Dernière modification: 05/08/2025
Qu’est-ce que c’est la Sécurité Fonctionnelle ?
Vous avez besoin du domaine de la Sécurité Fonctionnelle chaque fois que vous utilisez un système d’automatisation pour réduire le risque associé à une machine ou à un procédé. Le risque est généralement réduit en supprimant toutes les sources d’énergie : celles-ci peuvent être électriques (par exemple, un moteur entraînant un mouvement dangereux), pneumatiques, hydrauliques, ou encore liées aux fluides de procédé, comme le gaz méthane pour un brûleur ou une pompe qui augmente la pression dans un réservoir.
Chaque fois que vous décidez que, pour éliminer le risque, vous avez besoin d’un capteur de pression qui, en cas de valeur dangereuse élevée, doit fermer une vanne, c’est là que la Sécurité Fonctionnelle joue un rôle clé.
Un exemple, plus spécifique au domaine des machines, est celui d’une cellule robotisée : chaque fois qu’un opérateur entre dans la cellule, un interverrouillage placé sur la porte d’entrée doit déclencher une fonction de sécurité qui arrête tous les mouvements dangereux du robot à l’intérieur de la cellule.
Le problème est que l’un des éléments de cette fonction de sécurité peut tomber en panne. La fiabilité de la fonction de sécurité doit donc être d’autant plus élevée que le risque qu’elle réduit est élevé.
L’estimation de la fiabilité des fonctions de sécurité, mises en œuvre à l’aide d’un système de commande, est le domaine de la Sécurité Fonctionnelle.
Les parties du système de commande de la machine qui assurent des fonctions de sécurité sont définies par l’ISO 13849-1 comme des parties liées à la sécurité du système de commande (SRP/CS), tandis que la norme IEC 62061 les appelle systèmes de commande liés à la sécurité (SCS). Ils peuvent être matériels et/ou logiciels, et être séparés du système de commande de la machine ou en faire partie intégrante.
On rappelle que les normes ISO 13849-1 et IEC 62061 décomposent une partie liée à la sécurité d’un système de commande (SRP/CS) en sous-systèmes, généralement composés de :
-
Entrée (capteur)
-
Unité logique (automate, relais de sécurité, etc.)
-
Sortie (élément final)
Introduction to Category 3 of ISO 13849-1
En Catégorie 3, il est obligatoire d’utiliser à la fois les principes de sécurité de base et les principes de sécurité éprouvés
Chaque sous-système de Catégorie 3 doit être conçu de manière à ce qu’une défaillance unique ne conduise pas à la perte de la fonction de sécurité.
De plus, dans la mesure du raisonnablement possible, une défaillance unique doit être détectée au moment ou avant la prochaine demande de la fonction de sécurité.
Figure 1: Category 3 Architecture
Légende :
-
Im représente les moyens d’interconnexion, généralement des fils électriques
-
I1 et I2 représentent les entrées (par exemple, deux dispositifs d’interverrouillage)
-
L représente la logique de sécurité, généralement un module de sécurité (non programmable) ou une logique programmable
-
O représente la sortie ; cela peut être un contacteur ou une électrovanne, par exemple
-
c est la surveillance croisée (cross monitoring)
-
m (lignes en pointillés) représente une détection de défaut raisonnablement praticable
La couverture diagnostique moyenne (DCavg) de chaque sous-système doit être au moins faible. Le MTTFD (temps moyen jusqu’à une défaillance dangereuse) de chaque canal redondant doit être faible à élevé, selon le niveau de performance requis (PLr).
Des mesures contre les défaillances de cause commune (CCF) doivent être appliquées.
Dans la catégorie 3, l’exigence de détection des défaillances uniques ne signifie pas que toutes les défaillances seront détectées. Par conséquent, l’accumulation de défaillances non détectées peut entraîner une situation dangereuse sur la machine.
Le comportement des sous-systèmes de cette catégorie est donc caractérisé par :
-
La continuité de la fonction de sécurité en présence d’une seule défaillance
-
La détection de certaines, mais pas toutes, les défaillances
-
La perte possible de la fonction de sécurité en raison de l’accumulation de défaillances non détectées
Couverture diagnostique dans la catégorie 3
Nous observons des applications où la couverture diagnostique est effectuée en dehors de la logique de sécurité, ou plus précisément, en dehors du canal fonctionnel. Dans ce cas, il faut justifier que l’approche simplifiée (Annexe K de la norme ISO 13849-1) reste applicable. La détermination de la PFHD basée sur d’autres techniques de modélisation est également possible. La figure 2 montre à quoi ressemblerait le diagramme en blocs lié à la sécurité.
Figure 2 : Architecture de catégorie 3 avec équipement de test externe
Le problème est que les valeurs de PFHD du tableau K.1 ne représentent pas correctement le niveau de fiabilité de ce SRP/CS. Un modèle de Markov actualisé devrait être réalisé. Cependant, nous estimons que la différence de PFHD ne serait pas significative, à condition qu’au moins un MTTF faible puisse être revendiqué pour l’équipement de test. L’exigence pour le MTTF de l’équipement de test est donc inférieure à celle requise en catégorie 2, puisque dans les catégories 3 et 4 nous avons un sous-système redondant.
Une des conditions serait également que, en cas de détection d’une défaillance dans l’un des deux canaux (par exemple, la soudure des contacts dans un contacteur), l’état sûr (l’autre contacteur est supposé s’ouvrir) soit maintenu jusqu’à la suppression de la défaillance. Pour cette raison, même s’il est possible de surveiller l’état du contacteur dans un automate programmable industriel (API), un signal doit être envoyé à la logique de sécurité qui bloque toute remise à zéro jusqu’à ce que la défaillance soit corrigée (contacteur KR dans la figure 3).
Pour le dire autrement : le diagnostic peut passer par un automate généraliste, mais la réaction doit être sûre. Ce qui signifie aussi qu’une seule défaillance ne doit pas pouvoir entraîner la perte de la fonction de sécurité.
Dans le rapport IFA [6], quelques exemples montrent qu’un automate généraliste est utilisé pour le diagnostic dans un sous-système de catégorie 3 ou 4, tout en conservant l’approche simplifiée.
Figura 3 : Architecture de catégorie 3 avec équipement de test externe
Exemple de catégorie 3 pour le sous-système d’entrée : Dispositif d’interverrouillage
Dans cet exemple, un dispositif d’interverrouillage de Type 2 (voir ISO 14199 pour plus de détails), monté sur une porte mobile donnant accès à une zone sécurisée, est contrôlé par un automate de sécurité (Safety PLC). En cas d’ouverture de la protection, la logique de sécurité doit le détecter et prendre les mesures appropriées. Nous nous concentrons sur le sous-système d’entrée.
Pour le circuit électrique montré à la figure 4, le diagramme en blocs lié à la sécurité du sous-système d’entrée est présenté à la figure 5.
-
Données de sécurité :
Le dispositif d’interverrouillage B1 a un B10D = 1·10^6 et un temps de mission de 20 ans. -
Fréquence d’utilisation :
Le dispositif d’interverrouillage est supposé s’ouvrir dix fois par heure. -
Évitement des défaillances systémiques :
Puisque nous pouvons revendiquer la catégorie 3 (double canal avec surveillance), des principes de sécurité de base et éprouvés sont appliqués. Nous avons également vérifié que des mesures suffisantes ont été prises pour prévenir les défaillances dues à des causes communes (Score CCF > 65). -
Exclusion des défauts :
Compte tenu de la manière dont le dispositif d’interverrouillage a été installé, nous considérons comme négligeable la probabilité de rupture de l’actionneur. Par conséquent, nous appliquons l’exclusion des défauts à la partie mécanique du dispositif d’interverrouillage : c’est la signification de l’élément FE dans la Figure 5. La Figure 6 montre une autre représentation possible et équivalente.
Figure 4 : Sous-système d’entrée du dispositif d’interverrouillage
Figure 5 : Sous-système d’entrée représenté comme un diagramme de blocs de fiabilité (RBD)
Figure 6 : Une autre façon de représenter le sous-système d’entrée sous forme de diagramme de blocs de fiabilité (RBD)
Concentrons-nous maintenant sur le calcul de la probabilité des défaillances aléatoires :
1- La première étape consiste à calculer le MTTFD de l’appareil de verrouillage. Nous supposons que la machine fonctionne 365 jours par an et 16 heures par jour.
Étant donné que le sous-système est en Catégorie 3, le MTTFD doit être limité à 100 ans ;
2- En second lieu, nous estimons la Couverture Diagnostique (DC). Le contrôle croisé des entrées ne peut être effectué que lorsque la protection est ouverte ; par conséquent, cela ne peut pas être défini comme un « contrôle croisé des signaux d’entrée avec test dynamique » puisqu’il ne s’agit pas d’un test dynamique automatique, même si le déclencheur est présent. Cela peut simplement être défini comme un « contrôle croisé des entrées sans test dynamique ». La DC correspondante peut varier, par exemple, en fonction de la fréquence de changement de signal dans l’application. Puisque la porte s’ouvre au moins une fois par jour, la valeur maximale de DC atteignable est de 99 %. Étant donné que nous avons le déclencheur, nous supposons la DC la plus élevée possible dans la catégorie : DC = 98 % (moyenne).
3- La dernière étape consiste à se référer au tableau K.1 de la norme ISO 13849-1 où, pour la Catégorie 3 avec une DC moyenne et un MTTFD de 100 ans, le PFHD = 4,29·10⁻⁸, ce qui correspond à un niveau de performance (PL) e. Cependant, comme nous avons appliqué une exclusion de défaut sur la partie mécanique du dispositif d’interverrouillage (§ 4.11.2.3), le résultat final est :
PFHD = 4,29·10⁻⁸ ; PL d
Vérification de la durée de vie utile
Le concept est présent à la fois dans IEC 62061 et ISO 13849-1. Il faut vérifier si le dispositif d’interverrouillage doit être remplacé avant la fin de sa durée de mission. Comme indiqué dans la formule ci-dessous, il doit être remplacé après 17 ans : il ne peut pas être utilisé pendant toute la durée de la mission.
Catégorie 4
Dans la catégorie 4, les principes de sécurité de base et bien éprouvés doivent être utilisés. Chaque sous-système de catégorie 4 doit être conçu de manière à ce qu’une seule défaillance ne conduise pas à la perte de la fonction de sécurité.
De plus, la défaillance unique doit être détectée au plus tard avant la prochaine sollicitation de la fonction de sécurité. Lorsque cette détection n’est pas possible, une accumulation de défaillances non détectées ne doit pas entraîner la perte de la fonction de sécurité.
Figure 7 : Architecture de Catégorie 4
Lignes pleines pour la surveillance représentent une couverture diagnostique (DC) plus élevée que celle de la Catégorie 3
La couverture diagnostique moyenne (DCavg) de chaque sous-système doit être élevée. La MTTFD (Durée moyenne avant défaillance dangereuse) de chaque canal redondant doit être élevée, et des mesures contre les défaillances de cause commune (CCF) doivent être appliquées.
Le comportement du sous-système de cette catégorie est donc caractérisé par :
-
Le maintien de la fonction de sécurité en présence d’une défaillance unique.
-
La détection des défaillances à temps pour empêcher la perte de la fonction de sécurité.
-
La prise en compte de l’accumulation des défaillances non détectées.
Comme vous pouvez le lire, la Catégorie 4 est très similaire à la Catégorie 3 ; c’est pourquoi la norme IEC 62061 propose une seule architecture couvrant à la fois les Catégories 3 et 4 : l’Architecture D (1oo2D).
Lorsque l’on utilise le Tableau K.1 pour évaluer le niveau de fiabilité d’un système de sécurité, pour concevoir un sous-système de Catégorie 4, le niveau de diagnostic des deux canaux doit être d’au moins 99 %.
Un sous-système de Catégorie 4 permet d’atteindre un Performance Level PL e, équivalent au SIL 3, soit le niveau le plus élevé atteignable avec les normes ISO 13849-1 ou IEC 62061.