Dernière modification: 25/02/2026
Résumé
Cet article fait partie d’une série d’articles consacrés à la sécurité fonctionnelle des machines. Nous avons récemment présenté l’une des deux normes utilisées pour la conception des systèmes de commande liés à la sécurité en mode de forte sollicitation (High Demand) : l’ISO 13849-1. Nous présentons maintenant les aspects clés de la norme IEC 62061.
Dans cet article, nous détaillerons les architectures A et B.
L’architecture A représente un système de sécurité à canal unique, sans diagnostic : par exemple, un dispositif de verrouillage sur la porte d’une cellule robotisée, connecté à un solveur logique par deux fils (un contact libre de potentiel).
L’architecture B, à double canal sans diagnostic, est telle qu’une défaillance unique de n’importe quel élément d’un sous-système n’entraîne pas la perte de la fonction de sécurité. Cette architecture correspond à une tolérance aux défaillances matérielles (Hardware Fault Tolerance) de 1. Il s’agit d’une architecture qui n’est pas modélisée dans l’ISO 13849-1, car elle est rarement utilisée ; en général, lorsqu’un canal redondant est mis en œuvre (par exemple deux contacteurs en série pour arrêter un moteur), un diagnostic est prévu, notamment la surveillance de l’état des contacteurs.
Qu’est-ce que la sécurité fonctionnelle ?
Vous entrez dans le domaine de la Sécurité Fonctionnelle chaque fois que vous utilisez un système d’automatisation pour réduire les risques associés aux machines ou aux procédés industriels. La réduction du risque est généralement obtenue en supprimant ou en maîtrisant les sources d’énergie. Ces énergies peuvent être électriques (par exemple un moteur entraînant un mouvement dangereux), pneumatiques, hydrauliques ou même liées au procédé, comme le gaz méthane alimentant un brûleur ou une pompe augmentant la pression dans une cuve.
Chaque fois que vous déterminez que la réduction du risque nécessite, par exemple, un capteur de pression qui déclenche la fermeture d’une vanne en cas de pression excessivement élevée, vous opérez dans le champ de la sécurité fonctionnelle. Le principal défi réside dans le fait que tout composant du système dit instrumenté de sécurité (Safety Instrumented System – SIS), y compris les capteurs, les solveurs logiques ou les éléments finaux, peut lui-même tomber en panne.
Les composants tombent en panne pour deux raisons:
- Ils tombent en panne parce qu’ils ne sont pas correctement conçus, fabriqués, installés, utilisés ou soumis à une maintenance adéquate.
Si l’on prend l’exemple des pneus de voiture, si l’on utilise une voiture avec des pneus mal gonflés, ils sont susceptibles de tomber en panne plus rapidement que la normale. Il s’agit de Défaillances Systématiques : ce sont des défaillances dues à des erreurs dans la conception, la fabrication, l’installation ou la maintenance du composant. Les défaillances systématiques sont difficiles à estimer et ne peuvent être réduites qu’en s’assurant que l’ensemble du processus, depuis la conception du composant jusqu’à l’utilisation et la maintenance du produit, est réalisé correctement.
C’est la raison de l’importance de concepts tels que la capacité systématique (Systematic Capability) ou l’intégrité systématique de sécurité des composants, ou des systèmes de commande liés à la sécurité.
Les normes ISO 13849-1 et IEC 62061 définissent toutes deux de bonnes pratiques d’ingénierie à suivre afin de réduire la probabilité de défaillances systématiques : elles sont appelées principes de sécurité de base et éprouvés (Basic and Well-tried Safety Principles).
En outre, les deux normes exigent l’établissement d’un Plan de Sécurité Fonctionnelle. On peut se référer à l’annexe I de l’IEC 62061 ou à l’annexe G de l’ISO 13849-1.
- Même si l’ensemble du processus (de la conception à la maintenance) est réalisé conformément aux règles et procédures appropriées, au cours de leur durée de vie, les composants sont soumis à des défaillances aléatoires.
Ce sont des défaillances qui peuvent être estimées statistiquement.
La première édition de l’IEC 62061 a été publiée en 2005. Vers 2010, un groupe de travail a été constitué avec pour mission de développer une norme unifiée pour la sécurité fonctionnelle des machines, désignée ISO/IEC 17305. Cette nouvelle norme était destinée à combiner l’ISO 13849-1 et l’IEC 62061 en un seul document. Malheureusement, ce projet n’a jamais abouti.
Lorsque l’équipe de maintenance IEC 62061 (MT 62061) s’est réunie pour la première fois, elle a décidé d’utiliser les résultats de ces travaux antérieurs comme base pour la nouvelle édition. C’est l’une des raisons pour lesquelles l’IEC 62061 révisée est plus étroitement alignée, dans son approche, avec l’ISO 13849-1 : l’équipe a cherché à trouver un équilibre entre la méthodologie systématique de l’IEC 61508 et le cadre pragmatique de l’ISO 13849-1.
Systèmes réparables et non réparables
Plusieurs techniques de fiabilité peuvent être appliquées directement pour évaluer la probabilité de défaillance des sous-systèmes liés à la sécurité, notamment les Diagrammes de Blocs de Fiabilité (Reliability Block Diagrams) et les chaînes de Markov. La première édition de l’IEC 62061 a adopté les diagrammes de blocs de fiabilité et a considéré les sous-systèmes de sécurité comme non réparables.
Dans la nouvelle édition de l’IEC 62061, la formule de l’architecture de sous-système de base C est dérivée d’un modèle d’états de Markov, qui suppose que le système est réparable. Les formules des autres architectures restent inchangées par rapport à la première édition.
L’architecture C sera abordée en détail dans le prochain numéro de TUTTOMISURE.
Architecture de sous-système de base A : 1oo1
Dans cette architecture, à canal unique et sans diagnostic, toute défaillance dangereuse d’un élément du sous-système entraîne une défaillance de la fonction de sécurité. Cette architecture correspond à une tolérance aux défaillances matérielles (Hardware Fault Tolerance) de 0.
En mode de fonctionnement à forte sollicitation ou en mode continu, l’architecture A ne doit pas s’appuyer sur un intervalle d’essai périodique (Proof Test) plus court que la durée de vie (Mission Time).
Implications des contraintes architecturales dans l’architecture de base d’un sous-système A
En considérant le tableau 1, avec HFT = 0, un niveau jusqu’à SIL 3 peut être atteint. Cela peut être valable pour des composants électroniques. Toutefois, pour les composants électromécaniques, étant généralement caractérisés par SFF = DC = 0, un niveau maximal de SIL 1 peut être atteint, même si la formule conduit à une PFH plus faible, à condition que des composants éprouvés (« well-tried ») soient utilisés.
|
Safe Failure Fraction (SFF) |
Hardware fault tolerance (HFT) | ||
|
0 |
1 |
2 |
|
|
SFF < 60 % |
SIL 1 if well-tried components are used | SIL 1 | SIL 2 |
|
60 % ≤ SFF < 90 % |
SIL 1 | SIL 2 | SIL 3 |
| 90 % ≤ SFF < 99 % | SIL 2 | SIL 3 |
SIL 3 |
| SFF ≥ 99 % | SIL 3 | SIL 3 |
SIL 3 |
Tableau 1 : Contraintes architecturales pour un sous-système électromécanique
Exemple d’une Architecture de base de Sous-système A
Considérons le sous-système d’entrée présenté à la Figure 2.
Le dispositif d’interverrouillage a un B10D = 20·106 et il est supposé s’ouvrir deux fois par heure.
Des principes de sécurité de base et éprouvés doivent être appliqués. De plus, des composants éprouvés sont utilisés. Le CCF n’est pas significatif.
Concentrons-nous maintenant sur la probabilité de défaillances aléatoires.
La première étape consiste à calculer le λD. Nous supposons que la machine fonctionne 240 jours par an et huit heures par jour.
Étant donné qu’il s’agit d’une architecture de sous-système A, il n’y a pas de diagnostic, ce qui signifie que nous supposons SFF = DC < 60%.
Malgré le fait que la PFH soit très faible, le fait que le SFF < 60 % et HFT = 0, fait que le niveau SIL est limité à SIL 1 par les Contraintes Architecturales.
|
Safe Failure Fraction (SFF) |
Hardware fault tolerance (HFT) | ||
| 0 | 1 |
2 |
|
|
SFF < 60 % |
SIL 1 | SIL 1 | SIL 2 |
|
60 % ≤ SFF < 90 % |
SIL 1 | SIL 2 | SIL 3 |
| 90 %≤ SFF < 99 % | SIL 2 | SIL 3 |
SIL 3 |
| SFF ≥ 99 % | SIL 3 | SIL 3 |
SIL 3 |
Tableau 2 : le SIL 1 est le niveau SIL maximal atteignable
Par conséquent, le sous-système de sécurité atteint le SIL 1 et présente une PFH = 2,19∙10-9 1/h .
Architecture de base de sous-système B : 1oo2
Cette architecture, à double canal sans diagnostic, est telle qu’une défaillance unique de n’importe quel élément du sous-système n’entraîne pas la perte de la fonction de sécurité. Cette architecture correspond à une tolérance aux défaillances matérielles (HFT) de 1.
Cette architecture n’a pas d’équivalent dans la norme ISO 13849-1.
Pour l’architecture B, la PFH du sous-système est donnée par la formule suivante:
Où :
- T1 est l’intervalle du test périodique (Proof Test) parfait ou la durée de vie utile, selon la plus petite des deux; la durée de vie utile est le minimum entre T10D et le temps de mission du sous-système;
- β est la susceptibilité aux défaillances de cause commune (CCF)
Implications des contraintes architecturales dans l’architecture de base du sous-système B
En considérant le tableau 3 relatif aux contraintes architecturales, avec HFT = 1, un niveau jusqu’à SIL 3 peut être atteint. Cela peut être valable pour des composants électroniques. Toutefois, pour des composants électromécaniques, étant donné que SFF = DC = 0, un niveau maximal de SIL 1 peut être atteint, même si la formule conduit à une PFH plus faible.
|
Safe Failure Fraction (SFF) |
Hardware fault tolerance (HFT) | ||
| 0 | 1 |
2 |
|
|
SFF < 60 % |
SIL 1 if well-tried components are used | SIL 1 | SIL 2 |
|
60 % ≤ SFF < 90 % |
SIL 1 | SIL 2 | SIL 3 |
| 90 % ≤ SFF < 99 % | SIL 2 | SIL 3 |
SIL 3 |
| SFF ≥ 99 % | SIL 3 | SIL 3 |
SIL 3 |
Tableau 3 : Contraintes architecturales applicables à un sous-système: niveau SIL Maximal pouvant être revendiqué pour un SCS
Dans le cas d’une architecture de sous-système de base B et avec un SFF < 60 %, il n’est pas nécessaire d’utiliser des composants éprouvés.
Exemple d’une architecture de base de sous-système de sortie B : moteur électrique
Pour le circuit électrique présenté à la Figure 5, le diagramme bloc (Block Diagram) du Sous-système de sortie relatif à la sécurité est présenté à la Figure 6.
- Données de sécurité:
KP1 et KP2 ont un B10 = 10·106 avec 73% comme pourcentage de défaillances dangereuses (RDF selon le § 1.12.1). En consultant la fiche technique du fabricant, le Temps de Mission est de 20 ans et nous supposons un test périodique (Proof Test) de même durée. Pour le Proof Test, nous avons décidé de ne pas fixer une durée plus courte que le Temps de Mission.
- Fréquence d’utilisation:
Les contacteurs sont supposés s’ouvrir deux fois par minute.
- Évitement des défaillances systématiques :
Étant donné que nous voulons revendiquer l’architecture B, des principes de sécurité de base et éprouvés sont appliqués. Étant donné que SFF < 60 %, des composants éprouvés doivent également être utilisés (dans ce cas, deux contacteurs). Nous avons également vérifié que des mesures suffisantes ont été appliquées afin de prévenir les défaillances de cause commune : un β = 2 % peut être supposé.
Concentrons-nous maintenant sur le calcul de la probabilité de défaillances aléatoires:
- La première étape consiste à calculer . Nous supposons que la machine fonctionne 240 jours par an et huit heures par jour.
2.La deuxième étape consiste à estimer T10D et T1
3. La dernière étape consiste à calculer PFH
Étant donné qu’il s’agit d’une architecture de sous-système B, il n’y a pas de diagnostic. Cela signifie que nous supposons SFF = DC < 60%.
Malgré le fait que la PFH soit très faible, le fait que SFF < 60 % et que HFT = 1 fait que le niveau SIL est limité à SIL 1 par les contraintes architecturales.
|
Safe Failure Fraction (SFF) |
Hardware fault tolerance (HFT) | ||
| 0 | 1 |
2 |
|
| SFF < 60 % | SIL 1 | SIL 1 | SIL 2 |
| 60 % ≤ SFF < 90 % | SIL 1 | SIL 2 | SIL 3 |
| 90 %≤ SFF < 99 % | SIL 2 | SIL 3 | SIL 3 |
| SFF ≥ 99 % | SIL 3 | SIL 3 | SIL 3 |
Tableau 4 : niveau SIL maximal pouvant être revendiqué pour un SCS
Le sous-système de sécurité atteint le SIL 1 et présente une PFH = 1,01 10-8 1/h.