Automatisation

Scurit des Machines

Guide dinterprtation et dapplication
des normes EN 62061 et EN ISO 13849-1

COLOPHON
Scurit des Machines
Guide dinterprtation et
dapplication des normes
EN 62061 et EN ISO 13849-1
Fdration Professionnelle de lindustrie
lectronique et lectrotechnique
Stresemannallee 19
60596 Frankfurt am Main
Allemagne
Association Professionnelle de lAutomatisation
Section des Systmes de commutation, dispositifs
de commutation et contrles industriels
Comit Technique Systmes de Scurit
dans lAutomatisation

Auteur: Gunther Bernd

Tl: +49 69 6302-323
Fax: +49 69 6302-386
Mail: winzenick@zvei.org
www.zvei.org/automaton
Tous droits rservs.
Sous rserve derreurs.
Janvier 2007

Scurit des Machines

Guide dinterprtation et dapplication des normes
EN 62061 et EN ISO 13849-1

Vous tes constructeur de machine, intgrateur?

Vous vous occupez de reconstruction machines?
Voici ce que vous devrez savoir demain concernant
la scurit fonctionnelle!

1. Procdure essentielle
pour rpondre aux
exigences de la
Directive Machines

Que dois-je faire pour mettre sur le march une machine qui est conforme aux exigences des directives?
La Directive Europenne Machines exige que les machines ne prsentent
pas de danger (analyse du risque selon EN ISO 14121-1). Puisque le risque zro nexiste pas en matire technique, il faut essayer dobtenir un
risque rsiduel acceptable. Si la scurit dpend de systmes de commande, lobjectif gnral consiste concevoir ces systmes de telle manire que la probabilit derreurs fonctionnelles soit suffisamment rduite.
Si ceci est impossible, les erreurs ventuelles qui se produisent ne doivent
pas entraner la perte de la fonction de scurit. Pour remplir cette exigence, il convient dutiliser des normes harmonises et mandates par la
Commission Europenne et qui ont t publies au Journal Officiel des
Communauts Europennes (prsomption de conformit aux exigences
essentielles de ladite Directive).
Cest la seule manire dviter des frais levs et des efforts supplmentaires pour prouver la conformit en cas de dommages.
Les deux normes, EN 62061 et EN ISO 13849-1, sont compares ci-aprs.

2. Pourquoi la norme
actuelle EN 954-1
ne conviendra
plus lavenir?

Auparavant, la partie scurit machine tait conue selon les exigences de

la norme EN 954-1.
Cette norme classait le risque en catgories dans le but dopposer un comportement spcifique du systme la catgorie (approche dterministe).
Suite lusage gnralis de llectronique et surtout des systmes lectroniques programmables dans le domaine de la technologie de scurit,
le systme simple des catgories de lEN 954-1 lui seul tait devenu
insuffisant pour dterminer la scurit.
La norme ne permet pas non plus de se prononcer sur les probabilits de
dfaillance (approche probabiliste).
La solution est apporte par les normes EN 62061 et EN ISO 13849-1,
successeurs de la EN 954-1.

3.

Domaine dapplication
des deux normes

EN ISO 13849-1: Parties des systmes de commande relatives la

scurit Partie 1 : Principes gnraux de conception
Cette norme sapplique aux SRP/CS (parties des systmes de commande
relatives la scurit) de tous les types de machines, indpendamment
de la technologie et du type dnergie utiliss (lectrique, hydraulique,
pneumatique, mcanique, etc.).
LEN ISO 13849-1 fournit galement des exigences spcifiques pour les
SRP/CS utilisant des systmes lectroniques programmables.
EN 62061: Scurit fonctionnelle des systmes lectriques/
lectroniques/lectroniques programmables relatifs la scurit
Cette norme spcifie les exigences et donne des recommandations pour
la conception, lintgration et la validation des systmes de commande
lectriques, lectroniques et lectroniques programmables relatifs la
scurit (SRECS) des machines.
Elle ne spcifie pas les exigences de fonctionnement pour les lments de
commande non-lectriques (par exemple hydrauliques, pneumatiques,
lectromcaniques) des machines.

4. Rsum de lEN
ISO 13849-1

LEN ISO 13849-1 repose sur les catgories connues de lEN 954-1:
1996. Elle concerne galement des fonctions de scurit compltes, y
compris tous les composants intgrs dans leur conception.
La norme EN ISO 13849-1 accorde une attention particulire laspect
quantitatif des fonctions de scurit, qui sajoute lapproche qualitative de la norme EN 954-1.
Sur base des catgories, on utilise pour cela des niveaux de performance (en anglais: Performance Level ou PL).
Pour les composants/machines, on a besoin des caractristiques suivantes:
Catgorie (exigence structurelle)
PL:
Performance Level ou niveau de performance
MTTFd: temps moyen avant dfaillance dangereuse
(en anglais: mean time to dangerous failure)
10d
B : nombre de cycles ncessaires pour que 10% des lments
dusure de lchantillon rencontrent une dfaillance
dangereuse

 DC:
CCF:
TM :

couverture du diagnostic (en anglais: diagnostic coverage)

dfaillance de cause commune
(en anglais: common cause failure)
dure de mission

La norme dcrit comment le niveau de performance (PL) pour les parties

scurit machine peut tre calcul partir de certaines architectures
dsignes (en anglais : designated architectures) pour la dure de mission prvue TM.
Pour les drogations, lEN ISO 13849-1 se rfre lIEC 61508. Lorsque
plusieurs parties relatives la scurit sont combines pour former un
systme complet, la norme reprend des indications pour calculer le
niveau de performance global.
Pour toute information de validation, lEN ISO 13849-1 se rfre la
Partie 2, qui fut dj publie la fin de lanne 2003. Cette partie contient des donnes relatives au traitement des erreurs, lentretien, la
documentation technique et aux consignes dutilisation. La priode transitoire de coexistence des normes EN 954-1 et EN ISO 13849-1 prend
fin en octobre 2009. Pendant cette priode, les deux normes peuvent
tre utilises alternativement.

5. Rsum de
lEN 62061

LEN 62061 est une norme spcifique au secteur, issue de lIEC 61508.
Elle dcrit la ralisation de systmes de commande lectriques, lectroniques et lectroniques programmables relatifs la scurit et prend en
considration, pour le domaine dutilisation des machines, lensemble du
cycle de vie, de la phase de conception la mise hors service.
Elle part dune approche quantitative et qualitative des fonctions de commande relatives la scurit.
La capacit de performance est dcrite par le niveau dintgrit de
scurit ou niveau dintgrit de scurit ou Safety Integrity Level (SIL).
Les fonctions de scurit identifies dans lanalyse des risques sont
rparties en fonctions de scurit partielles, qui sont leur tour associes
des quipements rels, systmes partiels ou sous-systmes et lments
de sous-systmes. Il sagit de matriel (hardware) ou de logiciel (software).
Un systme de commande relatif la scurit se compose de diffrents
sous-systmes. Les sous-systmes sont dcrits par les paramtres limite
dexigence de SIL et PFHD.

Sous-systme 1
Elment de
sous-systme 1.1
,T1

Elment de
sous-systme 1.2
,T1

DC, T2,

Sous-systme 1
(capteur A)
SILCL, PFHD, T1

Sous-systme 2
(capteur B)
SILCL, PFHD, T1

Sous-systme 3
(automate de scurit
selon IEC 61508)
SILCL, PFHD, T1

Sous-systme 4
(actionneur)
SILCL, PFHD, T1

SIL

Paramtres de scurit des sous-systmes

SILCL: limite dexigence de SIL
(valeur SIL maximale, en anglais: SIL claim limit)
PFHD: probabilit de dfaillance dangereuse par heure
(en anglais: probability of dangerous failure per hour)
T1:

dure de vie (en anglais: lifetime)

Ces systmes partiels peuvent comporter diffrents lments de soussystmes (appareils) interconnects avec des paramtres pour calculer
la valeur PFHD correspondante du systme partiel.

taux de dfaillance (en anglais: failure rate); pour les lments

sensibles lusure: valeur B10

SFF:

Ttaux de pannes sres (en anglais: Safe Failure Fraction)

Paramtres pour les lments de systmes partiels (appareils):

Pour les appareils lectromcaniques, le fabricant indique le taux de

dfaillance sous forme de la valeur B10 par rapport un nombre de manuvres. Le taux de dfaillance li au temps et la dure de vie doivent tre
dtermins pour chaque application au moyen de la frquence de commutation.

Les paramtres internes dfinir lors de la conception/construction du

sous-systme compos dlments de sous-systmes:
T2:

intervalle entre essais diagnostiques (en anglais: diagnostic

test interval)

rceptivit par rapport aux dfaillances de cause commune

(en anglais: susceptibility to common cause failure)

DC:

couverture du diagnostic (en anglais: diagnostic coverage)

La valeur PFHD du systme de commande relatif la scurit est dtermine en additionnant les valeurs PFHD individuelles des diffrents soussystmes.
Pour raliser un systme de commande relatif la scurit, lutilisateur a
les possibilits suivantes:

Utiliser des composants et sous-systmes rpondant aux exigences de la norme EN 954-1 ou IEC 61508 ou EN 62061.
La norme reprend des spcifications dtailles relatives
lintgration de composants qualifis pour la ralisation des
fonctions de scurit.

Dvelopper ses propres sous-systmes

Sous-systmes lectroniques programmables ou sous-systmes complexes : application de lIEC 61508.
Composants et sous-systmes simples: application de lEN
62061.

La norme reprend un systme tendu pour raliser des systmes de commande lectriques, lectroniques et lectroniques programmables relatifs
la scurit. LEN 62061 est harmonise depuis dcembre 2005.
Pour les systmes non-lectriques, il faut appliquer lEN 954-1 et
lavenir lEN 13849-1.

6. Droit au but

1ire tape valuation des risques selon EN 1050 / EN ISO 14121

en six tapes
procdure
de base

Il est accept qu dfaut de mesures de prvention appropries, tout

phnomne dangereux qui se produit sur une machine occasionnera des
dgts un moment donn.
Les mesures de prvention sont destines rduire le risque, elles sont
mises en uvre par le constructeur et par lutilisateur.
Les mesures prises lors de la phase de construction sont prfrables aux
mesures mises en uvre par lutilisateur, puisquelles sont gnralement
plus efficaces que ces dernires.

Le constructeur doit respecter lordre indiqu ci-aprs, en tenant compte

des expriences des utilisateurs de machines similaires et de lchange
dinformation avec les utilisateurs potentiels (si possible):
Dfinir les limites et
lutilisation adquate de la
machine;
Analyse du
risque

Estimation du risque

Dbut

Identifier les phnomnes

dangereux et les situations
dangereuses qui en rsultent;

Dtermination des limites

du systme
Analyse du phnomne
dangereux
Apprciation du risque

Evaluation du risque

La maschine est
Suffisamment sre?

Non
Rduction du risque

Estimer le risque pour chaque phnomne dangereux

et chaque situation dangereuse identifie;

Oui
FIN
EN 1050 et EN ISO 14121

Evaluer le risque et prendre

une dcision quant la
ncessit dune rduction
du risque.

2ime tape Dfinition des mesures prendre en vue dune

rduction des risques identifis
Le but est de raliser une rduction maximale des risques en tenant compte de diffrents facteurs. Il se peut que ce processus itratif soit rpt plusieurs fois pour rduire le risque, en utilisant de faon optimale les technologies disponibles.
Pour ce processus, il faut respecter lordre suivant:
1. Scurit de la machine dans les diffrentes phases de sa dure de vie;
2. Capacit de la machine deffectuer sa fonction;
3. Convivialit de la machine.
A ce niveau uniquement, les frais associs la fabrication, au service et
au dmontage de la machine peuvent tre pris en compte.

Lanalyse des risques et le processus de la rduction du risque exigent que

les phnomnes dangereux soient limins ou rduits par une hirarchie
de mesures:
Elimination des risques ou
rduction des risques par la
conception
Rduction du risque par des
dispositifs de protection ou
des mesures de prvention
complmentaires
Rduction du risque en
informant lutilisateur sur le
risque rsiduel

Construction et valuation des risques

de la machine

EN ISO 12100
Exigences fonctionnelles et de scurit pour
le systme de commande de scurit

Conception et ralisation de systmes de commande

lectriques de scurit

EN ISO 13849

3ime tape Rduction du risque

par des mesures de
contrle
Si pour rduire le risque et assurer la
protection, on a recours des composants de scurit, ceux-ci doivent faire
partie intgrante de la conception de
la machine. Le systme de commande
de scurit fournira dornavant cette
fonction/ces fonctions de scurit
avec un SIL ou PL adquats.

EN 62061

Aspects de scurit lectriques

EN IEC 60204

4ime tape Mise en uvre de mesures de contrles laide de lEN 13849-1

ou lEN 62061

Dtermination du niveau de performance requis

EN ISO 13849-1
Niveau de performance requis (PL)

Faible contribution
la rduction des risques

Dfinition du niveau de performance requis (PL)

S Gravit de la lsion
S1 = lsion lgre (normalement rversible)
S2 = lsion grave, (normalement irrversible) pouvant tre mortelle
F Frquence et/ou dure de lexposition au danger
F1 = exposition rare frquente et/ou de courte dure
F2 = exposition frquente continue et/ou de longue dure
P Possibilits dviter le phnomne dangereux
P1 = possible sous certaines conditions
P2 = quasiment impossible

Point de
dpart pour
lvaluation de la
contribution la
rduction des
risques

Contribution importante
la rduction des risques

EN ISO 13849-1

EN IEC 62061
Apprciation du risque et attribution des niveaux dintgrit de scurit (SIL)
Consquences
et gravit
Mort, perte dun il
ou dun bras
Permanentes,
perte des doigts
Rversibles,
suivi mdical
Rversible, premiers soins

S
4

Frquence
et dure
1 heure

Probabilit dvneFr ment dangereux Pr

5 Trs forte
5

>1 h - 1 jour

5 Probable

> 1 jour - 2 sem. 4 Possible

Impossible

> 2 sem. - 1 an
> 1 an

2
1

Possible
Probable

3
1

3 Rare
2 Ngligeable

Evitement
Av

3-4
SIL 2

5-7
SIL 2
QM

EN 62061

Classe K
8-10 11-13 14-15
SIL 2 SIL 3 SIL 3
SIL 1

SIL 2

QM

SIL 1

SIL 3
SIL 2

QM

SIL 1

AM = dautres mesures sont recommandes

2) Spcification
La spcification des exigences fonctionnelles doit reprendre une description dtaille de chaque fonction
de scurit raliser. A cet effet, les interfaces ncessaires aux autres fonctions de commande doivent tre
dfinies et les ractions exiges en cas de dfaillance doivent tre dtermines. De plus, le SIL ou PL
requis doit tre dtermin.

3) Conception de larchitecture de la commande

Une partie du processus de rduction du risque consiste dterminer les fonctions de scurit de la
machine. Ceci comprend les fonctions de scurit de la commande, par exemple pour empcher la
remise en marche intempestive. En dfinissant les fonctions de scurit, il faut toujours tenir compte
des diffrents modes dopration de la machine (p.ex. mode automatique et mode de rglage), qui
peuvent exiger des mesures de prvention diffrentes en fonction du mode spcifique (p.ex. marche
lente en mode de rglage <-> commande bimanuelle en mode automatique). Une fonction de scurit
peut tre mise en uvre par une ou plusieurs parties du systme de commande relatives la scurit
et plusieurs fonctions de scurit peuvent tre rparties sur un ou plusieurs parties du systme de
commande relatives la scurit (p.ex. bloc logique, lments pour la transmission de lnergie).

10

4) Dtermination du niveau de performance atteint

EN ISO 13849-1

EN IEC 62061

Pour chaque SRP/CS et/ou combinaison de

SRP/CS ralisant une fonction de scurit,
il faut effectuer une valuation du PL.

La slection ou la conception des SRECS doit

rpondre au moins aux exigences suivantes.

Le PL du SRP/CS dpend des paramtres

suivants:

Exigences pour lintgrit de scurit du matriel

comprenant:

La valeur MTTFd des composants individuels;

Les contraintes architecturales en ce qui

concerne lintgrit de scurit du matriel

La DC;
Les CCF;

Les exigences pour la probabilit de

dfaillance dangereuse alatoire du matriel

La structure (catgorie)
Le comportement de la fonction de scurit
sous dfaut(s);

Ainsi que les exigences pour lintgrit de

scurit systmatique comprenant

Le logiciel relatif la scurit

Les dfaillances systmatiques

Les exigences pour viter les dfaillances et

Laptitude excuter une fonction

de scurit dans des conditions
environnementales prvues

Les exigences pour la matrise des anomalies

systmatiques

LEN 62061 dcrit galement les exigences pour

la ralisation de programmes dapplication.

Paramtres de scurit pour les sous-systmes:

SILCL:

limite dexigence de SIL ou valeur

SIL maximale (en anglais: SIL claim
limit)

PFHd:

probabilit de dfaillances dangereuses par heure

T1:

dure de vie

11

EN ISO 13849-1
Niveau de
Performance

a
b
c
d
e

a
b
c
d
e

EN IEC 62061

Probabilit moyenne dune

dfaillance
-5 dangereuse
-4
< PFH <
10
10 [1/h]
-6
-5

Probabilit moyenne dune

dfaillance dangereuse

< PFH
<
10
103 10
<-6 PFH
<
10
-6
-6
< PFH
3-510
3 1010-7
< PFH
< < 10
-6
-610
-6
< PFH
<
10
10 <-8 PFH
< 3 10
-7
-7
< PFH
<10-6 10
10 10< PFH
<
-8
-7
10 < PFH <
10
-5

-4

10

-6

-7

-6

-5

< PFH < 10

-6
-5
10
SIL 1
-7
10
SIL 2

< <PFH
< PFH
10 <
10 10
-8
-7
-6
10 < 10
PFH << PFH
10 <
-8
-7
10 < PFH <
10

Niveau
SIL

SIL 1
SIL 2
SIL 3

SIL 3

Safety-related parameters for subsystem

Paramtres
scurit pour
les lments de
Safety-related
parameters
for subsystem
elementsde
(devices):
elements
sous-systmes
(appareils):
:(devices):
Failure
rate
Failure rate
:
:
taux
dfaillance;
fordewearing
elements
B10 value:
for wearing elements
B10 value:
:

T
10:Lifetime
pour
les
composants sensibles

Valeur
B
1
T1: Lifetime
Diagnostic
test interval
lusure;
2:
test interval
T2: TDiagnostic
Susceptibility

: T1:
:
Susceptibility
cause cause
dure to
de common
vie to common
failurefailure
intervalle de test de diagnostic
T2:
Diagnostic
coverage
DC: DC:
Diagnostic
coverage
:
rceptivit
rapport
aux
SFF:
failure
fraction
SFF: Safe
Safepar
failure
fraction

Rapport entre les catgories,

la DC, le MTTFd et le PL

dfaillances en raison dune

SFF SFF
HFT
HFT 1
2
HFT 0 HFT 1 HFT
HFT 2
cause0 commune
Note:
<
60%
Not
allowed
SIL 1
SIL 12
Note:
< 60%
Not allowed
SIL
SIL 2
DC:
degr
60%
to < 90%
SIL
1 de couverture
SIL 2 du SIL 3
comparisons
are
an
essential
The
PFH
D
60% to < 90%
SIL 1
SIL 2
SIL 3
The PFH comparisons are an essential
90% to < 99%
SIL
2
SIL 3
SIL 3
diagnostic
requirementD for determining the performance
SIL 2 SIL 3
SIL
3
SIL 3
requirement for determining the performance>=99%90% to < 99%
SIL 3
SIL 3
level. To complete the determination of the
>=99% taux de SIL
3 sres SIL 3
SIL 3
SFF:
pannes
level.
Tocategory
complete
PL,
CCF,
andthe
DCdetermination
shall also be of the
(en anglais:
Safetolerance
failure
Hardware
fault
PL, CCF, category and DC shall also be HFT:
considered.
HFT: fraction)
Hardware fault tolerance
considered.
HTF:
Performance level

Performance level
a
b
c
d
e

tolrance aux dfaillances

du matriel

SIL Level
SFF

SIL Level

-SIL 1HTF 0

HTF 1

a
-< 60 % SIL 1Inacceptable
SIL 1
b
60 % SIL 2SILSIL
1 1
SIL 2
c
< 90 % SIL 3 SIL 1
90
%

SIL
2
SIL 3
d
SIL
2
Note:
< 99 %
SIL concepts
3
The illustration describes the relationship ebetween the standards two
(PL

Note:
based
Note: on probability of failure.

> = 99 %

SIL 3

SIL 3

HTF 2
SIL 2
SIL 3
SIL 3

and
SIL SIL),
3

The illustration describes the relationship between the standards two concepts (PL and SIL),
Lebased
tableau
le rapport
les deux
ondcrit
probability
ofentre
failure.
5) Verification

concepts des normes (PL et SIL). De toute

For each individual safety function, the PL of the corresponding SRP/CS must match the
faon, le lien
PFH reprisLevel.
dans ce Where
tableauvarious
Required
Performance
from part of a safety function, their
5) SRP/CS
Verification
ne suffit
pas
pour lvaluation.
PLs
beindividual
equal
to orsafety
greaterfunction,
than the performance
level
required for this
function.
Forshall
each
the PL of the
corresponding
SRP/CS
must match the
Where
severalPerformance
SRP/CS are connected
in series,
the final
PL canfrom
be determined
using Table
11 their
Required
Level. Where
various
SRP/CS
part of a safety
function,
from
standard.
PLsthe
shall
be equal to or greater than the performance level required for this function.

Where several SRP/CS are connected in series, the final PL can be determined using Table 11
from the standard.

12

failure
DC: Diagnostic coverage
SFF:
Safe failure fraction
Note:
The PFHD comparisons are an essential
requirement for determining the performance
level. To complete the determination of the
PL, CCF, category and DC shall also be
considered.
EN ISO 13849-1

SFF
< 60%
60% to < 90%
90% to < 99%
>=99%

HFT:

Performance level

HFT 0
Not allowed
SIL 1
SIL 2
SIL 3

HFT 1
SIL 1
SIL 2
SIL 3
SIL 3

HFT 2
SIL 2
SIL 3
SIL 3
SIL 3

Hardware fault tolerance

EN IEC 62061

SIL Level

a
b
c
d
e

-SIL 1
SIL 1
SIL 2
SIL 3

Note:
The illustration
describes the relationship between the standards two concepts (PL and SIL),
Note:
based on
probability
failure.
Le tableau
dcrit leofrapport
entre les deux concepts de norme (PL et SIL). Le lien PFH repris dans ce
tableau ne suffit pas pour lvaluation.

5) Verification
For each individual safety function, the PL of the corresponding SRP/CS must match the
Required Performance Level. Where various SRP/CS from part of a safety function, their
PLs shall be equal to or greater than the performance level required for this function.
Vrification
Where several SRP/CS are connected in5)series,
the final PL can be determined using Table 11
from the standard.
Le PL des SRP/CS doit rpondre au niveau de
performance requis pour chaque fonction de
scurit individuelle; les PL des diffrents
SRP/CS qui font partie dune fonction de scurit, doivent tre suprieurs ou gaux au niveau
de performance requis pour cette fonction.

Si plusieurs SRP/CS sont combins, le PL final

peut tre dfini laide du tableau 11 de la
norme.

La probabilit dune dfaillance dangereuse de

chaque SRCF due aux dfaillances dangereuses
alatoires doit tre gale ou infrieure au taux
limite des dfaillances tel quindiqu dans les
consignes de scurit.

Le SIL ralis par un SRECS selon les contraintes structurelles, est infrieur ou gal au SILCL
le plus faible de tout sous-systme participant
la ralisation de la fonction de scurit.

6) Validation
La conception dune fonction de scurit doit tre valide. La validation doit dmontrer que la combinaison des fonctions de scurit rpond toutes les exigences.

13

7. . Glossaire

Abrviation

Terme anglais

B10d

Nombre de cycles au cours desquels

10% des composants ont fait
lobjet dune dfaillance dangereuse
Failure rate

Taux de dfaillance
Taux de dfaillance pour les dfaillances
non-dangereuses

14

Explication

Taux de dfaillance pour les dfaillances

dangereuses

CCF

Common Cause Failure

Dfaillance en raison dune cause

commune

DC

Diagnostic Coverage

Couverture du diagnostic

DCmoy

Average Diagnostic Coverage

Couverture du diagnostic moyen

Designated Architecture

Architecture dsigne, configuration ou

structure spcifique dun SRP/CS

HFT

Hardware Fault Tolerance

Tolrance aux dfaillances du matriel

MTBF

Mean Time Between Failures

Temps moyen entre dfaillances, moyenne

des temps de bon fonctionnement observs

MTTF

Mean Time to Failure

Dure moyenne de fonctionnement avant

dfaillance

MTTFd

Mean Time to Dangerous Failure

Temps moyen avant dfaillance dangereuse

MTTR

Mean Time to Repair

Dure moyenne de panne (toujours

considrablement infrieure au MTTF)

PFH

Probability of Failure per Hour

Probabilit de dfaillance par heure

PFHd

Probability of Dangerous Failure

per Hour

Probabilit de dfaillance dangereuse

par heure

PL

Performance Level

Niveau de performance, aptitude des

parties relatives la scurit excuter
une fonction de scurit dans des
conditions prvisibles, pour atteindre
la rduction de risque attendue

PLr

Performance Level Required

Niveau de performance requis

SIL

Safety Integrity Level

Niveau dintgrit de scurit

SILCL

Safety Integrity Claim Limit

Limite de revendication de SIL

(valeur SIL maximale)

Abrviation

Terme anglais

Explication

SRP/CS

Safety Related Parts

of a Control System

Partie dun systme de commande

relative la scurit

SRECS

Safety Related
Electrical Control Systems

Systme de commande lectrique

relative la scurit

T1

Lifetime

Dure dutilisation accepte du systme

de scurit

T2

Diagnostic Test Interval

Intervalle entre essais de diagnostic

Mission Time

Dure de mission

Susceptibility to
Common Cause Failure

Rceptivit par rapport aux dfaillances

en raison dune cause commune

Duty Cycle

Cycle dactionnement (par heure)

dun composant lectromcanique

SFF

Safe Failure Fraction

Taux de pannes sres

Tm

Scurit,
Security
surveillance

Expression courante pour indiquer le

service scurit ou le service de
surveillance. Une personne ou une
chose est protge lorsquelle est sous
surveillance.

Scurit

Safety

Expression collective couvrant, entre autre,

la scurit fonctionnelle et la scurit des
machines

Scurit
des
machines

Safety of Machinery

La rduction des risques identifis par

une analyse des risques un niveau
infrieur ou gal au risque tolrable
aprs limplmentation de mesures
appropries

Scurit
fonctionnelle

Functional Safety

Sous-ensemble de la scurit globale

relatif la machine et au au systme de
commande de la machine qui dpend
du bon fonctionnement du SRECS, des
systmes relatifs la scurit utilisant
dautres technologies et des dispositifs
externes pour la rduction du risque.

15

8. Questions
frquemment
poses

Existe-t-il une spcification du SIL ou du PL pour les vannes/contacteurs magntiques?

Non. Un composant individuel na pas de niveau de performance PL ou
de niveau dintgrit de scurit SIL.

Quelle est la diffrence entre SIL et SILCL?

Le SIL se rapporte toujours une fonction de scurit complte lorsque
le SILCL se rapporte au sous-systme.

Y a-t-il un rapport entre le PL et le SIL?

La valeur PFH permet dtablir un rapport entre le PL et le SIL
(voir tape 4: Dtermination du niveau de performance requis).
Niveau
de Performance
(EN 13849-1)
b
c
d
e

Probabilit moyenne
dune dfaillance
dangereuse [1/h]
3 10 -6 PFHD < 3 10-5
3 10 -6 PFHD < 3 10-6
3 10 -7 PFHD < 3 10-6
3 10 -8 PFHD < 3 10-7

Niveau SIL
selon EN IEC
62061
SIL 1
SIL 1
SIL 2
SIL 3

Quel degr de couverture du diagnostic faut-il prendre en compte

pour les relais et les contacteurs avec des contacts guidage forc?
Conformment aux deux normes, un DC de 99% peut tre accept pour
les contacts guidage forc des relais et contacteurs, moyennant une
raction adquate en cas de dfaillance ou la prsence dune fonction
diagnostic.

16

Est-il possible datteindre une tolrance aux dfaillances

du matriel de 1 avec une simple surveillance de porte?
Non: un dfaut unique peut dj entraner la perte de la fonction de
scurit.

Existe-t-il une valeur PFH pour les composants sensibles

lusure?
Non. Lutilisateur peut calculer une valeur PFH pour les composants
sensibles lusure utiliss via la valeur B10 par rapport au nombre de
manuvres de lapplication spcifique.

Quelle est la diffrence entre MTBF et MTTF?

MTBF dcrit le temps moyen entre 2 dfaillances, MTTF reprsente par
contre le temps moyen avant la premire dfaillance.

Que signifie lindice d dans MTTFd?

Ici, d est labrviation du mot anglais dangerous (dangereux) > le
MTTFd est le temps moyen avant la premire dfaillance dangereuse.

Puis-je utiliser lEN ISO 13849-1 pour lintgration de systmes

lectroniques programmables complexes?
Oui. Il faut toutefois que le logiciel du systme opratoire et les fonctions de scurit de PL e rpondent aux exigences de lIEC 61508-3.

Que faire si le fabricant de mes composants ne me fournit

pas les paramtres de scurit ncessaires?
Les annexes lEN ISO 13849-1 ou lEN IEC 62061 reprennent des
valeurs typiques pour les composants courants. Il est toutefois recommand dutiliser les valeurs originales du fabricant.

17

Puis-je utiliser lEN ISO 13849-1 pour calculer le MTTF de

vannes/armatures process qui ne sont commutes quune ou
deux fois par an (Low Demand, mode faible sollicitation)?
Non, lEN ISO 13849-1 dcrit exclusivement le mode High Demand,
le mode forte sollicitation.
Cest pourquoi le calcul du MTTF ne peut tre effectu quavec des
mesures supplmentaires, telles que la dynamisation force.

Puis-je utiliser lEN 62061 pour calculer le taux de dfaillance

de vannes de process/armatures, qui ne sont commutes quune
ou deux fois par an (Low Demand, mode faible sollicitation)?
Voir question prcdente

Le logiciel dapplication, doit-il tre certifi?

Si oui, selon quelle norme?
Non. Aucune des deux normes ne prvoit un devoir de certification.
Il peut toutefois y avoir un devoir de certification pour les machines
relevant de lAnnexe IV de la Directive Machines (p.ex. presses).
Concernant les exigences logicielles, se rfrer EN 62061
et EN ISO 13849-1

18

Fdration Professionnelle de lindustrie

lectronique et lectrotechnique
Lyoner Strae 9
60528 Frankfurt am Main
Allemagne
Association Professionnelle de lAutomatisation
Section des systmes de commutation, dispositifs
de commutation et contrles industriels
Comit Technique Systmes de scurit
dans lautomatisation