Vous êtes sur la page 1sur 52

Une nouvelle norme pour la scurit des machines:

EN ISO 13849-1:2006
Parties des systmes de commande relatives la scurit

Risque
faible

de
Niveau
nc e
a
per form
Lr
P
requis
a

P1
P1

P2
Hohe s
Risiko

Catgorie 3
1 2

F2

P1

P1

S2

P2

S1

F1

P2

P2

P1

F1

F2

P1

S1

S2

P2

P2

r t de
e d pa
Point d
e la
n
atio d
lestim
qu e
is
r
n du
o
ti
c
u
d
r

F2

F1

Miseur!
jo

Une nouvelle norme pour la scurit des machines: Wuppertal/Wettenberg, mars 2007
EN ISO 13849-1 Parties des systmes de commande relatives la scurit

Cher client ,
Cher client ,

Toute norme qui est ventuellement en contradiction/opposition avec lEN ISO 13849-1:2006
(cest--dire lEN 954-1:1997 ou lISO 138491:1999) doit tre retire au plus tard pour
novembre 2009.

Aprs de nombreux conflits et diffrends (


ce sujet, voir galement le MRL-News du
24.02.07, page 13 et suivants, Remplacement
de lEN 954-1: Le changement de paradigme,
un fait accompli!), le projet de norme Parties
des systmes de commande relatives la
scurit a t finalement accept. Ds lors,
il portera le nom EN ISO 13849-1:2006 ou DIN
EN 13849-1:2007-02.

Par contre, toutes les autres informations


reprises dans la brochure concernant larrireplan, lapplication et la transposition pratique
de la nouvelle norme sont toujours actuelles et
correctes.
Cordialement,

Suite la modification du planning pour lentre en vigueur, le tableau repris la page 46


de notre brochure (dition mars 2006) doit tre
adapt.
La priode transitoire de la nouvelle norme va
jusqu novembre 2009; jusqu ce moment-l,
son application est facultative et non-obligatoire.

Friedrich Adams
K.A. Schmersal Holding GmbH & Co. KG

A partir de quel moment faut-il appliquer la nouvelle EN ISO 13 849-1?


Y a-t-il des priodes transitoires?

Novembre 2009

Priode transitoire
Harmonisation
Adoption
Concertation
Version dfinitive

1ier trimestre 2007


Automne 2006

Et 2006
Moiti de 2006

Wuppertal/Wettenberg, au mois de mars 2006


Risque
faible

Niveau de
performance
requis PL r
a

P1
F1
P2

S1

Cher client ,
Cher client ,

F2

Point de dpart de
lestimation de la
rduction du risque

P1

P1
P2

sadressant explicitement aux constructeurs


de machines et installations et se rapportant
exclusivement aux systmes lectriques/
lectroniques/lectroniques programmables
relatifs la scurit, est candidate pour le
remplacement de lEN 954-1.
F1

S2

F2

P2

P1

P2

Risque
lev

Cette brochure reprend une explication


dtaille du discours le plus important des
sminaires organiss par Elan en 2005, cest-dire le remplacement de la norme EN 954-1
et les nouvelles rgles et prescriptions de son
successeur, lEN ISO 13849-1. Le Groupe
Schmersal veut ainsi accentuer sa comptence en ce qui concerne la scurit des
machines.
En tant que fournisseur de dispositifs de commutation de scurit et systmes relatifs la
scurit pour la protection de lhomme, de la
machine et de linstallation, nous voulons fournir nos clients des informations essentielles
et nous profiler comme leur partenaire privilgi pour tous les aspects relatifs lutilisation
de composants de scurit et de commandes
de machines.
Cette brochure est un rsum du discours de
M. Thomas Bmer et M. Karl-Heinz Bllesbach, tous deux ingnieurs diplms et collaborateurs du Berufsgenossenschaftliches
Institut fr Arbeitsschutz BGIA*, St. Augustin.
Suite leurs activits pour le Dpartement de
llectronique de la spcialit Scurit des
Machines et Technologie de commande, ils
suivent le thme de trs prs.
Les images reprises dans cette brochure sont
bases sur la prsentation PowerPoint des
messieurs Bmer et Bllesbach; les droits
dauteur ventuels pour ces images sont donc
leur proprit exclusive.
Le BGIA ainsi que diffrentes autres organisations professionnelles se sont largement
engages dans llaboration de la norme de
succession, lEN ISO 13849-1, dans le but
doffrir leurs clients, cest--dire les entreprises petites et moyennes actives dans la
construction de machines et le dveloppement
de commandes de machine, des instructions
simples et substantielles pour la ralisation
future des parties de systmes de commande
relatives la scurit.
Lentre en vigueur de la EN ISO 13849-1 est
encore un point litigieux, suite la situation
exceptionnelle dans le monde des normes. En
plus de la EN ISO 13849-1, une autre norme,
IEC EN 62061 (base sur la IEC EN 61508)

La gamme de produits du Groupe Schmersal


rpond dj aux exigences et spcifications
des deux normes futures. Si vous avez des
questions ce sujet, nhsitez pas de nous
contacter.
Par souci de clart, nous avons divis le thme
EN ISO 13849-1: Une nouvelle norme pour la
scurit des machines en chapitres individuels, qui sont subdiviss en sections vous
choisissez donc vous-mme quel point vous
voulez approfondir votre connaissance de la
matire.
Nous vous prions de bien vouloir nous excuser
lutilisation des abrviations multiples ainsi que
des expressions anglaises, qui sont parfois
invitables suite labsence dune traduction
officielle en ce moment. Le glossaire (page
rabattable) essaie de contribuer la clart et
une meilleure comprhension du texte.
Malgr nos efforts de vous prsenter un
rsum clair et comprhensible, la complexit
du sujet a parfois contrecarr nos intentions.
Nous nous excusons si certains questions
restent ouvertes ou soulvent de nouvelles
questions.
En vous souhaitant bonne lecture, nous vous
prions dagrer nos meilleures salutations.

Heinz Schmersal
PDG
K.A. Schmersal Holding GmbH & Co. KG

Friedrich Adams
K.A. Schmersal Holding GmbH & Co. KG
* Linstitution professionnelle pour la scurit du
travail

Une nouvelle norme pour la scurit des machines:


EN ISO 13849-1 Parties des systmes de commande relatives la scurit

Une nouvelle norme pour la scurit des machines:


EN ISO 13849-1 Parties des systmes de commande relatives la scurit
Risque
faible

Niveau de
performance
requis PL r
a

P1
F1
P2

S1
F2

Point de dpart de
lestimation de la
rduction du risque

P1
F1
S2

P2

F2

P1
P2

c
d

P1

P2
Risque
lev

Table des matires


Page

Introduction

Arguments pour le remplacement de lEN 954-1

Nouveau graphe pour lestimation des risques

Architectures dsignes

13

Valeurs MTTFd

15

Diagnostic Coverage (DC) Couverture du diagnostic

23

Common Cause Failure Management (CCF) Dfaillance(s) de cause commune

26

Exemple

27

Validation

32

SiSteMa

34

La EN ISO 13849-1 et les SRP/CS de complexit faible

36

Montage en srie des SRP/CS selon la EN ISO 13849-1

38

La EN ISO 13849-1 et le logiciel

40

La prEN ISO 13 849-1 vis--vis de lEN 62 061

43

Entre en vigueur de la EN ISO 13849-1

46

Foire aux questions

47

Perspective

49

Glossaire

51

Editeur
Elan Schaltelemente GmbH & Co. KG
Im Ostpark 2
35435 Wettenberg/Allemagne
Tlphone +49 (0)641 9848-0
Tlcopie +49 (0)641 9848-420
E-Mail: info-elan@schmersal.com
Internet: www.elan.de

Rdaction et mise en page


Friedrich Adams
c/o SCHMERSAL Holding GmbH & Co. KG
Mddinghofe 30
42279 Wuppertal/Allemagne
E-Mail: fadams@schmersal.com
Compilation
flick-werk Werbe-Grafik Heinz Flick,
35075 Gladenbach/Allemagne

Une nouvelle norme pour la scurit des machines:


EN ISO 13849-1 Parties des systmes de commande relatives la scurit

Introduction
Le remplacement venir de la norme EN 95411 entranera des modifications pour lestimation du risque. Le constructeur des machines
devra sadapter. Dornavant, lapproche dterministe devra dbarrasser le plancher pour
lapproche probabiliste lors de la slection des
composants relatifs la scurit.
Deux nouvelles normes rivalisent pour la
succession de lEN 954-1: la EN ISO 1384912 dune part, qui est issue directement de
la rvision de lEN 954-1 et la IEC EN 620613
dautre part, une norme sectorielle sadressant
explicitement aux constructeurs de machines
et installations, qui est drive de la IEC EN
615084.
Contrairement lEN 954-1, qui se base
exclusivement sur lanalyse des structures
(approche dterministe), les nouvelles
normes exigent une analyse de la fiabilit et
de la probabilit de dfaillance de parties des
systmes de commande relatives la scurit
(approche probabiliste).
Dans lIEC EN 61 508 et lIEC EN 62061,
lapproche probabiliste se fait sentir davantage
plus profondment sous forme des calculs
mathmatiques de la probabilit et la modlisation.
Le comit technique ayant labor la EN ISO
13849-1 par contre a essay de fournir aux
utilisateurs moyens de la norme des prescriptions de scurit et des conseils pratiques
relatifs la conception et lvaluation des
parties des systmes de commande relatives
la scurit afin de trouver un quilibre dlicat
entre lapproche dterministe et probabiliste
(voir figure 1).

1) EN 954-1:1997-03: Scurit des machines Parties des systmes de commande relatives la scurit Partie 1: Principes gnraux de conception
(correspond lISO 13849-1:1999-11)
2) EN ISO 13849-1:2007-02: Scurit des machines
Parties des systmes de commande relatives la
scurit Partie 1: Principes gnraux de conception
3) IEC EN 62061:2005-10: Scurit des machines
Scurit fonctionnelle des systmes lectriques/
lectroniques/lectroniques programmables
4) IEC EN 61508:2002-11: Scurit fonctionnelle des
systmes lectriques/lectroniques/lectroniques
programmables
Partie 1: Prescriptions gnrales
Partie 2: Prescriptions pour les systmes lectriques/lectroniques/lectroniques
programmables relatifs la scurit
Partie 3: Prescriptions concernant les logiciels
Partie 4: Termes, dfinitions et abrviations
Partie 5: Exemples de mthodes de dtermination
des niveaux dintgrit de scurit (SIL,
Safety Integrity Level)
Partie 6: Lignes directrices pour lapplication de
lIEC 61508-2 et lIEC 61508-3
Partie 7: Prescriptions pour lapplication des processus et mesures
Source: Beuth Verlag GmbH, 10772 Berlin/Allemagne; www.beuth.de

Risque
faible

Niveau de
performance
requis PL r
a

P1
F1
P2

S1
F2

Point de dpart de
lestimation de la
rduction du risque

P1
F1
S2
F2

P2

P1
P2

c
d

P1

P2
Risque
lev

EN ISO 13 849-1

EN 954-1:1996

IEC 61508:19982000

Approche dterministe

$SSURFKHSUREDELOLVWH

Mthodes prouves:
)RQFWLRQVGHVFXULW
*UDSKHSRXUOHVWLPDWLRQGHVULVTXHV
&DWJRULHV

Nouveaux concepts:
4XDQWLFDWLRQDELOLWGHV
 FRPSRVDQWVHWTXDOLWGHVHVVDLV
'IDLOODQFHVGHFDXVHFRPPXQH

Figure 1: Tentative de rapprocher lapproche dterministe et lapproche probabiliste

Sans porter prjudice aux efforts du comit


de normalisation de la EN ISO 13849-1, on
pourrait considrer cette norme comme une
version light de la IEC EN 61508. Light
dans ce sens que la EN ISO 13849-1 essaie
de dfendre les intrts de la majorit de ses
clients concerns, cest--dire les petits et
moyens constructeurs de machines et commandes en admettant des simplifications et
gnralisations adaptes au groupe cible, qui
sont justifiables au niveau de la technologie de
scurit.
Cette mesure est clairement implmente
dans le but de rduire considrablement les
frais supplmentaires ainsi que les efforts
quentrane lapproche probabiliste.

Justification pour la rvision


de lEN 954-1
La rvision de lEN 954-1 nest donc pas inspire par les accidents de travail aux machines
tant imputables aux imperfections et aux
lacunes de lEN 954-1.
Ceci ne signifie toutefois pas que lEN 954-1
ntait pas susceptible de critique ou damlioration.
La question qui simpose concerne plutt la
ncessite dun remplacement linaire compatible sans plus.

Pour les systmes de commande universels


hautement complexes, par exemple les API
de scurit ou les quipements de protection
lectro-sensibles, lapplication dautres normes, p.ex. la IEC EN 61508 peut tre approprie.

Une nouvelle norme pour la scurit des machines:


EN ISO 13849-1 Parties des systmes de commande relatives la scurit

Lexactitude de lapproche et des exigences de


lEN 954-1 tait souvent critique par lAllemagne et par les autres tats-membres de la
Communaut Europenne.
Du point de vue thorique, la critique est
essentiellement inspire par le fait que lEN
954-1 offre seulement des mesures pour
rduire le risque, qui aboutissent au mme
risque rsiduel1 pour toutes les catgories.
En thorie, le risque auquel loprateur est
expos, reste donc toujours identique, peu
estim que la SRP/CS2 rponde aux exigences de la catgorie 1, 2, 3 ou 4 et que le
risque comporte une blessure lgre (rversible) ou srieuse (irrversible).
Les critiques exigent en outre quun risque
suprieur entrane des mesures supplmentaires pour rduire le risque rsiduel.
Deuximement, les exigences de lEN 954-1
tiennent trop peu compte de la complexit
accrue de lautomatisation industrielle. En
cas dune chane de machines de production
par exemple, lEN 954-1 ignore le fait que
la SRP/CS est intgre dans une machine
individuelle, une installation complexe ou un
systme de production intgr. Autrement
dit: au plus leve la complexit > au
plus grand le risque rsiduel > au plus
lev le nombre de mesures supplmentaires requises pour matriser le risque
rsiduel!
Il est incontestable que la complexit dune
SRP/CS est considre trop peu.

Une chose est certaine: lEN 954-1 ne correspond plus ltat actuel de la technologie,
surtout parce quelle ne prvoit pas dexigences pour les systmes hautement complexes
avec fonction de scurit, bien quelle ne les
exclue pas forcment.
Nous reprenons cette liste (non exhaustive) de
points de critique dans le seul but de faciliter la
comprhension du contexte ayant ncessit la
rvision de lEN 954-1, sans devoir approfondir
le thme (voir galement figure 2).

Nouveau graphe pour lestimation


des risques
Thorie
Le diagramme de slection des catgories,
le graphe pour lestimation du risque, est
toujours prsent dans la prEN ISO 13849-1
(voir figure 3), mais son rsultat nindique plus
une catgorie, mais un niveau de performance
(Performance Level (PL)). La norme prcise les diffrents paramtres qui permettent
dobtenir ce niveau de performance, tels que
la fiabilit du matriel (par exemple le MTTF),
la structure du systme et la surveillance, par
exemple la DC (couverture du diagnostic), les

Critique:
0DOJUOLQWJUDWLRQGHV\VWPHVOHFWUR
 QLTXHVSURJUDPPDEOHVFRPSOH[HVDEVHQFH
 GH[LJHQFHVGWDLOOHV
,QVXIVDPPHQWGH[LJHQFHVSRXUODFRQVLG
 UDWLRQGHVWDX[GHDELOLW
/H[FOXVLRQGHGIDXWVGDQVODFDWJRULH
 DERXWLWODEVHQFHGXQHKLUDUFKLHSRXU
 OHVWLPDWLRQGHODUGXFWLRQGXULVTXH
*UDSKHSRXUOHVWLPDWLRQGXULVTXHSDVGH
 UDSSRUWGLUHFWHQWUHODUGXFWLRQGXULVTXHHW
 ODFDWJRULHODFRPSOH[LWHVWQJOLJH

Figure 2: Quelques points de critique sur la


norme existante EN 954-1

1) Voir galement CR 954-100: Lignes directrices pour lemploi et


lapplication de lEN 954-1
2) ATTENTION! A partir de ce point, les parties des systmes de
commande relatives la scurit sont dsignes par labrviation SRP/CS, par analogie avec leur nom anglais Safety
Related Part of a Control System!

Risque
faible

Niveau de
performance
requis PL r
a

P1
F1
P2

S1
F2

Point de dpart de
lestimation de la
rduction du risque

P1
F1
S2
F2

P2

P1
P2

c
d

P1

P2
Risque
lev

Risque
faible

Niveau de
performance
requis PLr
a

P1
F1
P2

S1
F2

Point de dpart de
lestimation de la
rduction du risque

P1
F1
S2
F2

P2

P1
P2

c
d

P1

P2
Risque
lev

Figure 3: Rduction du risque requise et niveau de performance: S = gravit de la blessure;


F = frquence et/ou dure dexposition au phnomne dangereux, P = possibilits dvitement du
phnomne dangereux

CCF (dfaillances de cause commune) et la


catgorie, ainsi que les aspects qualitatifs non
quantifiables affectant le comportement de la
SRP/CS, par exemple la dfaillance systmatique.
Le niveau de performance est dtermin
laide des paramtres S (gravit de la blessure),
F (frquence et dure dexposition au phnomne dangereux) et P (possibilit dviter le
phnomne dangereux). Cette mthode est
identique celle de lEN 954-1. Un niveau de
performance allant de a (plus faible) e
(plus lev) est ainsi obtenu.
Le niveau de performance PL reprsente laptitude de parties relatives la scurit raliser
une fonction de scurit dans des conditions
prvisibles (quil convient de prendre en considration) pour atteindre la rduction du risque
attendue; les niveaux de performance sont
donc dfinis (en tant que grandeurs discrtes)
en termes de probabilit de dfaillance dangereuse du systme.

Application
La probabilit de dfaillance dangereuse du
systme, reprsente par la valeur PFHd1 (voir
galement figure 4) dpend de plusieurs facteurs, tels que la structure du systme, ltendue de la dtection des dfauts (la couverture
du diagnostic, DC), la fiabilit des composants (temps moyen avant dfaillance dangereuse, MTTFd), les dfaillances de cause
commune (CCF), le processus de conception,
la contrainte de fonctionnement, les conditions
environnementales et les modes de fonctionnement.
Cette approche probabiliste est la modification
la plus marquante de la prEN ISO 13849-1.
Les classifications du niveau de performance
PL se rapportent directement aux niveaux
dintgrit de scurit (Safety Integrity Levels (SILs)) de la IEC EN 61508 et permettent
de rfrer aux catgories de lEN 954-1; par
exemple: catgorie 1 correspond (mais nest
pas lquivalent de) PL b, catgorie 2 PL
c etc.
1) PFH = Probability of Failure per Hour: probabilit de
dfaillance par heure

Une nouvelle norme pour la scurit des machines:


EN ISO 13849-1 Parties des systmes de commande relatives la scurit

Probabilit de dfaillance dangereuse par heure


EN ISO 13 849-1

10 4

PL

10 5

3 x 10 5

Risques faibles

10 6

10 8

10 7

Risques levs

Figure 4: Dfinition du niveau de performance PL comme facteur de fiabilit relatif la scurit

Application
Le concepteur doit dfinir les fonctions de
scurit qui sont ncessaires pour raliser
les mesures de scurit requises du systme
de commande pour lapplication considre, par exemple, la fonction darrt, la mise
en marche et la remise en marche ou une
fonction oprationnelle. Pour chaque fonction de scurit slectionne, un niveau de
performance requis PLr (r = required)
doit tre dtermin et document. Celui-ci

rsulte de lapprciation du risque rapporte


la proportion de la rduction du risque qui
est ralise par les SRP/CS1.
La dtermination du niveau de performance
PL est une apprciation de larchitecture globale des SRP/CS excutant la (les) fonction(s)
de scurit, qui sont subdiviss en soussystmes tels que les capteurs (dtection), la
logique (le traitement) et les actionneurs (la
commutation).

La (les) fonction(s) de scurit est (sont) excute(s) par les parties dune commande relatives
la scurit (SRP/CS)

Capteur

Logique

$FWLRQQHXU

Dtection

Traitement

Commutation

Reprsentation conformment la norme:


SRP/CS

iab

SRP/CS

ilx

SRP/CS

Figure 5: Fonctions de scurit et SRP/CS

1) La norme fait une distinction systmatique entre le


PLr et le PL. PLr reprsente le niveau de performance
requis (en fait la valeur cible ou dsire) rsultant de
lapprciation du risque. Le PL est le rsultat de lanalyse de la rduction du risque (en fait la valeur relle).

10

PL

Exemples pour la construction des


machines :
$UUWVUORXYHUWXUHGHVSURWHFWHXUV
5GXFWLRQVUHGHODYLWHVVHSHQGDQWOH
rglage

Les d
faillan
c e s sy
socie
s tma
s de fa
tiques
on d
cause
sont a
termin
s, ne p
siste
o u va n
une m
c
er tain
t t r e
odifica
es
li
m
tion de
ines
p r oc e s
q u e pa
la con
sus de
r
c
e
ption o
fabrica
dexplo
u du
tion, d
itation
e
s p r oc
, de la
dautre
d u r es
d oc u m
s f ac te
entatio
urs ap
n ou
propri
Lanne
xe G fo
s.
urnit d
es me
Utilis
s u r e s:
ation d
e la d
voir EN
s
a
c
ti
v
ation
ISO 13
nergti
849-2
Matr
que,
ise ou

viteme
ne me n
nt d e s
t physiq
ef fets d
ue
Me su
e lenvir
res info
on r
matiqu
s qu e n
es: sur
c e de p
v
e
il
lance d
ro g r a m
conten
e la
m a p ou
a nt u n
r les SR
logicie
Matr
l
P/CS
ise des
ef fets d
ef fets r
e s e r re
sultan
ur s et d
t de to
munica
autres
u t p ro c
tion de
e
s su s d
donn e
e c om s
Figure
7: Elim
iner et
systm
matris
atiques
er les d
faillan
ces
Risque
faible

Niveau de
performance
requis PL r
a

P1

F1

P2

S1

F2

Point de dpart de
lestimation de la
rduction du risque

P1

F1

S2

F2

P2

P1
P2

P1

P2

Risque
lev

Nouveaux aspects pour lapprciation


Suite la combinaison de lapproche dterministe et probabiliste, le PL des SRP/CS dpend
de plusieurs aspects (voir figure 6), comprenant par exemple:
1. La catgorie (plus ou moins), pour laquelle la
norme prescrit des architectures dsignes
qui comportent une approche simplifie
pour la quantification des valeurs calcules;
2. La fiabilit du matriel (niveau de fiabilit des
composants permettant dviter les dfauts,
le MTTFd (Mean Time to dangerous
Failure temps moyen avant dfaillance
dangereuse);
3. La couverture du diagnostic (DC);
4. Les mesures pour viter les dfaillances de
cause commune (Common Cause Failure
ou CCF).
La norme y ajoute encore les mesures pour
viter les dfaillances systmatiques, une exigence qui doit dj tre prise en compte. Ces
mesures sont discutes dans lannexe G de la
EN ISO 13 849-1. La norme fait une distinction
entre les dfaillances alatoires (voir MTTFd) et
les dfaillances systmatiques (voir figure 7).

idem
EN 954-1:
1997
Catgories
(redondance,
essai)

CCF
partir de
catgorie 2

Application
Le concepteur doit dfinir les fonctions de
scurit qui sont ncessaires pour raliser
les mesures de scurit requises du systme
de commande pour lapplication considre, par exemple, la fonction darrt, la mise
en marche et la remise en marche ou une
fonction oprationnelle. Pour chaque fonction de scurit slectionne, un niveau de
performance requis PLr (r = required)
doit tre dtermin et document. Celui-ci
rsulte de lapprciation du risque rapporte
la proportion de la rduction du risque qui
est ralise par les SRP/CS.
La dtermination du niveau de performance
PL est une apprciation de larchitecture globale des SRP/CS excutant la (les) fonction(s)
de scurit, qui sont subdiviss en soussystmes tels que les capteurs (dtection), la
logique (le traitement) et les actionneurs (la
commutation) (voir figure 5)

MTTFd
(qualit des
composants)

DC
(qualit
dessai)

en fonction de
la catgorie

partir de
catgorie 2

Figure 6: Extension de la notion catgorie

11

Niveau de performance

Une nouvelle norme pour la scurit des machines:


EN ISO 13849-1 Parties des systmes de commande relatives la scurit

a
b
c
d
e

MTTFd = faible
MTTFd = moyen
MTTFd = lev
Catgorie Catgorie Catgorie Catgorie Catgorie Catgorie Catgorie
B
1
2
2
3
3
4
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
0
0
faible
moyen
faible
moyen
lev

Figure 8: Mthode simplifie pour la dtermination du niveau de performance PL

Un niveau de performance
au lieu dune catgorie
Les rsultats de lestimation des valeurs de fiabilit (cest--dire lvaluation des architectures
dsignes, du MTTFd, de la DC et des CCF) sont
copis ensuite dans un diagramme pour dterminer le niveau de performance (voir figure 8).

on a plusieurs possibilits pour la conception,


par exemple: pour un niveau de performance
d une structure selon la catgorie 2, avec un
MTTFd lev et une DC moyenne. A partir
de la catgorie 2, il faut toujours tenir compte
des CCF.
Suite la dlimitation imprcise des zones
limites des diffrentes niveaux de performance
dans le diagramme, lutilisation dune mthode
simplifie est admise (la norme reprend cet
effet un tableau au lieu dune graphique, voir
figure 9.

Si on veut obtenir un niveau de performance


c ou d pour la rduction du risque requise,

Ici se termine la brve description des grandes


lignes de la prEN ISO 13849-1.

Niveau de performance

Ceci signifie que le niveau de performance e


exige une structure correspondant la catgorie 4, avec le MTTFd dun canal lev et une
DC lev (pour explication de DCavg: voir plus
loin).

a
b
c
d
e

MTTFd = faible
MTTFd = moyen
MTTFd = lev

1) In der Systematik der Norm wird zwischen PLr und


PL unterschieden. PLr steht dabei fr den aufgrund
der Risikobetrachtung bentigten Performance Level
(praktisch eine Soll-Ermittlung). PL ist dann das bewertete Ergebnis (praktisch die Ist-Ermittlung).

Catgorie Catgorie Catgorie Catgorie Catgorie Catgorie Catgorie


B
1
2
2
3
3
4
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
0
0
faible
moyen
faible
moyen
lev

Figure 9: Niveau de performance PL: Dtermination alternative laide du tableau

12

Risque
faible

Niveau de
performance
requis PL r
a

P1
F1
P2

S1
F2

Point de dpart de
lestimation de la
rduction du risque

P1
F1
S2
F2

P2

P1
P2

c
d

P1

P2
Risque
lev

Architectures dsignes

Excution
La figure 10 reprend les architectures dsignes applicables dans la EN ISO 13849-1.

Thorie
La EN 13 849-1 utilise toujours les anciennes catgories de lEN 954-1 pour classifier les parties dun systme de commande
relatives la scurit selon leur rsistance aux
dfauts et leur comportement conscutif des
dfauts. Elle prvoit toutefois lutilisation darchitectures dsignes pour les catgories, des
architectures types qui remplissent les prescriptions des catgories correspondantes. La
contribution la rduction du risque apporte
par ces structures a t dfinie pralablement
laide des modles de Markov (cf. IEC EN
61508). Lutilisateur de la EN ISO 13 849-1 ne
doit donc plus effectuer des calculs mathmatiques complexes.

Application
Lutilisation des architectures dsignes est
un lment de lapproche simplifie de la EN
ISO 13894-1. Toutefois, certaines questions
restent sans rponse bien quelles restent
galement sans rponse pour linterprtation
de lEN 954-1.
Prenons par exemple lexcution 2 canaux
des capteurs et actionneurs dans les catgories 3 et 4: faut-il prvoir deux capteurs ou actionneurs par exemple pour la surveillance de
position dun protecteur mobile? Et quest-ce
quil faut faire exactement si on veut scarter
des architectures dsignes?
Signal
dentre

La prise en compte de larchitecture dsigne


dune SRP/CS brode sur lapproche dterministe de lEN 954-1, mais elle nest quun des
nombreux aspects du niveau de performance
PL.

O possibilits:
L
Il y a de nombreuses

Surveillance
Signal
dentre

TE

Signal de
sortie

L
Surveillance

Surveillance

Surveillance

OTE

L1

Signal
de sortie

O1

I1

Signal
dentre

L1

Cross
Surveillance

coupure

Monitoring

Cross
rveillance

I1

OTE

I1

Signal
dentre

Surveillance

Monitoring

L1

I2

Signal
dentre

L2

Signal
de sortie

O1

Monitoring
Signal
de sortie

O2

2ime

ou voie
dindication

Signal
dentre

2ime
voie de
coupure

ou voie
dindication

Figure 10: Introduction


aux architectures dsignes
voie de

TE

Surveillance

Signal de
sortie

Surveillance

OTE

ou voie
dindication

Surveillance

Signal
dentre

2
voie de
coupure

Catgorie 3 et 4:

Surveillance

TE

Catgorie 2:

Signal de
sortie

Surveillance

Signal
dentre

dentre

Signal de
sortie

Cross
Surveillance

Catgorie B et 1:

Une premire possibilit se base sur la


norme C (norme de produit) qui reprend des
Surveillance
Surveillance Un
propositions concrtes
pour lexcution.
simple interrupteur deSignal
scurit Signal
2 canaux
de
sortiede polectriques suffit pourdentre
la surveillance
I
O
L
sition de protecteurs mobiles aux machines
dimpression.
ime

En fait, les architectures dsignes sont les


structures de SRP/CS connues et prouves
qui sont utilises depuis des annes pour les
diffrentes catgories de lEN 954-1. La catgorie 2 est cependant une exception.
Signal

Signal de
sortie

I2

Signal
dentre

L2

Monitoring
Signal
de sortie

O1

Monitoring
Signal
de sortie

O2

13

Une nouvelle norme pour la scurit des machines:


EN ISO 13849-1 Parties des systmes de commande relatives la scurit

Une deuxime possibilit consiste lutilisation de lexclusion de dfauts (voir figure


11). Laptitude rsister aux dfauts doit tre
value. Exceptionnellement, dans quelques
composants, certains dfauts peuvent tre exclus au cours de la dure de vie des SRP/CS.
Dans ces circonstances, la prise en considration de tels dfauts dans les catgories nest
pas ncessaire. Si des dfauts sont exclus,
une justification dtaille doit tre fournie dans
la documentation.
Les annexes A D de lEN ISO 13 849-2
(lancienne EN 954-2) reprennent des listes
numrant les dfauts et dfaillances importants pour les diverses technologies. Les
listes des dfauts ne sont pas limitatives et, si
ncessaire, il convient de prendre en compte
et dnumrer des dfauts supplmentaires
sous lapplication stricte du paragraphe 3.3
de lEN ISO 13 849-2. Dans ce cas, il convient
galement de dtailler clairement la mthode
dvaluation utilise.

Quand puis-je exclure des dfauts?


Pour lvaluation dune SRP/CS, il convient
parfois de prendre en compte lexclusion
de certains dfauts. Pour plus de dtails
relatifs lexclusion de dfauts, nous rfrons lEN ISO 13 849-2.
Les dfauts peuvent tre exclus sur base
de:
limprobabilit technique de loccurrence
dun dfaut
lexprience technique gnralement
accepte, indpendamment de lapplication
des exigences techniques de lapplication et des risques et phnomnes
dangereux spciaux
Si des dfauts sont exclus, une justification dtaille doit tre fournie dans la
documentation.
Figure 11: Exclusion de dfauts

14

Faut-il imprativement utiliser les architectures dsignes?


4.5.1 Il existe plusieurs mthodes pour
calculer le niveau de performance PL,
par exemple la modlisation par graphes
de Markov, les rseaux de Ptri Stochastiques Gnraliss (GSPN), les blocs
diagrammes de fiabilit [voir par exemple
la srie EN 61508 (IEC 61 508)].
Pour faciliter lvaluation des aspects
quantitatifs du niveau de performance
PL, cette norme dcrit une procdure
simplifie pour calculer le PL, limite
cinq architectures dsignes, remplissant
des critres de conception spciaux ainsi
quun comportement spcifique en cas
dun dfaut).
Figure 12: Pas de rgle sans exception

Une troisime possibilit consiste labandon des simplifications de la EN ISO 13849-1


et lutilisation de la modlisation par graphes
de Markov, les rseaux de Petri Stochastiques
Gnraliss (GSPN) ou les blocs diagrammes
de fiabilit (voir figure 12).
ATTENTION! Lemploi des architectures
dsignes pour la catgorie 2
La structure recommande pour la catgorie
2 fait exception aux architectures dsignes
gnralement connues.
Les SPR/CS de catgorie 2 ralises en canal
unique doivent tre conues de sorte que
leurs fonctions soient contrles intervalles
convenables (100 fois suprieurs la sollicitation prvue de la fonction de scurit) par
le systme de commande de la machine; de
plus, il faut prvoir une deuxime sortie (voir
figure 13 la page 15).

Risque
faible

Niveau de
performance
requis PL r
a

P1
F1
P2

S1
F2

Point de dpart de
lestimation de la
rduction du risque

P1
F1
S2
F2

P2

P1
P2

c
d

P1

P2

Signal
dentre

Risque
lev

Signal de
sortie

Catgorie 2:
Surveillance

Signal de
sortie

L
Surveillance

Surveillance

Surveillance

Signal
dentre

TE

2ime
voie de
coupure

OTE

ou voie
dindication

Figure 13: Nouvelles exigences pour la catMoniSignal


gorie 2
toring
dentre

L1

Cross
Surveillance

I1

Signal
de sortie

O1

En principe, cette architecture dsigne peut


Monitre considre comme une
version light de
toring
la catgorie 3.I2Nous vous
de
O2
L2 recommandons
Signal
Signal
vrifier la conformit
SRP/CS de catdentrede vos
de sortie
gorie 2 aux exigences futures.

Valeurs MTTFd
Thorie
Lors du calcul des valeurs MTTFd dans le
contexte de la EN ISO 13849-1, il faut se
rendre compte que les SRP/CS prsentent
toujours un pourcentage de risques rsiduels
affectant la fonction de scurit (notamment
les dfaillances dangereuses alatoires
probables). Il faut donc matriser ces risques
rsiduels, cest--dire les rduire un taux
acceptable.
Un contact de commutation ne peut pas ouvrir
ou fermer par exemple. Limpossibilit douverture gnralement cre une situation dangereuse dans la commande de la machine en cas
dabsence dun systme redondant ou dune
surveillance approprie. Tous les contacts ne
sont cependant pas identiques: il y a des diffrences qualitatives, telles que la conception, le
matriel utilis, etc.

Ces diffrences qualitatives peuvent affecter


la probabilit des dfaillances alatoires.
La valeur MTTFd est donc une dfinition de la
qualit de la fiabilit relative la scurit des
composants et systmes de scurit utiliss
dans une SRP/CS.
MTTFd est une valeur moyenne statistique
exprimant la dure de fonctionnement avant
dfaillance en annes (= MTTF, Mean Time To
Dangerous Failure). Une dfaillance est dfinie
comme la cessation de laptitude dune entit
accomplir une fonction requise. Les dfaillances naffectant que la disponibilit du processus command ne sont pas couvertes par le
domaine dapplication de la EN ISO 13849-1.
Puisque chaque dfaillance naffecte pas la scurit, la valeur MTTFd est toujours > la valeur
MTTF. La valeur est exprime en annes (= y).
La valeur MTTFd est toujours la valeur rciproque de la valeur PFHd et vice versa. Une valeur
MTTFd de 10 annes est par exemple lquivalent dune valeur PFHd de 1,14 10 5 (1/10
8.760). Il est fondamental pour lapplication de
la norme EN ISO 13849-1 que MTTFd soit pris
en compte pour chaque canal1 dune SRP/CS.
Les calculs des valeurs MTTF ou MTTFd
partent toujours dune rpartition exponentielle des dfaillances alatoires, cest--dire
quaprs lexpiration du MTTF ou MTTFd, une
dfaillance (dangereuse) est survenue 63%
de toutes les units ou, autrement dit: la probabilit de survie des units concernes aprs
lexpiration du MTTF ou MTTFd est de 37%
seulement (voir figures 14 et 15).

1) Les valeurs PFH calcules selon la IEC EN 61508


peuvent tre utilises pour les calculs selon EN ISO 13
849-1 pourvu que les indications relatives au niveau
dintgrit de scurit (SIL) soient prises en compte.
Ceci est une mthode de calcul fort simplifie, surtout
pour les structures 2 canaux, mais elle vite une
prsentation trop favorable des choses.

15

Une nouvelle norme pour la scurit des machines:


EN ISO 13849-1 Parties des systmes de commande relatives la scurit

Annes

Distribution de la abilit des units


de trois collectifs
Intacte

60
annes
18
annes

72%
28%

37%
63%

90%
10%

Dfaillance
MTBF = 6 annes

MTBF = 18 annes

MTBF = 60 annes

Figure 14: Reprsentation concrte dune dure de mission moyenne, reprenant trois collectifs avec
diffrents niveaux de fiabilit. Leurs units (reprsentes par les points) prsentent des dfaillances
des moments alatoires. Les moments des dfaillances sont indiqus par les coordonnes verticales.
Les dfaillances sont rparties sur une priode assez longue, par exemple certaines units individuelles
du premier collectif ont une dure de vie de 18 ans, lorsque dautres prsentent une dfaillance aprs
un an. Aprs 6 ans, une dfaillance est survenue 63% des units. (Source: introduction aux mthodes
pour lanalyse de fiabilit, SIEMENS AG, I&S IS ICS IT2).
Autrement dit:

Dfaillances dangereuses [%]

100%
inacceptable

80%

MTTFd = 3 y
MTTFd = 10 y
MTTFd = 30 y
MTTFd = 100 y

faible
60%
moyen
40%
lev
20%
inacceptable
0%

10

15
Temps [annes]

Figure 15: Que signifie MTTFd spcifiquement?

16

20

25

30

Risque
faible

Niveau de
performance
requis PL r
a

P1
F1
P2

S1
F2

Point de dpart de
lestimation de la
rduction du risque

P1
F1
S2
F2

P2

P1
P2

c
d

P1

P2
Risque
lev

ATTENTION! Les composants sensibles


lusure, qui ont une dure de mission diffrente, sont exclus de cette supposition de rpartition exponentielle typique des composants
lectriques. La EN ISO 13849-1 considre ce
type de composants via la grandeur intermdiaire qui rsulte du calcul de la valeur B10d.

Ces valeurs doivent galement tre fournies


pour les composants, appareils et dispositifs
qui, dans le sens stricte de la Directive Europenne Machines sont plutt des produits
dits dual use, cest--dire des composants
et dispositifs prvus pour des applications
relatives la scurit et ordinaires.

Ausfhrung
Dans le contexte de la EN ISO 13849-1, les
calculs du MTTFd et de la PFH doivent tre diffrentis en fonction quils sont utiliss pour:

ATTENTION! Si une exclusion de dfaut est


formule pour un composant, il faudra prendre
la valeur MTTFd gale dans la formule (voir
ci-aprs).

un composant de scurit
ou
un canal dune SRP/CS
ou
une SRP/CS complte

Application: MTTFd pour un canal


Dans ce cas, lutilisateur doit se servir dune
formule pour estimer le MTTFd de chaque
canal individuellement selon la mthode
de comptage des parties ou parts count
method. Ce calcul utilise les valeurs MTTFd
de chacun des composants isols appartenant au canal correspondant voir galement
lexemple de calcul la page 18.

Cette diffrentiation est seulement rationnelle


si la plupart des utilisateurs de la EN ISO
13849-1 achtent ses composants et autres
systmes relatifs la scurit pour les intgrer
dans une SRP/CS.
Les utilisateurs de la EN ISO 13849-1 qui achtent des composants de scurit tous faits,
par exemple auprs de socits telles que le
Groupe Schmersal, seront privilgis lavenir,
car les fabricants de composants de scurit
indiqueront bientt les valeurs requises selon
la EN ISO 13849-1 dans les fiches techniques
de leurs produits.
Il est vident que les fabricants de composants
de scurit prennent en compte les exigences de la norme aussi vite que possible pour
anticiper la nouvelle situation (voir galement
le paragraphe Entre en vigueur de la EN ISO
13849-1).

1
=
MTTFd

i=1

1
MTTFd i

Figure 16: MTTFd dun canal (selon la mthode de comptage des parties, parts count
method)

Ensuite, il doit comparer le rsultat aux valeurs reprises dans le tableau (figure 17) pour
connatre la qualit relative la scurit dun
canal de la SRP/CS.

17

Une nouvelle norme pour la scurit des machines:


EN ISO 13849-1 Parties des systmes de commande relatives la scurit

Description de la qualit Valeur MTTFd


bas

3 annes MTTFd < 10 annes

moyen

10 annes MTTFd < 30 annes

lev

30 annes MTTFd 100 annes

MTTFd est une valeur moyenne statistique et non pas une dure de mission garantie!
Figure 17: MTTFd Valeur moyenne pour la dure de fonctionnement avant dfaillance dans un canal
du systme de commande

Exemple de calcul
j

Component

1/MTTFd,j
nj/MTTFd,j
Units MTTFd,j
(nj)
worst case worst case worst case
[y]
[1/y]
[1/y]

Transistors, bipolaires, puissance faible

1142

0,000876

0,001752

Rsistance, film de carbone

11416

0,000088

0,000438

Condensateur, standard, absence de


puissance

5708

0,000175

0,000701

Relais (donnes provenant du fabricant)

1256

0,000796

0,003185

Contacteur

32

0,031250

0,031250
0,037325

(nj/MTTFd,j)
MTTFd = 1/(nj/MTTFd,j)

[y]

26,79

Cet exemple donne un MTTFd de 26,8 ans, qui correspond un indice moyen selon la figure 17.
Dans cet exemple, le contacteur est le composant ayant la plus grande influence. Le rsultat est
gnralement bien meilleur, cest--dire que le MTTFd est plus lev.

Il faut toujours tenir compte des rgles


suivantes:
Les valeurs MTTFd sappliquent toujours un
canal, quelle que soit larchitecture dsigne
(1 canal ou 2 canaux), sauf si les canaux ont
une structure diversitaire. Dans ce cas-ci, il
faut utiliser une formule de symtrisation (voir
figure 18).
Selon la Directive Europenne Machines,
le constructeur des machines ou la personne
commercialisant la machine doit (faire) calculer la valeur MTTFd pour un canal.

18

ATTENTION! Si le calcul pour un canal


produit plusieurs valeurs MTTFd >100 ans,
lexcs (le chiffre suprieur 100) nest pas
considr, puisque la valeur MTTFd maximale dun canal dune SRP/CS est limite
100 ans (contrairement un composant
[de scurit] isol qui peut obtenir un score
suprieur). En dfinissant cette limite 100
ans, le comit de normalisation veut viter une reprsentation trop favorable des
valeurs MTTFd pour obtenir un niveau de
performance suprieur. Cette procdure
vite galement lutilisation des mthodes de
calcul autorisant lutilisation des structures
1 canal dans une situation o des structures
2 canaux sont exiges.

Risque
faible

Niveau de
performance
requis PL r
a

P1
F1
P2

S1
F2

Point de dpart de
lestimation de la
rduction du risque

P1
F1
S2
F2

P2

P1
P2

c
d

P1

P2
Risque
lev

Les architectures dsignes admettent que les valeurs MTTFd de diffrents canaux dans
une partie SRP/CS redondante sont les mmes.
Formule de symtrisation en cas de valeurs MTTFd diffrentes:
MTTFd =

2
3

MTTFd C1 + MTTFd C2

1
1
1
+
MTTFd C1 MTTFd C2

Exemple: MTTFd C1 = 3 ans, MTTFd C3 = 100 ans, il en rsulte donc un MTTFd de 66 ans
Figure 18: Symtrisation de MTTFd pour diffrents canaux

ATTENTION! La combinaison des composants isols relatifs la scurit dune SRP/


CS prsuppose que:
lapplication se fait avec lobservation
stricte des remarques et instructions ventuelles reprises dans les manuels dutilisateur et
des exclusions de dfauts supplmentaires
selon lISO 13849-2 sont garanties surtout au niveau du cblage
Les exigences spciales de la EN ISO 138491 (voir paragraphe 4.6) sont applicables au
logiciel ventuellement utilis
Si deux canaux dune SRP/CS ont une structure diversitaire, il faut appliquer la formule
de symtrisation (voir figure 18).
Remarques
Les fabricants offrant des composants
ou dispositifs isols pour une SRP/CS qui
doivent rpondre aux exigences de lIEC
EN 61508 (ou IEC EN 62061), sont obligs
dindiquer une valeur lambda (l). Dans le
contexte de la EN ISO 13849-1, cette valeur
est quivalente la valeur PFHd.
Sil faut naviguer entre les deux mondes
de la EN ISO 13849-1 et lIEC EN 61508
(ou IEC EN 62061) pour les composants de
scurit et les dispositifs relatifs la scurit
(voir galement page 44), il est recommand
dutiliser le niveau de performance PL ou le
niveau dintgrit de scurit SIL.

Si la valeur MTTF est disponible au lieu de


la valeur MTTFd, il est admis de redoubler la
valeur MTTF pour obtenir une valeur MTTFd,
condition que lquilibre entre les dfaillances dangereuses et non dangereuses soient
plus ou moins maintenu. En cas de doute, la
EN ISO 13849-1 recommande de considrer
seulement une portion (proposition: 10%)
dans le calcul.
Si seule la valeur MTBF (Mean Time Between
Failure, la moyenne des temps de bon fonctionnement) est disponible, il est admis que
celle-ci soit traite comme une valeur MTTF,
pour simplifier les choses.
Application: calcul du MTTFd pour un composant isol relatif la scurit
Cet exemple soriente aux personnes construisant des composants relatifs la scurit, des
systmes de commande et des produits dual
use pour leur propre usage. Elles doivent
dcomposer lquipement relatif la scurit
en composants fonctionnels isols et calculer
la valeur MTTFd au moyen de la mthode de
comptage des parties.
Dans ce cas-ci, la EN ISO 13849-1 fournit
galement des outils pour le cas o les valeurs
MTTF ou MTTFd ne sont pas disponibles.
Lannexe C de la norme reprend des tableaux
indiquant des valeurs moyennes types du
MTTFd pour des composants lectriques et
lectroniques isols (voir figure 19). Autres
ouvrages de rfrence: la norme SN 29500 ou
les manuels MIL.

19

Une nouvelle norme pour la scurit des machines:


EN ISO 13849-1 Parties des systmes de commande relatives la scurit

Les tableaux C.2 C.7 reprennent des valeurs moyennes types du MTTFd pour les composants lectriques de la SN 29 500, par exemple
Composant

Exemple

MTTF [y]
composant

MTTFd
type [y]

MTTFd [y]
cas le plus
dfavorable

Dfaillances dangereuses

Transistor bipolaire

TO18, TO92,
SOT23

34.247

68.493

6.849

50%

15.981

31.963

3.196

50%

KS, KP, MKT, 57.078


MKC

114.155

11.416

50%

Diode antiparasite
Condensateur
Rsistance, film de carbone
Coupleur optolectronique
avec sortie bipolaire

SFH 610

114.155

228.311

22.831

50%

7.648

14.840

1.484

50%

Figure 19: MTTFd pour composants lectriques (extrait/exemples)


La EN ISO 13849-1 prte une attention particulire aux composants sensibles lusure
dune SRP/CS, puisque le taux de demande
(cest--dire la frquence de sollicitation dune
action relative la scurit dune SRP/CS) a
une influence dcisive sur leur valeur MTTFd.
Une valeur MTTFd directe est exclusivement
disponible pour les composants lectroniques
et les dispositifs relatifs la scurit, tant
donn que la courbe en U sert de rfrence
pour indiquer les dfaillances indpendantes
de lusure. Le ct gauche (mot-cl: dfaillances prcoces) de la courbe en U nest pas pris
en compte, puisque le fabricant peut prendre
des mesures appropries pour exclure des
dfaillances prcoces, par exemple le vieillissement artificiel. Le ct droit est galement
exclu puisque celui-ci dpasse largement la
dure de mission effective.
Valeurs B10d
Pour le calcul de la valeur MTTFd de composants sensibles lusure, tels que les composants mcaniques, lectromcaniques ou
fluidiques, il faut utiliser une grandeur intermdiaire, la valeur dite B10d. Celle-ci correspond
plus ou moins au nombre de manuvres,
pour lequel la fonction relative la scurit est
considre comme acceptable selon lapproche Weilbull.

20

La valeur B10d est convertie en valeur MTTFd en


tenant compte des conditions de lapplication,
cest--dire la dure de service et la frquence
moyenne de sollicitation de la fonction de scurit du composant concern (voir figure 20).

Le fabricant fournit la valeur B10d pour


le composant (reprsente par les
manuvres et dans laquelle 10% des
prototypes tests prsentent statistiquement une dfaillance dangereuse).
Ensuite, il faut dterminer la frquence de commutation moyenne de
lapplication, par exemple 0,2 Hz = >
intervalle tcycle = 5 s.
Conversion de B10d (manuvres) en
MTTFd (annes):
MTTFd =

nop =

B10d
0,1 nop

s
dop hop 3.600 h
tcycle

dop= nombre moyen de jours de service par an


hop = nombre moyen dheures de service par jour
nop: nombre moyen de manuvres par an
tcycle = sollicitation moyenne de la fonction de

scurit en s (par exemple 4 par heure =

1 par 15 min. = 900 s)

Figure 20: Calcul du MTTFd pour les composants sensibles lusure

Risque
faible

Niveau de
performance
requis PL r
a

P1
F1
P2

S1
F2

Point de dpart de
lestimation de la
rduction du risque

P1
F1
S2

P2

F2

P1
P2

c
d

P1

P2
Risque
lev

MTTFd composants mcaniques

150 ans

MTTFd composants hydrauliques

150 ans

B10d composants pneumatiques

20.000.000

Relais/contacteur (sollicitation faible)

B10d = 20.000.000

Relais/contacteur (sollicitation maximale)

B10d =

Facteur 50

400.000

Transistor utilis comme interrupteur (sollicitation faible)

B10d = 20.000.000

Transistor utilis comme interrupteur (sollicitation nominale)

B10d =

2.000.000

Dispositif darrt durgence

B10d =

10.000

Organe de commande (bouton-poussoir)

B10d =

100.000

Figure 21: Valeurs B10d (extrait) selon la norme


La EN ISO 13849-1 reprend en outre des valeurs B10d recommandes (voir figure 21) pour
des composants types sensibles lusure, que
le concepteur de la SRP/CS peut utiliser sil ne
dispose pas des spcifications du fabricant.
Dans cette liste, la norme tient compte (par
exemple pour les contacteurs et relais) de la
sollicitation du composant. Dans ce contexte,
la sollicitation ne se limite pas aux conditions
lectriques; il faut galement considrer lensemble des conditions environnementales et
de fonctionnement.

La norme prend 20% comme mesure pour une


sollicitation faible, bien que des valeurs intermdiaires toutefois pas linairement- soient
admises, par exemple (pour 20 millions de
manuvres et 20%) 7,5 millions de manuvres
40%, 2,5 millions de manuvres 60% et 1
million de manuvres 80%.

tcycle =
Composants pneumatiques

24 h

1h

547.945

22.831

1 min.

1 sec.

380

6,3

Relais/contacteur (sollicitation faible)

547.945

22.831

380

6,3

Relais/Schtz (maximale Belastung)

10.960

457

7,6

0,1

Relais/contacteur (sollicitation maximale)

547.945

22.831

380

6,3

Transistor utilis comme interrupteur (sollicitation faible)

54.794

2.283

38

0,6

Dispositif darrt durgence

274

11

0,2

0,003

Organe de commande (bouton-poussoir)

2.739

114

1,9

0,032

MTTFd > 100 ans

Figure 22: Valeurs MTTFd converties pour les composants pneumatiques et lectromcaniques en
fonction du taux de sollicitation (tcycle)

21

Une nouvelle norme pour la scurit des machines:


EN ISO 13849-1 Parties des systmes de commande relatives la scurit

Pour les composants mcaniques et hydrauliques qui divergent du calcul, le comit de


normalisation sest bas sur des tudes exprimentales1 pour dfinir des valeurs MTTFd de
150 ans, indpendamment du taux de sollicitation.
Figure 22 reprend lexemple dune conversion
des valeurs B10d en valeurs MTTFd partir des
diffrents taux de sollicitation (1 toutes les 24
heures, 1 par heure, etc.); pour cet exemple,
on suppose un fonctionnement de 24/24, 365
jours par an.
Valeurs T10d
ATTENTION! Selon la EN ISO 13849-1, il faut
encore driver une valeur T10d de la valeur
B10d calcule; celle-ci correspond 10% de la
valeur MTTFd obtenue. Dans ce contexte, il est
recommand de remplacer les composants
relatifs la scurit de prfrence ds que la
valeur T10d est atteinte.
Bonnes pratiques
Pour le calcul des valeurs MTTFd, la EN ISO
13849-1 stipule que le concepteur utilise de
prfrence les donnes spcifiques fiables
concernant les composants utiliss. Les valeurs MTTFd qui lui manquent ventuellement,
peuvent tre rcupres au moyen des mthodes simplifies susmentionnes, c'est--dire
au moyen de tableaux.
Simultanment, la norme formule cependant
des conditions secondaires considrer supplmentairement, surtout pour lutilisation des
tableaux comme le montre la figure 24.

Pour le
calcul
d e s va
com po
leurs M
s a nt s
T TF d
isols,
lordre
la proc
d es
suivan

d
t sont
u r e et
p r esc r
ites:
1. Utilis
ation d
es s p
cificat
du fab
ions
ricant
2 . M t
hod e d
e lann
exe C
3 . MT T
Fd dfi
ni = 10
Condit
ans
ion: Go
o d En g
Bonne
ineerin
s Pratiq
g Prac
ue s
tices,
Figure
23: Le
s valeu
p o s a nt
r s MT T
s isols
Fd pou
r des c
om -

Considration des principes de


scurit essentiels et fiables (EN ISO
13849-2) lors de la conception du
composant
Indication claire des applications appropries et des conditions demploi
autorises par le fabricant
Considration des principes de scurit essentiels et fiables pendant
linstallation et lemploi du composant
Si ces conditions sont remplies, les
marges de dfaillance indiques
dans la norme sont applicables
Ces conditions sont applicables
pour le fabricant, linstallateur et
lutilisateur du composant
Figure 24: Good Engineering Practices
Bonnes pratiques

1) Rapport BIA 6/04, Analyse des processus de vieillissement de vannes hydrauliques www.hvbg.de/bgia.
Code web: 1006447

22

du

Risque
faible

Niveau de
performance
requis PL r
a

P1
F1
P2

S1
F2

Point de dpart de
lestimation de la
rduction du risque

P1
F1
S2
F2

P2

P1

dd

P2

P1

c
d

P2
Risque
lev

DC =

3L

dd

Couverture du diagnostic

Ldd + Ldu

Figure 25: Couverture du diagnostic DC

Couverture du diagnostic

Ici, la norme part de lide que (a) loccurrence


de dfaillances est probable (voir MTTFd) et (b)
dumcanismes utiliss pour la dtection des
les
dfaillances possdent un degr defficacit
diffrent et que le nombre de dfaillances non
dddtectes ests donc inexistant.

Thorie
Bien que les exigences de la EN ISO 138491 pour les calculs MTTFd sont relativement
claires et rectilignes, il faut faire quelques
concessions lors de lanalyse de la couverture
du diagnostic (Diagnostic Coverage = DC).

Ceci est une hypothse relative, car les dfaillances de la SRP/CS ne sont pas toujours
dtectes immdiatement. Parfois, elles sont
seulement dtectes la prochaine sollicitation de la fonction de scurit, par exemple un
contact de scurit lectromcanique pont
ou soudure dun contact pendant louverture
dun protecteur mobile.

Ces concessions concernent le rapport de


la probabilit de dfaillances dangereuses
dtectes de la partie concerne la probabilit de toutes les dfaillances dangereuses de
la partie, donc une quantification de lefficacit des mesures utilises pour dtecter les
dfaillances dune SRP/CS.

Identification de tous les essais en ligne et des mesures de surveillance

CP U1 90%
CPU1

Valeurs DC pour
chaque mesure
dun tableau

90%
60%

S2

90%

Intakt

M2

90%

90%

EN ISO 13849-1,
annexe E
IEC 61508-2,
Tableau A.2-15

0%

99%

CP U2
CPU2

99%

90%

M199%

S1

90%

A1

99%

A2

99%

Figure 26: Estimation de la DC moyenne pour lensemble du systme, partie 1

23

Une nouvelle norme pour la scurit des machines:


EN ISO 13849-1 Parties des systmes de commande relatives la scurit

Estimation de la DC moyenne pour lensemble du systme au


moyen dune formule:
Signification

Couverture du diagnostic DC

nulle

faible

60% DC < 90%

moyenne

90% DC < 99%

leve

99% DC

Formule pour DCavg selon


figure 28

DC < 60%
PL

Figure 27: Estimation de la DC moyenne pour lensemble du systme, partie 2

Du point de vue de la technique de scurit, le


thme dtection des erreurs est trs important pour viter laccumulation de dfaillance,
cest--dire, viter quune deuxime dfaillance
sajoute la premire, qui na pas t dtecte
dans la SRP/CS, ce qui entrane la perte de la
fonction de scurit.

Excution
Conformment lide de simplification, la EN
ISO 13849-1 classifie la qualit de la dtection
des dfaillances ou de la couverture du diagnostic (DC, Diagnostic Coverage) en diffrents niveaux: none (nulle), low (faible), medium
(moyenne) et high (leve) voir figure 27.

De recherches exprimentales, il sest avr


quun systme redondant simple avec dtection de dfaillances atteint un niveau de scurit suprieur celui dun systme redondant
complexe sans dtection de dfaillance. Ceci
rvle donc limportance de la qualit de la
couverture du diagnostic sans oublier lavantage conomique des premiers.

Lannexe E de la EN ISO 13849-1 offre une


simplification supplmentaire (voir page 25).

Mesure

DC

Relais/
contacteur

Contrle de plausibilit, par exemple un contact


NF et un contact NO guidage forc

99%

Actionneur

Surveillance des sorties par le deuxime canal


sans essais dynamiques

0-99% selon les changements


de signal de lapplication

Capteur

Surveillance de certaines caractristiques (temps


de rponse, gamme des signaux analogiques,
par exemple rsistance lectrique, capacit)

60%

Logique

Auto-tests par le logiciel

6090%

Figure 28: Exemples pour la couverture du diagnostic

24

Risque
faible

Niveau de
performance
requis PL r
a

P1
F1
P2

S1
F2

Point de dpart de
lestimation de la
rduction du risque

P1
F1
S2
F2

P2

P1
P2

c
d

P1

P2
Risque
lev

Le niveau de performance PL tient exclusivement compte de la DC moyenne (DCavg), qui


est une valeur pondre de tous les essais.
Le facteur de pondration est le MTTFd de la partie soumise lessai et non pas du dispositif dessai:

DCavg =

DC2
DCS
DC1
+
+ ... +
MTTFd1 MTTFd2
MTTFdN
1
1
1
+
+ ... +
MTTFdN
MTTFd1 MTTFd2

Les parties sans dtection de dfaillance, par exemple celles qui nont pas t soumises
un essai, ont une DC = 0. Toutes les parties de la SRP/CS ne prsentant pas dexclusion de
dfauts doivent tre prises en considration et additionnes. Le MTTFd et la DC sont pris
en compte pour chaque partie.
Figure 29: Couverture du diagnostic moyenne DCavg
Application
La DC moyenne DCavg calcule reprsente la
qualit de la couverture du diagnostic ou de
la dtection de dfaillances de lensemble des
SRP/CS ralisant la fonction de scurit.
Les valeurs MTTFd de lensemble des SRP/CS
ralisant la fonction de scurit sont intgres
dans le calcul, dans ce sens quune combinaison dun MTTFd dindice faible et dune DC
individuelle dindice faible est plus prpondrant et rduit la DCavg (et vice versa).

Lannexe E reprend plusieurs mesures fiables


et prouves pour la couverture du diagnostic
avec une valuation de la DC en pourcentages.
Certaines mesures sont toutefois values
0 99% en fonction de, ce qui exige au
fond une analyse plus profonde cf. la IEC EN
61508 , une chose que la EN ISO 13849-1
prfre viter.

Cette approche inductive pour le calcul de la


couverture diagnostic moyenne DCavg est correcte dans une certaine mesure, bien quelle
ne corresponde pas strictement lide de
simplification. Lannexe E de la EN ISO 138491 comprend un tableau dtaill, facilitant le
calcul.

25

Une nouvelle norme pour la scurit des machines:


EN ISO 13849-1 Parties des systmes de commande relatives la scurit

Mesures de prvention des dfaillances de cause commune (CCF)


Thorie
En plus des architectures dsignes, la valeur
MTTFd et la DC, un quatrime paramtre est
pris en compte pour la dfinition du niveau de
performance PL, cest--dire les dfaillances
de cause commune (CCF).
Lestimation des effets des CCF est seulement
exige pour les structures 2 canaux partir
de la catgorie 2, tant donn que la EN ISO
13849-1 tient exclusivement compte des mesures de prvention des dfaillances de cause
commune dune SRP/CS.
Ces dfaillances peuvent causer une situation
critique relative la scurit des deux canaux en mme temps. Un exemple: la foudre
frappant les sorties de scurit redondantes
(effet de surtension) limine simultanment
laptitude denclenchement ou de dclenchement des deux canaux.

Dfaillance
Cause
canal 2
commune
Dfaillance
canal 1
Dans la prsente norme et conformment lannexe D de lIEC 61508-6, il est
admis que le facteur b pour les mesures
de prvention des CCF exiges pour les
systmes redondantes (catgorie 2, 3, 4)
est gnralement infrieur ou gal 2%.
Figure 30: Dfaillances de cause commune
(CCF)

Excution
Lestimation de leffet des CCF doit tre
ralise pour lensemble du systme. Chaque
partie du systme de commande doit tre
considre.
La EN 13 849-1 comprend un tableau numrant les mesures et contenant des valeurs associes, fondes sur une valuation dexpert,
qui reprsentent la contribution de chaque
mesure la rduction des dfaillances de
cause commune (CCF).
Suite au contexte de lestimation des CCF,
des mesures telles que la sparation physique
entre les voies de signaux, la diversit ou les
mesures relatives limmunit lectromagntique ont un score lev (idem pour les
mesures de protection contre la surtension, la
surpression, la surintensit ou les mesures de
filtration dans la technique fluidique.
Pour remplir les exigences de la EN ISO
13849-1 ce sujet, il faut obtenir un score minimal de 65 points. Le score maximal slve

CCF: dfaillances de cause commune pour les diffrentes parties du systme


Mesures de prvention des dfaillances CCF (score maximal: 100 points)
Sparation physique entre les voies de signaux
Diversit
Protection contre la surtension, la surpression,
la surintensit, etc.
Utilisation satisfaisante des composants
pendant plusieurs annes en tenant compte
des influences environnementales
Les rsultats dune analyse des modes de
dfaillance et de leurs effets sont-ils pris en
compte pour prvenir les dfaillances de cause
commune la conception
Comptence/formation du concepteur
CEM ou filtrage du moyen de pression et
protection contre la contamination
Autres influences: temprature, humidit,
chocs, vibrations, etc.
Objectif: au moins 65 points
Figure 31: Mesures contre les dfaillances CCF

26

15 points
20 points
15 points

5 points

5 points
5 points
25 points
10 points

Risque
faible

Niveau de
performance
requis PL r
a

P1
F1
P2

S1
F2

Point de dpart de
lestimation de la
rduction du risque

P1
F1
S2
F2

P2

P1
P2

c
d

P1

P2
Risque
lev

Slectionner les fonctions de scurit


indispensables que la SRP/CS doit raliser
A partir de lanalyse
du risque
(EN ISO 12 100-1)

Pour chaque fonction de scurit, spcier


les caractristiques requises

Dterminer le niveau de performance requis PL r 2

Conception et ralisation technique des fonc3


tions de scurit ; identier les parties relatives
la scurit qui excutent la fonction de scurit
Dterminer le niveau de performance PL
4

Catgorie

MTTFd

DC

PL r PL r

* Toutes SF = Toutes les


fonctions de scurit
ont-elles t analyses?

Validation

Vers lanalyse du risque

oui

oui

oui

CCF

Toutes SF?*

non

non

non

Figure 32: Processus itratif pour la conception et la ralisation des SRP/CS selon prEN ISO 13849-1

Exemple
La EN ISO 13849-1 comprend une version
adapte du processus itratif pour la conception de parties des systmes de commande
relatives la scurit (SRP/CS) de lEN ISO
12100-1. Le processus est divis ici en 8 tapes thoriques. Il commence par la slection
des fonctions de scurit indispensables que
la SRP/CS doit raliser (tape 1) et termine par
conclure que le niveau de performance requis
PLr est obtenu ou pas (tape 8).

Lexemple (voir figure 33) discute le verrouillage


dun protecteur mobile: le mouvement dangereux est arrt louverture du protecteur; tant
que le protecteur est ouvert, le redmarrage
de la machine est empch, etc. (voir EN 1088:
Scurit des machines Dispositifs dinterverrouillage en liaison avec les protecteurs avec
sparation physiques Principes essentielles
pour la conception et la slection).

Exemple:
Verrouillage dun protecteur avec sparation physique
Fonction de scurit:
Le mouvement dangereux est arrt ds que la porte du
protecteur est ouverte
Figure 33: Slection et dfinition des exigences indispensables
pour la fonction de scurit

27

Une nouvelle norme pour la scurit des machines:


EN ISO 13849-1 Parties des systmes de commande relatives la scurit

Niveau de
performance
requis PLr

Risque
faible

P1
F1
P2

S1
F2

Point de dpart de
lestimation de la
rduction du risque

P2

P1
F1
S2

P1

P2

c
d

P1

F2

PL r = c

P2
Risque
lev
Figure 34: Dfinition du niveau de performance requis PLr
Lestimation du niveau de performance requis,
cest--dire lvaluation du risque au moyen du
nouveau graphe de la EN ISO 13 849-1, doit
aboutir un niveau de performance requis PLr
c (voir figure 34).

Ouvrir

La figure 35 reprend une discussion de la


structure de la SRP/CS (architecture dsigne).

Fermer

SW1B
SW2

 K1B

API

PLC

SW1B

CC: Convertisseur de courant


PLC: Programmable Logic Controller: API,
automate programmable industriel
M:
Moteur
RS: Dtecteur de rotation
:
Interrupteur (reprsent, tat commut)

SW2

SPS

Signal de commande
RS n

Figure 35: Conception et identification des SRP/CS

28

CC

K1B

PLC

CC
RS

Risque
faible

Niveau de
performance
requis PL r
a

P1
F1
P2

S1
F2

Point de dpart de
lestimation de la
rduction du risque

P1
F1
S2
F2

P2

P1
P2

c
d

P1

P2
Risque
lev

A partir de larchitecture dsigne utilise dans


la figure 35, ceci signifie:

SW2, API, CC:


MTTFd = 20 y chacun (spcification du fabricant)
1
1
1
1
=
+
+
= 3
20 y
MTTFd C2 MTTFSW2 MTTFPLC MTTFCC

Les exigences de la catgorie B


sont remplies 

Loccurrence dun dfaut ne conduit


pas la perte de la fonction de
scurit?

Dtection partielle des dfaillances 

Laccumulation de dfauts non


dtects ne conduit pas la perte
de la fonction de scurit? (1er API
prsente une dfaillance non
dtecte, le 2ime canal A prsente
une dfaillance) 

Canal 2: MTTFd = 6,7 y


Symtrisation du MTTFd pour les deux canaux:
MTTFd =

2
MTTFd C1 + MTTFd C2
3

1
1
1
+
MTTFd C1 MTTFd C2

MTTFd = 20 y (moyen)

Figure 38: Dfinition du niveau de performance PL:


MTTFd pour le canal B et MTTFd commun

> Catgorie 3 peut tre obtenue


Figure 36: Dfinition de la catgorie pour le PL

Puisque les deux canaux de lexemple ont une


structure diversitaire (voir structure SRP/CS),
les diffrentes valeurs MTTFd des deux canaux
A et B doivent tre dtermines et symtrises.

Maintenant, la couverture du diagnostic DC est


analyse:

DCK1B = 99%, leve suite aux contacts lectriques


guidage forc, tableau en annexe E.1
DCSW2 = 60%, faible suite la surveillance des signaux dentre sans tests dynamiques

SW1B: contact manoeuvre positive


douverture:
Exclusion de dfaut pour la non ouverture des contacts, la non commutation
de linterrupteur suite une dfaillance
mcanique (p.ex. rupture du poussoir,
usure du levier, dcalage)
K1B: MTTFd = 30 y (spcification du
fabricant)
1
1
=
=
MTTFd K1B
MTTFd C1

1
30 y

Canal 1: MTTFd = 30 y

DCPLC = 30%, nulle suite lefficacit faible des autotests


DCCC = 90%, moyenne suite la voie de coupure
rduite avec surveillance de lactionneur par le systme
de commande, voir tableau E.1, annexe E.1

DCavg =

DC2
DCS
DC1
+
+ ... +
MTTFd1 MTTFd2
MTTFdN
1
1
1
+
+ ... +
MTTFdN
MTTFd1 MTTFd2
DCavg = 67% (faible)

Figure 39: Dfinition du niveau de performance PL: DCavg

Figure 37: Dfinition du niveau de performance


PL: MTTFd pour canal A

29

Une nouvelle norme pour la scurit des machines:


EN ISO 13849-1 Parties des systmes de commande relatives la scurit

Maintenant, les mesures de prvention des


dfaillances de cause commune CCF sont
values:

et finalement tous les paramtres sont


classifis dans le diagramme bloc, pour vrifier
que PL => PLr (figure 41).
Remarque: la dcomposition minutieuse de
cet exemple en diffrentes tapes est videmment un peu exagre.

CCF: dfaillance des divers composants suite une


cause commune
Sparation physique entre les voies
de signaux
15 points
Diversit
20 points
Protection contre la surtension,
la surpression, etc.
0 points
Utilisation de composants fiables
5 points
Prise en compte des rsultats dune analyse
des modes de dfaillances et leurs effets
pour prvenir les dfaillances de cause
commune la conception
5 points
Comptence/formation du concepteur
0 points
CEM ou filtration du mdium de pression
et protection contre la contamination
25 points
Temprature, humidit, chocs, vibrations, etc.10 points

Lexemple possde en outre deux canaux de


structure diversitaire tant bien au niveau des
capteurs quau niveau du systme de commande; il est donc un peu plus complexe que
les structures ordinaires gnralement utilises.
Lexemple donne toutefois une bonne illustration du contexte des nouvelles exigences de la
EN ISO 13849-1, bien que la valeur B10d ne soit
pas calcule pour le dispositif dinterverrouillage (en tant que composant lectromcanique)
ainsi, lexemple reflterait encore mieux la
ralit.

S = 80 points > 65 points


Figure 40: Dfinition du niveau de performance PL: CCF

Performance level

a
b
c
d
e

MTTFd = faible
MTTFd = moyen
MTTFd = lev
Catgorie Catgorie Catgorie Catgorie Catgorie Catgorie Catgorie
B
1
2
2
3
3
4
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
0
0
faible
moyen
faible
moyen
lev

PL = PLr = c

Figure 41: Vrification que niveau de performance calcul PL PLr

30

Risque
faible

Niveau de
performance
requis PL r
a

P1
F1
P2

S1
F2

Point de dpart de
lestimation de la
rduction du risque

P2

P1
F1
S2

P1

P2

c
d

P1

F2

P2
Risque
lev

Vous avez dj remarqu quelque chose?

Supposition: 240 jours / 16 heures /


accs toutes les 20 s
240 16 3.600

Diagramme:

nop =

SW1B

K1B
MTTFd =

SW2

SPS

CC

RS
MTTFd =

nop =

20

manvres
= 691.200

20.000.000
0,1 691.200

an

= 289 ans

La dure de mission maximale prvue


selon la norme: T10d = B10d/nop = 28,9 ans
Figure 43: Calcul du MTTFd pour K1B et SW2

B10d
0,1 nop

dop hop 3.600

s
h

tcycle

nop = nombre moyen de manuvres par an

Figure 42: Les composants lectromcaniques


ont une valeur B10d

La valeur B10d entranerait le recalcul suivant


du MTTFd pour K1B et SW2, si nous supposons
que le protecteur fonctionnerait 240 jours par
an et 16 heures par jour avec un taux de sollicitation moyen toutes les 20 s:

Dans lexemple, la supposition de F1 du


graphe pour lestimation des risques ne serait
plus applicable (voir: frquence et/ou dure
dexposition rare et/ou courte au phnomne
dangereux).
F2 serait plutt applicable et le niveau de
performance requis serait alors PL d. Grce
la correction de la valeur MTTFd, le problme
est rsolu.
Remarque de la part du rdacteur
La procdure de correction exige de lexemple montre que la rdaction des normes est
lui aussi un processus itratif, car lexemple
provient effectivement de la norme, bien quil
soit cr un moment o lestimation de la
valeur B10d ntait pas encore intgre. Ce sont
plus particulirement les apprciations des
valeurs B10d qui fournissent une contribution
essentielle pour lutilisateur de la norme. Sans
celles-ci, la EN 13849-1 aurait des problmes
pour justifier ces exigences spcifiques relatives lapplication pratique.

31

Une nouvelle norme pour la scurit des machines:


EN ISO 13849-1 Parties des systmes de commande relatives la scurit

Dpart

Spcication
du produit

Listes de
dfaillances
(3.2, 3.3)

Estimations lors
de la conception
(EN 954-1:1996,
Paragraphe 4)

Plan de
validation (3.4)

Consignes pour la
validation (3.1)

Plan
Documents
(3.5)
Critres pour
lexclusion des
dfauts (voir annexe
en question)

Analyse
(paragraphe 4)

Non

Lanalyse
convientelle ?

Non
Essai
(paragraphe 5)

Essais

Oui
Essai
complet ?
Oui
Rapport de
validation (3.6)

Protocoles/
rapports

Fin

Figure 44: Schma de validation selon EN ISO 13849-2

Validation1
La conception des SRP/CS doit tre valide
selon lEN ISO 13849-2. Ce sujet ne sera pas
discut en dtail ici, car il est dj applicable
en ce moment-ci.

1) Les prescriptions pour la matrise des dfaillances


systmatiques ne seront pas discutes en dtail ici,
car elles font dj partie intgrante de lensemble des
exigences prvues pour une SRP/CS. Lannexe G de
la EN ISO 13849-1 contient une prsentation dtaille.

32

LEN ISO 13849-2 se rapporte au contenu qui


tait lorigine prvu pour la norme EN 954-2,
qui a t cependant implmente directement
au niveau ISO aprs son acceptation. Il est fort
probable quelle formera lobjet dune rvision
elle aussi, afin dadapter ldition 1998/1999
et les rfrences lEN 954-1 la situation
actuelle, cest--dire la EN ISO 13 849-1.

Risque
faible

Niveau de
performance
requis PL r
a

P1
F1
P2

S1
F2

Point de dpart de
lestimation de la
rduction du risque

P1
F1
S2
F2

P2

P1
P2

c
d

P1

P2
Risque
lev

La plupart des accidents avec les machines


ne sont toutefois pas dus aux dfaillances
alatoires. Ils sont plutt associs aux erreurs
de spcification des prescriptions de scurit et aux erreurs de conception, fabrication,
installation et exploitation du matriel. Cest
pourquoi la validation est trs importante pour
la scurit dune machine.
Les annexes informatives de la EN ISO 138492 jouent en outre un rle important pour la EN
ISO 13849-1. Elles sont divises par technologies composants mcaniques (annexe A),
composants pneumatiques (annexe B), composants hydrauliques (annexe C) et composants lectriques (annexe D); elles contiennent
les listes suivantes:

les principes de scurit essentiels (importants pour la catgorie B selon lEN 954-1 ou
PL a),
les principes de scurit fiables (importants
pour la catgorie 1 et suivantes selon lEN
954-1 ou PL b PL e),
les composants de scurit fiables et prouvs (importants pour la catgorie 1 selon lEN
954-1 ou PL b),
des listes reprenant des dfaillances prendre en compte ainsi que les exclusions de
dfauts autorises
(importantes pour les catgories 2, 3 et 4 selon
lEN 954-1 ou PL c PL e).

33

Une nouvelle norme pour la scurit des machines:


EN ISO 13849-1 Parties des systmes de commande relatives la scurit

SiSteMa
Ce nest plus quune question de temps avant
quun logiciel pour simplifier les procdures
exemplaires dcrites ne soit lanc sur le march.
Pour linstant, un logiciel, appel SiSteMa
(Scurit des Systmes de commande de Machines) est en cours de prparation au sein de
la BGIA, qui sera bientt publi comme logiciel
gratuit.

34

Risque
faible

Niveau de
performance
requis PL r
a

P1
F1
P2

S1
F2

Point de dpart de
lestimation de la
rduction du risque

P1
F1
S2
F2

P2

P1
P2

c
d

P1

P2
Risque
lev

Puisque SiSteMa nest pas encore disponible


(date de publication prvue: mi-2006), lorganisation professionnelle fournit dj des
services de support pour lutilisation et lapplication de la EN ISO 13849-1. En liaison avec
la Zentralverband Elektrotechnik- und Elektronikindustrie (ZVEI Fachverband Automation
lorganisation professionnelle centrale pour
llectrotechnique, lindustrie lectrique et
lautomatisation en Allemagne) et le Verband
Deutscher Maschinen- und Anlagenbau VDMA
lassociation allemande des constructeurs
de machines et installations, un disque PLC a
t dvelopp, permettant une dfinition simple et facile du niveau de performance PL.
Les mthodes de la EN ISO 13849-1 sont
concrtises via un genre de disque de
stationnement, cest--dire deux disques
qui peuvent tre tourns lune par rapport
lautre.
Pour dterminer le niveau de performance PL,
il faut tourner le premier disque jusqu ce que
la valeur dsire pour le MTTFd (Mean Time to
Failure dangerous) est affiche dans la fentre
en bas.
Aprs slection de la catgorie dsire et de
la Couverture du diagnostic (DC) ct de la
fentre en haut, celle-ci indiquera un chiffre.
Ce chiffre doit tre multipli avec le facteur
de la lgende pour connatre la probabilit moyenne de dfaillance dangereuse du
systme de commande relatif la scurit. Le
code couleur est utilis pour slectionner le
facteur et indique simultanment le niveau de
performance PL obtenu.

Source PLC:
www.hvbg.de/d/bia/pra/drehscheibe.html

35

Une nouvelle norme pour la scurit des machines:


EN ISO 13849-1 Parties des systmes de commande relatives la scurit

La EN ISO 13849-1 et les SRP/CS


de complexit faible

Excution
La procdure de simplification est reprise
dans le tableau de la figure 45 (le dit tableau
de combinaison). Le nombre de niveaux de
performance individuels du systme de commande est repris gauche; aprs addition des
niveaux de performance PL les plus faibles,
le niveau de performance PL global peut tre
trouv droite.

Thorie
Ds que le niveau de performance PL est
dtermin pour chaque partie des systmes
de commande relative la scurit, la EN ISO
13849-1 prvoit une procdure de simplification spciale pour les SRP/CS de complexit
faible.

Comme rgle gnrale, (pour les structures


simples) plus de trois PL individuels identiques ou (pour les structures 2 canaux fiables), plus de quatre PL individuels identiques
rduisent le PL global par un niveau. Trois fois
un PL individuel c aboutit alors un niveau
de performance global b ou quatre fois un
PL individuel e un PL global d.

Cette procdure indique galement que lenchanement dun nombre suprieur de composants relatifs la scurit peut influencer le
niveau de performance PL global. Ceci signifie
que le niveau de performance global PL de
lensemble dun systme de commande, comprenant plusieurs SRP/CS enchanes, peut
tre considrablement infrieur aux niveaux de
performance individuels des diffrents lments de la chane.

Dans lexemple ci-aprs (figure 46), ceci signifie que les deux PL individuels les plus faibles
doivent tre additionns (2 PL c), lorsque
le PL suprieur d nest pas pris en compte
dans le calcul (du point de vue de la valeur
PFH, PL d est une grandeur suprieure que
PL c). 2 PL c reste PL c. Sil fallait
considrer un PL c au lieu dun PL d, le
PL global serait (seulement) b.

Cette rflexion se base sur le fait que le


nombre de dfaillances rsiduelles probables
additionner est tellement que le niveau de
performance PL global peut tre rduit par un
niveau sans problme.

SRP/CS 1
PL c

PL low

N low

>3
3

=>
=>

none
a

>2
2

=>
=>

a
b

>2
2

=>
=>

b
c

>3
3

=>
=>

c
d

>3
3

=>
=>

d
e

SRP/CS 2
PL d
SRP/CS
PL

SRP/CS 3
PL c

Figure 45: Combinaisons linaires de plusieurs SRP/CS

36

PL

Risque
faible

Niveau de
performance
requis PL r
a

P1
F1
P2

S1
F2

Point de dpart de
lestimation de la
rduction du risque

P1
F1
S2
F2

P2

P1
P2

c
d

P1

P2
Risque
lev

Mouvement

Actionneur uidique

dangereux

Rideaux lumineux
Catgorie 2 (classe 2)
PL = c

Logique de
commande
lectronique

Fluidique

Catgorie 3
PL = d

Catgorie 1
PL = c

I1

L1

O1
I

TE

OTE

I2

L2

O2

Figure 46: Schma de principe explicatif de la combinaison de SRP/CS

Application
Pour autant que le niveau de performance
requis PLr, calcul au moyen de lanalyse des
risques, est atteint lemploi du tableau cidessus peut savrer utile. Cette apprciation
permet cependant dintgrer des exclusions de
dfauts qui ne seront pas prises en compte par
la suite.

Si le niveau de performance global calcul


selon cette mthode ne correspond pas au
niveau de performance requis PLr, il convient
deffectuer une analyse plus dtaille. Dans
ce contexte, le rsultat nest pas dcisif, il est
plutt d la gnralisation de lapprciation.
La EN ISO 13849-1 offre galement des
solutions pour ce problme (voir paragraphe
suivant Montage en srie des SRP/CS).

37

Une nouvelle norme pour la scurit des machines:


EN ISO 13849-1 Parties des systmes de commande relatives la scurit

Montage en srie des SRP/CS


selon la EN ISO 13849-1

Excution
Le tableau (figure 47) permet une meilleure
comprhension de la qualit de SRP/CS
combines montes en srie (mot-cl: addition
des dfaillances rsiduelles probables) dans le
contexte de la EN ISO 13849-1.

Thorie
Les parties combines dun systme de commande relatives la scurit commencent aux
points o sont gnrs les signaux relatifs la
scurit et se terminent la sortie des actionneurs. Cependant, les SRP/CS combines
peuvent tre constitues de plusieurs parties
relies de manire linaire (montage en srie).

Niveau de performance

Afin dviter une nouvelle estimation complexe


du niveau de performance PL atteint par les
SRP/CS combines lorsque les PL de toutes les
parties prises individuellement ont dj t calculs, la EN ISO 13849-1 prvoit une mthode
pour calculer le PL de lensemble des SRP/CS
combines ralisant la fonction de scurit.

a
b
c
d
e

MTTFd
[years]
3
3,3
3,6
3,9
4,3
4,7
5,1
5,6
6,2
6,8
7,5
8,2
d
9,1
d 10
11
d
12
13

Le tableau repris en annexe K de la EN ISO


13849-1 reprend une reprsentation dtaille
du diagramme bloc central (voir figure 8) pour
dterminer le PL atteint. Au plus correct le
MTTFd dun canal, au plus prcis le PFHd. Les
valeurs calcules des SRP/CS individuelles
doivent tre additionnes et le rsultat de cette
addition doit tre compar avec le PFH maximal autoris pour le niveau de performance
PL en question (voir figure 4). Une valeur PFHd
suprieure rduira le risque de dfaillance.

PFHd [1/h] PL
3,80 105
3,46 105
3,17 105
2,93 105
2,65 105
2,43 105
2,24 105
2,04 105
1,84 105
1,68 105
1,52 105
1,39 105
1,25 105
1,14 105
1,04 105
9,51 106

MTTF = faible
MTTF = moyen
MTTF = lev

a
a
a
a
a
a
a
a
a
a
a
a
a
a
a
b

MTTFd
[years]
3
3,3
3,6
3,9
4,3
4,7
5,1
5,6
6,2
6,8
7,5
8,2
9,1
10
11
12
13

PFHd [1/h] PL
3,80 105
3,46 105
3,17 105
2,93 105
2,65 105
2,43 105
2,24 105
2,04 105
1,84 105
1,68 105
1,52 105
1,39 105
1,25 105
1,14 105
1,04 105
9,51 106

a
a
a
a
a
a
a
a
a
a
a
a
a
a
a
b

Catgorie Catgorie Catgorie Catgorie Catgorie Catgori


B
1
2
2
3
3
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
0
0
faible
moyen
faible
moyen

Figure 47: Alternative: addition des PFHd pour des SRP/CS combines montes en srie

38

Risque
faible

Niveau de
performance
requis PL r
a

P1
F1
P2

S1
F2

Point de dpart de
lestimation de la
rduction du risque

P1
F1
S2
F2

P2

P1
P2

c
d

P1

P2
Risque
lev

Montage en srie sans perte


de la catgorie
La logique de commande lectronique intgre surveille le fonc
tionnement de linterrupteur (autosurveillance)
Toutes les dfaillances sont dtectes dans le montage en srie
(31 composants)
Montage en srie de linterrupteur
(CSS 180 et/ou AZM 200) possible
sans dtriment la catgorie

Figure 48: Dispositifs dinterverrouillage sans contact avec et sans maintien

Montages en srie complexes:


toujours PL e!
Linfluence des montages en srie complexes
sur le PL global dune SRP/CS est un grand
problme, surtout pour les composants de
scurit lectromcaniques.

La gamme de produits de SCHMERSAL comprend, entre autres, les capteurs de scurit


CSS 180 et les interverrouillages de scurit
sans contact de la srie AZM 200, qui peuvent
tre enchans indpendamment de la srie
(figure 48).

Dans ce sens, les nouvelles technologies de


commutation commande par microprocesseur ralisant les fonctions de scurit offrent
de nouvelles perspectives, car ces technologies permettent gnralement les tests
dynamiques permanents des composants.
Ceci signifie que la catgorie ou le niveau de
performance nest pas affect, mme en cas
dun cblage en srie de plusieurs composants
de scurit.

Pour plus dinfo: www.schmersal.com

Capteurs et interverrouillages de scurit


lectroniques
Les capteurs et interverrouillages de scurit lectroniques sont destins la surveillance de protecteurs
mobiles avec sparation physique. La machine est
arrte louverture de ces protecteurs et le redmarrage de la machine est empch.
Leur avantage le plus important est la dtection sans
contact de la position du protecteur. Ils sont insensibles lusure ainsi quaux dcalages ventuels du
capteur et de lactionneur.

39

Une nouvelle norme pour la scurit des machines:


EN ISO 13849-1 Parties des systmes de commande relatives la scurit

La EN ISO 13849-1 et le logiciel

Pour tous les PL et SRESW1 + SRASW2


En fait: mesures de prvention de dfauts et programmation dfensive

Thorie
Contrairement lEN 954-1, la EN ISO 13849-1
tient largement compte des systmes lectroniques programmables avec fonction de scurit (= systmes PES) et donc galement du
thme logiciel. Malgr ceci, il est impossible
de ngliger les exigences de lIEC EN 61508
(par exemple pour les applications avec niveau
de performance PL e). Puisque ce thme est
exclusivement applicable aux dveloppeurs de
systmes PES, il ne sera pas discut en dtail
ici.

Prise en compte du fait que les dfaillances sont dues des erreurs de spcification et de conception du logiciel
Base: norme de scurit essentielle IEC
61508-3
toutefois pas un niveau scientifique
lev
Principalement sans rfrence lIEC
61508
Comprhensible, oriente la pratique
et facile appliquer

Figure 49 dcrit lide de base de la EN ISO


13849-1.
Excution
Les exigences que prvoit la EN ISO 138491 pour le logiciel, peuvent tre divises en
exigences gnrales, exigences pour le logiciel
embarqu relatif la scurit et exigences
pour le logiciel dapplication relatif la scu-

Figure 49: Ide de base pour les exigences


remplir par le logiciel selon lEN ISO 13849-1
rit; en fonction du langage utilis (LVL 3 ou
FVL 4) et des niveaux de performance PL (voir
figures 50 et 51), il y a encore des divisions
supplmentaires.

Langage
Limited Variability
Languages (LVL),
p. ex. KOP, FUB

Full Variability
Languages (FVL),
p. ex. C/C++, Asm

Type de logiciel
ISO 13849-1
IEC 62061 /61511

849-1
ISO 13 8-3
50
1
IEC 6
ISO 13849-1
IEC 61508-3

Logiciel intgr
relatif la scurit :
SRASW

Logiciel embarqu
relatif la scurit :
SRESW

Figure 50: Rseaux du logiciel relatif la scurit

1) SRASW (safety-relevant application software) = logiciel


intgr relatif la scurit
2) SRESW (safety-relevant embedded software) = logiciel
embarqu relatif la scurit
3) LVL (Limited Variability Language) Langage de variabilit limite: type de langage qui fournit la possibilit
de combiner des fonctions de bibliothque, prd-

40

finies, spcifiques une application, pour mettre en


uvre les spcifications des exigences concernant la
scurit.
4) FVL (Full Variability Language) Langage de variabilit
totale: type de langage qui fournit la possibilit de
mettre en uvre une gamme tendue de fonctions et
dapplications

Risque
faible

Niveau de
performance
requis PL r
a

P1
F1
P2

S1
F2

Point de dpart de
lestimation de la
rduction du risque

P1
F1

P2

S2
F2

P1
P2

c
d

P1

P2
Risque
lev

4.6.1

Gnral, objectif, modle V

4.6.2

SRESW/SRASW en FVL
Supplmentaire :
PL c, d

Base :
PL a, b

4.6.3

Spcial :
PL e

SRASW en LVL
Base :
PL a, b

Supplmentaire avec efcacit


suprieure : PL c e

4.6.4

Paramtrage

Figure 51: Structure des exigences pour le logiciel selon paragraphe 4.6 de la EN ISO 13849-1

Application
Nous ne nous attarderons pas aux exigences
pour le logiciel embarqu relatif la scurit,
puisque celui-ci est seulement applicable pour
les utilisateurs de la EN ISO 13849-1 dans des
cas exceptionnels. Le logiciel dapplication est
plus frquemment utilis dans la SRP/CS, gnralement en liaison avec les API de scurit,

Spcication
des exigences
de scurit

Spcication des
exigences de
scurit pour le
logiciel

systmes de bus de scurit ou autres systmes de commande relatifs la scurit.


Tout comme pour le logiciel embarqu, la EN
ISO 13849-1 recommande galement dutiliser le modle V comme base, dont la forme
simplifie est gnralement applicable dans le
secteur informatique.

Validation

Conception
du systme

Essai
dintgration

Conception
du module

Rsultat
Contrle

Validation

Logiciel
valid

Essai du
module

Codage

Figure 52: Modle V simplifi pour SRESW et SRASW selon la EN ISO 13849-1

41

Une nouvelle norme pour la scurit des machines:


EN ISO 13849-1 Parties des systmes de commande relatives la scurit

Si le logiciel dapplication contient exclusivement des paramtres (exemple typique: un


scanner laser de scurit), dautres simplifications sont applicables, puisquon peut rfrer
au travail prparatoire du fournisseur.
Les autres exigences pour le logiciel sont
reprises dans lannexe J de la EN ISO 13849-1
(voir figure 53).

Exigences pour le logiciel de paramtrage

Exigences essentielles pour le paramtrage


Outil spcial du fabricant
Protg contre laccs non autoris (par
exemple: mot de passe)
Contrles de plausibilit des paramtres
+ intgrit garantie des donnes pendant le paramtrage
Transmission de donnes scurise
(avec reprsentation diversitaire)
Documentation
Figure 54: Exigences pour le logiciel de paramtrage

Figure 53: Annexe J de la EN 13849-1

42

Risque
faible

Niveau de
performance
requis PL r
a

P1
F1
P2

S1
F2

Point de dpart de
lestimation de la
rduction du risque

P1
F1
S2

P2

F2

P1
P2

c
d

P1

P2
Risque
lev

La EN ISO 13849-1 vis--vis de


lIEC EN 62061

Lindustrie de transformation (chimie et technologie de transformation) par exemple, doit se


conformer une autre norme, lIEC EN 615111.

Thorie
Comme nous lavons dj dit, deux normes
la EN ISO 13849-1 et lIEC EN 62061 rivalisent pour la succession de lEN 954-1. Bien
que lutilisation de lexpression rivaliser est
un peu exagre, la cohabitation, qui tait
prvue lorigine, a disparu.
Il est probable que lIEC EN 62061, tout
comme lEN ISO 13849-1 et contrairement
lIEC EN 61508, sera harmonise dans le
contexte de la Directive Europenne Machines. Les deux normes auront ainsi une base
juridique, qui vise fonder une prsomption
de conformit avec les exigences essentielles
de la Directive.
LIEC EN 62061 est drive de lIEC EN 61508,
la norme spcifique de la construction des
machines.

LIEC EN 61508 visait lorigine exclusivement


combler les lacunes de lEN 954-1, cest-dire labsence dexigences pour des SRP/
CS complexes et plus particulirement pour
les systmes lectroniques programmables
avec fonction de scurit (systmes PES), mais
le comit de normalisation de lIEC 61508 a
tendu le domaine dapplication de la norme
aux systmes lectriques, lectroniques et
lectroniques programmes discrets (E/E/PES).
Puisque lIEC EN 61508 sest ainsi dveloppe
jusqu devenir la norme essentielle globale
pour lensemble de la technologie de scurit
(la norme compte plus de 350 pages et est
divise en 8 parties), des normes sectorielles
ont t drives pour les secteurs individuels,
telles que lIEC EN 620612 pour la construction
des machines.
Dans ces normes drives, les exigences spcifiques du secteur sont dfinies; les exigences et les principes de conception applicables
aux autres secteurs ne sont pas reprises.

Construction
des machines

Electricit
Hydraulique
Pneumatique
Mcanique

Industrie de
transformation

IEC 61511

IEC 62061

EN 954
(EN ISO 13 849)

IEC 61508

Figure 55: Aperu des normes rivalisant

1) IEC EN 61511-1 (VDE 0810-1:2005-05): Scurit


fonctionnelle Systmes de scurit pour lindustrie
de transformation Partie 1: Notions fondamentales,
exigences pour les systmes, le logiciel et le hardware

2) IEC EN 62061-1 (VDE 0113-50): Scurit des


machines Scurit fonctionnelle des systmes de
commande lectriques, lectroniques et lectroniques
programmables relatifs la scurit

43

Une nouvelle norme pour la scurit des machines:


EN ISO 13849-1 Parties des systmes de commande relatives la scurit

4 niveaux dintgrit de scurit (SIL) et 2 modes de fonctionnement


Niveaux
dintgrit
de scurit, Safety
Integrity
Level

Mode de fonctionnement faible sollicitation

Mode forte sollicitation ou


continu

Probabilit de dfaillance sur sollicitation

Probabilit de dfaillance dangereuse par heure

PFD

PFH

10 5 < 10 4

10 9 < 10 8

10 4 < 10 3

10 8 < 10 7

10 3 < 10 2

10 7 < 10 6

10

10 6 < 10 5

< 10

Applicable la construction des machines?


Figure 56: Safety Integrity Level: IEC 61508 (applications universelles) et IEC 62061 (application:
construction des machines)

Application
Nous ne nous attarderons pas aux dtails de
lIEC EN 62061. Les critiques font remarquer
que cette norme est plus difficile utiliser par
rapport la EN ISO 13849-1, surtout en cas de
questions relatives la rduction du risque aux
systmes complexes qui sont typiques de la
construction des machines et des systmes de
commande. LIEC EN 61508 savre la norme
la plus approprie en cas de problmes complexes. Une autre diffrence entre les normes
est lintgration des composants mcaniques,
pneumatiques et hydrauliques dans la EN ISO
13849-1: suite son origine, lIEC EN 62061
ne fait pas cette distinction.

Pour la construction des machines, ceci


signifie quon se limite aux exigences relatifs
la scurit en mode de fonctionnement
forte sollicitation ou continu (exprim en valeur
PFH); le mode faible sollicitation, dans lequel
la frquence des sollicitations de la fonction
de scurit nest pas suprieure une par an
et pas suprieure deux fois la frquence des
tests priodiques, nest pas considr.
Le niveau dintgrit de scurit SIL 4 (paramtre S: dcs de plusieurs personnes, effets
catastrophiques) est galement exclu.

Figure 57: Formulaire


type pour la dfinition
du niveau dintgrit
de scurit SIL

Produkt:
Hersteller:
Datum
Auswirkungen

Lfd. Gef.
Nr. Nr.

Kommentare

vorlufige Risikobeurteilung
zwischenzeitliche Risikobeurteilung
nachfolgende Riskobeurteilung

schwarzer Bereich = Sicherheitsmanahmen erforderlich


grauer Bereich = Sicherheitsmanahmen empfohlen

Klasse K

Schwere
S

Hufigkeit und
Dauer, F
b 1 Stunde
> 1 h b 1 Tag
> 1 Tag b 2 Wo.
> 2 Wo. b 1 Jahr
> 1 Jahr

Tod, Verlust eines Auges oder Arms


Permanent, Verlust von Fingern
Reversibel, medizinische Behandlung
Reversibel, Erste Hilfe

44

Dokument Nr.:
Teil von:

Risikobeurteilung und Sicherheitsmanahmen

Gefhrdung

Wahrscheinlichkeit
gef. Ereignis, W
hufig
wahrscheinlich
mglich
selten
vernachlssigbar

Sicherheitsmanahme

Vermeidung
P
unmglich
mglich
wahrscheinlich
sicher

Risque
faible

Niveau de
performance
requis PL r
a

P1
F1
P2

S1
F2

Point de dpart de
lestimation de la
rduction du risque

P1
F1
S2

P2

F2

P1
P2

c
d

P1

P2
Risque
lev

Compatibilit prvue de la EN ISO 13849-1


et de lIEC EN 62061 (IEC EN 61508)
Les comits de normalisation respectifs de
lIEC EN 62061 et la EN ISO 13849-1 ont toutefois essay de raliser une certaine compatibilit entre les deux normes en tablissant
un rapport direct entre les niveaux dintgrit
de scurit et le niveau de performance. SIL 1
correspond donc par exemple aux niveaux de
performance PL b ou c etc. (voir figure
58).

De plus, les deux normes reprennent les


mmes recommandations en ce qui concerne
la norme la plus approprie pour un problme
spcifique. Il convient toutefois de formuler la
critique ici que le comit de normalisation de la
EN ISO 13849-1 na pas respect ce compromis pour les modifications qui ont t apportes par aprs, bien que la EN ISO 13849-1
reprenne toujours le tableau dapplication (voir
figure 59).

Probabilit de dfaillance dangereuse par heure


EN ISO 13 849-1

10 4

PL

10 5

SIL
IEC 62 061/
IEC 61 508

Pas dexigences de
scurit
spciales

3 x 10 6

10 6

10 8

10 7

Scurisation
de risques faibles

3
Scurisation
de risques levs

Figure 58: Rapport entre le niveau dintgrit de scurit SIL en le niveau de performance PL

Technologie mettant en uvre la (les)


fonction(s) de commande relative(s)
la scurit
Non lectrique, p.ex. hydraulique
Electromcanique, p.ex. relais ou lectronique non complexe
Electronique complexe, p.ex. programmable
A combin avec B

C combin avec B

C combin avec A, ou C combin avec


A et B

A
B
C

ISO 13849-1

IEC 62061

X
Limit aux architectures dsignes1 et jusqu PL = e
Limit aux architectures dsignes1 et jusqu PL = d
Limit aux architectures dsignes1 et jusqu PL = e
Limit aux architectures dsignes1 et jusqu PL = d
X2

Non couvert
Toutes architectures et jusqu
SIL 3
Toutes architectures et jusqu
SIL 3
X (EN ISO 13849-1 pour A)
Toutes architectures et jusqu
SIL 3
X3

X indique que ce cas est trait par la norme indique en tte de colonne.
1) Les architectures dsignes sont dfinies dans lannexe B de lEN ISO 13849-1 afin de fournir une approche simplifie de la quantification du niveau de performance.
2) Pour llectronique complexe: lutilisation des architectures dsignes selon lEN ISO 13849-1 jusqu PL = d ou toute architecture
selon lIEC 62061.
3) Pour la technologie non lectrique, utilisation des parties en tant que sous-systmes selon lEN ISO 13849-1 (rvision).

Figure 59: Utilisation recommande de lIEC 62061 et de lISO 13849-1

45

Une nouvelle norme pour la scurit des machines:


EN ISO 13849-1 Parties des systmes de commande relatives la scurit

A partir de quel moment faut-il appliquer la nouvelle EN ISO 13 849-1?


Y a-t-il des priodes transitoires?

Novembre 2009

Priode transitoire
Harmonisation
Adoption
Concertation
Version dfinitive

1ier trimestre 2007


Automne 2006

Et 2006

Moiti de 2006

Figure 60 : Planning actuel (situation mai 2007). Selon celui-ci, la priode transitoire de la nouvelle norme va jusqu novembre 2009 ; jusqu ce moment-l, son application est facultative et non-obligatoire.
Toute norme qui est ventuellement en contradiction ou en opposition avec lEN ISO 13849-1:2006
(cest--dire lEN 954-1:1996 ou lEN ISO 13849-1:1999) doit tre retire au plus tard pour novembre
2009 et remplace par la version nationale de la DIN EN 13849-1:2006, en Allemagne la version DIN EN
13829-1:2007-02.

Entre en vigueur
de la EN ISO 13849-1
Planning actuel
Bien que lIEC EN 62061 soit dj formellement accepte, la EN ISO 13849-1 est actuellement soumise lenqute parallle. Il se
peut quil y ait encore une priode de relecture
ultrieure. Pour linstant, le projet de norme est
exclusivement disponible en allemand (version:
juin 2004), lorsque la forme dfinitive de lIEC
EN 62 061 est dj disponible auprs de maisons ddition telles que Beuth Verlag (www.
beuth.de).

ir
o
V

2
e
g
pa

Si le planning actuel est maintenu, lEN ISO


13849-1 entrera en vigueur en 2006 pour
remplacer dfinitivement lEN 954-1 aprs une
priode transitoire de 3 ans.

46 (corrig, voir page 2)

Comparaison avec ltat de juin 2004


Par rapport ltat du projet de norme de juin
2004, la version dfinitive de la EN ISO 13849-1
comprend quelques modifications importantes,
entre autres au niveau du domaine dapplication
(voir dessus) et du graphe pour lestimation du
risque. La version actuelle de la EN ISO 138491 permet galement la ralisation de systmes
PES, moyennant quelques restrictions.
Pour le graphe pour lestimation du risque, la norme dfinit clairement le rapport entre les risques
et le niveau de performance les descriptions
doubles ont donc t supprimes (telles que:
au choix PL x ou PL y). Pour le paramtre frquence et/ou dure dexposition au phnomne
dangereux, il est indiqu clairement que rare
signifie gnralement >1 par heure.

Risque
faible

Niveau de
performance
requis PL r
a

P1
F1
P2

S1
F2

Point de dpart de
lestimation de la
rduction du risque

P1
F1
S2

P2

F2

P1
P2

c
d

P1

P2
Risque
lev

Quelles sont les diffrences essentielles entre la version actuelle et la


version publie de la EN ISO 138491:2004?
Adaptation du graphe pour lestimation
du risque
Valeurs spcifiques pour la fiabilit des
composants de scurit (PFHd)
Valeurs MTTFd et B10d spcifiques pour
les composants hydrauliques, pneumatiques et lectromcaniques
Exigences pour le logiciel
Modification du domaine dapplication
Pas limit aux architectures dsignes
Seulement pour le logiciel embarqu
pour PL e, rfrence lIEC 61508
Figure 61: Questions slectionnes

Une autre diffrence est issue de linterprtation de la catgorie 4, o lapprciation dune


accumulation de dfaillances doit gnralement se limiter deux dfaillances.

Combien de dfaillances puis-je combiner dans la catgorie 4?

EN ISO 13849-1 vis--vis des normes C


Il existe quelques centaines de normes C
ou normes de produit, par exemple pour les
machines-outils, les centres dusinage, etc.
Puisque les normes C actuelles exigent exclusivement une catgorie, des mesures pour
maintenir la compatibilit simposent.
Dans les annes venir, les concepteurs des
normes C devront donc passer laction. Ils
ont deux possibilits pour sadapter la EN
ISO 13894-1.
Ils peuvent dornavant exiger seulement un
niveau de performance PL pour leurs machines pour offrir ainsi leurs clients un degr
de libert suprieur lors de la conception,
surtout en cas dun niveau de performance
moyen.

Niveau de performance

Foire aux questions

a
b
c
d
e

MTTFd = faible
MTTFd = moyen
MTTFd = lev
Catgorie Catgorie Catgorie Catgorie Catgorie Catgorie Catgorie
B
1
2
2
3
3
4
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
0
0
faible
moyen
faible
moyen
lev

1. Loccurrence dun dfaut ne conduit pas


la perte de la fonction de scurit

Figure 63: Diverses possibilits pour la ralisation

2. La premire dfaillance est dtecte.


Si la dtection est impossible, une accumulation de dfaillances non dtectes ne peut pas conduire la perte de
la fonction de scurit.

Une autre possibilit consiste dfinir une


catgorie en plus du niveau de performance,
surtout si on veut augmenter linfluence sur la
structure.

Remarque: en pratique, il suffit de considrer la combinaison de deux dfaillances.


Nouveau: indpendamment de la technologie utilise pour lapplication ou le taux
de dfaillance des composants.
Figure 62: Questions slectionnes

47

Une nouvelle norme pour la scurit des machines:


EN ISO 13849-1 Parties des systmes de commande relatives la scurit

Le tableau repris ci-aprs est un outil pratique


(attention pour la ralisation des SRP/CS de
catgorie 2 avec les architectures dsignes
spcifies!).

Ma norme C exige une catgorie pour


le systme de commande de la machine. Convient-il dutiliser un niveau
de performance lavenir?
En principe, il convient lavenir dindiquer un niveau de performance pour la
classification. LEN ISO 13849-1 prvoit
cependant quil faut indiquer les spcifications suivantes dans le manuel
demploi de chaque SRP/CS:
EN ISO 13849-1:200x
Catgorie X PL Y
Figure 64: Questions slectionnes

Conception conformment aux normes relevantes pour garantir laptitude des parties relatives
la scurit excuter une fonction de scurit
dans des conditions prvisibles

faible
lev

faible
lev

lev

Principes de scurit prouvs


Composants prouvs
Mean Time To dangerous Failure MTTFd

X
faible
moyen

lev

Dtection de dfaillances (tests)

Dtection dune dfaillance

Considration de laccumulation de dfaillances


Couverture du diagnostic (Diagnostic Coverage)
DCavg

faible
moyen

faible
moyen

lev

Mesures de prvention des dfaillances de


cause commune CCF

Principalement caractris par

Figure 65: Catgories et exigences supplmentaires

48

Choix
du composant

Structure

Risque
faible

Niveau de
performance
requis PL r
a

P1
F1
P2

S1
F2

Point de dpart de
lestimation de la
rduction du risque

P1
F1
S2
F2

P2

P1
P2

c
d

P1

P2
Risque
lev

Perspective
Il est incontestable quun grand nombre de
questions relatives la EN ISO 13849-1 reste
sans rponse.
Nous vous tiendrons au courant des derniers
dveloppements et vous fourniront des explications plus dtailles ce sujet dans notre
MRL News.
Les effets de la EN ISO 13849-1 peuvent tre
rsums en deux grands groupes: dune part
le groupe qui se rapporte la quantification
(MTTFd, DC, CCF). On assume que les machines intgrant des SRP/CS constitue de
composants prouvs de qualit approprie,
rpondent galement aux exigences de la
nouvelle norme, sans exiger des modifications
substantielles.
Dautre part, des modifications peuvent simposer pour la ralisation de montages en srie
complexes (risque de dfaillance pour le
niveau de performance suite laddition des
risques rsiduels) et pour lutilisation des architectures dsignes de catgorie 2.

49

Notes

50

Une nouvelle norme pour la scurit des machines:


EN ISO 13849-1 Parties des systmes de commande relatives la scurit

Glossaire
Architecture dsigne:
Configuration spcifique des lments matriels et logiciels dans un SRECS
CCF:
Dfaillance(s) de cause commune (Common
Cause Failure)
Dfaillances, rsultat dun ou plusieurs vnements, entranant des dfaillances simultanes
sur deux ou plusieurs canaux spars dans un
sous-systme canaux multiples (architecture
redondante), entranant la dfaillance de la
fonction de commande relative la scurit
DC:
Couverture du diagnostic (Diagnostic Coverage)
Dcroissance de la probabilit de dfaillance
dangereuse du matriel rsultant du fonctionnement des tests de diagnostic automatique
DCavg:
Couverture moyenne du diagnostic
(average Diagnostic Coverage)
MTBF:
Moyenne des temps de bon fonctionnement,
temps moyen avant dfaillance (Mean Time
Between Failures)
Esprance mathmatique de la dure de bon
fonctionnement
MTTF:
Dure moyenne de fonctionnement avant
dfaillance, temps moyen avant dfaillance
dangereuse dun canal (Mean Time To Failure)
Esprance mathmatique de la dure de fonctionnement avant dfaillance
MTTFd:
Dure moyenne de fonctionnement avant dfaillance dangereuse (Mean Time to dangerous
Failure)
Valeur moyenne du temps de fonctionnement
pendant lequel il est prvu quun canal unique
dun systme nait pas de dfaillance dangereuse

PFH:
Probabilit de dfaillance par heure
(Probability of Failure per Hour)
PFHd:
Probabilit de dfaillance dangereuse par
heure (Probability of dangerous Failure per
Hour)
PL:
Performance Level ou niveau de performance
Aptitude de parties relatives la scurit raliser une fonction de scurit dans des conditions prvisibles (quil convient de prendre en
considration) pour atteindre la rduction du
risque attendu.
PLr:
Niveau de performance requis (Performance
Level required)
Niveau de performance permettant datteindre
la rduction du risque requise pour chaque
fonction de scurit
SIL:
Niveau dintgrit de scurit (Safety Integrity
Level)
Niveau discret (parmi trois possibles) permettant de spcifier les exigences concernant lintgrit de scurit des fonctions de commande
relatives la scurit allouer aux SRECS, le
niveau 3 dintgrit de scurit possdant le
plus haut degr dintgrit et le niveau 1 possdent le plus bas
SRP/CS:
Parties dun systme de commande relatives
la scurit (Safety Related Parts of a Control
System)
Partie ou sous partie(s) dun systme de commande qui rpond(ent) des signaux dentre
et gnre(nt) des signaux de sortie relatifs la
scurit
Valeur B10d:
Valeur reprsentant le nombre de manoeuvres, dans laquelle 10% des prototypes tests
prsentent statistiquement une dfaillance
dangereuse

K.A. Schmersal GmbH


Industrielle Sicherheitsschaltsysteme

Elan Schaltelemente GmbH & Co. KG

Mddinghofe 30
42279 Wuppertal/Allemagne
Postfach 240263
42232 Wuppertal/Allemagne

Im Ostpark 2
35435 Wettenberg/Allemagne
Postfach 1109
35429 Wettenberg/Allemagne

Tlphone +49 (0)202 6474-0


Tlcopie +49 (0)202 6474-100
Courriel: info@schmersal.com
Internet: www.schmersal.com

Tlphone +49 (0)641 9848-0


Tlcopie +49 (0)641 9848-420
Courriel: info-elan@schmersal.com
Internet: www.elan.de

52

08/08 X

flick-werk