P7: La Sécurité Fonctionnelle du fonctionnement en mode de forte sollicitation : Les Catégories de la norme ISO 13849-1

Afin de faciliter la conception d’une SRP/CS et l’évaluation du PL atteint, la norme ISO 13849-1 utilise une méthodologie basée sur la répartition en catégories des architectures, avec des critères de conception spécifiques (MTTFD et DCavg) et un comportement spécifique dans des conditions de défaillance. Ces architectures se voient attribuer l’un des cinq niveaux appelés catégories B, 1, 2, 3 et 4.

La première édition de l’ISO 13849-1 était l’évolution de l’EN 954-1 et était toujours basée sur l’approche dite déterministe. Bien que l’approche de la théorie de la fiabilité ait été introduite dans l’ISO 13849-1 avec la deuxième édition, l’approche dite probabiliste, les 5 catégories définies par l’EN 954-1 ont été conservées en tant qu’éléments de base de la norme.

L’une des différences entre l’EN 954-1 et l’ISO 13849-1 est que, dans la première, les catégories ont été associées à l’ensemble de la SRP/CS, alors que dans la seconde, elles sont utilisées pour représenter des sous-systèmes. Cette association est clairement indiquée dans la nouvelle édition 2023. C’est pourquoi il n’est pas correct d’exiger qu’un système de sécurité, par exemple, soit de catégorie 3, puisqu’un système peut être conçu avec les sous-systèmes suivants :

– Le sous-système d’entrée est de Catégorie 3 : par exemple un dispositif de verrouillage avec 2 contacts libres de tension,

– La logique est un automate de sécurité PLC, généralement de Catégorie 4.

– La sortie est de Catégorie 1 : par exemple un contacteur simple.

Dans l’EN 954-1, la catégorie indiquait le niveau de fiabilité d’un SRP/CS. Les normes de type C exigeaient, par exemple, un SRP/CS de catégorie 3 ou de catégorie 1 : c’était le langage commun utilisé. Dans la nouvelle édition de la norme ISO 13849-1, le concept est clarifié : la Catégorie est un moyen d’atteindre le Niveau de Performance PL d’un sous-système. Il est donc inapproprié de décrire une SRP/CS en termes de catégorie : un système de sécurité a une PFH et un niveau de performance (ou un SIL, si la norme IEC 62061 est utilisée) mais, nécessairement, pas de catégorie (ni d’architecture).

La capacité des parties des systèmes de contrôle liées à la sécurité à exécuter les fonctions de sécurité dans des conditions prévisibles est indiquée par l’un des cinq niveaux appelés Performance Level ou PL . L’annexe A de la norme ISO 13849-1 contient une méthode qui peut être utilisée pour déterminer le PLr d’une fonction de sécurité exécutée par la SRP/CS. L’annexe A de l’IEC 62061 pourrait également être utilisée comme alternative.

Le niveau de performance requis correspond à la réduction du risque que la fonction de sécurité doit fournir : plus la contribution requise à la réduction du risque est élevée, plus la performance de sécurité nécessaire est élevée. Les Performance Level des fonctions de sécurité sont définies en termes de probabilité moyenne de défaillance dangereuse par heure. Il existe cinq niveaux de performance, allant d’une faible contribution à la réduction des risques pour Pl a,  à une contribution élevée à la réduction des risques pour PL e. Les fourchettes définies comme Probabilité de défaillance dangereuse par heure sont présentées dans le Tableau 1.

Afin de faciliter la conception d’une SRP/CS et l’évaluation du PL atteint, la norme ISO 13849-1 utilise une méthodologie basée sur la répartition en catégories des architectures, avec des critères de conception spécifiques (MTTFD et DCavg) et un comportement spécifique dans des conditions de défaillance. Ces architectures se voient attribuer l’un des cinq niveaux appelés catégories B, 1, 2, 3 et 4.

La première édition de l’ISO 13849-1 était l’évolution de l’EN 954-1 et était toujours basée sur l’approche dite déterministe. Bien que l’approche de la théorie de la fiabilité ait été introduite dans l’ISO 13849-1 avec la deuxième édition, l’approche dite probabiliste, les 5 catégories définies par l’EN 954-1 ont été conservées en tant qu’éléments de base de la norme.

L’une des différences entre l’EN 954-1 et l’ISO 13849-1 est que, dans la première, les catégories ont été associées à l’ensemble de la SRP/CS, alors que dans la seconde, elles sont utilisées pour représenter des sous-systèmes. Cette association est clairement indiquée dans la nouvelle édition 2023. C’est pourquoi il n’est pas correct d’exiger qu’un système de sécurité, par exemple, soit de catégorie 3, puisqu’un système peut être conçu avec les sous-systèmes suivants :

• Le sous-système d’entrée est de Catégorie 3 : par exemple un dispositif de verrouillage avec 2 contacts libres de tension,
• La logique est un automate de sécurité PLC, généralement de Catégorie 4.
• La sortie est de Catégorie 1 : par exemple un contacteur simple.

Dans l’EN 954-1, la catégorie indiquait le niveau de fiabilité d’un SRP/CS. Les normes de type C exigeaient, par exemple, un SRP/CS de catégorie 3 ou de catégorie 1 : c’était le langage commun utilisé. Dans la nouvelle édition de la norme ISO 13849-1, le concept est clarifié : la Catégorie est un moyen d’atteindre le Niveau de Performance PL d’un sous-système. Il est donc inapproprié de décrire une SRP/CS en termes de catégorie : un système de sécurité a une PFH et un niveau de performance (ou un SIL, si la norme IEC 62061 est utilisée) mais, nécessairement, pas de catégorie (ni d’architecture).

La quantification numérique de la probabilité de défaillance d’un sous-système ne peut jamais être atteinte avec exactitude, mais seulement par approximation à l’aide de méthodes statistiques ou d’autres estimations.

Toute méthode validée et reconnue peut être utilisée à cette fin. Parmi ces méthodes figurent les diagrammes de fiabilité (utilisés dans la norme CEI 62061), l’analyse par arbre de défaillance, la modélisation de Markov (utilisée dans la norme ISO 13849-1) ou les réseaux de Petri.

Cependant, en général, les ingénieurs manquant d’expérience en quantification de la probabilité de défaillance des systèmes de commande liés à la sécurité ont besoin d’un certain soutien. Ce besoin a été pris en compte dans la norme ISO 13849-1 par le développement d’une approche simplifiée, également appelée méthode simplifiée, qui, tout en s’appuyant sur des principes scientifiques solides (modélisation de Markov), décrit une méthode simple de quantification par étapes successives.

Le point de départ de la méthode simplifiée est l’observation que la majorité des systèmes de contrôle liés à la sécurité peuvent être regroupés en un très petit nombre de types de base , ou en combinaisons de ces types de base.

Ces types sont :

• à une extrémité du spectre, le système monocanal non testé comportant des composants avec des niveaux de fiabilité différents ;
• au milieu du spectre, le même type, mais amélioré par des tests ; et
• à l’autre extrémité, le système à deux canaux doté de tests de haute qualité.

Les systèmes à plus de deux canaux, trois contacteurs en série sur un même moteur par exemple, sont rares dans les machines.

Ce fut le point de départ du développement de l’approche probabiliste de la norme ISO 13849-1 . À l’époque, il avait été décidé que les cinq catégories de la norme EN 954-1 pouvaient couvrir la majorité des systèmes de contrôle de sécurité utilisés dans les machines et, pour cette raison, la continuité avec la norme précédente avait été intentionnellement assurée.

La norme EN 954-1 définit cinq structures comme catégories. L’ISO 13849-1 complète la définition précédente par des exigences quantitatives concernant la fiabilité des composants (MTTF _D ), la couverture diagnostique des tests (DC _moy ) et la résistance aux défaillances de cause commune (CCF). De plus, elle associe les catégories à cinq types de structures de base, appelés « architectures désignées ».

Par conséquent, la norme ISO 13849-1 fournit une approche simplifiée, basée sur la définition de cinq architectures désignées, qui répondent à des critères de conception et de comportement spécifiques en cas de défaut.

Les catégories sont donc importantes pour obtenir un niveau de performance spécifique à un sous-système. Cependant, la norme précise qu’elles présentent une représentation logique de la structure du sous-système, qui peut différer de sa structure physique.

[ISO 13849-1] 6.1.3.2 Architectures désignées – Spécification des catégories

6.1.3.2.1 Généralités . […] Les architectures désignées montrent une représentation logique de la structure des sous-systèmes pour chaque catégorie.

NOTE 1 : Pour les catégories 3 et 4, tous les composants ne sont pas nécessairement physiquement redondants, mais il existe des moyens redondants pour garantir qu’un seul défaut ne puisse pas entraîner la perte de la sous-fonction. Par conséquent, la réalisation technique (par exemple, le schéma de circuit) peut différer de la représentation logique de l’architecture.

Une autre façon d’énoncer le même concept est que chacune des 5 catégories de la norme ISO 13849-1 décrit le comportement requis du sous-système par rapport à sa résistance aux défauts .

Considérons le mécanisme de verrouillage d’un dispositif de verrouillage. Le marché propose des dispositifs de verrouillage pouvant atteindre un niveau de protection PL e ; ils disposent de canaux électriques redondants, comme deux contacts secs (VFC) ou deux contacts de commutation de signal de sortie (OSSD), mais le mécanisme de verrouillage est un élément unique . Cette solution n’est pas rare : dans les dispositifs mécaniques à architecture monocanal, la détection des défauts par le système de contrôle peut être impossible dans certaines situations ou son coût serait injustifiable. Cependant, il est important que tous les défauts probables soient évalués par le fabricant du dispositif de verrouillage et que tout mode de défaillance dangereux soit éliminé ou prouvé techniquement improbable . Cela peut être réalisé en surdimensionnant les parties critiques du dispositif et en les testant ultérieurement. Dans ce cas, le mécanisme de verrouillage monocanal peut être utilisé dans une architecture redondante, dans notre exemple, un dispositif de verrouillage avec verrouillage, car il atteint le comportement de catégorie 4 correspondant .

Pour exprimer le concept autrement, lorsque des défauts mécaniques s’avèrent techniquement improbables, on suppose que la fonction de sécurité continue de fonctionner en présence d’un défaut unique . Bien entendu, l’exclusion de défaut spécifique ne peut être justifiée que si le dispositif est utilisé conformément aux spécifications de son fabricant.

La norme IEC 61508-2 accepte l’utilisation de l’exclusion de défaut .

[CEI 61508-2] 7.4.4.1 Exigences générales

7.4.4.1.1 En ce qui concerne les exigences de tolérance aux pannes matérielles

  […]

1. Lors de la détermination de la tolérance aux pannes matérielles obtenue, certains défauts peuvent être exclus , à condition que leur probabilité d’occurrence soit très faible par rapport aux exigences d’intégrité de sécurité du sous-système. Toute exclusion de défaut doit être justifiée et documentée (voir note 2).

Le niveau de performance doit être déterminé pour chaque sous-système et/ou chaque combinaison de sous-systèmes assurant une fonction de sécurité. Le PL du sous-système doit être déterminé en tenant compte des aspects suivants :

• l’architecture
• Décomposer les parties du système de contrôle liées à la sécurité en sous-systèmes (5.1.3)
• Attribuer une catégorie à chaque sous-système ;
• Évaluer si les exigences qualitatives applicables de la catégorie sont respectées (tableau 6.1), notamment :
• principes de sécurité de base
• principes de sécurité éprouvés
• composants éprouvés
• Évaluer si le comportement requis dans des conditions de défaut est respecté ;
• La valeur MTTF _D pour les composants individuels (annexes C et D de la norme ISO 13849-1) ;
• La couverture diagnostique , limitée dans tous les cas par la catégorie sélectionnée (annexe E de la norme ISO 13849-1) ;
• Le CCF doit atteindre au moins 65 points (Annexe F de la norme ISO 13849-1) ;
• L’effet de la conception du logiciel lié à la sécurité sur le fonctionnement du matériel (Annexe J de la norme ISO 13849-1) ;
• L’effet des mesures contre les défaillances systématiques (Annexe G de la norme ISO 13849-1)