IEC TS 63394 : Lignes directrices sur la sécurité fonctionnelle

Accueil » Normes techniques » Normes IEC » IEC TS 63394 : Lignes directrices sur la sécurité fonctionnelle

Dernière modification: 10/07/2023

La IEC TS 63394 n’est pas une norme internationale comme la IEC 62061 ou l‘ISO 13849-1, mais une spécification technique.

IEC TS 63394:2023 – Sécurité des machines – Lignes directrices sur la sécurité fonctionnelle des systèmes de commande relatifs à la sécurité

Elle a été publiée, en tant que première édition, en février 2023.

Dans le contexte de la sécurité des machines, la norme sectorielle IEC 62061 ainsi que l’ISO 13849-1 fournissent des exigences aux fabricants de machines pour la conception, le développement et l’intégration de systèmes de commande relatifs à la sécurité (SCS) ou de parties de systèmes de commande relatifs à la sécurité (SRP/CS), en fonction de la technologie utilisée (technologies mécaniques, pneumatiques, hydrauliques ou électriques) pour réaliser la ou les fonctions de sécurité.

Le présent document fournit des orientations supplémentaires pour l’application de la IEC 62061 ou de l’ISO 13849-1 :

  • Il donne des lignes directrices et spécifie des exigences supplémentaires pour des fonctions de sécurité spécifiques basées sur la méthodologie de l‘ISO 12100, qui sont pertinentes dans les machines et qui respectent les conditions limites typiques des machines ;
  • Elle prend en compte les fonctions de sécurité qui sont conçues pour un mode de fonctionnement à high demande mais qui sont rarement utilisées, appelées fonctions de sécurité rarement activées ;
  • Elle donne des informations supplémentaires pour le calcul des taux de défaillance utilisant d’autres technologies (non électroniques) basées par exemple sur la distribution de Weibull. En revanche, toutes les formules de la IEC 62061 et de l‘ISO 13849-1 sont basées sur la distribution exponentielle.

Ce document n’aborde pas le mode de fonctionnement à low demande conformément à la IEC 61508, même si l’annexe J montre comment aborder les systèmes de sécurité « mixtes » à High et Low demande. Il s’agit d’une situation typique dans les machines telles que les fours et les réacteurs de traitement.

Ce document ne prend en compte ni l’analyse de la couche de protection (LOPA) ni le système de contrôle du processus de base (BPCS), conformément à la norme IEC 61511, en tant que mesure de réduction des risques. Ce document prend en compte toutes les phases du cycle de vie de la machine en ce qui concerne la sécurité fonctionnelle et le SCS ou SRP/CS.

 

 

Fonctions de sécurité rarement activées

Lorsqu’un fabricant conçoit une fonction de sécurité, il suppose normalement un mode de fonctionnement à high demande. Cependant, il peut arriver que la demande supposée d’une fonction de sécurité ne soit pas satisfaite au cours d’une période d’un an. Cela peut se produire lorsque le fabricant de la machine présume que le taux de demande moyen pour assurer l’intégrité de la sécurité est une sorte de pire cas à prendre en considération lors de la détermination de l’intégrité de la sécurité requise. Les fonctions de sécurité qui sont conçues pour un mode de fonctionnement à high demande mais qui peuvent parfois ne pas être demandées au cours d’une année sont appelées « fonctions de sécurité rarement activées ».

Les fonctions de sécurité rarement activées sont conçues, mises en œuvre et intégrées comme des fonctions de sécurité en mode de fonctionnement à high demande. Cependant, comme elles sont déclenchées moins d’une fois par an, mais en tout cas plus d’une fois tous les deux ans, des mesures contre l’accumulation de défauts et les défauts non détectés doivent être conçues. Une vérification périodique est nécessaire pour garantir l’intégrité de la sécurité de ces fonctions de sécurité.

La figure ci-après indique le processus permettant de déterminer si un système de sécurité fonctionne avec une demande faible, une demande élevée ou une demande élevée mais qu’il s’agit d’une fonction de sécurité rarement activée.

La présente spécification technique donne des indications sur la manière de traiter les systèmes de sécurité qui fonctionnent encore en mode « demande high », bien que, selon la norme IEC 61508-2, ils devraient être classés comme systèmes de sécurité en mode « demande LOW ».

Contraintes architectural

Les fonctions de sécurité seront exécutées par le SCS ou le SRP/CS qui est décomposé en sous-systèmes.

L’intervalle entre les tests de diagnostic étant lié au taux de demande, certains diagnostics ne sont possibles que lorsque la fonction de sécurité est demandée. Sur la base de l’accumulation des défauts, les contraintes architecturales doivent être évaluées en fonction du mode de fonctionnement. En mode de fonctionnement à forte demande, le tableau suivant donne un bon aperçu de la manière dont les normes ISO 13849-1 et IEC 62061 analysent les sous-systèmes de sécurité.

Le tableau compare les contraintes architecturales de la IEC 62061 avec les limitations données par la norme ISO 13849-1 et il est donc applicable à tous les systèmes de sécurité en mode haute demande.

Vous pouvez remarquer qu’il n’y a pas d’équivalence SIL avec PL a ou PL b. Selon la norme ISO 13849-1, il est possible d’avoir un système de sécurité à canal unique qui n’utilise pas de composants éprouvés : il suffit d’utiliser des sous-systèmes de catégorie B avec des niveaux de fiabilité égaux à PL a ou PL b. Avec la IEC 62061, ce n’est pas possible, puisqu’une architecture de sous-système de base A (1oo1) ne peut être réalisée qu’en utilisant des composants éprouvés.

Annexe J : Combinaison de modes de fonctionnement

L’annexe décrit les situations que l’on rencontre dans les machines qui ont des processus à l’intérieur. C’est le cas d’un four industriel. Les fonctions de sécurité suivantes sont prises en compte :

  • Fonction de sécurité pour la « surveillance de la basse pression » en mode de fonctionnement à forte demande, où deux interrupteurs basse pression, installés sur un train de gaz, déclenchent la fermeture de deux vannes de gaz tout ou rien, installées sur le même train de gaz ;
  • Fonction de sécurité instrumentée (SIF) pour la « surveillance des températures élevées » en mode de fonctionnement à faible demande, où deux thermocouples détectant une valeur de température critique, conçus en mode de fonctionnement à faible demande, déclenchent les deux mêmes vannes à gaz tout ou rien déclenchées par les pressostats basse pression fonctionnant en mode à forte demande.

Comme vous pouvez le comprendre, il y a deux sous-systèmes d’entrée, l’un en mode haute demande et l’autre en mode basse demande, et un sous-système de sortie fonctionnant en mode haute demande. C’est ce que nous appelons un « système de sécurité mixte« . Le SIL requis pour la fonction de sécurité instrumentée (SIF) en mode de fonctionnement à faible demande et la fonction de sécurité en mode de fonctionnement à forte demande est censé être SIL 2.

Le schéma fonctionnel de fiabilité est illustré ci-dessous.

La sous-fonction de sécurité instrumentée à faible demande est analysée à l’aide de la norme IEC 61511-1, mais seuls les composants certifiés avec la route 1H peuvent être utilisés.

Le sous-système d’entrée du pressostat, le sous-système logique et le sous-système de sortie des deux électrovannes sont analysés à l’aide de la norme  IEC 62061 ou ISO 13849-1. La méthodologie complète se trouve à l’annexe J.