Dernière modification: 21/08/2025
Résumée
Cet article fait partie d’une série consacrée à la sécurité fonctionnelle des machines. Nous avons récemment présenté l’une des deux normes les plus demandées pour la conception de systèmes de contrôle de sécurité : ISO 13849-1. Nous allons maintenant présenter la norme CEI 62061.
La norme a été mise à jour en 2021 et un amendement a été publié en 2024. Il s’agit de la deuxième norme utilisée en matière de sécurité des machines, et la moins utilisée. Elle est issue de l’approche de la série CEI 61508 et le niveau de fiabilité d’une fonction de sécurité est indiqué en SIL (niveau d’intégrité de sécurité). C’est la norme privilégiée pour les machines intégrant des boucles de processus, comme les fours industriels ou les installations chimiques.
Bref historique de la norme CEI 62061
La première édition de la norme IEC 62061 a été publiée en 2005. Elle s’inscrit dans la démarche détaillée de la norme IEC 61508. Elle s’adresse au secteur des machines et permet de vérifier le niveau de fiabilité atteint par un système de contrôle relatif à la sécurité (SCS).
[CEI 62061 DIS: 2020] Introduction
[…] La présente Norme internationale est destinée aux concepteurs de machines, aux fabricants et intégrateurs de systèmes de commande, ainsi qu’aux autres acteurs impliqués dans la spécification, la conception et la validation d’un SCS. Elle définit une approche et fournit des exigences pour atteindre les performances nécessaires.
Vers 2010, un groupe de travail a été créé avec pour mission de rédiger une norme commune pour la sécurité fonctionnelle des machines, appelée ISO/CEI 17305, combinant les normes ISO 13849-1 et ISO 62061. Malheureusement, cette nouvelle norme n’a pas vu le jour. Lors de sa première réunion, l’équipe de maintenance (MT 62061, comme on l’appelle à la CEI) a décidé que les résultats de ses travaux serviraient de point de départ à la nouvelle édition. C’est l’une des raisons pour lesquelles la nouvelle édition de la CEI 62061 se rapproche davantage de l’ISO 13849-1 : l’équipe a concilié l’approche de la CEI 61508 avec le pragmatisme de la norme ISO 13849-1 . Voici les principales modifications par rapport à l’édition précédente :
- La nouvelle norme s’applique désormais aux technologies non électriques. C’est pourquoi elle fait désormais référence aux systèmes de contrôle relatifs à la sécurité (SCS) plutôt qu’aux systèmes de contrôle électrique relatifs à la sécurité (SRECS).
- Les Architectures sont désormais mieux définies, notamment l’Architecture C, ainsi que les formules à utiliser.
- La contrainte architecturale, auparavant appelée SIL Claim, est désormais définie comme le SIL maximum qu’un sous-système peut atteindre.
- Des exigences en matière d’indépendance pour les activités de vérification et de validation des logiciels ont été ajoutées.
- De nouvelles annexes informatives importantes ont été ajoutées ; les informations contenues et l’approche décrite sont celles de la norme ISO 13849-1 :
- Annexe C sur des exemples de valeurs B 10D et MTTF D pour les composants.
- Annexe D : exemples de valeurs de couverture diagnostique
Contraintes architecturales
La norme IEC 62061 reste connectée à l’approche IEC 61508 appelée Route 1 H.
En mode faible demande , les composants sont classés en type A ou type B, et deux tableaux différents sont utilisés pour déterminer le niveau SIL maximal qu’un sous-système de sécurité peut atteindre. La norme CEI 62061 définit cependant un tableau unique pour tous les types de composants, dont le contenu est similaire à celui des composants de type B.
Dans le contexte de l’intégrité de la sécurité matérielle , le niveau le plus élevé qui peut être déclaré par un système de contrôle relatif à la sécurité (SCS) est limité par la tolérance aux pannes matérielles (HFT) et la fraction de défaillance sûre (SFF) du sous-système exécutant la fonction de sécurité : la référence à utiliser est le tableau 1, qui correspond au tableau 6 de la norme CEI 62061.
Veuillez noter que la limitation SIL n’implique pas de limitation PFH ; dans la nouvelle édition, PFH D est désormais simplement appelé PFH, conformément à la série IEC 61508. Cela signifie que, pour chaque sous-système, en raison de la contrainte architecturale, la valeur PFH sera inférieure à celle normalement indiquée pour ce niveau SIL particulier.
Globalement, le langage utilisé et les approches décrites dans cette deuxième édition de la norme sont plus clairs, la rendant plus accessible que la première. Malheureusement, certaines expressions héritées de l’édition 2005 peuvent prêter à confusion quant à l’approche à adopter et devraient être définitivement supprimées dans la prochaine édition.
Le tableau 2 compare les contraintes architecturales de la norme CEI 62061 avec les limitations définies par la norme ISO 13849-1 et est donc applicable à tous les systèmes de sécurité en mode de forte demande.
| REMARQUE 1 : Une tolérance aux pannes matérielles de N signifie que N+1 pannes peuvent entraîner la perte de la fonction de sécurité. |
| REMARQUE 2 : « Faible », « moyen » et « élevé » sont les dénominations utilisées par la norme ISO 13849-1 pour la quantification et la classification des plages moyennes DC . |
| REMARQUE 3 : Pour HFT = 0 et SFF ≥ 99 %, les limitations suivantes peuvent être pertinentes :
§ Il est recommandé de limiter le SIL maximal atteignable à 2 lorsque des exclusions de défauts ont été appliquées, ce qui pourrait conduire à des situations dangereuses (voir IEC 62061, 7.3.3.3) Le niveau SIL 3 ne peut être atteint qu’avec une surveillance continue du bon fonctionnement de l’élément. Des composants électroniques sont généralement nécessaires à cette fin. |
| REMARQUE 4 : Lorsque des normes de produits, telles que IEC 61800-5, IEC 61800-5, IEC 61131-2, sont utilisées, on peut supposer que les principes de sécurité de base sont respectés |
| NOTE 5 : Selon la norme ISO 13849-1, le PL d ne peut être atteint que lorsque la sortie ( OTE ou fonction de réaction aux défauts ) conduit à un état sûr qui est maintenu jusqu’à ce que le défaut soit corrigé : il ne suffit pas que la sortie de l’équipement de test (OTE) émette une alarme. |
| REMARQUE 6 : Si vous disposez des deux architectures de base A et B, nous considérons le cas avec uniquement des composants électromécaniques. |
Il est à noter qu’il n’existe pas d’équivalence entre les niveaux SIL et les niveaux PL a ou PL b. Selon la norme ISO 13849-1, il est possible de créer un système de sécurité monocanal sans composants éprouvés : il suffit d’utiliser des sous-systèmes de catégorie B avec des niveaux de fiabilité égaux à PL a ou PL b.
Avec la norme CEI 62061, cela n’est pas possible , car une architecture de sous-système de base de type A (1oo1) ne peut être réalisée qu’avec des composants éprouvés. Autrement dit, selon la norme ISO 13849-1, il est possible d’utiliser un automate programmable industriel (API) « à usage général » pour mettre en œuvre un système de sécurité : le PL maximal atteignable est PL b. Ceci n’est pas autorisé par la norme CEI 62061, ni avec un canal unique (architecture A), ni avec un canal redondant sans diagnostic (architecture B).
Approche simplifiée
Similairement aux catégories de la norme ISO 13849-1, la norme CEI 62061 propose quatre architectures de sous-systèmes de base pour chaque sous-système de sécurité, permettant une approche simplifiée, comme dans la norme ISO 13849-1. Au lieu d’un graphique ou d’un tableau présentant les valeurs de PFH, la norme CEI 62061 propose à l’utilisateur des formules qui représentent généralement une simplification des schémas fonctionnels de fiabilité et sont conçues pour fournir des estimations prudentes de PFH. Autrement dit, chaque architecture de base possède une formule de calcul de PFH. Cette formule contient des variables telles que le taux de défaillance ou la couverture du diagnostic. Dans le dernier numéro de Tuttomisure de 2025, nous détaillerons chaque architecture de base et présenterons les différentes formules.
Toutefois, ces formules ne sont applicables que si les deux conditions suivantes sont remplies :
- λ T 1 << 1 . Cela signifie que le MTTF est bien supérieur à T 1 : qui représente la valeur minimale entre l’intervalle de test (Proof Test) et la durée de vie utile du sous-système.
- Durant la durée de vie utile, qui correspond à la valeur minimale entre le Temps de Mission et le T 10D , les taux de défaillance sont constants .
Différences avec la norme ISO 13849-1
Certaines des différences entre les deux normes sont les suivantes :
- Dans la norme IEC 62061, le risque de défaillance de cause commune (CCF) est évalué à l’aide d’un tableau similaire à celui de la norme ISO 13849-1 ; cependant, il n’y a pas de score minimum ; c’est un avantage significatif en faveur de la norme IEC 62061.
- En catégorie 2, la norme ISO 13849-1 exige que le MTTF D du canal de test (TE ou élément de test) ne soit pas inférieur à la moitié de la valeur du MTTF D du canal fonctionnel. L’équivalent de la catégorie 2 dans la norme CEI 62061 est l’architecture C. Dans ce cas, cependant, aucun niveau de fiabilité minimal n’est fourni pour la fonction de gestion des défauts (λ D-FH ). Si la valeur n’est pas conforme au tableau H.3 de la norme, il n’est pas possible d’utiliser la formule simplifiée pour calculer le PFH du sous-système et la formule générale fournie pour l’architecture de sous-système de base C doit être utilisée. C’est également un avantage de la norme CEI 62061.
- Dans la norme ISO 13849-1, le MTTF D des sous-systèmes est limité à 100 ans, sauf pour la catégorie 4 ; dans la norme CEI 62061, il n’y a pas de limitation du PFH, quelle que soit l’architecture, même lorsque la contrainte architecturale (limitation du SIL maximal atteignable) est appliquée. Autre avantage de la norme CEI 62061.
Comment calculer le PFH d’une architecture de sous-système de base
Les éléments suivants doivent être pris en compte afin de déterminer le PFH d’un sous-système :
- Chaque sous-système doit être associé à l’une des quatre architectures de base.
- La couverture diagnostique (DC) et les intervalles de test doivent être établis.
- La défaillance de cause commune doit être calculée.
- Le λ D ou le MTTF D des éléments du sous-système doit être calculé .
- La durée de vie utile des composants est généralement de 20 ans, bien que pour les composants présentant des caractéristiques d’usure, la durée de vie utile soit limitée par T 10D .