Dernière modification: 10/08/2023
L’annexe A de la norme IEC 62061 fournit une méthode pour estimer le SIL (Safety Integrity Level) requis d’un système de contrôle lié à la sécurité. Cette méthode convient bien au mode d’exploitation à forte demande et n’est pas recommandée pour les fonctions de sécurité en mode à faible demande, pour lesquelles d’autres méthodes telles que l’analyse de la couche de protection (LOPA) [71] peuvent être utilisées.
L’annexe A de la IEC 62061 est également informative et les mêmes considérations sur la subjectivité, décrites dans le paragraphe précédent, s’appliquent.
Éléments de risque et attribution du S
Les paramètres suivants s’appliquent :
- Gravité du dommage (Se), équivalente à la gravité des blessures de la norme ISO 13849-1
- Probabilité d’occurrence de ce dommage, qui est fonction de :
- de la fréquence et de la durée de l’exposition des personnes au danger (Fr)
- de la probabilité d’occurrence d’un événement dangereux (Pr)
- des possibilités d’éviter ou de limiter le dommage (Av)
La gravité du dommage (Se) est notée de 1 à 4, 4 étant la situation la plus grave.
La probabilité de survenue d’un dommage est décomposée en trois paramètres ; chacun de ces paramètres est noté de 1 à 5, 5 étant la « pire » situation, et leurs scores sont additionnés pour déterminer une classe (Cl).
La cote SIL est ensuite choisie dans une matrice qui représente le score de gravité (Se) et la classe (Cl). Le SIL est déterminé à l’aide du tableau 4.6 {4.8.1.1}. La classe (Cl) est calculée comme suit Cl = Fr + Pr + Av.
La zone noire indique le SIL assigné comme cible pour le SCS. Les zones plus claires indiquent qu’une fonction de sécurité d’une valeur inférieure à SIL 1 peut être utilisée. C’est l’équivalent d’un PLr a selon la norme ISO 13849-1. Si un système de contrôle est utilisé pour réduire le risque, seul le principe de sécurité de base doit être utilisé. Ce concept est également appelé « autres mesures » (OM).
Par rapport à la première édition de la IEC 62061, SIL 2 pour les classes 3 et 4 est maintenant réduit à SIL 1, en raison du faible score pour les classes de fréquence, de probabilité et d’évitement des dommages.
Comme l’indique le tableau 4.4, il existe une relation entre SIL et PL. En outre, un ingénieur en mécanique peut utiliser l’annexe A de la IEC 62061 pour déterminer le PLr requis et utiliser la norme ISO 13849-1 pour les calculs de la fiabilité atteinte. C’est la raison pour laquelle, dans le tableau 4.6 {4.8.1.1} (identique au tableau A.6 de la IEC 62061), les niveaux SIL et PL sont indiqués.
Severity (Se)
Comme dans la norme ISO 13849-1, la gravité du dommage peut être estimée en choisissant la valeur appropriée en fonction des conséquences de l’accident. Cette fois, quatre niveaux sont donnés, comme dans les lignes directrices de Rapex :
- 4 est une blessure mortelle ou irréversible importante : perte d’un membre, lésions pulmonaires permanentes, perte d’un œil ou perte partielle ou totale de la vision ;
- 3 est une blessure grave ou irréversible, mais il est possible de continuer à travailler après guérison ; les exemples sont la perte de doigts ou d’orteils, mais aussi les membres cassés.
- 2 est une blessure réversible plus grave qui nécessite une attention médicale. Il est possible de reprendre le travail après une courte période, par exemple en cas de lacérations graves, d’hématomes atroces et sévères ;
- 1 est une blessure légère pour laquelle les premiers soins sans intervention médicale sont suffisants.
Par rapport à la norme ISO 13849-1, un score de 3 ou 4 correspond à S2 et un score de 1 ou 2 correspond à S1.
Probabilité d’occurrence du dommage
Chacun des trois paramètres Fr, Pr, Av doit être estimé séparément, en utilisant la situation la plus défavorable.
Fréquence et durée de l’exposition (Fr)
Le paramètre Fr est lié à :
– la fréquence de présence de la personne dans la zone dangereuse et
– à la durée moyenne de présence.
La norme classe la fréquence et la durée d’exposition en cinq niveaux :
Comme le montre le tableau, si la durée est inférieure à 10 minutes, la valeur peut être arrondie au niveau inférieur. Cela ne s’applique pas à la fréquence d’exposition de 1 h, qui ne doit en aucun cas être diminuée.
Probabilité d’occurrence d’un événement dangereux (Pr)
Ce paramètre n’est pas explicite dans la norme ISO 13849-1.
La probabilité d’occurrence d’un événement dangereux se situe sur une échelle allant de 1, pour une probabilité négligeable, à 5, en cas de probabilité très élevée.
Il s’agit probablement du paramètre le plus difficile à estimer, en raison de l’influence de l’automatisation ou du système de contrôle, qui ne dispose d’aucune donnée de fiabilité.
Considérons la présence d’une personne et d’un robot à l’intérieur d’un espace protégé. Afin de déterminer le SIL requis, la question est de savoir quelle est la probabilité que la personne soit touchée par le robot en cas de démarrage inattendu ; bien entendu, sans système de contrôle lié à la sécurité.
Quelqu’un peut observer que, même sans système de sécurité, l’automatisation maintient le robot immobile : la probabilité serait alors Rarement ou Négligeable. Le problème est que le système d’automatisation ne dispose d’aucune donnée de fiabilité et que, dans le cadre d’une approche prudente, il ne peut être pris en compte dans cette analyse. Si la personne reste en permanence à proximité du robot, tant qu’elle se trouve dans la zone, la probabilité d’occurrence est alors très élevée. Il convient donc de tenir compte de l’endroit où la personne travaille normalement et du fait qu’en cas de démarrage inattendu, la personne peut se trouver dans l’espace de fonctionnement du robot. Plus l’espace de fonctionnement est étroit, plus la probabilité est élevée.
Probabilité d’éviter ou de limiter le dommage (Av)
Ce paramètre indique s’il est possible ou non d’éviter ou de limiter les dommages en cas d’événement dangereux.
La possibilité peut être estimée en tenant compte des aspects suivants :
- Compétences de l’utilisateur de la machine.
- Vitesse du danger.
- Conscience du risque.
- Capacité de réaction.
En ce qui concerne les compétences et les aptitudes, la norme précise que les aptitudes humaines ne peuvent être prises en compte plus d’une fois pour chaque fonction de sécurité. Il existe trois niveaux pour Av.
Exemple d’utilisation du tableau
Toujours dans le cas d’une presse à chargement manuel, la conséquence de l’événement dangereux est une blessure irréversible, pouvant aller jusqu’à la perte d’une main : Se= 4.
Tous les autres paramètres doivent être additionnés pour sélectionner la classe.
– Un opérateur est exposé au danger plusieurs fois par jour ->Fr= 5
– l’événement dangereux peut se produire ->Pr = 3
– Le danger peut être évité ->Av = 3
La somme de Fr, Pr et Av (5 + 3 + 3) = 11
Le système de contrôle lié à la sécurité doit atteindre un niveau SIL 3.
Le document [55] est une bonne analyse des différences entre l’ISO 13849-1 et la IEC 62061 pour la détermination du niveau de fiabilité requis.