Académique Documents
Professionnel Documents
Culture Documents
COLOPHON
Scurit des Machines
Guide dinterprtation et
dapplication des normes
EN 62061 et EN ISO 13849-1
Fdration Professionnelle de lindustrie
lectronique et lectrotechnique
Stresemannallee 19
60596 Frankfurt am Main
Allemagne
Association Professionnelle de lAutomatisation
Section des Systmes de commutation, dispositifs
de commutation et contrles industriels
Comit Technique Systmes de Scurit
dans lAutomatisation
1. Procdure essentielle
pour rpondre aux
exigences de la
Directive Machines
Que dois-je faire pour mettre sur le march une machine qui est conforme aux exigences des directives?
La Directive Europenne Machines exige que les machines ne prsentent
pas de danger (analyse du risque selon EN ISO 14121-1). Puisque le risque zro nexiste pas en matire technique, il faut essayer dobtenir un
risque rsiduel acceptable. Si la scurit dpend de systmes de commande, lobjectif gnral consiste concevoir ces systmes de telle manire que la probabilit derreurs fonctionnelles soit suffisamment rduite.
Si ceci est impossible, les erreurs ventuelles qui se produisent ne doivent
pas entraner la perte de la fonction de scurit. Pour remplir cette exigence, il convient dutiliser des normes harmonises et mandates par la
Commission Europenne et qui ont t publies au Journal Officiel des
Communauts Europennes (prsomption de conformit aux exigences
essentielles de ladite Directive).
Cest la seule manire dviter des frais levs et des efforts supplmentaires pour prouver la conformit en cas de dommages.
Les deux normes, EN 62061 et EN ISO 13849-1, sont compares ci-aprs.
2. Pourquoi la norme
actuelle EN 954-1
ne conviendra
plus lavenir?
3.
Domaine dapplication
des deux normes
4. Rsum de lEN
ISO 13849-1
LEN ISO 13849-1 repose sur les catgories connues de lEN 954-1:
1996. Elle concerne galement des fonctions de scurit compltes, y
compris tous les composants intgrs dans leur conception.
La norme EN ISO 13849-1 accorde une attention particulire laspect
quantitatif des fonctions de scurit, qui sajoute lapproche qualitative de la norme EN 954-1.
Sur base des catgories, on utilise pour cela des niveaux de performance (en anglais: Performance Level ou PL).
Pour les composants/machines, on a besoin des caractristiques suivantes:
Catgorie (exigence structurelle)
PL:
Performance Level ou niveau de performance
MTTFd: temps moyen avant dfaillance dangereuse
(en anglais: mean time to dangerous failure)
10d
B : nombre de cycles ncessaires pour que 10% des lments
dusure de lchantillon rencontrent une dfaillance
dangereuse
DC:
CCF:
TM :
5. Rsum de
lEN 62061
LEN 62061 est une norme spcifique au secteur, issue de lIEC 61508.
Elle dcrit la ralisation de systmes de commande lectriques, lectroniques et lectroniques programmables relatifs la scurit et prend en
considration, pour le domaine dutilisation des machines, lensemble du
cycle de vie, de la phase de conception la mise hors service.
Elle part dune approche quantitative et qualitative des fonctions de commande relatives la scurit.
La capacit de performance est dcrite par le niveau dintgrit de
scurit ou niveau dintgrit de scurit ou Safety Integrity Level (SIL).
Les fonctions de scurit identifies dans lanalyse des risques sont
rparties en fonctions de scurit partielles, qui sont leur tour associes
des quipements rels, systmes partiels ou sous-systmes et lments
de sous-systmes. Il sagit de matriel (hardware) ou de logiciel (software).
Un systme de commande relatif la scurit se compose de diffrents
sous-systmes. Les sous-systmes sont dcrits par les paramtres limite
dexigence de SIL et PFHD.
Sous-systme 1
Elment de
sous-systme 1.1
,T1
Elment de
sous-systme 1.2
,T1
DC, T2,
Sous-systme 1
(capteur A)
SILCL, PFHD, T1
Sous-systme 2
(capteur B)
SILCL, PFHD, T1
Sous-systme 3
(automate de scurit
selon IEC 61508)
SILCL, PFHD, T1
Sous-systme 4
(actionneur)
SILCL, PFHD, T1
SIL
Ces systmes partiels peuvent comporter diffrents lments de soussystmes (appareils) interconnects avec des paramtres pour calculer
la valeur PFHD correspondante du systme partiel.
SFF:
DC:
La valeur PFHD du systme de commande relatif la scurit est dtermine en additionnant les valeurs PFHD individuelles des diffrents soussystmes.
Pour raliser un systme de commande relatif la scurit, lutilisateur a
les possibilits suivantes:
Utiliser des composants et sous-systmes rpondant aux exigences de la norme EN 954-1 ou IEC 61508 ou EN 62061.
La norme reprend des spcifications dtailles relatives
lintgration de composants qualifis pour la ralisation des
fonctions de scurit.
La norme reprend un systme tendu pour raliser des systmes de commande lectriques, lectroniques et lectroniques programmables relatifs
la scurit. LEN 62061 est harmonise depuis dcembre 2005.
Pour les systmes non-lectriques, il faut appliquer lEN 954-1 et
lavenir lEN 13849-1.
6. Droit au but
en six tapes
procdure
de base
Estimation du risque
Dbut
Evaluation du risque
La maschine est
Suffisamment sre?
Non
Rduction du risque
Oui
FIN
EN 1050 et EN ISO 14121
EN ISO 12100
Exigences fonctionnelles et de scurit pour
le systme de commande de scurit
EN ISO 13849
EN 62061
EN IEC 60204
Faible contribution
la rduction des risques
Point de
dpart pour
lvaluation de la
contribution la
rduction des
risques
Contribution importante
la rduction des risques
EN ISO 13849-1
EN IEC 62061
Apprciation du risque et attribution des niveaux dintgrit de scurit (SIL)
Consquences
et gravit
Mort, perte dun il
ou dun bras
Permanentes,
perte des doigts
Rversibles,
suivi mdical
Rversible, premiers soins
S
4
Frquence
et dure
1 heure
>1 h - 1 jour
5 Probable
Impossible
> 2 sem. - 1 an
> 1 an
2
1
Possible
Probable
3
1
3 Rare
2 Ngligeable
Evitement
Av
3-4
SIL 2
5-7
SIL 2
QM
EN 62061
Classe K
8-10 11-13 14-15
SIL 2 SIL 3 SIL 3
SIL 1
SIL 2
QM
SIL 1
SIL 3
SIL 2
QM
SIL 1
2) Spcification
La spcification des exigences fonctionnelles doit reprendre une description dtaille de chaque fonction
de scurit raliser. A cet effet, les interfaces ncessaires aux autres fonctions de commande doivent tre
dfinies et les ractions exiges en cas de dfaillance doivent tre dtermines. De plus, le SIL ou PL
requis doit tre dtermin.
10
EN IEC 62061
La DC;
Les CCF;
La structure (catgorie)
Le comportement de la fonction de scurit
sous dfaut(s);
SILCL:
PFHd:
T1:
dure de vie
11
EN ISO 13849-1
Niveau de
Performance
a
b
c
d
e
a
b
c
d
e
EN IEC 62061
< PFH
<
10
103 10
<-6 PFH
<
10
-6
-6
< PFH
3-510
3 1010-7
< PFH
< < 10
-6
-610
-6
< PFH
<
10
10 <-8 PFH
< 3 10
-7
-7
< PFH
<10-6 10
10 10< PFH
<
-8
-7
10 < PFH <
10
-5
-4
10
-6
-7
-6
-5
< <PFH
< PFH
10 <
10 10
-8
-7
-6
10 < 10
PFH << PFH
10 <
-8
-7
10 < PFH <
10
Niveau
SIL
SIL 1
SIL 2
SIL 3
SIL 3
T
10:Lifetime
pour
les
composants sensibles
Valeur
B
1
T1: Lifetime
Diagnostic
test interval
lusure;
2:
test interval
T2: TDiagnostic
Susceptibility
: T1: :
Susceptibility
cause cause
dure to
de common
vie to common
failurefailure
intervalle de test de diagnostic
T2:
Diagnostic
coverage
DC: DC:
Diagnostic
coverage
:
rceptivit
rapport
aux
SFF:
failure
fraction
SFF: Safe
Safepar
failure
fraction
Performance level
a
b
c
d
e
SIL Level
SFF
SIL Level
-SIL 1HTF 0
HTF 1
a
-< 60 % SIL 1Inacceptable
SIL 1
b
60 % SIL 2SILSIL
1 1
SIL 2
c
< 90 % SIL 3 SIL 1
90
%
SIL
2
SIL 3
d
SIL
2
Note:
< 99 %
SIL concepts
3
The illustration describes the relationship ebetween the standards two
(PL
Note:
based
Note: on probability of failure.
> = 99 %
SIL 3
SIL 3
HTF 2
SIL 2
SIL 3
SIL 3
and
SIL SIL),
3
The illustration describes the relationship between the standards two concepts (PL and SIL),
Lebased
tableau
le rapport
les deux
ondcrit
probability
ofentre
failure.
5) Verification
Where several SRP/CS are connected in series, the final PL can be determined using Table 11
from the standard.
12
failure
DC: Diagnostic coverage
SFF:
Safe failure fraction
Note:
The PFHD comparisons are an essential
requirement for determining the performance
level. To complete the determination of the
PL, CCF, category and DC shall also be
considered.
EN ISO 13849-1
SFF
< 60%
60% to < 90%
90% to < 99%
>=99%
HFT:
Performance level
HFT 0
Not allowed
SIL 1
SIL 2
SIL 3
HFT 1
SIL 1
SIL 2
SIL 3
SIL 3
HFT 2
SIL 2
SIL 3
SIL 3
SIL 3
SIL Level
a
b
c
d
e
-SIL 1
SIL 1
SIL 2
SIL 3
Note:
The illustration
describes the relationship between the standards two concepts (PL and SIL),
Note:
based on
probability
failure.
Le tableau
dcrit leofrapport
entre les deux concepts de norme (PL et SIL). Le lien PFH repris dans ce
tableau ne suffit pas pour lvaluation.
5) Verification
For each individual safety function, the PL of the corresponding SRP/CS must match the
Required Performance Level. Where various SRP/CS from part of a safety function, their
PLs shall be equal to or greater than the performance level required for this function.
Vrification
Where several SRP/CS are connected in5)series,
the final PL can be determined using Table 11
from the standard.
Le PL des SRP/CS doit rpondre au niveau de
performance requis pour chaque fonction de
scurit individuelle; les PL des diffrents
SRP/CS qui font partie dune fonction de scurit, doivent tre suprieurs ou gaux au niveau
de performance requis pour cette fonction.
Le SIL ralis par un SRECS selon les contraintes structurelles, est infrieur ou gal au SILCL
le plus faible de tout sous-systme participant
la ralisation de la fonction de scurit.
6) Validation
La conception dune fonction de scurit doit tre valide. La validation doit dmontrer que la combinaison des fonctions de scurit rpond toutes les exigences.
13
7. . Glossaire
Abrviation
Terme anglais
B10d
Taux de dfaillance
Taux de dfaillance pour les dfaillances
non-dangereuses
14
Explication
CCF
DC
Diagnostic Coverage
Couverture du diagnostic
DCmoy
Designated Architecture
HFT
MTBF
MTTF
MTTFd
MTTR
PFH
PFHd
PL
Performance Level
PLr
SIL
SILCL
Abrviation
Terme anglais
Explication
SRP/CS
SRECS
Safety Related
Electrical Control Systems
T1
Lifetime
T2
Mission Time
Dure de mission
Susceptibility to
Common Cause Failure
Duty Cycle
SFF
Tm
Scurit,
Security
surveillance
Scurit
Safety
Scurit
des
machines
Safety of Machinery
Scurit
fonctionnelle
Functional Safety
15
8. Questions
frquemment
poses
Probabilit moyenne
dune dfaillance
dangereuse [1/h]
3 10 -6 PFHD < 3 10-5
3 10 -6 PFHD < 3 10-6
3 10 -7 PFHD < 3 10-6
3 10 -8 PFHD < 3 10-7
Niveau SIL
selon EN IEC
62061
SIL 1
SIL 1
SIL 2
SIL 3
16
17
18