SAFEBOOK 3
Systèmes de commande de sécurité pour machines
Conception du système selon la norme EN ISO 13849-1:2008
Une étude complète de la norme EN ISO 13849-1:2008 est nécessaire avant de pouvoir l’appliquer correctement. Ce qui suit est une brève présentation.
Cette norme définit des exigences pour la conception et l’intégration des pièces de sécurité du système de commande, notamment certains aspects logiciels. Elle s’applique aux systèmes de sécurité mais peut également être appliquée aux composants du système. Cette norme a
également un champ d’application très large puisqu’elle concerne toutes les technologies, notamment électricité, hydraulique, pneumatique et mécanique. Bien que la norme ISO 13849-1 s’applique aux systèmes complexes, elle renvoie le lecteur aux normes CEI 62061 et CEI 61508 pour les systèmes logiciels intégrés complexes.
Avec cette norme, l’intégrité de sécurité d’un système est classée selon 5 niveaux de performance (PL). PLa est le niveau le plus faible d’intégrité et PLe est le niveau le plus élevé.
Ils sont évalués en prenant les facteurs suivants en considération :
Structure (architecture). Ces facteurs sont directement liés aux catégories décrites précédemment dans ce document.
Temps mission – durée de fonctionnement prévisible
MTTFd – durée moyenne de fonctionnement avant défaillance dangereuse
DC – couverture de diagnostic
CCF – pannes d’origine commune
Comportement en présence d’une panne
Logiciel
Défaillances systématiques
Conditions ambiantes
Architectures de système de sécurité (structures)
La norme définit une procédure simplifiée basée sur les catégories pour estimer le niveau de performance (PL). L’objectif de cette approche est de fournir un chemin de transition reconnaissable entre la norme d’origine basée sur les catégories et la version 2006 basée sur les niveaux de performance. La norme définit 5 architectures, comme illustré ci-dessous. Elles correspondent aux 5 catégories B, 1, 2, 3 et 4 existantes. Ces schémas doivent être étudiés attentivement. Ils sont présentés dans l’article 6 de la norme où les exigences, les différences et les hypothèses sont expliquées. Les schémas des architectures des catégories B et 1 et
également 3 et 4 peuvent sembler identiques, mais la norme explique en détail les différences en termes d’exigences, notamment la couverture de diagnostic, etc.
Il est également utile d’étudier les explications sur les catégories données dans ce document qui aborde les catégories en détail avec des exemples pratiques de leur mise en œuvre. Les trois schémas suivants montrent les schémas fonctionnels des 5 architectures de catégories, comme indiquées dans la norme ISO/EN 13849-1.
110
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Conception du système selon la norme EN ISO 13849-1:2008
Dispositif d’entrées Programme
Architecture pour les catégories B et 1
Dispositif d’entrées surveillance
Programme
Dispositif de sorties
Dispositif de sorties
Equipement de test
Sortie équipement de test
Architecture pour la catégorie 2
Dispositif d’entrées Programme surveillance
Dispositif de sorties surveillance croisée surveillance
Dispositif d’entrées Programme Dispositif de sorties
Architecture pour les catégories 3 et 4
Temps mission
Le temps mission représente la durée maximale pendant laquelle un sous-système (ou un système) peut être utilisé. A la fin de cette durée, il doit être remplacé. Le temps mission doit
être indiqué par le fabricant des composants. Le temps mission est généralement le même que l’« intervalle entre essais de sûreté » utilisé dans la norme CEI/EN 62061. Le concepteur du système de sécurité doit prendre en considération le temps mission des composants afin de déterminer le temps mission de chaque fonction de sécurité.
Durée moyenne de fonctionnement avant défaillance dangereuse (MTTF d
)
La durée moyenne de fonctionnement avant défaillance dangereuse (MTTF d
) est utilisée directement dans la norme EN ISO 13849-1:2008 dans l’estimation du niveau de performance
(PL). La norme propose trois méthodes pour déterminer la valeur MTTF d
: 1) utiliser les données du fabricant, 2) utiliser les annexes C et D qui fournissent des taux de pannes pour les composants ou 3) utiliser une valeur par défaut de 10 ans. Choisir la valeur par défaut limite le potée à Moyen, comme le montre le tableau suivant.
111
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Systèmes de commande de sécurité pour machines
Classement MTTFd pour chaque voie
Faible
Moyen
Elevé
Niveaux de MTTF d
Plage MTTFd pour chaque voie
3 ans <= MTTFd < 10 ans
10 ans <= MTTFd < 30 ans
30 ans <= MTTFd < 100 ans
Lorsque le système de sécurité a un lien avec la norme CEI 62061, la valeur MTTF d doit être convertie en valeur PFH
D
. Pour cela, on utilise l’égalité suivante :
PFH
D
= 1/MTTF d
Et, pour les dispositifs électromécaniques :
MTTF d
= B
10d
/(0,1 x nombre moyen d’opérations par an)
Cela est également requis dans certains cas pour déterminer la valeur PFH
D
. Elle est fournie par les fabricants. Les valeurs MTTF d et PFH
D sont généralement dérivées des mêmes données de test ou d’analyse. Pour les dispositifs électromécaniques peu complexes, le mécanisme de panne est généralement lié au nombre et à la fréquence des opérations plutôt qu’uniquement au temps. Par conséquent, pour ces composants les données sont dérivées d’une forme de test d’autonomie (p. ex., test B10). Des informations d’application, comme le nombre prévisible d’opérations par an, sont alors requises pour convertir la valeur B10 d
, ou des données similaires, en valeur MTTF d
.
Couverture de diagnostic (DC)
La couverture de diagnostic (DC) représente l’efficacité de la fonction de surveillance des pannes d’un système ou d’un sous-système. La couverture de diagnostic est le rapport entre le nombre de pannes dangereuses détectées et le nombre de toutes les pannes dangereuses. Les normes EN ISO 13849-1:2008 et CEI 61508 fournissent des tableaux pouvant être utilisés pour déduire la valeur DC et, dans certains cas, cette valeur DC peut être fournie par le fabricants.
112
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Conception du système selon la norme EN ISO 13849-1:2008
Panne d’origine commune (CCF)
Un panne d’origine commune (CCF) est un ensemble de pannes qui ont une cause identique et qui génèrent un danger. Ce sont les pannes de différents éléments, qui résultent d’un même
événement. Les pannes ne sont pas des conséquences les unes des autres. L’annexe F de la norme EN ISO 13849-1:2008 fournit une méthode qualitative simplifiée pour déterminer la valeur CCF. Le tableau suivant montre un résumé du processus de notation.
4
5
6
2
3
N°
1
Mesure contre CCF
Séparation/structuration
Diversité
Conception/application/expérience
Evaluation/analyse
Compétence/formation
Environnement
Notation des pannes d’origine commune
Note
15
20
20
5
5
35
Une note d’au moins 65 doit être obtenue pour prétendre à la conformité aux catégories 2, 3 et 4.
Défaillance systématique
Les normes définissent des exigences destinées à réguler et éviter les défaillances systématiques.
Les types les plus courants de défaillance systématique sont les erreurs de conception de logiciel, les erreurs de conception du matériel et les erreurs dans les spécifications exigées.
Les défaillances systématiques sont différentes des pannes matérielles aléatoires qui sont des pannes qui se produisent à n’importe quel moment, et qui résultent généralement d’une dégradation de pièces matérielles. L’annexe G de la norme EN ISO 13849-1:2008 décrit des mesures destinées à contrôler et éviter les défaillances systématiques.
Niveau de performance (PL)
Lorsque les critères de conception du tableau précédent « Niveaux de MTTD d
» sont évalués, un niveau de performance est attribué au système de commande de sécurité. Le niveau de performance est un niveau discret qui définit la capacité des pièces de sécurité du système de commande à exécuter une fonction de sécurité.
Pour évaluer le niveau de performance obtenu par la mise en œuvre de l’une des 5 architectures, les données suivantes sont requises pour le système (ou le sous-système) :
• MTTF d
(durée moyenne de fonctionnement avant défaillance dangereuse de chaque voie)
• DC (couverture de diagnostic)
• Architecture (la catégorie)
113
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Systèmes de commande de sécurité pour machines
Le schéma suivant présente une méthode graphique pour déterminer le niveau de performance
(PL) à partir d’une combinaison de ces facteurs. Le tableau à la fin de cette section montre les résultats tabulaires de différents modèles de Markov qui sont à la base de la création de ce schéma. Consultez le tableau lorsqu’une détermination plus précise est nécessaire.
a b c d e
Cat B
CC moy aucun
Cat 1
CC moy aucun
MTTF d bas
MTTF d moyen
MTTF d haut
Cat 2
CC moy bas
Cat 2
CC moy méd
Cat 3
CC moy bas
Cat 3
CC moy méd
Cat 4
CC moy haut
Détermination graphique du niveau de performance (PL)
Le lecture remarquera qu’il existe un chevauchement au niveau des lignes de séparation des niveaux PL. Si la valeur MTTF n’est donnée qu’en terme de catégorie (comme bas, moyen ou
élevé), utilisez le schéma suivant pour déterminer le niveau de performance (PL).
114
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Conception du système selon la norme EN ISO 13849-1:2008
a b c d e
Cat B
CC moy aucun
MTTF d bas
MTTF d moyen
MTTF d haut
Cat 1
CC moy aucun
Cat 2
CC moy bas
Cat 2
CC moy méd
Cat 3
CC moy bas
Cat 3
CC moy méd
Cat 4
CC moy haut
Méthode graphique simplifiée
Par exemple, l’application utilise l’architecture de la catégorie 3. Si la couverture de diagnostic
(DC) est comprise entre 60 % et 90 %, et que la valeur MTTF d de chaque voie est comprise entre 10 et 30 ans, alors, selon la figure 10.7, le niveau PLd est obtenu.
D’autres facteurs doivent également être présents pour satisfaire au niveau de performance requis. Ces exigences incluent les prescriptions pour les pannes d’origine commune, les défaillances systématiques, les conditions ambiantes et le temps mission.
Si la valeur PFH
D du système ou du sous-système est connue, le tableau 10.4 (annexe K de la norme) peut être utilisé pour déduire le niveau PL.
Conception et combinaisons de sous-systèmes
Les sous-systèmes conformes à un niveau de performance peuvent être combinés simplement dans un système en utilisant le tableau 10.3. Les fondements de ce tableau sont clairs. Premièrement, la valeur du système est celle de son sous-système le plus faible.
Deuxièmement, plus il y a de sous-systèmes, plus la possibilité de pannes est grande.
115
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
PL low
a b c d e
SAFEBOOK 3
Systèmes de commande de sécurité pour machines
N low
> 3
≤ 3
> 2
≤ 2
> 2
≤ 2
> 3
≤ 3
> 3
≤ 3
PL
non autorisé a a b b d d c c e
Calcul du niveau de performance (PL) pour sous-systèmes combinés en série
Dans le système illustré dans le schéma, les niveaux de performances les plus faibles sont ceux des sous-systèmes 1 et 2. Les deux ont un niveau PLb. Par conséquent, dans le tableau, en suivant la ligne b (dans la colonne PL low
), puis la ligne 2 (dans la colonne N low
), nous trouvons le niveau de performance obtenu par le système comme étant b (dans la colonne PL). Si les trois sous-systèmes
étaient PLb, le PL obtenu serait PLa.
Sous-système 1
PLb
Sous-système 2
PLb
Sous-système 3
PLc
Combinaison de sous-systèmes en série comme système PLb
Validation
La validation jouent un rôle très important dans les processus d’élaboration et de mise en service du système de sécurité. La norme ISO/EN 13849-2:2003 définit les exigences de validation pour les systèmes conçus selon la norme originale ISO 13849-1 (EN 954-1). On prévoit que cette norme sera révisée pour l’aligner avec la norme EN ISO 13849-1:2008. La validation prévue par la norme ISO 13849-2 fait appel à un plan de validation et aborde la validation par le biais de tests et de techniques d’analyse, comme l’analyse de l’arborescence de pannes et les modes de panne, analyse des effets et analyse critique. La plupart de ces exigences s’appliquent au fabricant du sous-système plutôt qu’à l’utilisateur du sous-système.
Mise en service de la machine
Pendant la phase de mise en service du système ou de la machine, la validation des fonctions de sécurité doit être exécutée dans tous les modes de fonctionnement et doit couvrir toutes les situations normales et anormales prévisibles. Les combinaisons d’entrées et de séquences de fonctionnement doivent également être prises en considération. Cette procédure est importante parce qu’il est toujours nécessaire de vérifier que le système est adapté aux caractéristiques de fonctionnement et aux conditions ambiantes réelles.
116
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Conception du système selon la norme EN ISO 13849-
Certaines de ces caractéristiques peuvent être différentes de celles prévues au moment de la conception.
Exclusion de panne
L’un des principaux outils d’analyse des systèmes de sécurité est l’analyse des pannes. Le concepteur et l’utilisateur doivent comprendre comment le système de sécurité fonctionne en présence de pannes. De nombreuses techniques sont disponibles pour faire cette analyse.
Par exemple, l’analyse de l’arborescence des pannes, les modes de pannes, l’analyse des effets et l’analyse critique, l’analyse de l’arborescence des événements et enfin les évaluations de la force de charge.
Au cours de l’analyse, il est possible de découvrir certaines pannes qui ne peuvent pas être détectées par le test de diagnostic automatique sans induire des coûts économiques exagérés. De plus, la probabilité d’apparition de ces pannes peut être rendue extrêmement faible grâce à l’utilisation de méthodes d’atténuation pour la conception, la construction et les tests. Dans ces conditions, les pannes peuvent être ignorées. L’exclusion de pannes consiste
à écarter une panne parce que la probabilité d’apparition de cette panne du système de commande de sécurité est négligeable.
La norme EN ISO 13849-1:2008 autorise l’exclusion de pannes sur la base de l’improbabilité technique de son apparition, de l’expérience technique généralement reconnue et des exigences techniques relatives à l’application. La norme ISO 13849-2:2003 fournit des exemples et des justifications pour l’exclusion de certaines pannes des systèmes électriques, pneumatiques, hydrauliques et mécaniques. Les exclusions de pannes doivent être déclarées et justifiées de façon détaillée dans la documentation technique.
L’exclusion de pannes peut conduire à un niveau de performance (PL) très élevé. Des mesures appropriées pour permettre cette exclusion doivent être mises en œuvre tout au long du temps mission. Il n’est pas toujours possible d’évaluer le système de commande de sécurité sans partir du principe que certaines pannes peuvent être exclues. Pour plus d’informations sur l’exclusion de pannes, voir la norme ISO 13849-2.
117
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Systèmes de commande de sécurité pour machines
118
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Conception du système selon la norme EN ISO 13849-1:2008
119
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Systèmes de commande de sécurité pour machines
120
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
Publication : SAFEBK-RM002A-FR-P – Février 2009
© 2009 Rockwell Automation, Inc. Tous droits réservés.
AUDIN - 8, avenue de la malle - 51370 Saint Brice Courcelles
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
Systèmes de commande de
sécurité pour machines
Principes, normes et intégration
R
