ISO 13849-1

C’est l’une des deux normes utilisées dans le domaine des machines et, du moins en Europe, c’est la plus utilisée des deux, l’autre étant la IEC 62061. Elle est divisée en deux parties :

• ISO 13849-1 : Sécurité des machines – Parties des systèmes de commande relatives à la sécurité – Partie 1 : Principes généraux de conception
• ISO 13849-2 : Sécurité des machines – Parties des systèmes de commande relatives à la sécurité – Partie 2 : Validation.

La première édition de la norme ISO 13849-1 a été publiée en 1999 et était identique à la norme EN 954-1:1996. L’ISO 13849-1 n’était que le numéro ISO correspondant à l’EN 954-1 ; par conséquent, la véritable première édition (officiellement, il s’agissait de la deuxième) a été publiée en 2006.

Les parties prenantes qui ont édité l’EN 954-1 ont vu la nécessité d’inclure l’électronique programmable dans les systèmes de sécurité des machines. En fait, l’électronique était déjà incluse dans l’EN 954-1, mais sans exigences logicielles détaillées. La norme devait être soumise à une approche dite probabiliste, la même que celle utilisée par la série IEC 61508. Par conséquent, la révision qui a conduit à la deuxième édition de la norme ISO 13849-1 a combiné les aspects déterministes de la norme EN 954-1 avec l’approche probabiliste de la norme IEC 61508 et a inclus pour la première fois des exigences en matière de logiciels. Quelques mathématiciens de l’IFA [15] ont conçu les modèles de Markov pour l’édition 2006 de la norme.

La troisième édition a été publiée en 2015, tandis que la dernière, la quatrième, a été publiée en 2022. Cette nouvelle édition repose sur les mêmes principes que la précédente. Nous mentionnons ci-après deux changements clés :

1. Le processus de validation, détaillé dans la norme ISO 13849-2, est désormais inclus dans la première partie. La raison principale est que les gens ne se concentraient pas suffisamment sur le processus de validation. Les fabricants se contentent généralement de faire des calculs et ne vérifient pas si, une fois la machine installée et mise en service, le système de sécurité fonctionne comme prévu : la validation est essentielle pour confirmer et garantir le niveau de sécurité requis.
2. Il est désormais clair que la catégorie est une caractéristique du sous-système de sécurité et non de l’ensemble de la fonction de sécurité. Le sous-système d’entrée peut être de catégorie 1 (voie unique), tandis que le sous-système de sortie, de la même fonction de sécurité, peut être de catégorie 3 (architectures redondantes. La confusion était due à l’héritage de l’EN 954-1. Le fait qu’une fonction de sécurité puisse être composée de différentes catégories de sous-systèmes signifie que son niveau de fiabilité est représenté par son niveau de performance uniquement. Dans l’EN 954-1, la fiabilité n’était représentée que par un niveau de catégorie. Lorsque nous sommes passés à la norme ISO 13849-1, les normes de type C ont continué à donner à la fois les exigences PL et les exigences de catégorie pour les fonctions de sécurité. Il ressort clairement de cette quatrième édition que seul le PL représente le niveau de fiabilité d’une fonction de sécurité : la catégorie n’est qu’un moyen de l’atteindre. Il en va de même pour la norme IEC 62061, selon laquelle une fonction de sécurité n’est caractérisée que par un niveau SIL et non par les architectures utilisées pour les différents sous-systèmes.