P8: La sécurité fonctionnelle en mode de forte sollicitation : Catégories B, 1 et 2 de la norme EN ISO 13849-1

Accueil » À étudier » Sécurité des procédés » P8: La sécurité fonctionnelle en mode de forte sollicitation : Catégories B, 1 et 2 de la norme EN ISO 13849-1

Dernière modification: 20/08/2025

Introduction

La norme ISO 13849-1 est l’une des deux normes utilisées dans le domaine des machines et, du moins en Europe, c’est la plus utilisée des deux, l’autre étant la IEC 62061. La norme ISO a été divisée en deux parties:

  • ISO 13849-1: Sécurité des machines – Parties des systèmes de commande relatives à la sécurité – Partie 1: Principes généraux de conception
  • ISO 13849-2: Sécurité des machines – Parties des systèmes de commande relatives à la sécurité – Partie 1: Validation

La première édition de la norme ISO 13849-1 a été publiée en 1999 et était identique à la norme EN 954-1:1996. L’ISO 13849-1 n’était que le numéro ISO correspondant à l’EN 954-1 ; par conséquent, la véritable première édition (officiellement la deuxième) a été publiée en 2006.

Les parties prenantes qui ont édité l’EN 954-1 ont vu la nécessité d’inclure l’électronique programmable dans les systèmes de sécurité des machines. En fait, l’électronique était déjà incluse dans l’EN 954-1, mais sans exigences logicielles détaillées. La norme devait être soumise à une approche dite probabiliste, la même que celle utilisée par la série IEC 61508. Par conséquent, la révision qui a abouti à la deuxième édition de la norme ISO 13849-1 a combiné les aspects déterministes de l’EN 954-1 avec l’approche probabiliste de l’IEC 61508 et a inclus pour la première fois des exigences en matière de logiciels.

Quelques mathématiciens de l’IFA ont conçu les modèles de Markov pour l’édition 2006 de la norme.

La troisième édition a été publiée en 2015, tandis que la dernière, la quatrième, a été publiée en 2022. Cette nouvelle édition est basée sur les mêmes principes que la précédente. Nous évoquons ci-après deux changements clés :

  1. Le processus de validation, détaillé dans la norme ISO 13849-2, est désormais inclus dans la première partie. La raison principale est que les gens ne se sont pas suffisamment concentrés sur le processus de validation. Les fabricants font généralement des calculs et ne vérifient pas si, une fois la machine installée et mise en service, le système de sécurité fonctionne comme prévu : la validation est essentielle pour confirmer et garantir le niveau de sécurité requis.
  2. Il est maintenant clair que la Catégorie est une caractéristique du Sous-Système de Sécurité et non de l’ensemble de la fonction de sécurité. Le sous-système d’entrée peut être de Catégorie 1 (canal unique), tandis que le sous-système de sortie, de la même fonction de sécurité, peut être de Catégorie 3 (architectures redondantes). La confusion était due à l’héritage de l’EN 954-1. Le fait qu’une fonction de sécurité puisse être composée de différentes catégories de sous-systèmes signifie que son niveau de fiabilité est représenté par son niveau de Performance uniquement. Dans l’EN 954-1, la fiabilité était représentée par un niveau de catégorie uniquement. Lorsque nous sommes passés à la norme ISO 13849-1, les normes de type C ont continué à donner à la fois les exigences PL et les exigences de catégorie pour les fonctions de sécurité. Depuis cette quatrième édition, il est clair que seul le niveau PL représente le niveau de fiabilité d’une Fonction de Sécurité: la catégorie n’est qu’un moyen de l’atteindre. Il en va de même pour la norme IEC 62061, selon laquelle une fonction de sécurité n’est caractérisée que par un niveau SIL et non par les architectures utilisées pour les différents sous-systèmes.

Les Sous-Systèmes conçus selon la norme ISO 13849-1 doivent être conformes aux exigences de l’une des cinq catégories qui sont fondamentales pour atteindre un Niveau de Performance spécifique. Les catégories décrivent le comportement requis des sous-systèmes en ce qui concerne leur résistance aux défauts, sur la base de considérations de conception telles que MTTFD, DCavg etc.

La Catégorie B est la catégorie de base, dans laquelle l’apparition d’un défaut peut entraîner la perte de la fonction de sécurité. Dans la Catégorie 1, l’utilisation de composants de haute qualité permet d’améliorer la résistance aux défauts.

Dans les Catégories 2, 3 et 4, une plus grande Fiabilité du sous-système est obtenue par l’amélioration de la tolérance aux défauts (Catégories 3 et 4 uniquement) et des mesures de diagnostic. Dans la Catégorie 2, puisqu’il n’y a pas de redondance, cette fiabilité est obtenue en vérifiant périodiquement que la fonction de sécurité est exécutée sans défaut (Couverture de Diagnostic). Dans les Catégories 3 et 4, la Couverture de Diagnostic fonctionne conjointement avec les Architectures Redondantes, de sorte qu’un seul défaut n’entraînera pas la perte de la fonction de sécurité.

Dans la Catégorie 4 et chaque fois que cela est raisonnablement possible dans la Catégorie 3, ces défauts doivent être détectés.

Les cinq Catégories sont représentées dans la norme ISO 13849-1 par des schémas fonctionnels de sécurité spécifiques, chacun répondant aux exigences de la Catégorie. La modélisation de Markov utilisée par les ingénieurs de l’IFA ne prend en compte que ces cinq Architectures ; il est possible de s’en écarter, mais cela implique de procéder à une nouvelle modélisation.

Pour chaque sous-système, la valeur maximale du MTTFD pour chaque canal est limitée à 100 ans. Pour les sous-systèmes de Catégorie 4, la valeur maximale de MTTFD pour chaque canal est limitée à 2 500 ans.

Catégorie B

Les sous-systèmes de catégorie B doivent respecter les principes fondamentaux de sécurité , le cas échéant, détaillés dans la norme ISO 13849-2, et être conçus conformément aux normes applicables. Cela doit garantir leur résistance aux contraintes opérationnelles et aux influences attendues du matériau traité, telles que les agents de nettoyage (par exemple, l’utilisation d’acier inoxydable) ou d’autres influences externes pertinentes, telles que les vibrations mécaniques.

Le schéma fonctionnel de fiabilité d’une catégorie B (et 1) est présenté à la figure 1. Il est représenté comme comportant une entrée, une logique et une sortie ; cependant, chaque catégorie s’applique à un sous-système : par exemple, un sous-système d’entrée ou un sous-système de sortie. Par conséquent, ne vous laissez pas tromper par la figure : elle représente un sous-système et pas nécessairement un système de contrôle-commande de sécurité.

légende:

  • Je représente le moyen d’interconnexion, généralement des fils électriques .
  • Je représente l’Entrée.
  • L représente la logique de sécurité ; il peut également s’agir d’un fil, d’un module de sécurité (non programmable) ou d’une logique programmable.
  • O représente la sortie ; il peut s’agir d’un contacteur ou d’une électrovanne.

Avec cette catégorie, aucune couverture de diagnostic n’est nécessaire et les considérations de défauts communs (CCF) ne sont pas pertinentes ; le niveau de performance maximal atteignable (PL) est PL b .

S’agissant d’un canal unique, un seul défaut peut entraîner la perte de la sous-fonction de sécurité.

Catégorie 1

En catégorie 1, les mêmes exigences s’appliquent qu’en catégorie B ; de plus, des principes de sécurité éprouvés doivent être respectés, le cas échéant. De plus, la catégorie 1 est la seule catégorie qui exige l’utilisation de composants éprouvés . Le schéma fonctionnel est identique à celui de la catégorie B. La couverture diagnostique n’est pas assurée ; les considérations relatives aux défauts courants (CCF) ne sont pas pertinentes et le niveau de performance maximal atteignable (PL) est PL c.

Une défaillance peut entraîner la perte de la fonction de sécurité ; cependant, le MTTF D d’un seul canal dans la catégorie 1 est plus élevé que dans la catégorie B ; par conséquent, la perte de la fonction de sécurité est considérée comme moins probable.

Exemple de sous-système d’entrée de catégorie 1 : dispositif de verrouillage

Considérons un dispositif de verrouillage électromécanique connecté à une logique de sécurité. À l’ouverture de la porte, le système de sortie du dispositif de verrouillage (un contact sec) s’ouvre et l’entrée de la logique de sécurité est désactivée. La structure du circuit est illustrée à la figure 2, tandis que la figure 3 représente le même sous-système d’entrée sous forme de schéma fonctionnel. Le dispositif de verrouillage a une valeur B 10D = 20 10⁶ et est supposé s’ouvrir deux fois par heure.

Selon la fiche technique du fabricant, sa durée de vie est de 20 ans et il doit être protégé par un fusible gG de 4 A maximum, installé sur la ligne 24 V CC. Ceci est important pour éviter les pannes systématiques : si le système de sortie du dispositif de verrouillage n’est pas correctement protégé contre les courts-circuits, tous les calculs de fiabilité sont inutiles. Ceci s’applique également à la température ambiante maximale de 80 °C indiquée par le fabricant, ou à la tension de choc maximale Uimp de 2,5 kV que le composant peut supporter. Ce ne sont là que des exemples : en général, en tant que sous-système de catégorie 1, des principes de sécurité fondamentaux et éprouvés doivent être appliqués.

De plus, s’agissant d’un sous-système de catégorie 1, les composants utilisés doivent être éprouvés , et c’est le cas. Le dispositif de verrouillage est un « interrupteur à actionnement en mode positif » conforme à la norme CEI 60947-5-1, ce qui en fait un composant éprouvé.

Concentrons-nous maintenant sur la probabilité de pannes aléatoires.

  • La première étape consiste à calculer le MTTF D. Supposons que la machine fonctionne 240 jours par an et 8 heures par jour.

Cependant, comme nous sommes en catégorie 1, la durée de vie moyenne du sous-système doit être limitée à 100 ans.

  • De plus, comme il s’agit d’une maladie de catégorie 1, il n’existe aucun test diagnostique. Cela signifie que nous supposons une CD < 60 %.

 

  • La dernière étape consiste à se référer au tableau K.1 de la norme ISO 13849-1 où, pour une catégorie 1 et un MTTF D = 100 ans, le PFH D est de 1,14 10⁻⁶. Enfin, nous avons vérifié que le T 10D était supérieur à la durée de vie utile du dispositif de verrouillage : cela signifie que le dispositif de verrouillage peut être utilisé jusqu’à sa durée de vie utile de 20 ans.

Catégorie 2

Dans la catégorie 2, les principes de sécurité de base et éprouvés doivent être respectés.

Il s’agit d’une architecture monocanal dont la surveillance de chaque sous-système est assurée, dans sa forme la plus générale, par une unité externe appelée équipement de test. Si un défaut est détecté, l’équipement de test le signale au monde extérieur via une sortie : l’élément de test de sortie (OTE).

Ci-dessous le schéma fonctionnel :

Légende:

  • Im représente le moyen d’interconnexion, généralement des fils électriques.
  • Je représente l’Entrée.
  • L représente la logique de sécurité ; il peut également s’agir d’un fil, d’un module de sécurité (non programmable) ou d’une logique programmable.
  • O représente la sortie ; il peut s’agir d’un contacteur ou d’une électrovanne, par exemple.
  • m représente la surveillance effectuée par l’élément de test (TE).
  • OTE est la sortie de l’équipement de test.

Par rapport à la Catégorie 1, on peut noter la présence d’un Canal de Test, constitué d’un Elément de Test (TE) et de sa sortie, l’OTE, c’est-à-dire l’Elément de Test de Sortie.

En utilisant une architecture de catégorie 2, tous les niveaux de performance, à l’exception de PL e, peuvent être atteints.

De plus, pour cette catégorie, la figure 4 illustre un sous-système, et non pas nécessairement un système de contrôle-commande de sécurité complet . En catégorie 2, pour atteindre le niveau de performance d, un certain niveau de couverture diagnostique (au moins faible) doit être atteint : le canal fonctionnel doit être testé à intervalles réguliers par un équipement de test. La fonction de sécurité doit être vérifiée avant qu’une situation dangereuse ne survienne, par exemple :

  • Avant de commencer un nouveau cycle et/ou,
  • Avant le début d’autres mouvements et/ou,
  • Immédiatement sur demande de la fonction de sécurité et/ou,
  • Périodiquement pendant les opérations, si l’évaluation des risques et le type d’opération démontrent que cela est nécessaire.

Toute commande de fonction de sécurité permet soit son fonctionnement, si aucun défaut n’est détecté, soit génère une sortie (OTE), si un défaut est détecté.

Il est important de souligner que, dans le cas du PL d, l’OTE doit initier un état sûr , maintenu jusqu’à la résolution du défaut. À l’inverse, dans le cas du PL c, un état sûr n’est pas requis et un simple avertissement suffit.

[ISO 13849-1] 6.1.3.2 Architectures désignées – Spécification des catégories

6.1.3.2.4 Catégorie 2.

[…] Pour PLr d, la sortie (OTE) doit initier un état sûr qui est maintenu jusqu’à ce que le défaut soit résolu.

Pour les PLr jusqu’à PLr c inclus , la sortie (OTE) doit, dans la mesure du possible, initier un état sûr, maintenu jusqu’à la résolution du défaut. Lorsque cela n’est pas possible (par exemple, soudage du contact dans le dispositif de commutation final), il peut suffire que la sortie de l’OTE de l’équipement de test émette un avertissement.

La couverture diagnostique (DC moy. ) du canal fonctionnel doit être au moins faible. Le MTTF D du canal fonctionnel peut varier de faible à élevé, selon le niveau de performance requis (PLr).

Dans tous les cas, des mesures de prévention des pannes courantes (CCF) s’appliquent .

Des quatre catégories, la catégorie 2 est probablement la plus difficile à comprendre : essayons d’en clarifier l’utilisation et de comprendre les raisons de ses limites. Pour ce faire, nous devons examiner la modélisation de Markov. Nous y reviendrons dans le prochain article, le dernier de 2024.

Cœur de compétence

Sécurité des Machines Directive Machine Sécurité Fonctionnelle Sécurité des procédés Sécurité Electrique Marquage CE des fours à gaz Risque ATEX Conformité aux normes UL et CSA