Dossier scurit

NORMALISATION

LIso 13849-1, un srieux atout pour dvelopper un systme de contrle-commande de scurit

w

Les systmes de scurit comportent souvent des automatismes de contrle, qui doivent tre eux-mmes scuriss. Plusieurs normes sont en lice pour aider le concepteur dvelopper le systme qui assurera le niveau de scurit dsir. Nous vous prsentons ici lIso 13849-1 qui sinscrit dans le prolongement de la clbre EN954, bien connue des concepteurs de systmes de scurit machine. a scurit des machines passe souvent par la mise en uvre de dispositifs (barrages immatriels, verrouillage de protecteurs, commande action maintenue,...) qui font appel au circuit de commande. La directive demande quun dysfonctionnement du circuit de commande ne gnre pas de situation dangereuse. Lobjectif nest donc pas de concevoir un quipement exempt de dfaillances, mais de conduire une analyse de risque sur leurs consquences. Dans les systmes de scurit, la partie contrle-commande joue videmment un rle important. Elle ne pouvait videmment pas chapper au processus de normalisation. Les

normes EN 61508 et EN 62061 ont fait couler beaucoup dencre, ses promoteurs sont trs actifs. Sont-elles pour autant bien adaptes lensemble des problmes poss et surtout aux habitudes des spcialistes de la scurit? Sans doute pas. Lintroduction de trop de concepts probabilistes, tels que ceux dvelopps dans ces normes peut imposer de gros efforts dappropriation par les bureaux dtudes, sans pour autant garantir une plusvalue en terme de prvention des accidents. Se profile galement la menace dune obligation, de fait, de recourir des tierces parties pour des certifications volontaires. Des efforts, des dossiers, des cots La scurit serait dans ce cas la grande oublie.

De lEN 954-1 lIso 13849-1

Pendant trs longtemps, et encore beaucoup aujourdhui, les concepteurs, constructeurs et utilisateurs de machines ont utilis lEN 954-1 pour tout ce qui touchait la scurit. Cette norme fait lunanimit pour son ct pratique. Mais elle avait aussi quelques limites quil tait de plus en plus difficile de masquer face la monte en puissance dune norme concurrente, lIEC61508 (et ses drives), qui sest dores et dj impose dans les systmes lectroniques de scurit dans les applications de contrle de process (en chimie, par exemple). Cest dans ce contexte qua t labor le projet de norme Iso 13849-1, appel succder lEN 954-1. Plusieurs reproches sont faits lEN 954-1. Il y a parfois des mauvaises interprtations dans lutilisation de la grille qui conduit la dfinition de la catgorie laquelle doit rpondre le systme de scurit (cette catgorie dpend du niveau du risque couvrir, de sa dangerosit et de sa frquence). Plus important sans doute, cette norme est perue comme tant plus qualitative que quantitative, et elle ne va pas en profondeur pour valuer des donnes statistiques par essence, comme par exemple la dfinition du temps moyen avant une panne ou le niveau de couverture du diagnostic (rapport entre la probabilit de dtecter une dfaillance dangereuse et la probabilit du total des dfaillances dangereuses). Enfin, lEN954-1 navait pas t tudie pour lutilisation de systmes lectroniques programmables de scurit.

J-F P

Une rvision bien mene de lEN954/Iso13849 peut donner aux industriels et aux prventeurs les outils quils attendent depuis des annes, pour statuer facilement et sans ambigut sur la conformit des fonctions de scurit. Des passerelles sont tablies entre le niveau de performance dfini dans ces normes avec le concept SIL (Safety Integrity Level) dvelopp dans les normes EN 61508/62061. La norme Iso 13849-1 Scurit des machines - Parties des systmes de commande relatives la scurit - Partie 1 : Principes gnraux de conception a t publie en 1999. Elle reprend la norme europenne EN 954 : 1996, qui dfinit les catgories (B, 1, 2, 3, 4) auxquelles doivent rpondre les fonctions de scurit de machines. Elle a pour objectif de donner des prescriptions sur la conception des parties du systme de commande relataive la scurit. Elle sapplique aux systmes de commande de tous les types de machines, indpendamment de la technologie et du type dnergie utiliss (par exemple : lectrique, hydraulique, pneumatique, mcanique). La norme Iso 13849-1 est actuellement en cours de rvision, afin de prendre en compte les difficults rencontres lors de la mise en uvre de la norme EN 954 initiale et de tenir compte de lvolution de ltat de lart avec larrive de systmes lectroniques programmables. La dmarche dcrite dans la rvision de la norme Iso 13 849 sinscrit dans le cadre dfini par les normes Iso 12 -100 (principes gnraux de scurit des machines) et Iso 14121(analyse du risque). On peut schmatiquement distinguer deux grandes tapes. Lanalyse des risques et lanalyse technologique. Lanalyse des risques. Tout dabord, le processus de conception du circuit de commande doit dbuter par une analyse gnrale de risque. Cest durant cette tape que le

60

MESURES 777 - SEPTEMBRE 2005 - www.mesures.com

Dossier scurit
concepteur dcidera de faire appel au circuit de commande pour rduire ou liminer certains risques. Ainsi, la norme donne deux exemples pour illustrer ce point. Il sagit du traitement dun risque dcrasement sur un outillage de machine. Le concepteur peut dcider davoir recours un outil ferm (contribution du systme de commande faible voire nulle) ou un barrage immatriel (contribution importante) Lanalyse de risques permet de lister les fonctions de scurit implanter sur la machine (verrouillage des protecteurs, vitesse lente,) et de dterminer leurs spcifications en incluant le niveau de performance requis. Lanalyse technologique. Le concepteur doit ensuite procder une analyse technologique. Il doit tudier tous les lments des schmas, et traquer de la faon la plus prcise les possibilits dapparition dune dfaillance. Un dfaut li au circuit de commande pouvant engendrer un risque, il faut lanticiper. La partie 2 de la norme Iso 13849 donne une liste de dfauts prsents et nonce des principes techniques de scurit sur lesquels le concepteur peut sappuyer. Le concepteur peut grer ces dfauts en adoptant des mesures axes sur la fiabilit, par le choix et la bonne intgration des composants. Il peut aussi travailler sur lamlioration de la structure de la fonction de scurit et mettre en uvre des mesures visant viter, dtecter ou tolrer les dfauts. La solution retenir dpendra de lapplication, de la rduction de risque vise et des technologies employes.

Principe de la dmarche
Slectionner les fonctions de scurit indispensables que doit assurer le systme de contrle

Pour chaque fonction de scurit, spcifier les caractristiques requises

Dterminer le niveau de performance requis (PLr, Performance Level related)

Conception et ralisation technique des fonctions de scurit qui excutent la fonction de scurit

Dterminer le niveau de performance en tenant compte des paramtres suivants : - la catgorie - le MTTFd* - la DC** - les CCF*** des parties relatives la scurit vises
*MTTFd : Temps moyen avant panne dangereuse **DC : couverture de diagnostic ***CCF : dfaillance de causes communes

Lanalyse de risque
Lapplication correcte de la directive repose sur une analyse de risque globale de lquipement. Il faut en effet tenir compte de lensemble des dispositions prises pour liminer ou rduire le risque, et ne pas analyser hors contexte les parties du systme de commande relatives la scurit. Bien souvent, les conceptions les plus simples offrent les meilleurs gages de scurit. Slectionner les fonctions de scurit. A partir de cette analyse de risque, le concepteur dtermine lensemble des fonctions de scurit implanter sur la machine. Il dfinit pour chacune les spcifications quelles doivent respecter (frquence de sollicitation, temps de rponse,). Dterminer par fonction le niveau de performance requis (PLr). Pour chacune des fonctions de scurit mises en vidence, le concepteur devra dterminer le niveau de performance quelle doit atteindre. Le niveau de performance reprsente laptitude dune fonction contribuer la rduction du risque. Ce niveau de performance est class

Vrification PL PLr

Non

Validation Les prescriptions sont-elles toutes satisfaites ?

Non

Oui

Toutes les fonctions de scurit ont-elles t analyses ? Oui

Non

MESURES 777 - SEPTEMBRE 2005 - www.mesures.com

61

Dossier scurit
Evaluation du niveau de performance requis
PLr (niveau de performance requis)

Risque faible

Paramtres de risques
S S1 S2 F F1 F2 P P1 P2 Gravit de la blessure Blessure lgre (normalement rversible) Blessure grave (normalement irrversible, y compris le dcs) Frquence (et/ou dure dexposition) du phnomne dangereux Rare assez frquente (et/ou courte dure dexposition) Frquente continue (et/ou longue dure dexposition) Possibilit dvier le phnomne dangereux ou de limiter le dommage Possible sous certaines conditions Rarement possible

P1 F1 S1
Point de dpart de lestimation de la rduction du risque

a b c d e

P2 P1 F2 P2 P1 F1

S2 F2

P2 P1

P2
Risque lev

en 5 niveaux (de a e), allant dune aptitude faible (a) une aptitude leve (e). plus la rduction du risque dpend de la fonction de scurit, plus le niveau de performance requis sera lev. Ces niveaux de performance sont dfinis (en tant que grandeurs discrtes) en termes de probabilit de dfaillance dangereuse du systme. En annexe A de la norme, un diagramme permet de slectionner le niveau de performance.

Lanalyse technologique
Le concepteur doit choisir des composants aptes rsister aux contraintes normales de service et aux influences extrieures dans lenvironnement dutilisation prvu, et appliquer des moyens de protection si le composant doit rester dans des limites dfinies (exemple : fusible). Le circuit de commande doit tre galement conu et construit de manire viter les situations dangereuses en cas derreur de logique dans les manuvres. De telles erreurs rsultent de mauvaises manuvres humaines, raisonnablement prvisibles, et dont le concepteur doit tenir compte (action simultane sur deux commandes contradictoires, non-respect de lordre des squences, choix dun mauvais mode de fonctionnement). Dterminer les parties constitutives de la fonction. Pour chacune des fonctions de scurit, le concepteur doit dterminer les parties

matrielles et logicielles qui la constituent. Dans ce travail, il peut tre utile de recourir une dcomposition des fonctions suivant les modules dentre de traitement et de sortie. Suivant lobjectif assign par lanalyse de risque et la technologie mis en uvre, il peut choisir entre diffrentes architectures. Schmatiquement, les options suivantes sont envisageables : - soit une stratgie de rduction des dfauts, reposant sur la fiabilit, - soit une stratgie de dtection de dfaut, - soit une stratgie de redondance partielle ou complte - soit une combinaison dtection de dfaut - redondance. Estimer le niveau de performance atteint par la fonction. Il sagit de vrifier maintenant, pour chaque fonction de scurit, si le niveau de performance quelle atteint est suffisant au regard du niveau de performance (PL, Performance Level) requis par lanalyse de risque. La probabilit de dfaillance dangereuse du systme dpend de plusieurs facteurs, tels que la structure du systme, ltendue de la dtection des dfauts (la couverture du diagnostic), la fiabilit des composants (le temps moyen avant dfaillance dangereuse, la dfaillance de cause commune), le processus de conception, la contrainte de fonctionnement, les conditions denvironnement et les mthodes de fonctionnement.

A cet gard, le concepteur doit schmatiquement, pour chaque fonction, valuer des notions telles que la fiabilit, la structure du systme et les aspects qualitatifs non quantifiables. Dans le projet de norme, lestimation de la fiabilit repose sur le calcul du MTTFd (temps moyen avant panne dangereuse). Effectuer ce calcul ncessite de pouvoir avoir, pour chacun des composants ou sous-ensemble de la fonction, les donnes de base. Pour les composants les plus usuels (relais, contacteurs,), la norme fournit des valeurs typiques qui pourront tre appliques sous rserve davoir choisi et intgr des composants en respectant les principes prouvs. Ces rgles sont listes dans la partie 2 de la norme. La valeur du MTTFd est classe en trois niveaux (faible, moyen, lev). Pour lvaluer structure du systme, la norme donne en annexe des questionnaires qualitatifs qui permettent au concepteur de dterminer parmi trois classes (faible, moyen, lev) le taux de couverture atteint par sa fonction (la couverture du diagnostic), ainsi que dvaluer le taux de dfaillance de causes communes. La norme fournit galement des architectures dsigns qui sont des reprsentations logiques respecter pour les diffrentes catgories. Les aspects qualitatifs non quantifiables. Il sagit par exemple de la dfaillance systmatique pour les parties logicielles. A partir de tous ces lments, le construc-

62

MESURES 777 - SEPTEMBRE 2005 - www.mesures.com

Dossier scurit
Quelques exemples

a
Niveau de performance de la scurit (PL)

b
B

c d e
MTTFd : Temps moyen avant panne dangereuse Faible Moyen Elev

Catgorie B Couverture du diagnostic (DC) 0

1 0

2 faible

2 moyen

3 faible

3 moyen

4 lev

Exemple A. Si le MTTFd de la fonction est faible (exemple : composants basiques), si la fonction est de Catgorie 3 (exemple : structure redondante), et que le taux de couverture est moyen (exemple : vrification de la capacit de raction du dispositif de surveillance par le canal principal), alors le PL atteint est de c. Exemple B. Si on utilise des composants prouvs correctement implants (MTTFd lev), en canal unique (Catgorie 1), on peut prtendre galement un niveau de performance PL de c.

Ce tableau donne une procdure simplifie pour obtenir le PL (niveau de performances) atteint par une fonction de scurit, en fonction du MTFFd, du taux de couverture (DC) et de la catgorie.

teur peut alors estimer le niveau de performance atteint. Les combinaisons. Les nouveaux concepts comme le niveau de performance et le taux de couverture permettent plus de souplesse dans lapplication de la norme. On est loin des dbats sur la dtermination dune hypothtique catgorie globale pour une fonction de scurit ralise partir sous-ensemble ayant des technologies et des structures diffrentes, et donc des catgories diffrentes. Donnons un exemple pour illustrer la problmatique (il ne sagit pas ici dexposer les rgles suivre pour pouvoir combiner des parties du systme de commande de niveaux diffrents). Lexemple porte sur la fonction verrouillage dun protecteur, assure par un interrupteur de position et une logique de commande agissant sur une lectrovanne (pr-actionneur). On peut par exemple la raliser en utilisant un interrupteur de position de catgorie 1 (PL = c), une lectronique de commande de catgorie 3 (PL = d) et une

lectrovanne de catgorie 2 (PL = c). Avec le seul concept de catgorie, il nest pas possible de spcifier un niveau densemble pour lintgralit de la fonction. Maintenant cette fonction pourra tre assigne avec un niveau de performance global PL = c. La norme donne les rgles dassociation. Le logiciel. LIso 13849 prend en compte non seulement les dfaillances alatoires dues aux matriels et composants, mais galement les dfaillances systmatiques (erreurs de spcification des prescriptions de scurit ; erreurs de conception, fabrication, installation, exploitation du matriel; erreurs de conception, mise en uvre, etc. du logiciel). La norme donne des prescriptions relatives la ralisation du logiciel, en distinguant ce qui relve du logiciel embarqu de ce qui relve de lapplication. Philippe Lubineau, Responsable Produit Conception et Ecoconception, Cetim

MESURES 777 - SEPTEMBRE 2005 - www.mesures.com

63