Afin de garantir la sécurité des utilisateurs et exploitants de machines, celles-ci doivent répondre à des exigences qui sont décrites dans la directive machine, ainsi que différentes normes machines.
Dans cet article, nous allons plonger dans la norme sur la sécurité fonctionnelle des machines, l'ISO 13849. Celle-ci décrit la conception et l'évaluation des parties de systèmes de commande relatives à la sécurité. Elle permet de concevoir des systèmes de commande sûrs et adaptés au niveau de risque présent sur la machine. La norme s'applique autant aux systèmes de commande électrique que pneumatique et hydraulique.
Cet article constitue une introduction mais ne remplace pas la lecture et compréhension de la norme avant d'entreprendre un projet de sécurité machine. Un exemple est donné à la fin de cet article.
Définition des fonctions de sécurité: Analyse de risque
Pour définir les fonctions de sécurité d'un système, il est essentiel de passer par l'analyse de risque. C'est elle qui va nous donner les mesure de réduction de risque et si celles-ci dépendent d'un système de commande comme un interlock ou un arrêt d'urgence, nous devront appliquer la norme sur les fonctions de sécurité.
L'analyse de risque comporte 3 étapes principles:
L'identification des dangers
L'estimation et évaluation du risque
La réduction de risque
La directive machine et la norme ISO 12100 décrivent plus en détail ce processus.
La réduction de risque peut se faire à différents niveaux, en suivant l'ordre de priorité suivant:
Mesures de conception (p. ex. utilisation de moteurs ayant une puissance réduite)
Mesures de protection (p. ex. protecteur évitant des projections de copeaux)
Information aux utilisateurs (p. ex. pictogramme d'avertissement d'un danger de coincement)
Détermination du niveau de performance requis (PLr)
Chaque fonction de sécurité à un niveau de performance requis que l'on appel le Performance Level required (PLr). Plus la fonction de sécurité protège l'utilisateur d'un danger élevé, plus le PLr sera élevé.
Le PLr est dépendant de 3 facteurs:
La sévérité
La probabilité d'occurence
La possibilité d'évitement
Le PLr est généralement définit lors de l'analyse de risque (estimation du risque).
La norme ISO 13849 nous donne une méthode pour évaluer ce risque et donne également le niveau de PLr de la fonction de sécurité. Ce niveau de performance est un indicateur de la capacité d'un système à effectuer une fonction de sécurité dans des conditions prévisibles.
Le PLr va de a (le plus faible) à e (le plus élevé). Une fonction de sécurité ayant un PLr e devra répondre à des exigences de fiabilité et de conception plus strictes qu'une fonction d'un PL plus faible.
Le PL est comparable au niveau SIL qui est notamment décrit dans la norme de sécurité fonctionnelle des systèmes électriques, l'IEC 61508.
Les fonctions de sécurité et leurs caractéristiques
Les fonctions de sécurité sont les fonctions de la machine qui participent à la réduction de risque de celle-ci. Elles sont composées de ce qu'on appelle les parties des systèmes de commande relatives à la sécurité (SRP/CS, safety related parts of a control system).
La norme sépare ces SR/PCS en trois groupes:
Entrée (p. ex. capteur de porte)
Logique (p. ex. relais de sécurité)
Sortie (p. ex. contrôleur moteur)
Une fonction de sécurité sera toujours composée d'une combinaison de ces trois groupes. Par exemple, la fonction de sécurité "arrêt du moteur lors de l'ouverture de la porte" aura comme entrée le capteur de porte, qui sera câblé en entrée à un relais de sécurité (Safety PLC). Ce relais de sécurité fera office de logique. Ce dernier donnera l'ordre au contrôleur moteur en sortie, d'arrêter le moteur immédiatement.
Afin de déterminer si la fonction de sécurité atteint le niveau de performance requis, chaque SRP/CS va être évalué séparément en calculant son PL ou sa probabilité de défaillance dangereuse par heure (PFHd, probability of dangerous failure per hour).
Le PLr est donné par l'analyse de risque, c'est l'objectif à atteindre par la fonction de sécurité et le PL est donné lors des calcul de verification. Le PL doit atteindre au moins le niveau PLr. Par exemple si l'analyse de risque nous donne une PLr c, et que les calcul de notre fonction de sécurité nous donne un PL d, nous pouvons valider la fonction de sécurité.
Le PL ou le PFHd est dépendant des facteurs suivants:
Catégorie
Couverture de diagnostic (DC, diagnostic coverage)
Temps moyen avant défaillance dangereuse (MTTFd, mean time to dangerous failure)
Défaillances de cause commune (CCF, common cause failures)
Erreurs systématiques
Les chapitres suivants décrivent plus en détail chacun de ces facteurs.
Catégorie
L'architecture d'un SRP/CS a un impact significatif sur son niveau de performance, c'est pourquoi celui-ci a été associé aux différents paramètres et a donné naissances aux "catégories" définies dans l'ISO 13849.
L'architecture définit l'interaction entre les SRP/CS et s'ils sont redondants ou non.
Le tableau ci-dessous résume les différentes catégories et leurs paramètres.
Catégorie | Principes de sécurité | Architecture | MTTFd | DC | CCF |
B | Principes fondamentaux | Canal unique | 3 à 3 ans | - | - |
1 | Principes et composants éprouvés | Canal unique | Min. 30 ans | - | - |
2 | Principes et composants éprouvés | Canal unique associé à des essais | 3 ans à min. 30 ans | min. 60% | min. 65 |
3 | Principes et composants éprouvés | Canaux redondants avec détection et comparaison des défauts | 3 ans à min. 30 ans | min. 60% | min. 65 |
4 | Principes et composants éprouvés | Canaux redondants avec détection et comparaison des défauts | Min. 30 ans | min. 99% | min. 65 |
Catégorie B
La catégorie B est la catégorie la plus limitée. Le/les SRP/CS sont à canal unique et n'ont donc pas de redondance. Tous types de composants sont admis, tant qu'ils sont adaptés à l'utilisation et installés selon les instructions du fabricant. On y applique uniquement les principes de sécurité fondamentaux. Un défaut uniuqe peut entrainer la perte de la fonction de sécurité.
Catégorie 1
La catégorie 1 est similaire à la B, sauf qu'ici on utilise des composants éprouvés, on applique les principes de sécurité éprouvés et la fiabilité des composants doit être élevée. Comme pour la catégorie B, un défaut unique peut entrainer la perte de la fonction de sécurité, mais la probabilité d'un défaut est plus faible.
Catégorie 2
La catégorie 2, contrairement aux catégories précédentes, inclut des essais qui sont associés au canal unique. La fonction est donc assurée par un seul canal, cependant, la les différents composants sont surveillés par le système de commande à intervalles adaptés. Un défaut unique peut entrainer la perte de la fonction de sécurité entre les contrôles, et cette perte sera détectée par le contrôle.
Catégorie 3
La catégorie 3 est composée de deux canaux distincts, ce qui permet une redondance en cas de défaut dans un des canaux. Le défaut est détecté dans la mesure du possible. Cependant, une accumulation de défauts peut entrainer la perte de la fonction.
Catégorie 4
La catégorie 4 est similaire à la catégorie 3, sauf pour les points suivants. Un défaut unique doit être détecté dès la prochaine solicitation de la fonction, afin qu'une accumulation de défauts n'entraine pas la perte de la fonction. La fiabilité des composants et la couverture de diagnostic doivent être élevés.
Couverture de diagnostic
La couverture de diagnostic (DC, diagnostic coverage) mesure l'efficacité des diagnostics, qui peut être déterminée comme le rapport entre le taux de défaillances dangereuses détectées et le taux de défaillances dangereuses totales. L'annexe E de l'ISO 13849 liste des mesures à implémenter dans le système et le DC qui en résulte. Par exemple le contrôle croisé des signaux d'entrée avec test dynamique (sans détection des courts-circuits) donne un DC de 90%, ce qui correspond à un niveau moyen.
Appréciation | Plage |
|---|---|
- | DC < 60 % |
Faible | 60 % ≤ DC < 90 % |
Moyen | 90 % ≤ DC < 99 % |
Elevé | 99 % ≤ DC |
Temps moyen avant défaillance dangereuse
Le temps moyen avant défaillance dangereuse (MTTFd, mean time to dangerous failure) est une mesure de la fiabilité d'un composant ou système. Il est l'inverse du taux de défaillances dangereuses. Le MTTFd peut être trouvé dans la documentation technique des composants de sécurité, être déduit du B10d qui est couramment utilisé comme mesure de fiabilité dans les composants tels que relais ou interrupteurs ou il peut également être reprit pour des composants typiques dans les tableaux de l'annexe C de l'ISO 13849.
Appréciation | Plage |
|---|---|
Faible | 3 ans ≤ MTTFd < 10 ans |
Moyen | 10 ans ≤ MTTFd < 30 ans |
Elevé | 30 ans ≤ MTTFd ≤ 100 ans |
Défaillance de cause commune
Les défaillances de cause commune sont définies comme les défaillances de différents éléments, résultant d'un seul événement, lorsque ces défaillances ne sont pas des conséquences les unes des autres. L'environnement, tels que l'infiltration d'humidité ou de poussière, les perturbation électromagnétiques (CEM) ou des canaux de câble communs pouvant entrainer de multiples courts-circuits simultanément sont des exemples de défaillances de cause commune. Il est indispensable de réduire au maximum les sources potentielles de CCF. Pour ce faire, la norme donne une checklist dans l'annexe F.
Erreurs systématiques
Une erreur systématique est une défaillance liée à une certaine cause, qui ne peut être éliminée que par une modification de la conception ou du processus de fabrication, des procédures opérationnelles, de la documentation ou d'autres facteurs pertinents. Afin de réduire les sources d'erreurs systématiques, il faut appliquer des principes de sécurité. Ceux-ci sont séparés en deux catégories: les principes de sécurité fondamentaux, et les principes de sécurité éprouvés. Voici quelques exemples:
Principes de sécurité fondamentaux
Application des normes techniques, p. ex. ISO, IEC
Dimensionnement correct des composants
Suivre les instructions du fabricant concernant l'installation et la configuration
Principes de sécurité éprouvés
Utilisation de contacts mécaniquement liés
Evitement des fautes dans les câbles
Surdimensionnement des composants
Calcul du niveau de performance (PL)
Une fois que la fonction de sécurité et ses SRP/CS ont été caractérisé, il faut déterminer si la fonction atteint le niveau de performance requis (PLr) par l'analyse de risque.
Dépendant de la catégorie et des paramètres MTTFd et DC, le PL (ou le PFHd) du SRP/CS peut être déterminé en suivant le graphique suivant:
Le PFHd total de la fonction de sécurité sera l'addition du PFHd de chaque SRP/CS.
Dans le cas où le PL d'un SRP/CS est connu et qu'il est certifié comme dispositif de sécurité, le PL de la fonction de sécurité peut directement être déterminé en fonction du nombre de SRP/CS ayant le PL le plus bas, selon le tableau suivant. Ceci s'intitule l'intégration des sous-systèmes.
PL le plus faible (des SRP/CS) | Nombre de SRP/CS ayant le PL le plus faible | PL de la fonction |
|---|---|---|
a | > 3 | - |
a | ≤ 3 | a |
b | > 2 | a |
b | ≤ 2 | b |
c | > 2 | b |
c | ≤ 2 | c |
d | > 3 | c |
d | ≤ 3 | d |
e | > 3 | d |
e | ≤ 3 | e |
Par exemple un capteur de porte PL c combiné à un relais de sécurité PL c et un contrôleur moteur PL c, fera un total de 3 composants au niveau PL c résultant en un PL b pour la fonction complète. Si on remplace le capteur par un capteur PL d, le nombre de composants au PL le plus faible sera de 2, résultant en un PL c pour la fonction complète.
La méthode d'intégration des sous-systèmes est moins précise et plus conservatrice que l'addition des PFHd, c'est pourquoi on pourra éventuellement atteindre un PL plus élevé en utilisant cette dernière.
Les logiciels de calcul tels que SISTEMA ou PAScal utilisent la méthode de l'addition des PFHd et peuvent être d'une bonne aide pour calculer le PL.
Validation
La dernière étape consiste à valider l'implémentation correcte et complète des fonctions de sécurité. Ceci comprend notamment les étapes suivantes. La partie 2 de l'ISO 13849 va plus en détail dans cette partie.
spécifier correctement le système
vérifier que la conception correspond à la spécification
vérifier que les exigences de conception et systématiques soient appliquées correctement (DC, CCF et erreurs systématiques)
vérifier le logiciel
tester la fonctionnalité finale sur la machine
Afin de remplir ces différentes étapes, il est important de tenir une documentation complète et à jour de la conception et de la validation de la machine.
Conclusion
En conclusion, la norme ISO 13849 joue un rôle crucial dans l'industrie de la fabrication et de l'automatisation, en offrant un cadre pour assurer la sécurité des machines. Elle influence non seulement la conception des machines mais aussi la manière dont elles sont utilisées et entretenues. Grâce à cette norme, les fabricants peuvent développer des machines plus sûres, tandis que les utilisateurs bénéficient d'une plus grande confiance dans la sécurité de leur équipement. L'adoption et le respect de la norme ISO 13849 sont donc essentiels pour améliorer la sécurité dans l'industrie des machines, contribuant à la prévention des accidents et à la protection des opérateurs.
Säfeli est votre partenaire pour la mise en conformité de votre machine et la mise en place d'un concept de sécurité pertinent et complet. En cas de besoin vous pouvez nous contacter: info@safeli.ch