/RP2 et formée ATEX niveau 2. Audit gratuit pour évaluer la maturité IoT de votre site.

❓ Questions fréquentes

Quelle différence entre capteur IoT standard et ATEX ?

Un capteur ATEX (catégorie 2G ou 2D pour zones 1/21) intègre des protections contre l'ignition : enveloppe antidéflagrante (Ex d), sécurité intrinsèque (Ex i), encapsulage (Ex m). Le surcoût est de 3 à 5×. Pour zones 2/22 (catégorie 3), la différence est moindre (1,5-2×).

L'IoT est-il accepté par la DREAL en zone SEVESO ?

Oui, sous conditions : matériel ATEX certifié, mise à jour du DRPCE, validation par organisme habilité, intégration au système de gestion de la sécurité (SGS) du site. La DREAL voit favorablement les démarches améliorant la sûreté de fonctionnement.

Quels risques de cyber-attaque sur l'IoT industriel SEVESO ?

Critiques : un capteur compromis peut servir de pivot pour attaquer les automates de sécurité (SIS). Mesures impératives : segmentation OT/IT, IEC 62443, audit cyber annuel, EDR sur les postes maintenance. Plusieurs sites pétrochimiques mondiaux ont subi des attaques (TRITON 2017, exemple le plus connu).

Faut-il privilégier le cloud public ou privé pour SEVESO ?

Cloud privé / on-premise pour les sites seuil haut (souveraineté données critiques). Cloud public éventuellement acceptable pour seuil bas avec garanties (région UE, RGPD, chiffrement bout en bout). Beaucoup de sites optent pour un modèle hybride : analytics en cloud, données brutes critiques on-premise.