Chapitre 2 - Qu'est-ce que la sécurité fonctionnelle ?

Accueil » Publications » Sécurité fonctionnelle des machines » Chapitre 2 – Qu’est-ce que la sécurité fonctionnelle ?

Dernière modification: 04/07/2023

Le chapitre 2 présente un bref historique de la sécurité fonctionnelle. La norme EN 954-1 a été la première norme européenne de sécurité des machines traitant des systèmes de commande relatifs à la sécurité. Peu après, la IEC 61508 a été publiée comme norme de référence en matière de sécurité fonctionnelle. La IEC 61511-1, pour l’industrie des procédés, est apparue quelques années plus tard et la IEC 62061 pour le secteur des machines ont été publiée en 2005.

Les concepts de modes de fonctionnement à forte et faible demande sont introduits. On y explique également ce qu’est un système de contrôle de sécurité, où il commence et où il finit, car il y a encore de la confusion, par exemple, si un cylindre pneumatique fait partie d’un système de contrôle de sécurité ou non.

Voici quelques extraits du chapitre.

2.1 Bref historique des normes de sécurité fonctionnelle

Dans le domaine des machines, l’une des premières normes de sécurité a été la norme BS 5304 « Code of Practice for Safety of Machinery » (Code de pratique pour la sécurité des machines), publiée pour la première fois en 1975. Les caractéristiques de conception de ce code de pratique étaient essentiellement qualitatives.

Le guide a existé, avec diverses révisions, jusque dans les années 1990, où de telles orientations ont été fournies par la norme européenne EN 954-1 :1996 « Sécurité des machines – Parties des systèmes de commande relatives à la sécurité ». Principes généraux de conception » [2] : la sécurité des systèmes de commande des machines était officiellement née.

À l’époque, le monde de l’électronique programmable, pourtant déjà largement utilisé dans la sécurité des processus, était tenu à l’écart des normes relatives aux machines. Voici ce que la version 1998 de la IEC 60204-1 disait sur les arrêts d’urgence :

Le scepticisme à l’égard de l’électronique s’explique par le fait qu’un composant électromécanique présente des modes de défaillance clairement définis. Par exemple, un contacteur de puissance (§ 4.12.2) peut être ouvert ou fermé.

[IEC 60204-1 : 1997] 9.2.5.4 Opérations d’urgence (arrêt d’urgence, coupure d’urgence)

9.2.5.4.2 Arrêt d’urgence. [Lorsqu’un arrêt de catégorie 0 est utilisé pour la fonction d’arrêt d’urgence, il ne doit comporter que des composants électromécaniques câblés. En outre, son fonctionnement ne doit pas dépendre d’une logique électronique (matérielle ou logicielle) ni de la transmission de commandes sur un réseau ou une liaison de communication. Lorsqu’un dispositif d’arrêt de catégorie 1 est utilisé pour la fonction d’arrêt d’urgence, la coupure définitive de l’alimentation des actionneurs de la machine doit être assurée et réalisée au moyen de composants électromécaniques.

Le scepticisme à l’égard de l’électronique s’explique par le fait qu’un composant électromécanique présente des modes de défaillance clairement définis. Par exemple, un contacteur de puissance (§ 4.12.2) peut être ouvert ou fermé.

L’EN 954-1 avait ce que l’on a appelé plus tard une approche déterministe. Les composants de sécurité n’étaient acceptés que s’ils étaient électromécaniques ou fabriqués avec des composants électroniques simples. La sécurité reposait principalement sur ce que l’on appelle les « architectures » : Voies simples ou voies doubles. En cas de besoin de réduction des risques, un simple dispositif d’interverrouillage et un simple contacteur qui arrête le moteur suffisent.

Si le moteur déplace un élément à haut risque, comme une scie, deux contacteurs dotés d’une fonction de surveillance (détection des défaillances) sont nécessaires pour arrêter le même moteur. […]

2.1.1.2 Niveaux d’intégrité de la sécurité

Selon la norme IEC 61508, les défaillances peuvent être classées en défaillances matérielles aléatoires ou en défaillances systématiques. Le défi pour quiconque conçoit un système complexe, tel qu’un système électronique programmable, est de déterminer le degré de confiance nécessaire pour obtenir la sécurité spécifiée.

Électronique programmable, est de déterminer le degré de confiance nécessaire pour atteindre le niveau de sécurité spécifié.

La IEC 61508 aborde cette question sur la base suivante :

  • Qu’il est possible de quantifier les défaillances aléatoires du matériel ;
  • Qu’il n’est généralement pas possible de quantifier les défaillances systématiques.

Ces niveaux sont appelés niveaux d’intégrité de la sécurité. Le niveau d’intégrité de sécurité 1 (SIL 1) est le niveau le plus bas et le niveau d’intégrité de sécurité 4 (SIL 4) est le niveau le plus élevé. La norme détaille les exigences nécessaires pour atteindre chaque niveau d’intégrité de sécurité. Ces exigences sont plus rigoureuses pour les niveaux d’intégrité de sécurité les plus élevés afin de réduire la probabilité de défaillances dangereuses.

Un système de sécurité E/E/PE met généralement en œuvre plusieurs fonctions de sécurité. Si les exigences en matière d’intégrité de la sécurité pour ces fonctions de sécurité diffèrent, à moins qu’il n’y ait suffisamment d’indépendance de mise en œuvre, les exigences applicables au niveau d’intégrité de sécurité pertinent le plus élevé s’appliquent à l’ensemble du système lié à la sécurité de l’E/E/PE.

Si un seul système E/E/PE est capable de fournir toutes les fonctions de sécurité requises et que l’intégrité de sécurité requise est inférieure à celle spécifiée pour SIL 1, la IEC 61508 ne s’applique pas. […]

Le chapitre 2 présente un bref historique de la sécurité fonctionnelle. La norme EN 954-1 a été la première norme européenne de sécurité des machines traitant des systèmes de commande relatifs à la sécurité. Peu après, la IEC 61508 a été publiée comme norme de référence en matière de sécurité fonctionnelle. La IEC 61511-1, pour l’industrie des procédés, est apparue quelques années plus tard et la IEC 62061 pour le secteur des machines ont été publiée en 2005.

Les concepts de modes de fonctionnement à forte et faible demande sont introduits. On y explique également ce qu’est un système de contrôle de sécurité, où il commence et où il finit, car il y a encore de la confusion, par exemple, si un cylindre pneumatique fait partie d’un système de contrôle de sécurité ou non.

Voici quelques extraits du chapitre.

2.1 Bref historique des normes de sécurité fonctionnelle

Dans le domaine des machines, l’une des premières normes de sécurité a été la norme BS 5304 « Code of Practice for Safety of Machinery » (Code de pratique pour la sécurité des machines), publiée pour la première fois en 1975. Les caractéristiques de conception de ce code de pratique étaient essentiellement qualitatives.

Le guide a existé, avec diverses révisions, jusque dans les années 1990, où de telles orientations ont été fournies par la norme européenne EN 954-1 :1996 « Sécurité des machines – Parties des systèmes de commande relatives à la sécurité ». Principes généraux de conception » [2] : la sécurité des systèmes de commande des machines était officiellement née.

À l’époque, le monde de l’électronique programmable, pourtant déjà largement utilisé dans la sécurité des processus, était tenu à l’écart des normes relatives aux machines. Voici ce que la version 1998 de la IEC 60204-1 disait sur les arrêts d’urgence :

Le scepticisme à l’égard de l’électronique s’explique par le fait qu’un composant électromécanique présente des modes de défaillance clairement définis. Par exemple, un contacteur de puissance (§ 4.12.2) peut être ouvert ou fermé.

[IEC 60204-1 : 1997] 9.2.5.4 Opérations d’urgence (arrêt d’urgence, coupure d’urgence)

9.2.5.4.2 Arrêt d’urgence. [Lorsqu’un arrêt de catégorie 0 est utilisé pour la fonction d’arrêt d’urgence, il ne doit comporter que des composants électromécaniques câblés. En outre, son fonctionnement ne doit pas dépendre d’une logique électronique (matérielle ou logicielle) ni de la transmission de commandes sur un réseau ou une liaison de communication. Lorsqu’un dispositif d’arrêt de catégorie 1 est utilisé pour la fonction d’arrêt d’urgence, la coupure définitive de l’alimentation des actionneurs de la machine doit être assurée et réalisée au moyen de composants électromécaniques.

Le scepticisme à l’égard de l’électronique s’explique par le fait qu’un composant électromécanique présente des modes de défaillance clairement définis. Par exemple, un contacteur de puissance (§ 4.12.2) peut être ouvert ou fermé.

L’EN 954-1 avait ce que l’on a appelé plus tard une approche déterministe. Les composants de sécurité n’étaient acceptés que s’ils étaient électromécaniques ou fabriqués avec des composants électroniques simples. La sécurité reposait principalement sur ce que l’on appelle les « architectures » : Voies simples ou voies doubles. En cas de besoin de réduction des risques, un simple dispositif d’interverrouillage et un simple contacteur qui arrête le moteur suffisent.

Si le moteur déplace un élément à haut risque, comme une scie, deux contacteurs dotés d’une fonction de surveillance (détection des défaillances) sont nécessaires pour arrêter le même moteur. […]

2.1.1.2 Niveaux d’intégrité de la sécurité

Selon la norme IEC 61508, les défaillances peuvent être classées en défaillances matérielles aléatoires ou en défaillances systématiques. Le défi pour quiconque conçoit un système complexe, tel qu’un système électronique programmable, est de déterminer le degré de confiance nécessaire pour obtenir la sécurité spécifiée.

Électronique programmable, est de déterminer le degré de confiance nécessaire pour atteindre le niveau de sécurité spécifié.

La IEC 61508 aborde cette question sur la base suivante :

  • Qu’il est possible de quantifier les défaillances aléatoires du matériel ;
  • Qu’il n’est généralement pas possible de quantifier les défaillances systématiques.

Ces niveaux sont appelés niveaux d’intégrité de la sécurité. Le niveau d’intégrité de sécurité 1 (SIL 1) est le niveau le plus bas et le niveau d’intégrité de sécurité 4 (SIL 4) est le niveau le plus élevé. La norme détaille les exigences nécessaires pour atteindre chaque niveau d’intégrité de sécurité. Ces exigences sont plus rigoureuses pour les niveaux d’intégrité de sécurité les plus élevés afin de réduire la probabilité de défaillances dangereuses.

Un système de sécurité E/E/PE met généralement en œuvre plusieurs fonctions de sécurité. Si les exigences en matière d’intégrité de la sécurité pour ces fonctions de sécurité diffèrent, à moins qu’il n’y ait suffisamment d’indépendance de mise en œuvre, les exigences applicables au niveau d’intégrité de sécurité pertinent le plus élevé s’appliquent à l’ensemble du système lié à la sécurité de l’E/E/PE.

Si un seul système E/E/PE est capable de fournir toutes les fonctions de sécurité requises et que l’intégrité de sécurité requise est inférieure à celle spécifiée pour SIL 1, la IEC 61508 ne s’applique pas. […]

Chapitre 3 – Principaux paramètres

Index

Sécurité fonctionnelle des machines Avant de commencer à lire le livre Chapitre 1 – Les bases de l’ingénierie de la fiabilité Chapitre 2 – Qu’est-ce que la sécurité fonctionnelle ? Chapitre 3 – Principaux paramètres Chapitre 4 – Introduction à l’ISO 13849-1 et à la IEC 62061 Chapitre 5 – Conception et évaluation des fonctions de sécurité Chapitre 6 – Les catégories de l’ISO 13849-1 Chapitre 7 – Les architectures de la IEC 62061 Chapitre 8 – Validation Chapitre 9 – Quelques considérations finales