Informations de base spécifiques sur la norme EN ISO … · qualité de la technologie d’une SRP/CS. Lorsque la catégorie B et la catégorie 1 se rap-portent à la qualité des

Informations de base spécifiques sur la norme EN ISO 13 849-1:2006 * pour les collaborateurs commerciaux et les clients intéressés de Schmersal et Elan

* La norme EN ISO 13 849-1:2006 a été remplacée entre-temps par une nouvelle édition de l’EN ISO 13 849-1:2008. La seule différence est l’intégration de la nouvelle Directive « Machines » 2006/42/CE dans la nouvelle annexe ZB à la norme. Dans cette brochure, nous nous bornerons à l’EN ISO 13 849-1:2006.

Catégorie

S1

B1234

S2

F1P1

P2

P1

P2 F2Hohes

Risiko

Risque

faible

Point de départ de

l’estimation de la

réduction du risque

Niveau de

performance

requis PLr

S1

S2

F1

F2

F1

F2

P1

a

b

c

d

e

P2

P1

P2

P1

P2

P1

P2

2

Liste et explication des abréviations utilisées

Valeur B• 10d : nombre de cycles, jusqu’à ce que 10 % des composants d’un sondage compor-tant au moins 7 échantillons présentent une défaillance dangereuse (pour les composants sensibles à l’usure, c’est-à-dire mécaniques, pneumatiques et électromécaniques)

Catégorie, cat. (B, 1, 2, 3, 4): la catégorie détermine de manière décisive (déterministe) la •qualité de la technologie d’une SRP/CS. Lorsque la catégorie B et la catégorie 1 se rap-portent à la qualité des composants utilisés, les catégories supérieures exigent des com-posants/éléments supplémentaires (canaux) pour pouvoir compenser aux défaillances des composants isolés.

CCF : Common Cause Failure (ou « Common Mode Failure »): défaillances de cause com-•mune ; des composants, qui exécutent une opération simultanée répétitive pour des raisons de sécurité, présentent simultanément une défaillance (par exemple : les 4 freins d’une voiture refusent simultanément de fonctionner).

DC : Diagnostic Coverage •(Couverture diagnostique: réduction de la probabilité d’une défaillance dangereuse du ma-tériel suite aux tests diagnostiques automatiques)

MTTF• d : Mean Time To dangerous Failure (durée moyenne de fonctionnement avant dé-faillance). A ne pas confondre avec la durée de vie garantie(1).

PFH/PFH• d : Probability of dangerous Failure per Hour (probabilité de défaillance dangereuse par heure)(2).

PL : Performance Level (EN ISO 13 849-1:2006) •Il y a 5 niveaux de performance of PL (« a », « b », « c », « d », « e ») ; la qualité de la technologie de sécurité augmente en fonction de la gravité du risque à couvrir de « a » à « e ». Le niveau de performance est l’aptitude des parties relatives à la sécurité à exécuter une fonction de sécurité dans des conditions prévisibles, pour atteindre la réduction de risque attendue.

SIL : Safety Integrity Level (EN IEC 62 061:2005) •Il y a 3 niveaux d’intégrité de sécurité ou SIL (1, 2, 3) ; la qualité de la technologie de sécurité augmente en fonction de la gravité du risque à couvrir de « 1 » à « 3 ».

SILCL : limite de revendication de SIL ou valeur SIL maximale, en anglais : SIL claim limit) (IEC •62 061:2005). SIL maximal qui peut être pris en compte pour un sous-système ou système partiel, compte tenu des contraintes structurelles et l’intégrité de défaillance systématique.

Sous-PL/Sous-SIL : PL ou SIL au niveau du sous-système. Un sous-système est un sys-•tème qui exécute déjà correctement une fonction de sécurité pour une tâche partielle (p. ex. un module d’entrée qui détecte les entrées de manière sûre).

SRP/CS : Safety Related Part of (a) Control System(s) •(partie(s) d’un système de commande relative à la sécurité)

Valeur T• 10d : valeur indicative pour le remplacement préventif (10 % de la valeur MTTFd en années, calculée sur base de la valeur B10d). Lorsque cette valeur est atteinte, environ 10 % de tous les composants ont déjà fait l’objet d’une défaillance dangereuse. La norme EN ISO 13 849-1:12006 recommande le remplacement à ce point-ci.

(1) L’indice « d » représente la direction des défaillances dangereuses. Exemple : un transistor présente une dé-faillance et ne déclenche pas (= dangereux dans le sens de la sécurité fonctionnelle) ; inversement, « n’enclenche pas » = sans danger dans le sens de la sécurité fonctionnelle, même si la disponibilité est atteinte. Voir également Lexique, mot-clé: « taux de défaillance ».

(2) Pour cette valeur, la différentiation via l’indice « d » n’est pas d’usage, autrement dit: la direction d’une défaillance dangereuse est généralement indiquée par une valeur PFH ou PFHd.

3

Préface

Suite à l’entrée en vigueur des normes EN ISO 13 849-1:2006 et EN IEC 62 061:2005, il faudra dorénavant non seulement analyser les structures (approche déterministe(1)), mais également analyser la fiabilité et la probabilité de défaillance (approche probabiliste(2)) des systèmes de commande relatives à la sécurité. A celles-ci s’ajoutent encore un nombre d’autres exigences – non moins signifiantes – telles que les « défauts systématiques » et le « logiciel » (voir lexique, mots-clés « Annexe G » et « logiciel ». Ce mémoire a pour but de vous fournir des informations de base au sujet de la «Nouvelle norme SRP/CS », qui vous peuvent être utiles pour votre travail de tous les jours.

En vue de la combinaison future des méthodes d’évaluation déterministes et probabilistes pour les SRP/CS, nos clients doivent désormais tenir compte de quelques nouvelles exigen-ces. Ils ont toutefois un degré de liberté supérieur au niveau de la conception. En tant que fabricant de composants de sécurité, nous sommes directement concernés par ces modifica-tions et nous sommes sollicités à prendre position.

Bien que nous conseillons nos clients d’utiliser pour des raisons pratiques la norme EN ISO 13 849-1:2006 (et la philosophie PL de cette norme) pour la conception de leurs SRP/CS, ce mémoire tient également compte de la philosophie SIL selon l’EN IEC 62 061-2006 – partout où celle-ci peut être considérée comme alternative. En effet, suite aux péripéties d’autorité des comités de normalisation, les deux normes rivalisent pour la succession de l’EN 954-1:1996. Il n’y a toutefois aucun problème si l’on préfère l’EN ISO 13 849-1:2006, puisque le PL et le SIL sont en principe compatibles et l’idée de base est largement identique (voir égale-ment lexique, mot-clé « Normes »). Selon nous, l’EN IEC 62 061:2005 n’est à préférer sur l’EN ISO 13 849-1:2006 que dans quelques cas exceptionnels.

Cette brochure est basée sur la première édition datant de la moitié de 2008. Cette édition a cependant été soigneusement révisée, précisée et étendue. Comme d’habitude, elle com-prend plusieurs parties, chacune avec ses accents particuliers, en partie spécifiques pour Schmersal/Elan et en partie relatifs aux principes de base. Consultez à cet effet la table des matières, page 4 et suivantes. La partie 7 (page 93 et suivantes) comprend un outre un petit lexique avec plus d’information sur les nouvelles normes SRP/CS. Si vous désirez vous plon-ger d’abord dans la philosophie de l’EN ISO 13 849-1:2006, vous commencez votre lecture de cette brochure à la page 81 et suivantes (partie 6).

Nous souhaitons exprimer notre reconnaissance à tous les collègues ayant contribué à la réa-lisation de cette brochure par leur collaboration active, leurs suggestions et leurs remarques.

Wuppertal/Wettenberg, janvier 2009

Friedrich AdamsK.A. Schmersal Holding GmbH & Co. KG, WuppertalChef du Schmersal tec.nicum

(1) Déterministe/Déterminisme : notion de l’épistémologie philosophique pour indiquer la certitude univoque et la pré-destination d’événements par des événements (définissables et reproductibles), p. ex. une tolérance aux défaillan-ces par redondance (les tolérances et les hasards ne jouent aucun rôle!).

(2) Probabiliste/Probabilisme: classification des événements selon leur degré de certitude = calcul de probabilité/théorie probabiliste (domaine des mathématiques).

4

Table des matières

Partie 1 : Explication du contexte ................................................................................ Page 9

Partie 2 : Spécifications (méthode de calcul dans le contexte de l’EN ISO 13 849-1:2006 et l’EN IEC 62 061:2005) ................................................... Page 15

Composants isolés du programme Schmersal/Elan ............................................... Page 21– Composants isolés du programme Schmersal/Elan ................................................. Page 22 – Spécifications des composants ................................................................................... Page 25 – Exposé : questions relatives à l’architecture ou la catégorie ..................................... Page 29 – Exposé : exclusion de défauts pour les composants isolés avec fonction de sécurité ........................................................................................... Page 32

Systèmes hautement complexes avec fonction de sécurité .................................. Page 35– Systèmes hautement complexes avec fonction de sécurité ...................................... Page 36– Systèmes hautement complexes avec fonction de sécurité du programme Schmersal/Elan ................................................................................. Page 38– Combinaisons de composants ................................................................................... Page 41– Système de bus de sécurité ASi-SaW/composants avec interface ASi-SaW ........... Page 42

Partie 3 : Combiner les sous-PL pour obtenir le PL global ..................................... Page 45 Comment puis-je calculer moi-même un PL pour un sous-système (un sous-PL) ? ...................................................................................... Page 53 – Introduction/Préface ................................................................................................... Page 54– Exemples .................................................................................................................... Page 56– Comment puis-je calculer moi-même un sous-PL pour les composants du programme Schmersal/Elan ? ............................................................................... Page 63

Partie 4 : Exposés .......................................................................................................... Page 67

Couverture du diagnostic ........................................................................................... Page 68

Influence de la définition de la fonction de sécurité sur le calcul PL – exemples .................................................................................................... Page 70

Partie 5 : Exemples de câblage du rapport BGIA ..................................................... Page 73

1) Exemple de câblage BGIA 8.2.34 : surveillance de porte avec traitement des signaux en aval via un module de sécurité SRB ou un API de sécurité (la situation classique) .............................................................................................. Page 74

2) Exemple de câblage BGIA 8.2.29 : cascadage ou câblage en série ..................... Page 75

3) Exemple de câblage BGIA 8.2.28 : cascadage ou câblage en série ..................... Page 76

5

4) Exemple de câblage BGIA 8.2.18 : interverrouillage d’un protecteur avec traitement des signaux en aval via un module de sécurité SRB ou un API de sécurité (canal 1) et un API standard (canal 2) ............................. Page 77

5) Exemple de câblage BGIA 8.2.19 : interverrouillage d’un protecteur ................ Page 78

Partie 6 : Aperçu des caractéristiques et application de l’EN ISO 13 849-1:2006 . Page 81

Objectif de la standardisation SRP/CS ..................................................................... Page 82

Niveau de performance (1) .......................................................................................... Page 85



Teil 7: Lexique/Explication des mots-clés et définitions .................................................................. Page 93

– Addition des probabilités de défaillance .................................................................... Page 94– Amendement 1 de EN 1088:1996 ............................................................................... Page 94– Annexe E ..................................................................................................................... Page 95– Annexe G (selon EN ISO 13 849-1:2006) ..................................................................... Page 95– Annexe K (selon EN ISO 13 849-1:2006) ..................................................................... Page 96– Aptitude fonctionelle .................................................................................................... Page 97– Architectures désignées .............................................................................................. Page 97– Arrondissement/limite d’arrondissement ................................................................... Page 98

– BGIA ........................................................................................................................... Page 98– Boucle de retour ......................................................................................................... Page 98

– Câblages en série ....................................................................................................... Page 98– Câblages en série de composants électromécaniques ............................................. Page 99– Calculs (estimation du PL) .......................................................................................... Page 99– Catégories ................................................................................................................. Page 100– Catégories/Catégorie 2 ............................................................................................. Page 100– CCF (Common Cause Failure, défaillances de cause commune), mesures de prévention des défaillances de cause commune .................................. Page 102– Circuit de redémarrage .............................................................................................. Page 103– Compatibilité SIL ↔ PL/PL ↔ SIL ............................................................................. Page 103– Courbe on U .............................................................................................................. Page 104– Couverture du diagnostic DC (Diagnostic Coverage) ............................................... Page 104– Couverture du diagnostic (extérieure) ....................................................................... Page 104

– DC .............................................................................................................................. Page 105

6

– Défaillances/défauts .................................................................................................. Page 105– Défaillances (défaillances systématiques) ................................................................. Page 106– Défaillances (défaillances aléatoires) ......................................................................... Page 107– Diagnostic coverage DC ............................................................................................ Page 107– Diagramme bloc ........................................................................................................ Page 107– Directive « Machines » ................................................................................................ Page 107– Dispositifs d’essai ...................................................................................................... Page 108– Disque rotatif BGIA .................................................................................................... Page 108

– Entrée en vigueur ....................................................................................................... Page 108– Evaluation du PL et SIL .............................................................................................. Page 108– Exclusion de défauts ................................................................................................. Page 108– Exclusion de défauts pour les dispositifs à commande manuelle ............................ Page 109– Exclusion de défauts pour les interverrouillages ...................................................... Page 109– Exclusion de défauts : niveau de câblage ................................................................. Page 109

– Fiabilité du matériel MTTFd ........................................................................................ Page 110– Fonction de sécurité .................................................................................................. Page 110– Formule de symétrisation .......................................................................................... Page 110

– Good Engineering Practices (GEP), Bonnes Pratiques ............................................. Page 110– Graphe de résultat PL ............................................................................................... Page 110– Graphe résultant PL ................................................................................................... Page 110– Graphe pour l’estimation des risques ....................................................................... Page 111– Graphe pour l’estimation du risque selon l’EN ISO 13 849-1:2006 ........................... Page 111– Graphe pour l’estimation du risque selon l’EN IEC 62 061:2005 ............................... Page 111

– Ingénierie de fiabilité .................................................................................................. Page 112– Interrupteur de surveillance supplémentaire ............................................................. Page 113

– Littérature .................................................................................................................. Page 113– Logiciel ...................................................................................................................... Page 114– Low Demand Mode, mode de faible sollicitation ...................................................... Page 114

– Mesures de prévention des défaillances de cause commune CCF .......................... Page 114– Méthode de comptage des parties ou Parts Count Method .................................... Page 114– Mission Time (durée de vie, durée de mission) ......................................................... Page 115– MTTFd fiabilité du matériel ......................................................................................... Page 115

– Niveau de câblage ..................................................................................................... Page 115– Niveau de performance ............................................................................................. Page 115– Normes: – Normes(-type-) A, B et C ....................................................................................... Page 115 – EN 954-1:1996 ........................................................................................................ Page 115 – EN 954-2 ................................................................................................................ Page 115 – EN ISO 13 849-1:2006 ............................................................................................ Page 115 – EN ISO 13 849-2:2003 ............................................................................................ Page 116

7

– EN IEC 62 061:2005 ................................................................................................ Page 116 – EN IEC 61 508:2001 ................................................................................................ Page 116 – EN ISO 13 849-1:2006 ↔ EN IEC 62 061:2005 (Vergleich) ..................................... Page 117 – EN ISO 13 849-1:2006 ↔ EN IEC 62 061:2005 (Vergleich zu EN 954-1:1996) ........ Page 118– Normes C (normes type) ........................................................................................... Page 119

– Objectif de la standardisation SRP/CS ..................................................................... Page 119

– PFD (Probability of Failure on Demand, probabilité de défaillance sur sollicitation) Page 119– PL – Niveau de performance ..................................................................................... Page 120– PLr = required, niveau de performance requis .................................................................. Page 120– Proof Test/Proof Testinterval ..................................................................................... Page 120– Proven in use ............................................................................................................. Page 120

– Rapport BGIA 2/08 .................................................................................................... Page 120– Répartition exponentielle ........................................................................................... Page 121– Reset, réarmement .................................................................................................... Page 121– Risque, analyse des risques, estimation des risques ............................................... Page 122

– SIL (Safety Integrity Level, niveau d’intégrité de sécurité) ......................................... Page 123– SIL Claim Limit (SILCL) .............................................................................................. Page 123– SISTEMA .................................................................................................................... Page 124

– Taux de défaillance .................................................................................................... Page 124

– Valeurs B10d ................................................................................................................ Page 126– Valeur T10d .................................................................................................................. Page 128

Partie 8 : Extrait de notre brochure « Une nouvelle norme pour la sécurité des machines : EN ISO 13 849-1:2006 – Parties des systèmes de commande relatives à la sécurité ................................................................................................. Page 129

Exemple de la norme selon l’Annexe I à l’EN ISO 13 849-1:2006

Bibliographie ................................................................................................................. Page 138

L’information reprise dans cette brochure est fournie selon le meilleur de notre connaissance actuelle. Les caractéristiques et recommandations figurant dans ce document sont exclusive-ment données à titre d’information et sans engagement contractuel de notre part. L’utilisateur de cette information doit vérifier la cohérence ainsi que l’appropriation de la connaissance au regard de son application. Nous espérons pouvoir compter sur votre compréhension.

8

9

Explication du contexte

9

10

Explication du contexte (1)(plus d’information: voir Partie 6, page 81 et suivantes)

En résumé, nous pouvons dire qu’un niveau de performance, que la nouvelle norme EN ISO 13 849-1:2006 exige désormais(1) pour la conception des SRP/CS, est une estimation ou une évaluation de plusieurs paramètres, qui sont actuellement reconnus dans le monde entier pour mesurer la sécurité et la fiabilité des systèmes de mesure, de régulation et de com-mande, c’est-à-dire des paramètres constituant l’intégrité de sécurité d’un système. Contrai-rement à ce qui est actuellement bon ton dans le monde de la construction de machines, un niveau de performance correspond à une estimation à multiples dimensions. Au lieu de modé-lisations complexes, l’EN ISO 13 849-1:2006 se sert d’une approche simplifiée, dans laquelle 4 paramètres auxiliaires doivent être évalués.

Attention! Le niveau de performance doit en outre répondre à certaines exigences essen-tielles, c’est-à-dire des mesures pour éviter et maîtriser les défaillances systématiques. La norme fait une distinction entre les défaillances aléatoires (voir ailleurs) et les défaillances systématiques. La norme fait également une distinction systématique entre le PLr et le PL. PLr représente le niveau de performance requis (en fait la valeur cible ou désirée) résultant de l’appréciation du risque. Le PL est le résultat de l’analyse de la réduction du risque (en fait la valeur réelle).

Le point de départ d’une estimation PL est la définition des différentes fonctions de sécurité •qui sont nécessaires pour réaliser les mesures de sécurité d’une machine ou du système de commande d’une machine.

Ensuite, il faut déterminer le niveau de performance requis PL• r pour chaque fonction de sécurité sélectionnée. Le niveau de performance à choisir (de « a » à « e ») peut être dérivé de la norme C (norme de produit) ou du graphe pour l’estimation du risque.

Le niveau de performance PL représente l’aptitude de parties relatives à la sécurité à réali-•ser une fonction de sécurité dans des conditions prévisibles pour atteindre la réduction du risque attendue.

L’efficacité des mesures (exigées) est exprimée sous forme d’une valeur PFH• d (une valeur exprimant la probabilité de défaillance dangereuse par heure = Average Probability of dangerous Failure per Hour). La valeur PFHd est également le lien avec les niveaux d’inté-grité de sécurité internationales (Safety Integrity Levels ou SIL) qui sont utilisées dans l’EN IEC 61 508:2000 ou l’EN IEC 62 061:2005.

a) Réduction du risque dans une très faible mesure

b) Réduction du risque à moindre degré

c) Réduction du risque dans une large mesure

d) Réduction du risque dans une me-sure considérable

e) Extrême réduction du risque

Ris

que

rés

idue

l

a

b

c

d

e

Gravité du risque

(1) Au plus tard à partir de 2010. L’EN 954-1:1996 (ou ISO 13 849-1:1999) sera retirée en décembre 2009.

11

L’appréciation se fait selon l’EN ISO 13 849-1:2006 au moyen de l’estimation de 4 para-•mètres individuels:

1. L’architecture qui correspond en fait à l’estimation des catégories de l’EN 954-1:1996 (ISO 13 849-1:1999) qui ont été reprises dans l’EN ISO 13 849-1:2006 ;

2. L’estimation de la fiabilité du matériel, exprimée en années par le MTTFd (Mean Time to dangerous Failure = temps moyen avant défaillance dangereuse). Le MTTFd est une valeur moyenne statistique exprimant la durée de fonctionnement avant défaillance en années (y) ;

3. L’estimation (de la probabilité) de l’efficacité des mesures de prévention implémentées dans le SRP/CS ou la partie concernée du SRP/CS, exprimée par la couverture du dia-gnostic (DC, Diagnostic Coverage) en % ;

4. Les mesures pour éviter les défaillances de cause commune (Common Cause of Common Mode Failures, CCF).

Les résultats de l’estimation de ces valeurs sont copiés ensuite dans un diagramme ou •comparés à l’Annexe K à l’EN ISO 13 849-1:2006 pour déterminer le niveau de performance PL atteint. Celui-ci est ensuite comparé avec le niveau de performance requis PLr pour la fonction de sécurité en question, puis validé.

Graphe de résultat

Résumé schématique

Architecturé désignée (catégories) : estimations de l’ancienne EN 954-1996

Tolérance aux défauts du ma-tériel (Mean Time To dangerous Failure) : spécifications du fabricant, de la norme ou d’œuvres de réfé-rénce

Couverture du diagnostic DC : Annexe E de l’EN ISO 13 849-1:2006 ou spécifications du fabricant

Common Cause Failure CCF : en principe, on peut supposer > 65 points pour les composants de sécurité

Représentation numérique selon l’EN ISO 13 849-1:2006 Annexe KTableau K.1 – Représentation numérique de la figure 5 (de l’EN ISO 13 849-1:2006 [D] – Annexe K [informatif])

Probabilité moyenne de défaillance dangereuses par heure [1/h] et le niveau de performance correspondant PLMTTFd pour chaque canal

Cat. B PL Cat. 1 PL Cat. 2 PL Cat. 2 PL Cat. 3 PL Cat. 3 PL Cat. 4 PL

Années DCavg = néant

DCavg = néant

DCavg = faible

DCavg = moyen

DCavg = faible

DCavg = moyen

DCavg = élevé

3 3,80 × 10–5 a 2,58 × 10–5 a 1,99 × 10–5 a 1,26 × 10–5 a 6,09 × 10–6 b3,3 3,46 × 10–5 a 2,33 × 10–5 a 1,79 × 10–5 a 1,13 × 10–5 a 5,41 × 10–6 b3,6 3,17 × 10–5 a 2,13 × 10–5 a 1,62 × 10–5 a 1,03 × 10–5 a 4,86 × 10–6 b3,9 2,93 × 10–5 a 1,95 × 10–5 a 1,48 × 10–5 a 9,37 × 10–6 b 4,40 × 10–6 b4,3 2,65 × 10–5 a 1,76 × 10–5 a 1,33 × 10–5 a 8,39 × 10–6 b 3,89 × 10–6 b4,7 2,43 × 10–5 a 1,60 × 10–5 a 1,20 × 10–5 a 7,58 × 10–6 b 3,48 × 10–6 b5,1 2,24 × 10–5 a 1,47 × 10–5 a 1,10 × 10–5 a 6,91 × 10–6 b 3,15 × 10–6 b5,6 2,04 × 10–5 a 1,33 × 10–5 a 9,87 × 10–6 b 6,21 × 10–6 b 2,80 × 10–6 c6,2 1,84 × 10–5 a 1,19 × 10–5 a 8,80 × 10–6 b 5,53 × 10–6 b 2,47 × 10–6 c6,8 1,68 × 10–5 a 1,08 × 10–5 a 7,93 × 10–6 b 4,98 × 10–6 b 2,20 × 10–6 c7,5 1,52 × 10–5 a 9,75 × 10–6 b 7,10 × 10–6 b 4,45 × 10–6 b 1,95 × 10–6 c8,2 1,39 × 10–5 a 8,87 × 10–6 b 6,43 × 10–6 b 4,02 × 10–6 b 1,74 × 10–6 c9,1 1,25 × 10–5 a 7,94 × 10–6 b 5,71 × 10–6 b 3,57 × 10–6 b 1,53 × 10–6 c

MTTFd = faibleMTTFd = moyenMTTFd = élevé

Catégorie BDCavg =

0

Catégorie 1DCavg =

0

Catégorie 2DCavg =faible

Catégorie 2DCavg =moyen


+ CCF


Catégorie 4DCavg =élevé

a

b

c

d

e

10–4

10–5

3 × 10–6

10–6

10–7

10–8

PL

PFH (1/h)

Probabilité d’une défaillance dangereuse par heure (PFHd)

Niveau de performance PLrSource : norme C ou estimation via le graphe pour l’estimation du risque

PL Safety Integrity Level (SIL)

a ≥ 10–5 … < 10–4 = Pas de correspondance

b ≥ 3 × 10–6 … < 10–5

≙ SIL 1c ≥ 10–6 … < 3 × 10–6

d ≥ 10–7 … < 10–6 ≙ SIL 2

e ≥ 10–8 … < 10–7 ≙ SIL 3

12

Explication du contexte (2)

Cette brochure se concentre sur l’information qui se rapporte à la détermination d’un niveau •de performance sur base de l’EN ISO 13 849-1:2006. A cet effet, elle se sert de la méthode d’estimation des sous-systèmes.

Note: dans le contexte du niveau de performance (PL), les mots « calcul » et « estimation » doivent être considérés comme des synonymes. L’EN ISO 13 849-1:2006 utilise régulièrement le mot « estimation ». Estimation représente ici le jargon mathématique pour les grandeurs auxiliaires dans les inégalités, mais d’autre part, l’exactitude ma-thématique absolue n’est pas considérée avec tant d’importance non plus. Il s’agit plutôt de la direction correcte ou mieux encore, du juste ordre de grandeur.

En principe, il y a deux possibilités pour déterminer le niveau de performance (PL): • La première possibilité est la dite méthode des sous-systèmes selon l’Annexe B à l’EN ISO 13 849-1:2006, au moyen de laquelle l’ensemble du SRP/CS est évalué. Un exemple de cette méthode est repris dans l’annexe I4 à l’EN ISO 13 849-1:2006 (voir Annexe derrière le lexique, page 131 et suivantes). Cette méthode est recommandée de préférence pour les SRP/CS complexes et dans des cas exceptionnels (comme alternative pour la méthode des sous-systèmes).

Estimation globale d’une fonction de sécurité➔ Méthode bloc ➔ Exemple de la norme

SW1B

K1BSW2

CC:PLC:M:RS:P:

Convertisseur de courantAutomate Programmable IndustrielMoteurDétecteur de rotationInterrupteur représenté en position actionnée

Fermé

Ouvert

Signal de commande CC

L+++

MRS n

API PLC API

A

PSW1B K1B

SW2 PLC CC

RS

La deuxième possibilité est une méthode simplifiée, la méthode d’évaluation des sous-sys-tèmes (ci-après dénommée « l’estimation des sous-PL » ou « méthode sous-PL ») au moyen du tableau 11 de l’EN ISO 13 849-1:2006, voir page 45 et suivantes). Consultez à cet effet également l’Annexe H à la norme. Cette méthode présente l’avantage que le marché offre des composants et systèmes, qui constituent déjà un sous-système, auquel le fabricant a déjà attribué un sous-PL (ou sous-SIL) et une valeur PFHd correspondante. Dans ce cas, vous ne devez plus calculer vous-même et d’autre part, si vous devez estimer un sous-PL vous-même, l’estimation ou le calcul est plus facile (moins complexe).

13

(1) Ci-après, sous-PL et sous-SIL sont souvent nommés d’un trait, parce que l’EN IEC 62 061:2005 prescrit elle aussi de préférence la méthode d’estimation des sous-systèmes.

Une subdivision du SRP/CS global en sous-systèmes ou systèmes partiels est à l’origine •des sous-PL ou sous-SIL(1). Ces sous-systèmes sont dérivés des blocs de fonction typiques pour le niveau d’entrée, du traitement des signaux et de sortie (= I pour entrée + L pour la logique + O pour sortie). Voir également la figure ci-dessus. Cette subdivision simplifie le calcul du PL (ou SIL) global au moyen du tableau de la norme (voir page 45 et suivantes).

Dans le programme des produits de Schmersal/Elan (et de nos concurrents), il faut distin-•guer deux types de composants pour l’estimation des sous-PL ou des sous-SIL, c’est-à-dire le groupe des « composants isolés avec fonction de sécurité » et le groupe des « com-posants hautement complexes avec fonction de sécurité ».

La division en deux groupes de composants ne comporte en aucun cas une qualification de •la manière dont ces composants remplissent leurs fonctions de sécurité dans le SRP/CS ; elle se prononce exclusivement sur leur utilisation, qui est différente (voir page 15 et suivan-tes).

Division de la fonction de sécurité en I , L et O ➔ Méthode sous-PL ➔ voir page 47 et suivantes

Fonction de sécurité B

Fonction de sécurité A

Function block B 1

Function block A 1

Function block B 2

Function block A 2

Function block B 3

Function block A 3

Sous-système 1 Sous-système 2

SRECS

Sous-système 3

où

Capteur I Module de sécurité L Actionneur O

14

La différence essentielle entre les deux groupes est leur architecture différente. Certaines •architectures – voir figure à gauche – possèdent un « diagnostic extérieur » (automatique), d’autres – voir figure à droite – un « autodiagnostic » (automatique) (voir ailleurs). Dans ce contexte et dans les deux cas, automatique signifie « exécuté en grande partie par le sys-tème » ou « indépendamment » (voir également page 15 et suivantes).

Exigences attribuées pour la fonctionalité et l’intégrité

Verrouillage interrupteur

TSE 1.1

D

D

D API conforme

à l‘IEC 61508

Systèmes partiels (TS)Implémentent des blocs de fonction et sont des éléments dans la conception de l’architecture au niveau la plus élevé; une défaillance d’un système partiel entraîne une défaillance de la fonction de commande relative à la sécurité.

Eléments d’un systsème partiel (TSE)sont des composants implémentant les éléments des blocs de fonction attribués aux systèmes partiels

Fonctions diagnostiques (D)sont considérées comme des fonctions individuelles, qui peuvent avoir une structure individuelle par rapport à la fonction de commande relative à la sécurité. Elles peuvent être réalisées • à l’intérieur du système partiel,• par un autre système partiel du

SRECS, • par un système partiel non

appartenant au SRECS.


TSE 1.2

Détecteur de vitesseTSE 2.1


RelaisTSE 4.1

RelaisTSE 4.2

TS 1

TS 2TS 3

TS 4



TSE 1.1

D

D

DD

API conformeà l‘IEC 61508







TSE 1.2



RelaisTSE 4.1

RelaisTSE 4.2

TS 1

TS 2 TS 3 TS 4

Différence : diagnostic extérieur vs. autodiagnostic

Composants isolés avec fonction de sécurité

Composants hautement complexes avec fonction de sécurité

Les composants isolés avec fonction de sécurité (dans la figure ci-dessus également appelés « éléments d’un système partiel TSE » se caractérisent par le fait qu’ils ne sont pas capables de réaliser une couverture du dia-gnostic eux-mêmes ; à cet effet, ils nécessitent d’autres composants/éléments du SRP/CS (= diagnostic exté-rieur. Voir également l’exécution isolée de D dans la figure. Le résultat de l’ensemble (TSE ou TSE + D ) est un sous-système ou système partiel qui convient pour un calcul d’un sous-PL (supérieur). Pour les PL inférieur, il suffit d’évaluer la fiabilité du matériel des composants isolés (TSE).

Les systèmes hautement complexes avec fonction de sécurité possèdent d’origine une architecture avec toutes les caractéristiques nécessaires à un sous-PL (supérieur) et surtout la capacité de réaliser eux-mêmes une couverture du diagnostic (= autodiagnostic). Voir également l’exécution directe de D dans la figure: TSE et D constituent déjà un ensemble (un système partiel ou sous-système avec – généralement – un sous-PL plus élevé).

15

Spécifications (méthode de calcul dans le contexte de l’EN ISO 13 849-1006 en EN IEC 62 061:2005)

15

16

Spécifications (méthode de calcul dans le contexte de l’EN ISO 13 849-1:2006 en EN IEC 62 061:2005)

Tous les grands fabricants compléteront leurs données techniques par des spécifications •exigées par l’EN ISO 13 849-1:2006 et l’EN IEC 62 061:2005 ou ils les fourniront à leurs clients sur demande. En plus des spécifications du fabricant, l’utilisateur peut consulter un grand nombre d’autres sources, p. ex. l’EN ISO 13 849-1:2006 [Annexe C] et l’EN IEC 62 061:2005, la norme SN 29 000 et les manuels MIL [pourtant relativement démodés]). Les deux normes stipulent toutefois qu’il faut utiliser de préférence les spécifications du fabri-cant.

Les spécifications sont cependant différentes en fonction du type de composant. Il faut •faire la distinction entre les éléments électroniques, les composants isolés, p.ex. disposi-tifs de commutation de sécurité, et les systèmes hautement complexes avec fonction de sécurité. Cette dernière catégorie comporte en outre les combinaisons de composants éventuelles.

Les éléments ne sont pas discutés dans cette brochure. D’ailleurs, la différence essentielle •est le fait que les systèmes hautement complexes avec fonction de sécurité et les combi-naisons de composants possèdent déjà d’origine une architecture de sécurité spécifique (catégorie 2 et supérieure) et qu’ils possèdent la capacité d’autodiagnostic (considéré de ce point de vue, via une « intelligence » intégrée). Les systèmes hautement complexes avec fonction de sécurité ont donc dès le début un sous-PL ou sous-SIL plus élevé.

Les composants isolés tels que les interrupteurs de sécurité par contre, ont généralement •une architecture simple (à la limite, ils ont une structure à 2 canaux). Ils ne possèdent toute-fois pas la capacité d’autodiagnostic. Pour ces composants, la couverture du diagnostic est généralement réalisée par d’autres éléments du SRP/CS installés en amont ou en aval, p. ex. pour les interrupteurs AZ16 par un module SRB. Dans ce sens, on peut dire qu’il s’agit ici d’un diagnostic extérieur. La norme utilise également l’expression « éléments d’un sys-tème partiel ou d’un sous-système » pour désigner les composants isolés.

Les composants isolés (sans diagnostic extérieur additionnel) ont généralement un sous-PL •ou sous-SIL plus bas (en fonction de la probabilité de défaillance max. PL « c » ou SIL 1) ; moyennant une réalisation appropriée (mot-clé: « redondance ») et en liaison avec des mesures de prévention supplémentaires (mot-clé: « diagnostic extérieur »), ils peuvent être approuvés jusqu’à sous-PL « e » ou sous-SIL 3. A cet effet, il faudra éventuellement réaliser une exécution supplémentaire à 2 canaux(1).

Exemples typiques de composants isolés : vannes et cylindres fluidiques (hydrauliques, •pneumatiques), relais auxiliaires et de commande, organes de commande d’arrêt d’urgence, interrupteurs de position, dispositifs d’interverrouillages y compris les interrupteurs magné-tiques de sécurité, interrupteurs de marche conditionnelle, etc. Pour les composants de ce type, il faut utiliser une grandeur intermédiaire, la valeur dite B10d (fréquence de manœuvre max.) parce qu’ils sont sensibles à l’usure pendant leur utilisation, et pour les nouveaux composants à l’avenir éventuellement aussi une valeur MTTFd (exprimée en années).

(1) Simplement dit ceci signifie que (sauf quelques exceptions), la catégorie maximale des interrupteurs simples est limitée à 1 et leur sous-PL à « c » ou leur sous-SIL à 1, même s’ils possèdent une structure électrique à 2 canaux. Seulement au moment où une intelligence en aval détecte les défaillances, on peut attribuer une catégorie su-périeure et un PL ou SIL supérieur à ces interrupteurs, à condition que d’autres exigences soient remplies (p. ex. structure à 2 canaux). Voir également page 23 et suivantes et 29 et suivantes.

17

Résumé schématique : Classification des composants Schmersal/Elan en deux groupes

Composants isolés avec fonction de sécurité

Composants hautement com-plexes avec fonction de sécurité

Généralement à 1 canal •(parfois à 2 canaux)Utilisés de manière autonome : max. PL •« c » ou SIL 1Pas de diagnostic à eux•Pour PL « supérieurs » •+ architecture de qualité supérieure + diagnostic extérieur exigés !

Généralement à 2 canaux•Capables de réaliser un auto-•diagnosticConviennent pour des sous-PL •supérieurs

Les composants isolés peuvent donc obtenir un (sous)PL « d » ou (sous)PL « e », à condition •que l’estimation tienne compte des mesures de couverture de diagnostic additionnelles qui sont mises à leur disposition par d’autres éléments du SRP/CS. De plus, une redondance éventuelle des composants peut être exigée, s’ils ne remplissent pas les exigences pour une architecture à 2 canaux. Dans ces estimations, il s’agit en fait des combinaisons de tels composants avec par exemple des modules de sécurité ou des API de sécurité (telles qu’el-les sont décrites dans l’EN 954-1:1996), dont les circuits d’entrée ou les boucles de retour servent de détecteur à sécurité intégrée de défaillances et défauts éventuels au niveau I - ou O .

Interrupteurs de sécurité avec ac-tionneur séparé

Capteurs de sécurité avec principe de fonc-tionnement magnétique

Interverrouillages de sécurité plastiques et métalliques

Systèmes sans câblage/systèmes de transfert de clé

Interrupteurs de position avec fonction de sécurité

Organes de commande d’arrêt d’urgence

Interrupteurs de marche conditionnelle

Interrupteurs d’arrêt d’urgence à commande par câble

Interrupteurs de sécurité à pédale

18

NB: d’autres normes et textes de l’ingénierie de fiabilité expriment également la probabilité de défaillance sous forme de valeurs λ ou FIT. Ces spécifications peuvent être simplement converties vers une valeur MTTFd via la méthode de la valeur réciproque. Les dites valeurs MTBF (= Mean Time Between Failures, la moyenne des temps de bon fonctionnement) peu-vent être considérées comme l’équivalent des valeurs dans le contexte de l’EN ISO 13 849-1:2006. Il faut toutefois tenir compte de l’indice « d » (dangerous ou dangereux). Selon l’EN ISO 13 849-1:2006, les valeurs sans « d » doivent être divisées dans une proportion de 50:50 (on suppose que du point de vue statistique, seulement chaque deuxième défaillance est une défaillance dangereuse). Un MTTFd est donc deux fois le MTTF (pour toutes les dé-faillances possibles). Le même rapport s’applique aux valeurs B10d et B10.

Les composants hautement complexes avec fonction de sécurité (sous-systèmes etc.) pos-•sèdent déjà d’origine une structure permettant un diagnostic autonome, sans intervention d’autres éléments du SRP/CS. Dans ce cas, les spécifications du fabricant comprennent un sous-PL ou un sous-SIL (avec une valeur PFHd correspondante). Exemples typiques de systèmes hautement complexes avec fonction de sécurité : modules de sécurité, capteurs de sécurité à commande par microprocesseur, API de sécurité, systèmes de bus de sécu-rité, etc.

Interverrouillages de sécurité sans contact avec principe de fonc-tionnement inductif

Capteurs de sécurité avec principe de fonc-tionnement inductif

API de sécurité Composants pour ASi-SaW

Rideaux lumineux/ barrières immatérielles de sécurité

Barrages optiques de sécurité Scanner laser de sécurité

NB: pour les valeurs PFH, l’indice « d » n’est généralement pas utilisé ; la défaillance dange-reuse est indiquée par une valeur PFH ou une valeur PFHd.

19

Les combinaisons des composants, p.ex. la combinaison des interrupteurs magnétiques •de sécurité de la série BNS avec un module de sécurité AES, sont mises au même rang que les systèmes hautement complexes avec fonction de sécurité, parce que la combinaison constitue également une fonction de sécurité pour laquelle un sous-PL ou sous-SIL supé-rieur peut être déterminé.

Exemple d’une combinaison de composants BNS/AES

ATTENTION! Handicap: lorsque des composants isolés et des systèmes hautement com-•plexes avec fonction de sécurité sont utilisés ensembles dans un SRP/CS, p. ex. un inter-rupteur de sécurité au niveau d’entrée et un API de sécurité au niveau logique, il se peut qu’on ait pour un sous-système (dans cet exemple pour le sous-système « niveau d’entrée ») des valeurs MTTFd ou des valeurs B10d desquelles des valeurs MTTFd sont dérivées, voir ailleurs et pour l’autre (dans cet exemple pour le sous-système « niveau de la logique ») des valeurs PFHd. Eventuellement (s’il faut additionner les valeurs), une des valeurs doit être convertie. Le tableau repris en Annexe K de l’EN ISO 13 849-1:2006 reprend une représen-tation détaillée du diagramme bloc central (qui malheureusement est limitée à un MTTFd de 100 y ; voir page 50 et lexique, mot-clé « Annexe K »). On peut également estimer/calculer les valeurs de l’Annexe K soi-même ou utiliser le calcul simplifié pour la conversion d’une valeur PFHd vers une valeur MTTFd (1/PFHd : 8.760).

Ce handicap s’explique par le fait qu’un PL est déterminé non seulement par des facteurs •déterministes, mais également par la probabilité de défaillance dangereuse du système, re-présentée par la valeur PFHd qui dépend des 4 paramètres discutés ci-avant. Autrement dit : la valeur PFHd est la valeur « supérieure » décrivant les systèmes hautement complexes avec fonction de sécurité, contrairement à la valeur MTTFd qui n’est qu’un aspect de l’estimation discrète pour les composants isolés, auquel s’ajoute encore l’architecture (la catégorie), la détection des défauts (la couverture du diagnostic DC) et les défaillances de cause com-mune CCF, dont l’ensemble est représenté par une valeur PFHd. Les « mathématiques de base » ont été déterminées par le BGIA(1).

(1) BGIA: Berufsgenossenschaftliches Institut für Arbeitssicherheit, L’institution professionnelle pour la sécurité du travail (voir lexique)

20

21

Composants isolés du programme Schmersal/Elan

21

22

Composants isolés du programme Schmersal/Elan

Calculs de la valeur B10d

Les composants sensibles à l’usure, qui ont une durée de mission différente, sont exclus de •la supposition de répartition exponentielle typique des composants électriques. L’EN ISO 13 849-1:2006 considère ce type de composants via la grandeur intermédiaire qui résulte du calcul de la valeur B10d.

La valeur B• 10d est une valeur représentant le nombre de manœuvres, dans laquelle 10 % des prototypes testés présentent statistiquement une défaillance dangereuse. L’intégration dans l’architecture (la catégorie), la couverture du diagnostic (DC) et les CCF (voir ailleurs) est la responsabilité du client (et de ses conseillers).

Pour le calcul de la valeur MTTF• d de composants sensibles à l’usure, il faut utiliser une grandeur intermédiaire, la valeur dite B10d. Celle-ci correspond plus ou moins au nombre de manœuvres, pour laquelle la fonction relative à la sécurité est considérée acceptable. La valeur B10d est convertie en valeur MTTFd en tenant compte des conditions de l’application, c’est-à-dire la durée de service et la fréquence moyenne de sollicitation de la fonction de sé-curité du composant concerné.

La valeur B• 10d doit être calculée, parce que la courbe en U sert de référence pour indiquer les défaillances indépendantes de l’usure. Le côté gauche mot-clé: défaillances précoces) de la courbe en U n’est pas pris en compte, puisque le fabricant peut prendre des mesures appro-priées pour exclure des défaillances précoces, p. ex. le vieillissement artificiel. Le côté droit est également exclu puisque celui-ci dépasse large-ment la durée de mission effective (voir lexique, mots-clés « Valeur B10d », « Courbe en U » et « Durée de Mission »). Cela signifie que pour les composants sensibles à l’usure, le taux de défaillance après des défaillances précoces n’est pas constant dans le temps. Autrement dit : le taux de défaillance dépend du temps.

Les formules pour la conversion d’une valeur B• 10d en une valeur MTTFd sont comme suit:

dop × hop × 3.600 s

MTTFd =B10d nop =

h0,1 × nop tcycle

Taux dedéfaillance

Défail-lances

précoces

Défaillances dues àl’usure

Phase de défaillances constantes

Temps de service

Pour les composants sensibles à l’usure, il faut encore dériver une valeur T• 10d de la va-leur B10d ; celle-ci correspond à 10 % de la valeur MTTFd dérivée de la valeur B10d. Dans ce contexte, il est recommandé de remplacer les composants relatifs à la sécurité de préfé-rence dès que la valeur T10d est atteinte (pour T10d < 20 y). Ce taux de 10 % s’explique par l’assomption d’un comportement en cas de défaut inchangé (identique au comportement en cas de défaut de la courbe en U). Tout comme pour la valeur MTTFd, environ 63 % des prototypes testés présentent statistiquement une défaillance dangereuse pour la valeur B10d. Voir également lexique, mot-clé « répartition exponentielle ».

n• op = nombre moyen de manœu-vres par and• op= nombre moyen de jours de service par anh• op = nombre moyen d’heures de service par jourt• cycle = Sollici-tation moyenne de la fonction de sécurité en s (par exemple 4 × par heure = 1 × par 15 min. = 900 s)

23

Exemple d’un calcul d’une valeur B10d:

La valeur B• 10d d’une surveillance de porte est de 2.000.000.

L’installation avec grilles de sécurité, sur laquelle elle est utilisée, fonctionne 200 jours (d• op) par an en 2 équipes (hop) et les protecteurs sont ouverts 2 x par heure (hop). La fréquence de commutation moyenne s’élève donc à 200 (dop) × 16 (hop, 2 équipes) × 2 (sollicitations/heure, soit tcycle = 1.800) = 8.400 nop.

Le résultat est donc une valeur MTTF• d de 2.381 y(1) (2.000.000 : 0,1 × 8.400 = 2.381).

Dans cet exemple, la valeur T• 10d (238 y) n’est pas pertinente, puisqu’elle dépasse largement la durée de mission estimée du système de commande d’une machine (20 y) spécifiée dans l’EN 13 849-1:2006.

Provenance de nos chiffres

Sauf spécification contraire : l’EN ISO 13 849-1:2006 et rapport BGIA 2/2008 (voir lexique, •mot-clé « Rapport BGIA 2/08 »).

Questions concernant l’architecture ou la catégorie

La question de la catégorie à assigner à un composant individuel, n’est pas répondue, puis-•que les catégories sont maintenues comme caractéristique d’un PL.

L’ancienne discussion est relancée, si pour une architecture, dans laquelle une défaillance •n’entraîne pas la perte de la fonction de sécurité, tel qu’il est exigé pour les catégories 3 et 4, un composant avec des contacts de sécurité redondants (à manœuvre positive d’ouver-ture ou similaire) peut être utilisé ou s’il faut prévoir deux composants (structure physique à 2 canaux).

Si un seul composant avec des contacts de sécurité redondants est utilisé, cela signifie •qu’on suppose une exclusion de défauts pour la commande mécanique (c’est-à-dire le mécanisme de commande) ; on peut donc exclure que des défaillances dangereuses suite à usure, endommagement, encrassement, etc. se produisent.

(1) La limitation des valeurs MTTFd à 100 ans au plus n’est pas applicable ici, en premier lieu parce qu’il s’agit d’une valeur individuelle. L’arrondissement à 100 ans par canal se fait – en liaison avec d’autres valeurs MTTFd – seule-ment à la fin de l’estimation PL. ATTENTION : dans le logiciel SISTEMA (voir lexique, mot-clé « SISTEMA »), chaque estimation d’un sous-système aboutit à un arrondissement. De ce point de vue, il est recommandé de rassembler les architectures identiques d’un SRP/CS dans un sous-système spécifique de SISTEMA (= plusieurs sous-systè-mes selon notre définition, avec les mêmes architectures) pour éviter un arrondissement excessif.

3210 t [T]

b=0,8

b=1

b=2

b=3

b=4

b=5

b=6

b=7

Manœuvres

b=4

Duréede service

TM

Ligne pour la valeur B10d

0

0,1

0,2

0,3

0,4

0,5

0,6

0,7

0,8

0,9

1

F(t)

24

Une évaluation de l’aptitude à résister aux défauts (donc une exclusion de défauts) est ad-•mise selon l’EN ISO 13 849-1:2006, compte tenu du paragraphe 7.3 et en rapport avec l’EN ISO 13 849-2:2003. D’autre part, la note reprise dans le paragraphe 3.3 de la norme stipule que l’évaluation des défaillances probables dans un SRP/CS commence au point où sont générés les signaux relatifs à la sécurité, p. ex. au galet d’un interrupteur de position et se terminent à la sortie des actionneurs.

En tous cas, une considération soigneuse est exigée ! •

Vous trouverez plus d’information dans la liste des composants suivante sous le mot-clé •« structure à 1/2 canaux » et dans l’exposé « Exclusions de défauts pour les composants de Schmersal/Elan » à page 29 et suivantes. Finalement, la nécessité d’une exclusion de défauts dépend également de l’évaluation par le client et des conditions d’application.

Couverture du diagnostic DC

En fonction du traitement des signaux en aval jusqu’à 99 % (voir également page 32 et sui-•vante et page 68 et suivante).

Mesures contre les défaillances CCF/Mesures de prévention des CCF(Mesures contre les défaillances de cause commune)

L’évaluation autonome des mesures contre les défaillances CCF (ou les mesures de préven-•tion des défaillances de cause commune) est quelque peu difficile. Il vaut mieux une évalua-tion par rapport à l’intégration des composants isolés dans le SRP/CS, compte tenu de la question relative à la réalisation éventuelle d’une structure à 2 canaux (p. ex. via redondance physique ou électrique).

Les composants isolés de la gamme Schmersal/Elan fournissent d’origine le nombre mi-•nimal exigé de 65 pour le sous-système, dans lequel ils sont utilisés (voir lexique, mot-clé « CCF », tableau à partir de 3.), d’une part suite au respect de la norme de produit de la série EN IEC 60 947-5 et ses exigences de sécurité et environnementales et d’autre part suite à l’insensibilité CEM des composants. S’y ajoutent encore les éléments (éventuellement proportionnellement) de « 1. Séparation physique des contacts de signalisation »(1) et éven-tuellement de « 2. Diversité »(2).

Attention: les mesures de prévention CCF ne doivent être évaluées qu’à partir de la catégo-•rie 2, puisque les SRP/CS ont une structure à plusieurs canaux à partir de cette catégorie (soit sous forme d’une redondance classique ou sous forme d’une structure à 1 canal + canal d’essai).

Plus d’information : voir lexique, mot-clé « CCF »•

(1) Les contacts individuels des composants sont galvaniquement séparés. Si ce n’est pas le cas, les câbles sont à poser de manière protégée ou isolée.

(2) Par exemple, en fonction de la méthode d’évaluation – pour les combinaisons NO/NF.

25

Note (1) :• si nous parlons de contacts NF (contacts normalement fermés, contacts à ouver-ture) dans les paragraphes suivants, il s’agit toujours de contacts à manœuvre positive d’ouverture – sauf pour les interrupteurs magnétiques de sécurité. Pour les contacts NF à manœuvre positive d’ouverture, les spécifications doivent être considérées, suite à cette caractéristique relative à la sécurité particulière, indépendamment de la charge. Note (2) :• il y a lieu de poser la question pourquoi les valeurs B10d sont en partie tellement différentes, bien que les produits en question – à l’exception des interrupteurs magnétiques de sécurité – possèdent tous des contacts NF à manœuvre positive d’ouverture. Ceci est dû à l’intégration d’autres défaillances dangereuses dans l’évaluation, telles que l’usure du mécanisme pour la fonction de rupture brusque d’un organe de commande d’arrêt d’ur-gence ou la capacité de réarmement d’un bouton-poussoir. Pour les interrupteurs type 2, la norme tient compte des mauvaises expériences avec la durée de vie de marques concur-rentielles au passé.

Organes de commande d’arrêt d’urgence

Valeur B• 10d (indépendamment de la charge): 100.000 (contact NF) Structure à 1/2 canaux: en fonction de l’architecture (catégorie)•ALTERNATIVE: exclusion de défauts dans le cadre de la valeur B• 10d (voir page 29 et 75)Note (1):• la norme stipule que la valeur B10d de 6.050 ne doit être appliquée qu’en cas d’une sollicitation maximale d’un organe de commande d’arrêt d’urgence, dans tous les autres cas, elle doit être de 100.000. Nous ne suivons pas la norme pour nos composants pour la raison suivante: la valeur B10d de 6.050 est une valeur d’essai minimale reprise de l’EN IEC 60 947-5-5 représentant le fonctionnement correct du mécanisme de maintien d’un organe de commande d’arrêt d’urgence selon paragraphe 7.3. La seule chose importante ici est la valeur à obtenir. Inversement : la norme ne tient pas compte du nombre de commutations, à partir duquel le mécanisme de maintien cesse de fonctionner. Des essais effectués dans notre laboratoire de test on révélé que le nombre de cycles de maintien corrects de nos composants s’élève à au moins 100.000.Note (2):• nous recommandons de réaliser une structure à 2 canaux pour les organes de commande d’arrêt d’urgence en utilisant deux éléments de contacts (mot-clé : redondance physique).

Interrupteurs d’arrêt d’urgence à commande par câble

Voir organes de commande d’arrêt d’urgence•

Vous trouverez de plus amples informations ainsi que des spécifications plus récentes dans le catalogue en ligne : www.schmersal.net!

Spécifications des composants individuels(voir également le catalogue en ligne de Schmersal www.schmersal.net)

26

Interrupteurs de marche conditionnelle/boutons-poussoirs 3 positionsValeur B• 10d (indépendamment de la charge): 100.000 (contact NF)Structure à 1/2 canaux: en fonction de l’architecture (catégorie)•ALTERNATIVE: exclusion de défauts en fonction de la valeur B• 10d

Interrupteurs de sécurité à pédale (modèles 3 positions)Voir interrupteurs de marche conditionnelle/boutons-poussoirs 3 position•

Commandes bimanuelles (combinaisons NF/NO)Valeur B• 10d : 20.000.000 (contact NF/contact à ouverture)(1) 1.000.000 (contact NO/contact à fermeture)(2) 100.000 (contact NO/contact à fermeture) (3)

(1) indépendamment de la charge(2) en cas de charges ohmiques ou quasi-ohmiques et de surdimensionnement, c’est-à-dire ≤ 10 % de la charge

nominale(3) en cas de charges inductives et de surdimensionnement (≤ 10 % de la charge nominale)

Note : en liaison avec les modules SRB, les limitations de (1) à (3) ne sont pas applicables ou elles sont couvertes par le module de sécurité !

Interrupteurs de position avec tête d’actionnement intégrée (interrupteurs type 1)Valeur B• 10d : 20.000.000 (contact NF/contact à ouverture)(1) 1.000.000 (contact NO/contact à fermeture)(2) 100.000 (contact NO/contact à fermeture) (3)



Structure à 1/2 canaux : pour les composants isolés bipolaires, en fonction de la norme C •ou exclusion de défauts selon l’EN ISO 13 849-2:2003 exigée (voir également note en bas de la page 16 et page 29 et suivante).

Interrupteurs de position avec actionneur séparé (interrupteurs type 2)

Valeur B• 10d : 20.000.000 (contact NF/contact à ouverture)(1) 1.000.000 (contact NO/contact à fermeture)(2) 100.000 (contact NO/contact à fermeture) (3)



Structure à 1/2 canaux : pour les composants isolés bipolaires, en fonction de la norme C •ou exclusion de défauts selon l’EN ISO 13 849-2:2003 exigée (voir également note en bas de la page 16 et page 29 et suivante).


27

Interrupteurs de position avec actionneur séparé et interverrouillageValeur B• 10d : voir interrupteurs de position avec actionneur séparéStructure à 1/2 canaux: moyennant une exclusion de défauts (voir également note en bas •de la page 16 et page 29 et suivante), un composant isolé peut remplir les conditions pour une structure à 2 canaux (= cat. 3, max. PL « d »), toutefois exclusivement lorsqu’il est équipé avec une protection contre les défauts de fermeture(1). Le rapport BGIA 2/08 tient compte de cette possibilité et préfère l’utilisation d’un deuxième interrupteur exclusivement comme pro-tection antifraude supplémentaire (qui peut également être réalisée par d’autres mesures).(1) Dans le contexte d’un interverrouillage, « protection contre les défauts de fermeture » signifie que le dispositif

de blocage ne peut pas être mis en position de blocage tant que le protecteur est ouvert, c’est-à-dire que les faux interverrouillages peuvent être exclus. C’est pourquoi un deuxième capteur peut être omis en cas d’exi-gences de sécurité supérieures.

Attention pour la catégorie 3 : •– Surveillance de position du protecteur = canal 1 Surveillance de position de l’interverrouillage = canal 2 ou – Surveillance de position du protecteur = mécaniquement via la protection contre les défauts de fermeture Surveillance de position de l’interverrouillage (contact de sécurité 1) = canal 1 (électriquement) Surveillance de position de l’interverrouillage (contact de sécurité 2) = canal 2 (électriquement)Sinon: voir dessus et exemple de câblage BGIA, page 78•

Interrupteurs magnétiques de sécurité(1)

Valeur B• 10d (en fonction de la charge) : 20.000.000 (pour charge à 20 %) 400.000 (pour charge à 100 %) 7.500.000 (pour charge à 40 %)(2) 2.500.000 (pour charge à 60 %)(2) 1.000.000 (pour charge à 80 %)(2)

(2) Propres valeurs selon délibération avec le BGIA

Structure à 1/2 canaux: structure à 2 canaux également possible pour un composant isolé •(sauf BNS 30, 300 und 333 = à 1 canal) ;Combinaison BNS/AES ou BNS avec module de sécurité SRB approprié : il s’agit ici •d’une combinaison de composants (voir page 41), représentant un sous-système (avec un sous-PL ou sous-SIL et une valeur PFHd). Un calcul de la valeur B10d ainsi qu’un dera-ting est impertinent ici, c’est-à-dire que nous pouvons supposer 20.000.000, puisque les contacts Reed dans les capteurs sont commutés avec une charge maximale de 20 %. Autrement dit : l’évaluation supplémentaire est seulement applicable si un autre traitement de signaux est utilisé. Ceci ne signifie pas que les modules de sécurité de nos concurrents ne conviendraient pas, nous voulons seulement dire qu’une vérification s’impose (limitation de courant et de tension, charge commutable, etc.).En liaison avec les modules de sécurité AES (ou un autre traitement de signaux approprié), •une valeur PFHd de 2,5 × 10–11 (pour 0,1 h–1) peut être supposée pour un BNS individuel, si nécessaire (sauf BNS 30, 300 et 333 = 1,21 × 10–6 pour 0,1 h–1, à 1 canal, max. PL « c »).

(1) L’EN ISO 13 849-1:2006 classifie les interrupteurs magnétiques de sécurité comme des détecteurs de proximité (sensibles à l’usure).


28

Interrupteurs de sécurité sur charnière (série TESF)Valeur B• 10d (indépendamment de la charge) : 2.000.000(1)

(1) pour un angle de commutation de sécurité de max. 8°. Si pour des raisons de sécurité, un angle de commuta-tion supérieur peut être toléré, une valeur supérieure est admise.

Structure à 1/2 canaux: une structure à 2 canaux est également possible pour un compo-•sant isolé, moyennant une exclusion de défauts pour l’essieu convertissant le mouvement rotatif (montage noyé, commande sans sollicitation).Note: pour les interrupteurs de sécurité sur charnière TVS 521, la valeur B• 10d est calculée en tenant compte des valeurs pour les interrupteurs type 1.

Composants avec interface ASi-SaW Voir page 42 et suivantes•

Systèmes de transfert de cléValeur MTTF• d : 150 y(1)

(1) Pour les systèmes mécaniques, l’EN ISO 13 849-1:2006 permet une estimation simplifiée avec une valeur MTTFd forfaitaire de 150 y. Nous recommandons une exclusion de défauts pour le contact NF à manœuvre positive d’ouverture de l’interrupteur à clé d’un système SHGV et de supposer une valeur B10d de 1.000.000 (en cas de charges ohmiques ou quasi-ohmiques et de surdimensionnement, c’est-à-dire à 10 % de la charge nominale) ou de 100.000 (en cas de charges inductives et de surdimensionnement, c’est-à-dire à 10 % de la charge nominale) pour le contact NO.

Structure à 1/2 canaux: voir interrupteurs de position avec actionneur séparé et interver-•rouillage

Boutons de réarmement/redémarrageDans le but de ne pas trop compliquer les autres estimations PL (p. ex. protection contre les •mouvements dangereux), ces composants peuvent être évalués dans le cadre d’une fonc-tion de sécurité individuelle « Protection contre les (re)démarrages intempestifs ». D’autres éléments doivent également être évalués, surtout si des signaux d’arrêt de catégorie STOP 2 sont réalisés (mise à l’arrêt contrôlée sans coupure de l’alimentation en énergie des entraî-nements – voir EN IEC 60 204-1).Ici, les valeurs B• 10d pour les contacts NO sont applicables (voir ailleurs)De plus, paragraphe 5.2.2 de l’EN ISO 13 849-1:2006 exige sans plus que la fonction de •réarmement manuelle doit être réalisée exclusivement par le relâchement de l’élément d’ac-tionnement en position MARCHE ! Autrement dit : pour les boutons de réarmement/redé-marrage, une détection des flancs est exigée, p. ex. une surveillance du flanc descendant.Cette mesure de sécurité sert à détecter des défauts ou la manipulation du bouton.•Si la détection des flancs est réalisée via une technologie de commutation avec autosur-•veillance, une exclusion de défauts est admise comme alternative.


29

Exposé : questions sur l’architecture ou la catégorie

L’utilisation de l’EN 954-1:1996 avait déjà énoncé la question si une structure avec une tolé-•rance aux défauts du matériel de 1 (un défaut unique n’entraîne pas la perte de la fonction de sécurité) pour un SRP/CS, tel qu’il est exigé pour les catégories 3 ou 4, doit être réalisée via une redondance physique, p. ex. pour les interverrouillages sur les protecteurs mobiles, soit si un interverrouillage possédant deux contacts de sécurité internes) répond aussi aux exigences (redondance électrique).

Dans ce contexte, il faut considérer les dispositifs de commutation de sécurité à com-•mande manuelle, tels que les organes de commande d’arrêt d’urgence, les interrupteurs de marche conditionnelle, etc. comme des exceptions. Dans ces cas, il s’agit exclusivement d’une redondance électrique. Selon le rapport BGIA, on peut même couvrir l’ensemble de ces composants – étant donné qu’ils sont régulièrement équipés de contacts à manœuvre positive d’ouverture – avec une exclusion de défauts, si la fréquence de manœuvre se situe dans la plage de la valeur B10d. Dans ce cas-ci, le câblage etc. doit être correct et appro-prié. L’exécution d’une détection de défauts éventuels est la responsabilité de l’opérateur, qui doit vérifier avant le début du travail que le composant en question ne présente pas de dégâts.

Dans les interrupteurs électromécaniques, le mécanisme de commande des contacts élec-•triques est un point critique, qui en cas de défaut pourrait entraîner la perte de la fonction de sécurité des composants. Ceci doit cependant être considéré par rapport à la forte improbabilité qu’une défaillance dangereuse se produise.

Butée Butée

Exemples de solutions avec 2 et avec 1 interrupteur (dessus : à un protecteur tournant, des-sous : à un protecteur coulissant).

L’EN ISO 13 849-1:2006 ne fournit pas de réponse toute prête non plus. Paragraphe 3.3 de •la norme reprend toutefois une remarque, selon laquelle une combinaison SRP/CS com-mence au point où sont générés les signaux relatifs à la sécurité (p. ex. au galet d’un inter-rupteur de position) et se termine aux contacts des éléments de la commande de puissance (p. ex. d’un contacteur externe). D’autre part, paragraphe 7.3 de la norme permet de faire des exclusions de défauts si certaines conditions de base sont remplies.

30

Dans certains cas, la norme C «compétente » (norme de produit) fournit la réponse, p. ex. •pour certaines fonctions de sécurité d’imprimeuses (la redondance électrique d’un inter-rupteur suffit) ou de presses métalliques (ici, la norme exige explicitement une solution à 2 interrupteurs).

En cas de doute, nous recommandons nos clients comme suit :•

– Prévoyez pour le niveau de performance « d » et « e » (ou pour les cat. 3 et 4) toujours une redondance physique (une solution à 2 interrupteurs).

– Par dérogation à ceci et moyennant observation de l’amendement 1 de l’EN 1088:1996 (voir ailleurs et lexique), les interrupteurs magnétiques de sécurité de la série BNS avec sorties à 2 canaux, les interrupteurs de sécurité sur charnière de la série TESF ainsi que tous les interverrouillages sans contact avec et sans maintien de la famille CSS de Schmersal peuvent être utilisés sans deuxième interrupteur. L’AZM 200 possède d’origine une manipulation antifraude supplémentaire par la double surveillance de position.

– Pour les interrupteurs simples – interrupteurs de position ou interrupteurs de sécurité avec actionneur séparé – il faut généralement prévoir une redondance physique pour les architectures à 2 canaux, étant donné qu’une influence extérieure opposée peut affecter directement le mécanisme monocanal du poussoir.

– Pour PLr « e », tout compromis est exclu, même si on anticipe à la révision prévue de l’EN ISO 13 849-2:2003 (source: tableau D.8 du projet de révision). Pour un PLr « d » – toujours anticipant à la révision prévue de l’EN ISO 13 849-2:2003 – une exclusion de défauts serait possible, compte tenu de l’Annexe A Paragraphe A.5, pourvu que les conditions suivantes soient remplies:

Défaillance Exclusion de défaut RemarquesUsure/corrosion Oui, si le matériau, le (sur-)dimensionnement, le processus de fabrication, le pro-

cessus de traitement et la lubrification appropriée ont été sélectionnés soigneu-sement en harmonie avec la durée de vie définie (voir également Tableau A.2)

Voir ISO 13 849-1: 2006, 7.2

Desserrage/détache-ment

Oui, si le matériau, le processus de fabrication, les éléments de fixation et le processus de traitement ont été sélectionnés soigneusement en harmonie avec la durée de vie définie (voir également Tableau A.2

Rupture Oui, si le matériau, le (sur-)dimensionnement, le processus de fabrication, le pro-cessus de traitement et la lubrification appropriée ont été sélectionnés soigneu-sement en harmonie avec la durée de vie définie (voir également Tableau A.2

Déformation par solli-citation excessive

Oui, si le matériau, le (sur-)dimensionnement, le processus de fabrication, le pro-cessus de traitement et la lubrification appropriée ont été sélectionnés soigneu-sement en harmonie avec la durée de vie définie (voir également Tableau A.2

Rigidité/collage Oui, si le matériau, le (sur-)dimensionnement, le processus de fabrication, le pro-cessus de traitement et la lubrification appropriée ont été sélectionnés soigneu-sement en harmonie avec la durée de vie définie (voir également Tableau A.2

31

– Le tableau A.2 dont il est question dans la figure ci-dessus, se rapporte aux principes de sécurité essentielles et fiables qui doivent être appliqués. Nous recommandons de plus d’intégrer également les éléments mentionnés dans le paragraphe suivant (interverrouilla-ges avec maintien) dans l’estimation, pour autant qu’ils soient applicables.

– Pour les interverrouillages avec maintien, il est possible de renoncer à une redondance physique dans certaines conditions, c’est-à-dire que l’interverrouillage en soi suffit, si les conditions de base suivantes sont remplies :

a) Le composant doit posséder une protection contre les défauts de fermeture (voir ailleurs) ainsi qu’une évaluation des signaux à 2 canaux (1 × position du protecteur, 1 × surveillance du dispositif de blocage).

b) Applications exclusivement jusqu’au niveau de performance « d » (ou catégorie 3) au plus ; de plus, il doit s’agir d’une source de danger visible.

c) L’interaction entre l’actionneur et le composant doit être libre de sollicitations (sans jeu).

d) L’actionneur doit avoir une liaison positive et se composer d’une pièce de métal étampé (sans ressorts, etc.).

e) Le lieu de montage des composants doit être choisi de manière à éviter toute pénétra-tion d’encrassements etc. dans le mécanisme déflecteur.

f) La force de maintien maximale et les principes de base des «Bonnes pratiques » (voir lexique) doivent être observés.

g) Il faudra prévoir des mesures supplémentaires pour augmenter la protection antifraude selon l’amendement 1 de l’EN 1088:1996. De ce point de vue, un deuxième interrup-teur fait partie des mesures à implémenter à défaut d’autres alternatives.

h) Pour détecter des défauts éventuels, un test au démarrage automatique, adapté aux changements de signal prévus des composants est recommandé. Toutefois, en fonc-tion de l’application, le système de commande devrait également pouvoir contrôler les changements de signaux réalisés qui indiquent le fonctionnement correct des compo-sants lorsque l’installation est en service (= changement de signal minimal par rapport à une unité de temps rationnelle).

A part cela, un dispositif d'interverrouillage ne peut jamais être utilisé comme cutée mé-canique selon l'EN 953:1997(1) et un traitement de signaux à 2 canaux correspondant doit être pris en compte.

(1) DIN EN 953:1997-11 : Sécurité des Machines – Dispositifs de sécurité avec séparation physique – Exigences gé-nérales pour la conception et la construction de protecteurs fixes et mobiles avec sépération physique

32

Exposé sur le thème « Couverture du diagnostic pour les composants isolés avec fonction de sécurité »

Pour les composants isolés avec fonction de sécurité, le diagnostic est réalisé par d’autres •éléments du SRP/CS, installés en amont ou en aval (généralement dans la partie de la logi-que L ). La couverture du diagnostic réalisée dépend de la fonctionnalité de la couverture du diagnostic (voir également EN ISO 13 849-1:2006 Annexe E).

Pour les modules de sécurité (combinaisons de relais de sécurité), les API de sécurité etc. •– pour autant qu’ils ont un sous-PL « e » – un DC de 90 % est obtenu pour une structure d’entrée à 2 canaux avec un câblage 1:1 (câblage en parallèle) ; avec un câblage en série, le DC est seulement 60 %, parce qu’une accumulation de défauts ne peut pas être exclue dans certaines circonstances. Le DC des autres mesures de prévention des défaillances doit être évalué individuellement.

Evaluation « worst case » des défaillances pour un câblage en série de composants électro-•mécaniques :

K1

S1

+ – –+

S1.1

S2

S2.1

Protecteur 2

Protecteur 1

K2 K1

S1

+ – –+

S1.1

S2

S2.1

Protecteur 2

Protecteur 1

K2

Premier défaut :Court-circuit via contact S1.1 (protecteur 1)•Protecteur 1 est ouvert•Déclenchement à 1 canal du module de sécurité•Fonctionnement bloqué (réaction relative à la •sécurité correcte, redémarrage impossible)

Solution :Protecteur 1 reste ouvert•Protecteur 2 reste ouvert•Déclenchement à 2 canaux du •module de sécuritéRedémarrage possible•

K1

S1

+ – –+

S1.1

S2

S2.1

Protecteur 2

Protecteur 1

K2 K1

S1

+ – –+

S1.1

S2

S2.1

Protecteur 2

Protecteur 1

K2

Accumulation de défauts :Deuxième défaut au protecteur 1•Court-circuit via S2.1•

Situation dangereuse :Protecteur 1 est ouvert•Module de sécurité de déclenche •pas

33

En cas d’un câblage en série de composants électromécaniques pour plus de 2 protec-•teurs, la couverture du diagnostic est de 60 %. S’il n’y a que deux protecteurs, un câblage en parallèle au niveau L (câblage 1:1) est recommandé. Pour obtenir un PL « e » ou une catégorie 4, les câblages en série de composants électromécaniques nécessitent des me-sures supplémentaires

Pour les câblages en série de composants électromécaniques, une couverture du diagnos-•tic supérieure à 60 % (et donc éventuellement PL « e » ou catégorie 4) peut être possible, p. ex. si des signaux de retour additionnels sont intégrés dans l’API, dont la plausibilité est réintégrée dans le circuit de redémarrage au niveau L sous forme d’un signal additionnel. Voir également page 76 dans la partie ‘exposé’ (exemple de câblage BGIA 8.2.28).

Pour les câblages en série des organes de commande d’arrêt d’urgence, une exclusion de •défauts peut être utilisée éventuellement (voir exemple de câblage BGIA 8.2.29 en page 75).

La limitation du DC à 60 % DC s’applique exclusivement aux technologies traditionnelles •câblées en série. Les nouvelles technologies de commutation à commande par micropro-cesseur, p.ex. les composants avec interface ASi-SaW ou les composants de la famille CSS de Schmersal peuvent être câblées en série sans que la catégorie ou le niveau de perfor-mance ne soit affecté, puisque la logique de commande électronique intégrée surveille le fonctionnement de l’interrupteur (« autosurveillance ») ; dans ces cas, un DC de 99 % est obtenu.

Plus d’information (y compris couverture du diagnostic pour composants isolés au niveau • O : voir page 55 et exposé et exemples, page 68 et suivantes).

34

35

Systèmes hautement complexes avec fonction de sécurité

35

36

Systèmes hautement complexes avec fonction de sécurité

Préface

Les composants de ce type sont typiquement qualifiés avec un sous-SIL et une valeur PFH• d correspondante. Ces composants sont développés et certifiés selon l’EN IEC 61 508-1/-7: 2001, entre autres parce que l’EN 954-1:1996 n’est pas applicable suite à la technologie microprocesseur intégrée.

Suite à la compatibilité des deux nouvelles normes SRP/CS, il y a un rapport direct entre •les niveaux d’intégrité de sécurité SIL et les niveaux de performance PL (voir tableau de conversion). Le lien entre le SIL et le PL est la valeur PFHd, de laquelle une valeur MTTFd bloc peut être dérivée le cas échéant.

Probabilité de défaillance dangereuse par heure

EN ISO 13849-1:2006

PL

SILIEC 62061:2005/IEC 61508:2001

a

Sécurisation de risques faibles

Sécurisationde risques élevés

b c d e

1 Pas d’exigences de

sécurité spéciales

2 3

10–810–5

3 × 10–610–6 10–710–4

ATTENTION: les classifications PFHd ci-dessus sont exclusivement valables pour un PL glo-bal (ou un SIL global). Pour les sous-systèmes, seules des portions peuvent être « consom-mées » (recommandations : chaque fois max. 20 % pour I et L et ainsi > 60 % pour O ).

Pour la conversion de la valeur PFH• d en une valeur MTTFd, le tableau de l’Annexe K à l’EN ISO 13 849-1:2006 peut être utilisée (avec des valeurs PFHd correspondantes à max. 100 y MTTFd). Selon le rapport BGIA 2/08, une valeur bloc MTTFd peut être calculée à partir d’une valeur PFHd via une méthode fort simplifiée sur base de la valeur inverse. C’est-à-dire : 1/PFHd : 8.760 = bloc MTTFd (pour les PL ou SIL supérieurs, généralement plusieurs 100 y). Voir également page 50. N.B. : à quelques exceptions près, une valeur MTTFd bloc est toujours plus élevée qu’une valeur MTTFd individuelle, qui reflète exclusivement une fiabilité statistique du matériel, lorsqu’une valeur PFHd (et la valeur réciproque = MTTFd bloc) intègre toutes les autres me-sures, plus particulièrement les mesures pour la couverture du diagnostic. En liaison avec toutes les mesures requises pour PL « e », une valeur MTTFd de 30 y correspond par exem-ple à une valeur MTTFd bloc d’environ 1.200 y.

37

Ce calcul peut s’avérer nécessaire lorsque qu’une chaîne • I + L + O (entrée, logique, sor-tie) comporte une combinaison de valeurs MTTFd et PFHd.

Pour certains dispositifs de sécurité (voir fiches techniques), le sous-systèm • L peut être omis dans certains cas individuels, si le capteur du niveau I agit directement sur l’action-neur du niveau O via des sorties OSSD(1) (généralement dans des SRP/CS de structure simple) et le capteur tient en outre une interface pour la boucle de retour (la dite fonction EDM(2)) et généralement aussi pour le bouton de réarmement/redémarrage à disposition. Un module de sécurité SRB, un API de sécurité, etc. peut être omis dans ces cas-ci.

(1) OSSD = Output Signal Switching Devices = partie d’un dispositif de sécurité relative à la sécurité p. ex. un rideau lumineux de sécurité ou un capteur de la famille CSS de Schmersal, qui est raccordée à la commande de la ma-chine et qui passe à l’état ARRET, si la partie « capteur » est activée pendant le fonctionnement normal.

(2) EDM = External Device Monitoring = disposiif au moyen duquel un dispositif de sécurité, p.ex. un rideau lumineux de sécurité ou un capteur de la famille CSS de Schmersal surveille l’état d’autres éléments du SRP/CS.

38

Systèmes hautement complexes avec fonction de sécurité du programme Schmersal/Elan(1)

(voir également le catalogue en ligne de Schmersal www.schmersal.net)

Capteurs de sécurité CSS 180(2)

sous-SIL 3, Sous-PL « e », PFH• d 6,1 × 10–9

Capteurs de sécurité CSS 34(2)

Sous-SIL 3, Sous-PL « e », PFH• d 3,6 × 10–9

Capteurs de sécurité AZ 200(2)


Interverrouillages sans contact AZM 200Sous-SIL 3, Sous-PL « e », PFH• d 4,0 × 10–9

Interverrouillages sans contact MZM 100(2)


(2) Pour les capteurs de sécurité et les interverrouillages sans contact de la famille CSS de Schmersal – à l’exception des interverrouillages AZM 200 suite à leur double surveillance de position –, il faut observer en outre les exigen-ces pour réaliser la protection antifraude (amendement 1 de l’EN 1088:1996), p. ex. une fixation indémontable de l’actionneur, montage noyé, etc. Voir également lexique, mot-clé « Amendement 1 «.

(1) Pour les valeurs PFHd indiquées, il s’agit principalement de valeurs qui ont été calculées dans le cadre de la certi-fication des composants (par le BG, TÜV etc.) selon l’EN IEC 61 508:2001.


39

Modules de sécurité (architecture : catégorie 4)(1)

Sous-SIL 3, Sous-PL « e », PFH• d < 9,54 × 10–8 ou > 30 y MTTFd(2)

(1) Information sur la couverture du diagnostic (DC) pour les parties de SRP/CS en amont ou en aval (composants

isolés au niveau I ou O ) : voir page 32 et suivante et page 50.(2) Les relais étant des composants sensibles à l’usure, un contrôle supplémentaire est exigé. Base de calcul B10d

(charge en %): 20.000.000 (20 %), 7.500.000 (40 %), 2.500.000 (60 %), 1.000.000 (80 %), 400.000 (100 %).

La valeur B10d est seulement pertinente pour le niveau d’actionneur O ! L’évaluation du niveau d’entrée I peut être omise (charge < 20 %).

Evaluation limite :PFHd < 9,54 × 10–8 ou MTTFd > 30 y pour≤ 6,5 millions de commutations par an (nop/y) et 20 % de charge≤ 2,5 millions de commutations par an (nop/y) et 40 % de charge≤ 0,6 millions de commutations par an (nop/y) et 60 % de charge≤ 0,3 millions de commutations par an (nop/y) et 80 % de charge≤ 0,1 millions de commutations par an (nop/y) et 100 % de charge

Pour un nombre de commutations inférieur, les valeurs PFHd ou MTTFd calculées seront « meilleures ».

Pour une fréquence de commutation moyenne de ≤ 100 × par jour (≤ 36.500 n• op/j) et une charge commutable jusqu’à 60 %, une valeur PFHd de ≤ 5 × 10–9 peut être supposée (et pour une charge commutable jusqu’à 80 % une valeur PFHd de ≤ 1,3 × 10–8).Pour les modules de sécurité par exemple, le rapport BGIA 2/08 accepte une valeur PFH• d de 2,31 × 10–9 (et dans un autre cas 2,69 × 10–9). D’autres (p. ex. SIEMENS) utilisent une va-leur PFHd de 1 × 10–9. Vis-à-vis de notre estimation ci-dessus, ceux-ci utilisent des chiffres plus favorables pour la fréquence de commutation et/ou les charges commutables.

Modules de sécurité (architecture : catégorie 3) Sous-SIL 3, Sous-PL « e », PFH• d < 8,84 × 10–8 ou > 62 y MTTFd (si inférieur PL « d » ou SIL 2)Sinon : voir modules avec architecture catégorie 4!•

Minuterie de sécurité AZS 2305Sous-SIL 2, Sous-PL « d », PFH• d 2,5 × 10–8

Contrôleur d’arrêt de sécurité FWS 1205, 1206 et 2xxx(en fonction du câblage) max. Sous-PL « d », Sous-SIL 2, Sous-PL « d », PFH• d 8,8 × 10–9


40

Systèmes de commande de sécurité ESALAN-Compact(1)

Sous-SIL 3, Sous-PL « e », PFH• d 0,14 × 10–7 ou MTTFd 193 y (pour sorties de sécurité élec-troniques) ou 0,15 × 10–7 ou MTTFd 192 y (pour sorties à relais)

(1) Information sur la couverture du diagnostic (DC) pour les composants SRP/CS en amont ou en aval (composants isolés au niveau I ou O niveau) : voir page 32 et suivante et page 50.

API de sécurité PROTECT PSC(1)

Sorties/entrées à 2 canaux : Sous-SIL 3, Sous-PL « e », PFH• d 1,27 × 10–8 (entrée à 2 canaux → sortie à 2 canaux) ; 1,64 × 10–8 (2 entrées à 2 canaux → sortie à 2 canaux, p. ex. pour « inhibition »)Sorties/entrées à 1 canal : sur demande•

(1) Information sur la couverture du diagnostic (DC) pour les composants SRP/CS en amont ou en aval (composants isolés au niveau I ou O niveau) : voir page 32 et suivante et page 50.

Systèmes ESALAN-Wireless Sous-SIL 3, Sous-PL « e », PFH• d 5,5 × 10–9

Barrages optiques, rideaux lumineux et barrières immatérielles de sécurité (type 4)Sous-SIL 3, Sous-PL « e », PFH• d (exemple SLG(C) 420) 7,42 × 10–9

NB: seulement pour les exécutions avec sorties OSSD(1) et fonction EMD(2) (donc sans module de sécurité ou module SRB supplémentaire) (1) OSSD = Output Signal Switching Devices = partie d’un dispositif de sécurité relative à la sécurité p. ex. un rideau

lumineux de sécurité ou un capteur de la famille CSS de Schmersal, qui est raccordée à la commande de la ma-chine et qui passe à l’état ARRET, si la partie « capteur » est activée pendant le fonctionnement normal.

(2) EDM = External Device Monitoring = dispositif au moyen duquel un dispositif de sécurité, p. ex. un rideau lumi-neux de sécurité ou un capteur de la « famille » CSS de Schmersal surveille l’état d’autres éléments du SRP/CS.

Barrages optiques, rideaux lumineux et barrières immatérielles de sécurité (type 2)Sous-SIL 2, Sous-PL « d », PFH• d (exemple SLG(C) 220) 3,59 × 10–8

Scanner de sécurité laserSous-SIL 2, Sous-PL « d », PFH• d 7,3 × 10–8

Durée de mission : 11 y•


41

Combinaisons de composants

Interrupteurs magnétiques de sécurité BNS/Modules de sécurité AESCombinaisons des modèles BNS/AES du type 1xxx/11xx (sauf 1102 et 1112): sous-PL « d », •sous-SIL 2, valeurs PFHd en fonction de la fréquence de commutation comme suit : 1 × 10–8 pour 6 h–1, 9 × 10–9 pour 1 h–1 ou 8,4 × 10–9 ou 0,1 h–1

Combinaisons des modèles BNS/AES du type 2xxx: sous-PL « d », sous-SIL 2, valeurs PFH• d en fonction de la fréquence de commutation 1,8 × 10–9 pour 0,1 h–1

Combinaisons des modèles BNS/AES du type 1102, 1112, 6112 et 7112: •sous-PL « c », sous-SIL 1, valeurs PFHd – en fonction de la fréquence de commutation – 1,21 × 10–6 ou 75 y MTTFd pour 5.280 nop/y

Bords sensiblesSur demande•

Tapis de sécuritéSur demande•

Pare-choc de sécuritéSur demande•


42

Système de bus de sécurité/composants avec interface ASi-SaW

Remarque préalable

Pour l’estimation PL, il faut tenir compte de la fonction de sécurité en question (voir page 70 et suivantes) et de la chaîne

Dispositif de commutation de sécurité y compris interface ASi-SaW intégrée (p. ex. interrup-•teur magnétique BNS 260 AS)

ou

« Dispositif de commutation de sécurité » plus « interface ASi-SaW » extérieure (p. ex. organe •de commande d’arrêt d’urgence + ASi-Tube)

plus

Moniteur ASi-SaW ASM. Dans le contexte de la méthode des sous-systèmes, celui-ci cor-•respond aux niveaux I et L .

S’y ajoute encore l’estimation du niveau de sortie O .

Pour les composants isolés au niveau O , la boucle de retour dans le moniteur ASi-SaW ASM est utilisée pour la couverture du diagnostic, cf. un module de sécurité ou un API de sécurité, p.ex. en fonction de la qualité relative à la sécurité du signal de retour, un DC de jusqu’à 99 % peut être obtenu (voir également page 55).

Remarque pour le niveau I : le DC de 99 % n’est pas affecté dans le système de bus de sécu-rité ASi-SaW ni dans un câblage en série de composants isolés, c’est-à-dire qu’il reste 99 %, parce que les routines de surveillance ASi-SaW tiennent compte (« voient ») chaque participant individuel.

Note 2: le niveau de performance d’une fonction de sécurité est déterminé selon la théorie du maillon le plus faible de la chaîne, c’est-à-dire un dispositif de commutation de sécurité indi-viduel qui doit être évalué exclusivement comme un canal et qui obtient donc un sous-PL « c » au maximum, détermine le PL global. L’électronique ASi-SaW de pointe n’y change rien.

43

Note 3: pour les composants isolés avec interface ASi-SaW, nous recommandons de consi-dérer les deux éléments du système comme sous-système. Pour les composants isolés à 1 canal, ceci résulte généralement – en fonction de la fréquence de commutation(1) – dans un sous-PL « c » et pour les composants à 2 canaux, généralement à un sous-PL « e ». Si néces-saire, le sous-système peut être quantifié avec une valeur PFHd (voir page 50).

(1) Il ne faut pas tenir compte d’une influence de la charge commutable.

Interrupteurs magnétiques de sécuritéValeur B• 10d : 20.000.000(1)

(1) Fonctionnement à faible charge (< 20 %)

Structure à 1/2 canaux, structure à 2 canaux également possible avec un composant isolé•Modèle BNS 260 AS : •sous-PL « e », valeur PFHd 6,21 × 10–9 (pour nop/y 525.600) ou 3,35 × 10–9 (pour nop/y 24.000)Modèle BNS 36 AS : •sous-PL « e », valeur PFHd 1,24 × 10–8 (pour nop/y 525.600) ou 4,03 × 10–9 (pour nop/y 24.000)Modèle BNS 16 AS : •idem BNS 36 AS

Interrupteurs de position avec actionneur séparé (interrupteurs type 2)Valeur B• 10d : 2.000.000(1)


Structure à 1/2 canaux pour interrupteurs de sécurité : pour un composant isolé en fonction •de la norme C ou exclusion de défauts selon l’EN ISO 13 849-2:2003 exigéeModèle AZ 16 AS : •sous-PL « c »(2), sous-SIL 1(2) (en cas d’exclusion de défauts par le client PL « d »(2), sous-SIL 2(2)), valeur PFHd : PFHd/interrupteur de sécurité (à estimer en fonction de l’application) + PFHd/électronique ASi-SaW (< 1 × 10–8), p. ex. pour 100 y MTTFd = 3,47 × 10–8, pour 200 y = 2,19 × 10–8, pour 500 y env. 0,55 × 10–8 etc.

(2) pour MTTFd « haut »


44

Interrupteurs de position avec actionneur séparé et interverrouillage (interrupteurs type 2)

Valeur B• 10d : 2.000.000(1)


Structure à 1/2 canaux : voir page 26 et suivante et page 29 et suivantes (composants avec •actionneur séparé et interverrouillage sans interface ASi-SaW)

Modèle AZM 162 AS : •max. sous-PL « d »(2),SIL 2(2), valeur PFHd : PFHd/interrupteur de sécurité (à estimer en fonc-tion de l’application) + PFHd/électronique ASi-SaW (< 1 × 10–8), p. ex. pour 100 y MTTFd = 3,47 × 10–8, pour 200 y = 2,19 × 10–8, pour 500 y env. 0,55 × 10–8 etc.(2) pour MTTFd « haut »

Modèle AZM 170 AS : •max. sous-PL « d »(2), SIL 2(2), PFHd-Wert: interrupteur de sécurité (à estimer en fonction de l’application) + PFHd/électronique ASi-SaW (< 1 × 10–8), p. ex. pour 100 y MTTFd = 3,47 × 10–8, pour 200 y = 2,19 × 10–8, pour 500 y env. 0,55 × 10–8 etc.(2) pour MTTFd « haut »

Modèle AZ 200 AS : •sous-PL « e », sous-SIL 3, valeur PFHd : 4 × 10–9

Modèle MZM 100 AS : •sous-PL « e », sous-SIL 3, valeur PFHd : < 5 × 10–9

Moniteur ASi-SaWModèle ASM : •sous-PL « e », sous-SIL 3, valeur PFHd : 9,1 × 10–9

Modèle ASM G2 : •sous-PL « e », sous-SIL 3, valeur PFHd : 5,4 × 10–9

Interface ASi-SaW extérieureModèle ASi-/Opto-Tube: •Contribution au sous-PL « e », contribution au sous-SIL 3, valeur PFHd : < 1 × 10–8


45

Addition de sous-PL pour obtenir un PL global

45

46

Addition de sous-PL pour obtenir un PL global

Référence : voir page 12 et suivantes et page 53 et suivantes •

L’addition de sous-PL (généralement des sous-PL pour • I , L et O ) pour obtenir un PL global pour un SRP/CS est une procédure simplifiée par rapport à la méthode des sous-systèmes.

A cet effet, l’EN ISO 13 849-1:2006 reprend le dit tableau de combinaison (= tableau 11 de la •norme). Elle reflète d’une part la théorie du maillon le plus faible de la chaîne et tient en outre compte de l’addition des défaillances résiduelles probables, c’est-à-dire que l’enchaînement d’un nombre supérieur de composants relatifs à la sécurité peut influencer le niveau de per-formance PL. Ceci signifie que le niveau de performance global de l’ensemble d’un système de commande, comprenant plusieurs SRP/CS enchaînées, peut être considérablement infé-rieur aux niveaux de performance individuels des différents « éléments » de la chaîne.

Le nombre de sous-PL• low (> Nlow ≤ Nlow) est repris à gauche ; après addition des niveaux de performance PL les plus faibles, le niveau de performance PL global peut être trouvé à droite. Comme règle générale, un certain nombre de PL individuels identiques « sous-PL’slow » réduisent le PL global d’un niveau (phénomène dit « downgrading »). Cette réflexion se base sur le fait que le nombre de défaillances résiduelles probables à additionner est telle que le niveau de performance PL global peut être réduit d’un niveau sans problème.

ATTENTION: la réduction du PL global n’est pas obligatoire, si le taux des défaillances •résiduelles probables de l’élément individuel est plus favorable que les présomptions du comité de normalisation lors de la rédaction du tableau 11, qui sont basées sur des valeurs moyennes.

PLlow Nlow → PL

a> 3 → néant, non permis≤ 3 → a

b> 2 → a≤ 2 → b

c> 2 → b≤ 2 → c

d> 3 → c≤ 3 → d

e> 3 → d≤ 3 → e

Autrement dit: dans des cas individuels, il faut calculer : •a) le sous-PL le plus faible (PLlow) dans le SRP/CS ainsi que b) le nombre représentés de sous-PL faibles (Nlow) et c) le PL global résultant

Pour un PL global « a », un maximum de trois sous-PL• low est toléré, pour un PL global « b » et « c », un maximum de deux sous-PLlow et pour les PL globaux « d » et « e » un maximum de trois sous-PLlow, sans qu’il ne faut exécuter un downgrading ou inversement : si le SRP/CS en question comprend plus de sous-PLlow, le PL global est réduit d’un niveau (p. ex. 3 × sous-PL « c » aboutit à un PL global « b »).

47

Attention : les sous-PL « supérieurs » dans un SRP/CS ne sont pas pris en compte lorsque le •tableau de combinaison est utilisé (théorie du maillon le plus faible). Idem pour les sous-systèmes et parties d’un SRP/CS, qui présentent une exclusion de défauts.

Conseil: si vous souhaitez utiliser le tableau de combinaison pour des SRP/CS plus com-•plexes (dans trop de problèmes de « downgrading »), nous recommandons une analyse en détail des SRP/CS en question dans le but de ne devoir analyser que le strict minimum de sous-systèmes. Cet analyse doit donc avoir but d’enlever les composants non-relatifs à la sécurité de l’évaluation du sous-système d’une part (p. ex. chaque entraînement intégré dans le système n’est pas forcément un entraînement dangereux) et d’autre part, une unité complexe peut comporter différentes fonctions de sécurité (voir également exposé : casca-dage ou câblage en série, page 70 et suivantes).

Exemple 1• (2 × sous-PL « c » = PL global « c »)

Dans ce cas, il s’agit de l’exemple présenté par la norme pour l’utilisation du tableau de combinaison. Nous prenons un SRP/CS comprenant 2 sous-systèmes avec PL « c » et un sous-système avec sous-PL « d ». Le sous-PL le plus bas est « c », qui est représenté deux fois ; pour l’ensemble du SRP/CS, PL « c » est donc maintenu. L’élément du SRP/CS avec sous-PL « d » n’est pas pris en compte puisqu’il est « supérieur ».

Exemple 1:

I L O PLIst

PL « c » PL « d » PL « c » PL « c »

* selon tableau de combinaison** voir figure suivante

SRP/CS 1PL c

SRP/CS 2PL

SRP/CSPL

d

cSRP/CS 3

PL c

PLlow Nlow PL

a> 3≤ 3

→→

néanta

b> 2≤ 2

→→

ab

c> 2≤ 2

→→

bc

d> 3≤ 3

→→

cd

e> 3≤ 3

→→

de

Hazardous

movementFluidic actuator

OL

I

OTETE

I

O2L2I2

O1L1I1OL

SRP/CSc

Catégorie 2 ; PL = cSRP/CSd

Catégorie 2 ; PL = dSRP/CSc

Catégorie 1 ; PL = c

Electroniquede commandeélectronique

Fluidique

Rideaux lumineux

48

Exemple 2•(Cet exemple – 3 × sous-PL « c » – reprend la méthode en cas d’un downgrading, parce qu’on ne veut ou peut pas l’accepter suite à la nécessité d’avoir un PLr supérieur).

Exemple 2:

I L O PLIst

PL « c » PL « c » PL « c » PL « b »* PL « c »

* selon tableau de combinaison

SRP/CS 1PL c

SRP/CS 2PL

SRP/CSPL

d

cSRP/CS 3

PL c

PLlow Nlow PL

a> 3≤ 3

→→

néanta

b> 2≤ 2

→→

ab

c> 2≤ 2

→→

bc

d> 3≤ 3

→→

cd

e> 3≤ 3

→→

de

Hazardous

movementFluidic actuator

OL

I

OTETE

I

O2L2I2

O1L1I1OL

SRP/CSc

Catégorie 2 ; PL = cSRP/CSd

Catégorie 2 ; PL = cSRP/CSc

Catégorie 1 ; PL = c

Electroniquede commande

électronique

Fluidique

Rideaux lumineux

Un sous-système se compose de trois sous-systèmes avec 3 × sous-PL « c ». Selon le tableau de combinaison, une réduction du PL global à « b » s’impose. Maintenant, il faut tenir compte des valeurs PFHd des sous-systèmes individuels, c’est-à-dire les additionner et comparer le résultat à la valeur PFHd exigée pour le PL « c » global, dans l’exemple donc à ≥ 1 × 10–6 ... ≤ 3 × 10–6).

Si la valeur PFHd additionnée n’est pas dans la plage correspondante, un downgrading n’est pas pertinent, parce que les valeurs individuelles sont mieux que les valeurs types prévues par le comité de normalisation.

Si vous voulez effectuer une évaluation simplifiée au moyen des valeurs MTTFd, la valeur pour le PL global doit en tout cas être « > 30 y » (MTTFd « élevé »).

La partie supérieure de la figure ci-après montre que les valeurs pourraient être insuffisan-tes pour obtenir un PL « c » ; dans la partie inférieure, qu’elles conviennent (variante 2) pour obtenir un PL « c ».

49

Exemple 3•Cet exemple doit être considéré indépendamment du tableau de combinaison de l’EN ISO 13 849-1:2006, c’est-à-dire que « l’élément le plus faible de la chaîne » et les valeurs PFHd du SRP/CS sont évalués à priori. Cette évaluation correspond par exemple à l’EN IEC 62 061:2005.

Addition et comparaison des valeurs MTTFd/PFHd • MTTFd : > 30 y (worst case) • PFHd : > 10–6 … < 3 × 10–6

I L O PLIst Note

Variante 1

MTTFd 50 y + 50 y + 50 y ≙ 17 y Ne convient pas !PFHd 2,24 × 10–6 + 2,24 × 10–6 + 2,24 × 10–6 ≙ 6,72 × 10–6

Variante 2

MTTFd 200 y + 100 y + 100 y ≙ 40 y Convient à peine !PFHd ≈0,7 × 10–6 + 1,14 × 10–6 + 1,14 × 10–6 ≙ 3 × 10–6

Exemple 3 :

I L O SRP/CS

AZM 200 ESALAN-Compact Entraînement avec fonction de sécurité

PLIst

S

PL « e » PL « e » PL « d » PL « d »*

4,3 × 10–9 + 0,5 × 10–9 + 10 × 10–9 = 14,8 × 10–9 PFHd**

* L’élément le plus faible de la chaîne est déterminant !** Doit être comparé avec la valeur limite PFHd exigée, p. ex. > 10–7 … < 10–6 pour

PL « d »

Si le nombre de sous-systèmes dépasse essentiellement celui prévu dans le tableau 11 de •l’EN ISO 13 849-1:2006, tous les sous-systèmes doivent être évalués ; plus particulièrement, il faut additionner leurs défaillances résiduelles probables (c’est-à-dire leurs valeurs PFHd individuelles) et comparer ce résultat avec la valeur PFHd maximale admise pour le PL en question. Ici, le sous-PL le plus faible détermine également le PL global. Une autre possibi-lité est l’addition des valeurs MTTFd, mais l’objectif doit toujours être une valeur > 30 y.

50

Exemple• Un SRP/CS se compose de 6 sous-systèmes. – Le sous-PL le plus bas détermine le PL global. – La somme des valeurs PFHd des sous-systèmes doit être dans la plage du PLr !

Pourquoi emprunter les valeurs PFHd et non pas les voler ?

Si des sous-systèmes hautement complexes avec fonction de sécurité dont le sous-PL ou •sous-SIL est connu, sont utilisés, les valeurs PFHd sont généralement disponibles dans les spécifications du fabricant. Pour obtenir une valeur PFHd lors d’une estimation sous-PL, il faut utiliser l’Annexe K à l’EN ISO 13 849-1:2006 qui est toutefois limité à MTTFd 100 y. Des valeurs MTTFd supérieures peuvent éventuellement être converties avec la plus grande prudence en valeurs PFHd estimées (attention : fonction logarithmique !). Une extension de l’Annexe K à l’EN ISO 13 849-1:2006 (> 100 y MTTFd) est actuellement en cours. Pour l’ins-tant toujours en chiffres officieux: voir mot-clé « Annexe K » du lexique).

Selon le rapport BGIA, il est également justifié d’utiliser la moitié de la valeur PFH• d de la classe Pl concernée (attention : fonction logarithmique), si on dispose de la spécification PL, mais non pas de la spécification PFHd correspondante pour un sous-système.

Un autre outil est l’addition des valeurs MTTF• d et MTTFd blocs (PFHd = 1/PFHd : 8.760) se-lon la méthode de comptage des parties ou « Parts Count Method ». Pour éviter un down-grading, il faut toutefois obtenir au moins MTTFd > 30 y par canal. Voir ci-avant !

PFHd de sous-système 1 avec PL « e » p. ex. 5 × 10–9

+ PFHd de sous-système 2 avec PL « d » p. ex. 10 × 10–9

+ PFHd de sous-système 1 avec PL « e » p. ex. 1 × 10–9




= PL global = PLlow =« d » p. ex. 4,6 × 10–8

Per

form

ance

Le

vel (

PL)

Probabilité moyenne de dé-faillance dange-reuse par heure (PFHd)

Max. 1 défaillance dangereuse (tolé-rée) par

a ≥ 10–5 … < 10–4 10.000 heuresb ≥ 3 × 10–6 … < 10–5 30.000 heuresc ≥ 10–6 … < 3 × 10–6 100.000 heuresd ≥ 10–7 … < 10–6 1.000.000 heurese ≥ 10–8 … < 10–7 10.000.000 heures

■I

■L

■O

51

Epilogue au sujet de la méthode des sous-systèmes

Comme nous l’avons déjà dit à plusieurs reprises, la méthode des sous-systèmes est une •possibilité prévue par la norm pour calculer un PL global de manière simplifiée.

Dans des cas individuels, les simplifications d’arrière-plan de la méthode des sous-sys-•tèmes peuvent résulter dans un PL global inférieur à celui résultant de l’application de la méthode bloc, plus particulièrement par l’application systématique de la philosophie de l’élément le plus faible de la chaîne. Par contre, en cas de la méthode bloc, la somme (dans la valeur MTTFd) ou la moyenne (dans la couverture du diagnostic DC) des paramètres d’évaluation individuels est prise en compte, c’est-à-dire les valeurs basses individuelles sont compensées dans une certaine mesure par d’autres valeurs plus élevées.

Exemple : une fonction de sécurité se compose d’un sous-système avec sous-PL ‘c’ et •plusieurs autres sous-systèmes avec sous-PL « e » (= PL global « c » selon la méthode des sous-systèmes ou selon la philosophie de l’élément le plus faible de la chaîne des sous-systèmes). Si on exécute par contre une évaluation globale selon la méthode bloc, on peut atteindre – en fonction de la configuration des valeurs individuelles – un PL global « d ». Ce résultat se situerait dans la plage prévue par la norme pour le degré de liberté de la concep-tion.

Suite aux mathématiques, qui sont à la base de la norme, on peut obtenir des résultats •opposés (paradoxaux), p.ex. que pour une couverture du diagnostic DC identique des éléments individuels des SRP/CS, les augmentations des valeurs MTTFd peuvent résulter purement mathématiquement dans un DCavg plus faible suite à la sélection de matériel amélioré. Des situations inverses seraient également imagineables. L’intelligence humaine et le bon sens professionnel doivent donc toujours être utilisés comme facteur de correction.

Confusion, mais à un niveau supérieur !

52

53

Comme puis-je calculer moi-même un PL pour un sous-système (un sous-PL) ?

53

54

Introduction/préface

ATTENTION : en principe, les exemples de câblage ci-après tiennent exclusivement compte •du niveau d’entrée, c’est-à-dire du sous-PL ou sous-SIL qui peut être obtenu pour des composants isolés en liaison avec un traitement de signaux en aval.

Pour les modules de sécurité SRB, un DC de 99 % est généralement applicable (suite aux •essais de plausibilité des deux relais à manœuvre positive d’ouverture) et pour les API de sécurité également un DC de 99 % (suite à la comparaison de données croisée dynamique des deux systèmes à micro-ordinateur du composant). Une condition indispensable est une commande à 2 canaux. Les valeurs DC proviennent de l’Annexe E à l’EN ISO 13 849-1:2006.

Pour les câblages en série de composants électromécaniques, pour lesquels un module de •sécurité SRB ou un API de sécurité est installé en amont au niveau d’entrée, nous utilisons jusqu’à nouvel ordre un DC limité de 60 % = « bas » (voir ailleurs).

D’autres types de traitement de signaux en aval de composants isolés exigent une évalua-•tion individuelle (voir également Annexe E de l’EN ISO 13 849-1:2006). Dans ce contexte, il ne faut pas oublier que dans un SRP/CS plusieurs mesures peuvent être implémentées pour réaliser la couverture du diagnostic (p.ex. mesures de modules de sécurité SRB, API de sécurité, etc. plus les mesures des dispositifs d’essai [TE], p. ex. API normaux). Voir exemple page 76.

Il y a deux possibilités pour obtenir un sous-PL :

La première possibilité est le calcul d’un sous-PL pour la fonction «composant isolé + dia-•gnostic » (par le traitement de signaux en aval). Dans ce cas, la partie du module de sécu-rité SRB ou d’un API de sécurité destinée à la couverture du diagnostic au niveau entrée est évaluée. Ceci signifie que l’évaluation se rapporte exclusivement au niveau I . Tous les niveau suivants L + O ) font l’objet d’une évaluation sous-PL individuelle. Ceci correspond à ce que la norme prévoit (voir image ci-après, indication en haut).

Exigences de fonctionalité et d’intégrité attribuées


TSE 1.1

D

D

D

I L

API conforme à l’IEC 61508


TSE 1.2



RelaisTSE 4.1

RelaisTSE 4.2

TS 1

TS 2TS 3

TS 4

O

I/L O

55



TSE 1.1

D

D

D

I L



TSE 1.2



RelaisTSE 4.1

RelaisTSE 4.2

TS 1

TS 2TS 3

TS 4

O

I/L O

La deuxième possibilité est le calcul d’un sous-PL pour la combinaison « composant isolé + •module de sécurité SRB ou API de sécurité ». Dans ce cas, les niveaux I + L sont résumés (voir figure, indication en bas). Dans le cas d’un module de sécurité SRB, on nécessiterait également de l’information sur le niveau actionneur O pour calculer la valeur B10d suite à la présence du relais sensible à l’usure.

Les remarques suivantes sont applicables pour les deux possibilités :

La couverture du diagnostic de la boucle de retour des actionneurs en aval (normalement la •responsabilité du client) exige une estimation différentiée. Bien que les mesures indiquées (DC 99 %, voir dessus) soient également applicables, le DC obtenu pour les composants isolés du sous-système « niveau de sortie » O dépend toutefois de la qualité relative à la sécurité du signal de retour. Pour les commandes de puissance avec des contacts à manœuvre positive d’ouverture, un DC de 99 % peut être utilisé ; si le signal provient de contacts sans manœuvre positive d’ouverture, le taux sera inférieur, en fonction de l’essai et la méthode d’essai du niveau de sortie dans le processus normal. Le client doit lui-même faire les estimations correspondantes au moyen de l’Annexe E de la norme EN ISO 13 849-1:2006 (DC = > 60 % ... < 99 %).

Attention : le DC peut augmenter suite à l’intégration des signaux de retour de la partie fonc-•tionnelle du système de commande (mot-clé : dispositif d’essai, voir ailleurs) dans l’estima-tion. Vous trouverez plus d’information relative à l’efficacité de ces mesures supplémentai-res dans l’Annexe E à l’EN ISO 13 849-1:2006.

Si on utilise une exclusion de défauts pour des dispositifs de commutation de sécurité à •commande manuelle (p. ex. organes de commande d’arrêt d’urgence, interrupteurs de mar-che conditionnelle, etc.) intégrés dans le sous-système (voir page 32 et suivante), le sous-système ne devra pas faire l’objet d’une estimation (voir chapitre « Exemples de câblage BGIA », page 76). Une considération soigneuse est toutefois exigée.

56

Exemple 1(1)

Un interrupteur TESF est installé sur un protecteur dans la grille de sécurité d’une sta-tion robot. Le traitement des signaux est réalisé par un module de sécurité de la série PROTECT SRB pour la catégorie 4.

Question : quel est le sous-PL pour le niveau d’entrée « interrupteur TESF »?

Un interrupteur TESF est un composant isolé sans fonction diagnostique. Le diagnos-tic est réalisé par le module de sécurité SRB en aval. De ce fait, l’interrupteur TESF et la fonction diagnostique du module de sécurité SRB, qui est destinée à la détection de défaillances au niveau d’entrée (pour l’interrupteur TESF), sont évalués. Cette fonction (seulement I ) constitue donc la base pour l’estimation du sous-PL (la combinaison I + L est reprise dans l’exemple 3).

Considération 1: de quelle architecture s’agit-il et quelles exclusions de défauts sont prises en compte ?

Du point de vue physique, un interrupteur TESF est un interrupteur, toutefois avec deux •contacts NF (canaux) à manœuvre positive d’ouverture, indépendants l’un de l’autre. Le mouvement rotatif du protecteur dans la commande du poussoir des deux canaux est converti via un mécanisme à 1 canal, mais à l’intérieur du composant, c’est-à-dire invisible et libre de sollicitations. Pour ce petit élément à 1 canal, nous faisons une ex-clusion de défauts. Autrement dit : l’interrupteur TESF a une architecture à 2 canaux !

Le câblage entre l’interrupteur TESF et le module de sécurité SRB est posé de manière •noyée ou dans des gaines séparées (= exclusion de défauts au niveau du câblage, dans l’autre cas, un module de sécurité SRB avec surveillance des courts-circuits transversaux est exigé).

L’interrupteur TESF est raccordé 1:1 au module de sécurité SRB selon un exemple de •câblage pour la catégorie 4 (pas de câblage en série).

DONC: l’architecture du sous-système I correspond à la catégorie 4.

(1) Ci-après, la dé-finition préalable du niveau de per-formance requis PLr et la validation suivante si PLIst > PLr ≥, n’est pas prise en compte.



TSE 1.1

D

D

D

I



TSE 1.2



RelaisTSE 4.1

RelaisTSE 4.2

TS 1

TS 2TS 3

TS 4

I/L

57

Considération 2: quelle est la fiabilité du matériel MTTFd ?

L’interrupteur TESF est un composant isolé sensible à l’usure avec une valeur B10d de 2.000.000. Compte tenu de l’exemple de calcul à la page 23, une valeur MTTFd de 2.381 y par canal est dérivée.

DONC : la fiabilité du matériel MTTFd est « haute » !

Considération 3 : quel est le DC ?

La fonction de la couverture du diagnostic pour l’interrupteur TESF est réalisée par le PROTECT SRB en aval qui a un DC de 99 % (voir page 32 et suivante)

DONC : DC « haut » !

Considération 4 : quelles mesures de prévention contre les défaillances de cause commune ont été prise ?

Pour les composants relatifs à la sécurité et leur intégration et installation correcte, nous pouvons toujours supposer > 65 points. Plus d’info : voir lexique, mot-clé « CCF ».

DONC : les mesures CCF implémentées sont adéquates (= CCF : en ordre)

Résumé selon le diagramme

architecture (cat.) : 4•MTTF• d : hautDC : haut•CCF : en ordre•

DONC : Niveau de performance « e »


Catégorie BDCavg =

0

Catégorie 1DCavg =

0




+ CCF



a

b

c

d

e

10–4

10–5

3 × 10–6

10–6

10–7

10–8

PL

PFH (1/h)

58

Exemple 2(1)

Idem dessus, mais plusieurs interrupteurs TESF en série.

Question : quel est le sous-PL pour le niveau d’entrée « interrupteur TESF » ?

Nous supposons qu’à un moment donné X seule la fonction de sécurité d’un interrupteur TESF est activée (c’est-à-dire généralement, un protecteur est ouvert à la fois). Il s’agit donc – en fonction du nombre d’interrupteurs TESF installés sur la grille – d’un nombre correspondant de fonctions de sécurité, p.ex. si trois composants sont installés, il y a trois fonctions de sécurité.

Autrement dit : les défaillances résiduelles probables des interrupteurs TESF ne doivent pas être additionnées. La combinaison « 1 × interrupteur TESF /module de sécurité SRB » est la base de notre estimation sous-PL.

Sinon : voir ci-dessus (exemple 1) !

Considération 1 : de quelle architecture s’agit-il et quelles exclusions de défauts sont prises en compte ?

En premier lieu: voir ci-dessus (exemple 1). Suite au câblage en série, il se peut toute-•fois que toutes les défaillances ne soient pas détectées, de sorte qu’une accumulation de défaillances ne puisse pas être exclue. Il s’agit donc d’une architecture sans ca-pacité complète d’autosurveillance (à 2 canaux, mais avec une détection de défauts limitée).

DONC : le sous-système a une architecture de catégorie 3.


59

Considération 2 : quelle est la fiabilité du matériel MTTFd ?

Chaque interrupteur TESF constitue une fonction de sécurité.

Pour le calcul de la valeur MTTFd, nous supposons que chaque protecteur est ouvert 2 × par heure : la valeur MTTFd de 2.381 y est maintenue. Si nous supposions que l’ouverture de 2 × par heure se rapporterait au choix à tous les protecteurs de la grille, les valeurs MTTFd augmenteraient considérablement (sans détriment au niveau de performance PL suite à la limitation à 100 y par canal).

Sinon : voir ci-dessus !

DONC : la fiabilité du matériel MTTFd est « haut » !

Explication : s’il faut évaluer la fonction de sécurité de plusieurs interrupteurs TESF suite à l’ouverture de plus d’un protecteur en service, les valeurs MTTFd des composants (selon la méthode de comptage des parties) devraient être additionnées. Dans ce cas, la somme est déterminante pour la classification MTTFd. Vous voyez toutefois que, compte tenu des MTTFd individuelles élevées, un grand nombre de composants est exigé pour obtenir une valeur MTTFd « moyenne ». La couverture du diagnostic DC de 60 % ne change pas.

Considération 3 : quel est le DC ?

Une accumulation de défauts ne pouvant pas être exclue, nous supposons après délibé-ration avec le BGIA un DC « bas » (voir page 32 et suivante) en l’absence d’autres mesures telles qu’une couverture du diagnostic supplémentaire via des dispositifs d’essai exté-rieurs (mot-clé : prise en compte de l’API ordinaire) ou si des exclusions de défauts sont faites.

Sinon : voir ci-dessus !

DONC : DC « bas » !

Considération 4 : quelles mesures de prévention contre les défaillances de cause commune ont été prise ?

Voir ci-dessus !

DONC : les mesures CCF implémentées sont adéquates (= CCF : en ordre).

60

Résumé selon le diagramme

architecture (cat.) : 3•MTTF• d : hautDC : bas•CCF : en ordre•

DONC : niveau de performance « d »


Catégorie BDCavg =

0

Catégorie 1DCavg =

0




+ CCF



a

b

c

d

e

10–4

10–5

3 × 10–6

10–6

10–7

10–8

PL

PFH (1/h)

61

Exemple 3(1)

Question

Nous résumons le niveau d’entrée et le niveau du traitement des signaux. Autrement dit : nous évaluons la partie du SRP/CS jusqu’au niveau d’autorisation du niveau de sécurité du SRB, ou encore : nous constituons une combinaison de composants. Considération 1 : de quelle architecture s’agit-il et quelles exclusions de défauts sont prises en compte ?

Maintenant il faut, en plus du niveau d’entrée des interrupteurs TESF avec diagnostic SRB I , également tenir compte du niveau du traitement des signaux dans le module de sécurité SRB L .

Un module de sécurité SRB est un composant complexe avec fonction de sécurité, auquel un sous-PL (ou sous-SIL) est attribué d’origine (dans notre exemple sous-PL « e » ou sous-SIL 3).

DONC, une évaluation individuelle de l’architecture, du MTTFd(2), du DC et des mesures

CCF est omise pour le module de sécurité SRB (parce que ces facteurs sont déjà reflétés dans le sous-PL ou sous-SIL). Nous supposons donc que la fréquence de manœuvre et la charge commutable du relais n’influencent pas le MTTFd « haut ».

(2) Il faut vérifier en outre, concernant le relais sensible à l’usure, que le nombre de commutations et la charge commutable influencent oui ou non la classification du MTTFd. A cet effet, la charge commutable doit être intégrée dans l’estimation au niveau d’autorisation du module de sécurité SRB. Toutefois, ceci deviendrait seulement critique pour un nombre de commutations élevé et une charge commutable supérieure (voir « Va-leurs B10d pour relais »).




TSE 1.1

D

D

D

I



TSE 1.2



RelaisTSE 4.1

RelaisTSE 4.2

TS 1

TS 2TS 3

TS 4

I/L

62

Conclusion

Référant au tableau de combinaison (voir ailleurs), le résultat pour l’ensemble de la com-binaison de composants(1) est un sous-PL « e » (2 × « e » reste « e ») pour un câblage 1:1 et un sous-PL « d » (l’élément le plus faible de la chaîne est déterminant) en cas d’un câblage en série.

Il serait également justifié si nous résumions I et L en un sous-système « d’ordre supé-rieur » [en tenant compte d’un calcul supplémentaire de la valeur B10d pour le relais intégré dans le module de sécurité SRB, voir(1)].

(1) Il faut vérifier en outre, concernant le relais sensible à l’usure, que le nombre de commutations et la charge commutable influencent oui ou non la classification du MTTFd. A cet effet, la charge commutable doit être intégrée dans l’estimation au niveau d’autorisation du module de sécurité SRB. Toutefois, ceci deviendrait seulement critique pour un nombre de commutations élevé et une charge commutable supérieure (voir « Va-leurs B10d pour relais »).

63

Comment puis-je calculer moi-même un sous-PL pour les composants du programme de Schmersal/Elan ?

Les étapes suivantes sont – moyennent un peu de délibération supplémentaire – précédées par l’analyse du système (voir page 70 et suivantes) et de l’insertion du système dans un schéma bloc.

B1

B2

Q1

Q2

K1

K3 K2

Ouvert

Fermé

Protecteur 1

OuvertB3

B1A

P

A

P

P P

P

B2

B4

Q1

L

Q2

K3K1

K3

Relais auxiliare K2K2

Q1

Q2 Q1

Module de sécurité

API

I1.0 I1.1

O1.1

M3~

I1.2Entrées

Sorties

I1.3 I1.4

K1Fermé

Protecteur 2

Q2

Sous-PL pour le niveau d’entrée I

Niveau de câblage : •Exclusion de défauts en référant à l’EN ISO 13 849-2:2003 ou détection des courts-circuits transversaux (voir également lexique, mot-clé « Exclusion de défauts, niveau de câblage »)

Définition de l’architecture, c’est-à-dire quelle catégorie est réalisée au niveau d’entrée (voir •figure ci-dessus).

Définition de la valeur MTTF• d par canal (généralement selon le calcul de la valeur B10d, voir page 22 et suivantes)

Définition du DC pour les modules de sécurité SRB et API de sécurité : •– 99 % en cas d’un câblage 1:1 – 60 % en cas de câblage en série (indépendamment de la définition de la fonction de sécurité) – Eventuellement intégration du DC d’un TE (voir page 22 et suivante)

CCF management : •> 65 points (voir lexique, mot-clé « CCF ») = Sous-PL selon le graphe résultant (voir figure) ou Annexe K de l‘EN ISO 13 849-1:2006


Catégorie BDCavg =

0

Catégorie 1DCavg =

0




+ CCF



a

b

c

d

e

10–4

10–5

3 × 10–6

10–6

10–7

10–8

PL

PFH (1/h)

64

Résumé schématiqueCalcul modulaire du sous-PL

Exigé si le diagnostic (et donc la couverture du diagnostic DC) est réalisé dans un composant en amont ou en aval du SRP/CS !

6

Einsatzgebiet, Aufbau und Wirkungsweise

Ihre ber¸ hrungslose Ar-beitsweise ermˆ glichtauch den verdeckten Ein-bau hinter Trennw‰ nden.Auch dies begr¸ ndet ihrebevorzugte Anwendungim Nahrungsmittelbereich,weil sie durch den Einbauhinter Edelstahlw‰ nden inihrer Funktion nicht be-einflusst werden.

Klassische Sicherheits-schalter mit getrenntemBet‰ tiger benˆ tigen einegenaue Ausrichtung vonSchalter und getrenntemBet‰ tiger. Sicherheits-Sensoren ermˆ glichenhier aufgrund ihrer ber¸ h-rungslosen Arbeitsweiseeine einfachere Montage,da sie toleranter gegenAusrichtungsfehler vonBet‰ tiger und Sensor sind.

Ein weiterer Vorteil ist diewesentlich kleinere Bau-form im Vergleich zumelektromechanischenSchalter. Aufgrund dieserkleinen Abmafl e findendie Sensoren Anwendungbei beengten Platzange-boten und auch bei derAbsicherung von kleinenSchutzt¸ ren und Klappen,die einen entsprechendkleinen Bet‰ tigungsradiuserfordern.

Typische Anwendungs-gebiete f¸ r Sicherheits-Sensoren sind aus den ge-nannten Gr¸ nden Druck-maschinen, Maschinender Nahrungsmittelindu-strie und Verpackungs-maschinen.

Abb. 1: Typische Komponenten eines PDF

SicherheiEinsatzgebiet:Aufgrund ihrer ber¸ h-rungslosen Arbeitsweiselassen sich Sicherheits-Sensoren gut kapseln.Daher eignen sie sich be-sonders zur Absicherungvon Schutzeinrichtungen,die aufgrund ihrer Kon-struktion oder Umweltbe-dingungen mit klassischenSicherheitsschaltern nichtoder nur mit grˆ fl eremAufwand abgesichert wer-den kˆ nnen. Sie sind ins-besondere f¸ r den Einsatzin Bereichen mit hohemStaub- und Verschmut-zungsgrad geeignet.

Die Kapselung ermˆ glichtaber auch eine glatte undleicht zu reinigende Form-gebung, so dass sie bevor-zugt im Nahrungsmittel-bereich mit seinen hohenHygieneanforderungeneingesetzt werden. Selbst-verst‰ ndlich sind die, f¸ rdie Sicherheits-Sensorenverwendeten Materialiennahrungsmittelecht.

t

3

2

B_bnsp01.qxd 31.03.2003 14:04 Uhr Seite 6

7

Aufbau/Wirkungsweise:Gem‰ fl der EN 60947-5-3[9] bestehen N‰ herungs-schalter mit definiertemVerhalten im Fehlerfall (PDF)aus drei Komponenten.

Abbildung 1 zeigt die dreitypischen Komponenten:

1 den aktiven Teilen:N‰ herungsschalterplus Bet‰ tiger,

2 dem Ausgangssignal-Schaltger‰ t (OSSD =Output Signal SwitchingDevice)

3 und (falls erforderlich)einem Steuer- und‹ berwachungsger‰ t.

Diese drei Komponentenm¸ ssen nicht notwendi-gerweise voneinandergetrennt sein.

Schmersal bietet diesedrei Komponenten als Sy-stem an. Dieses Systemwurde von der BG bau-mustergepr¸ ft. Somit istgew‰ hrleistet, dass alleKomponenten richtig auf-einander abgestimmt undoptimal f¸ r die jeweiligePersonenschutzfunktiongeeignet sind.

Magnetische Sicherheits-Sensoren der Reihe BNSverf¸ gen ¸ ber Reed-Kon-takte als mechanischeKontakte. Diese Kontaktewerden ¸ ber ein vonaufl en aufgebrachtesMagnetfeld entweder ge-ˆ ffnet oder geschlossen.Der Zustand der Kontaktewird mittels einer ange-schlossenen Auswerte-einheit der Baureihe AES¸ berwacht.

Gleichzeitig dient die Aus-werteeinheit als Strombe-grenzung f¸ r die Reed-Kontakte. Ein zu hoherStrom w¸ rde zum Ver-schweifl en der Reed-Kontakte und damit zueiner Fehlfunktion des Si-cherheits-Sensors f¸ hren.

Zus‰ tzlich ber¸ cksichti-gen die Auswerteeinhei-ten das Prellen der Reed-Kontakte und das eventu-elle Nachschwingen derSchutzeinrichtung, das zueinem kurzzeitigen Signal:"Schutzeinrichtung auf"und damit zum Abschaltendes Relais (OSSD) f¸ hrenkann. Dieses fr¸ hzeitigeAbschalten wird durcheine Einschaltverzˆ ge-rung verhindert. Diestr‰ gt dazu bei, dass keine

Fehlmeldungen auftretenund dadurch die Verf¸ g-barkeit der Maschine undAnlage erhˆ ht wird.

F¸ r solche Funktionenbietet die µP-Technik, dieSchmersal in seinen Aus-werteeinheiten einsetzt,Vorteile. Solche "Zusatz-funktionen" lassen sich in dieser Technologie ein-facher und platzsparenderrealisieren als in kon-ventioneller, diskreterElektronik.

In der Terminologie derEN 60947-5-3 entsprichtdie Auswerteeinheit demSteuer- und ‹ berwachungs-ger‰ t mit integriertemOSSD.

i ts-Sensoren

1

B_bnsp01.qxd 31.03.2003 14:04 Uhr Seite 7

OuvertFermé

Logique

Sous-PL

Architecture dési-gnée (catégorie) :• à1canal? • à2canaux? • Classificationen catégorie 4 ?(1)

Fiabilité du ma-tériel MTTFd : à déterminer éventuellement via le calcul de la valeur B10d

Diagnostic Coverage DC : • ≥99%encasd’uncâblage1:1(2)

• 60%encasd’uncâblageensériesimple• DC(commeci-avant)estréaliséviadesSRB

ou des systèmes PES de catégorie 4 ou avec PL « e »

Mesures de prévention CCF: > 65 points

p. ex.:


Catégorie BDCavg =

0

Catégorie 1DCavg =

0




+ CCF



a

b

c

d

e

10–4

10–5

3 × 10–6

10–6

10–7

10–8

PL

PFH (1/h)



TSE 1.1

D

D

D API conforme

à l‘IEC 61508







TSE 1.2



RelaisTSE 4.1

RelaisTSE 4.2

TS 1

TS 2TS 3

TS 4

(1) Voir exemples de câblage pour systèmes SRB ou PES(2) Attention : 99 % DC pour la boucle de retour part de l’utilisation de relais avec contacts à guidage forcé ; dans tous les autres cas (p. ex. bou-

cle de retour de l’autorisation du régulateur), le DC est inférieur et dépend également du fait que l’enclenchement/déclenchement est réalisé de manière fonctionnelle (essai) ou exclusivement relatif à la sécurité.

65

Sous-PL pour le niveau de la logique (du traitement des signaux) L

Sous-PL ou sous-SIL: voir composant en question ! Il s’agit de systèmes hautement com-•plexes avec fonction de sécurité avec un sous-PL ou sous-SIL d’origine.

Sous-PL pour le niveau actionneur (niveau de sortie) O

Agir comme pour le niveau d’entrée (toutefois éventuellement valeurs DC différentes, voir •l’EN ISO 13 849-1:2006 Annexe E) = responsabilité du client !

66

67

Exposé

67

68

Exposé : couverture du diagnostic

Dans un SRP/CS, la couverture du diagnostic a une signification spéciale de deux points de vue :

Du point de vue de la technique de sécurité, le thème « détection des défauts » dans les •architectures à multiples canaux, est très important pour éviter l’accumulation de défaillan-ces, c’est-à-dire éviter qu’une deuxième défaillance s’ajoute à la première, qui n’a pas été détectée dans le SRP/CS, ce qui entraîne la perte de la fonction de sécurité. Compte tenu des risques élevés couverts par ces architectures, ceci aboutirait à une situation dange-reuse inacceptable.

Dans les architectures simples, chaque défaillance n’entraîne pas directement d’accident •non plus – heureusement ! – ; ici, la détection de défauts a pour but d’éviter le risque que des situations dangereuses soient actives pendant des périodes plus longues.

Les mesures de prévention de défaillances courantes et leur efficacité sous forme de l’éten-•due de la détection des défauts (couverture du diagnostic DC) sont reprises dans l’Annexe E à l’EN ISO 13 849-1:2006 (classifiées selon les mesures pour le niveau d’entrée, le niveau de la logique et le niveau de sortie).

L’EN ISO 13 849-1:2006 reprend des tableaux avec des mesures typiques et des évaluations •en %, de sorte que vous ne deviez pas calculer vous-même (éventuellement, vous devez faire une estimation). Mesère Diagnostic coverage

(DC)Module d‘entréeImpulsion d’essai cyclique par change-ment dynamique des signaux d’entrée

90 %

Essai de plausibilité, p. ex. utilisation des contacts NO et NF de relais à guidage forcé

99 %

Comparaison croisée des signaux d’entrée sans essai dynamique

0 % à 99 %, en fonc-tion de la fréquence du changement de signal par l’application

Comparaison croisée des signaux d’entrée

99 %

Mesère Diagnostic coverage (DC)

LogiqueSurveillance indirecte (p. ex. surveillance par manostats, sur-veillance de position électrique d’éléments d’entraînement)

90 % à 99 % en fonc-tion de l’application

Surveillance directe (p. ex. surveillance électrique des vannes de commande, sur-veillance des unités électromécaniques par guidage forcé

99 %

Mesère Diagnostic coverage (DC)

Modules de sortieSurveillance des sor-ties par un canal sans essai dynamique

0 % à 99 % en fonction de la fréquence du changement de signal par l’application

Comparaison croisée des signaux de sortie sans essai dynamique

0 % à 99 % en fonction de la fréquence du changement de signal par l’application

Comparaison croisée des signaux de sortie avec essai dynami-que, sans détection des courts-circuits transversaux (en cas de multiples entrées/sorties)

90 %

La possibilité de réaliser une détection de défauts (et donc l’efficacité de la couverture du •diagnostic DC) dépend, en plus des mesures ou de la combinaison de mesures, largement de l’architecture d’un SRP/CS.

Dans les architectures simples à 1 canal, le DC est de 0, suite à l’absence d’une intelligence •en amont ou en aval pouvant détecter les défaillances éventuelles.

69

La meilleure solution pour le niveau d’entrée • I est une structure à 2 canaux avec un trai-tement de signaux en aval sous forme d’un module de sécurité SRB ou API de sécurité en liaison avec un câblage 1:1 (ou similaire), car le détecteur à sécurité intégrée contrôle la consistance des canaux (p. ex. au démarrage de la machine, les deux canaux doivent être fermés en cas d’un arrangement « contact à fermeture ». Ceci correspond alors à un DC de 99 % (voir Annexe E de l’EN ISO 13 849-1:2006). Dans les architectures simples à 1 canal, il est logique que ce critère de détection n’est pas disponible. Simultanément, la structure à 2 canaux répond à l’exigence que l’occurrence d’un défaut ne conduit pas à la perte de la fonction de sécurité pour les catégories 3 et 4, voir lexique, mot-clé « Catégories ».

Des possibilités d’essai sont également offertes par la redondance électrique ou l’intégra-•tion des signaux de retour dans l’API (avec contrôle de plausibilité subséquent) ou – ty-piquement pour les commandes de puissance en aval) – la réintégration des signaux de retour dans le circuit de redémarrage du SRP/CS. Une boucle de retour de contacts à manœuvre positive d’ouverture entraîne également un DC de 99 %.

Vous trouverez plus d’information sur la couverture du diagnostic DC entre autres à la page : •voir page 32 et suivante et page 68 et suivante.

70

Exposé : Influence de la définition de la fonction de sécurité sur le calcul de PL – exemples

La définition d’une fonction de sécurité et le matériel – et éventuellement logiciel – y ap-•partenant, détermine l’étendue d’une évaluation PL. Le facteur décisif est constitué par les éléments du système de commande qui sont concernés au moment de l’activation d’une fonction de sécurité et qui sont « responsables » d’une fonction pour la protection de per-sonnes. Nous donnerons une explication plus détaillée au moyen des exemples ci-après (source : rapport BGIA 2/2008, voir lexique).

Exemple 1 : fonction de sécurité « mise à l’arrêt à l’ouverture du protecteur »

A l’ouverture du protecteur, l’opérateur de la machine a accès à une zone dangereuse, dans •laquelle cinq entraînements commandent les mouvements des composants de la machine. L’ouverture du protecteur entraîne aussi rapidement que possible le déclenchement des cinq entraînements.

Entraînement 3

Entraînement 1

Entraînement 2

Entraînement 4

Entraînement 5

LogiqueSurveillance de position protecteur

Lors du calcul ultérieur du PL de la fonction de sécurité, les PL des blocs suivants (les défaillan-•ces probables de l’installation électrique sont attribuées aux blocs en question) sont reliés : – Surveillance de position du protecteur y compris les composants mécaniques – Logique – Entraînement x (x = 1, 2, ... 5)

Il se peut que le résultat soit un PL, qui ne convient plus pour l’application, bien que seuls •les entraînements 1 et 3 génèrent probablement des mouvements dangereux pour l’opéra-teur et que le déclenchement des autres entraînements soit purement « fonctionnel ». Dans ce cas, il est recommandé de considérer pour la fonction de sécurité exclusivement les mouvements constituant effectivement un danger.

Exemple 2 : fonction de sécurité « mise à l’arrêt à l’ouverture d’un protecteur »

Un mouvement dangereux est sécurisé par une grille comportant cinq protecteurs. L’ouver-•ture d’un de ces protecteurs entraîne l’arrêt de l’installation. En vue de la détermination ultérieure du PL, chaque protecteur fait partie d’une propre fonction de sécurité VF1 à VF5, qui se compose des blocs suivants (les défaillances probables de l’installation électrique sont attribuées aux blocs en question) :

71

– Surveillance de position du protecteur x (x = 1, 2, ... 5) y compris les composants mécaniques – La logique – L’entraînement

La figure reprend le schéma fonctionnel et les blocs de la fonction de sécurité VF3 : •

EntraînementLogique

Surveillance de position protecteur 1





Exemple 3 : fonction de sécurité « arrêt d’urgence de l’ensemble de la machine »

Vingt dispositifs d’arrêt d’urgence sont installés à une machine plus complexe. S’ils sont ac-•tionnés, tous les 50 entraînements doivent être mis à l’arrêt aussi rapidement que possible. De quels composants faut-il tenir compte pour réaliser la fonction de sécurité? Il est impré-visible quel dispositif d’arrêt d’urgence sera actionné pour activer la fonction de sécurité. Puisque l’opérateur n’actionne toujours qu’un seul arrêt d’urgence, les fonctions de sécurité VF1 à VF20 sont définies. La position d’une personne qui active l’arrêt d’urgence parce qu’elle est en danger, n’est pas connue, mais quelle que soit la position de cette personne : pas tous les 50 entraînements constituent un danger. C’est pourquoi il faut tenir compte du cas le plus défavorable pour toutes les situations imaginables, ce qui est défini par le PL le plus faible et ce qui dépend, entre autres, du nombre d’entraînements intégrés dans la chaîne de sécurité générant des mouvements dangereux à la position la plus défavorable, ainsi que du PL individuel en question.

Dispositif d’arrêt d’urgence 01




Entraînement 21

Entraînement 35

Entraînement 47

Logique

72

Pour le calcul ultérieur du PL pour la fonction de sécurité, il faut tenir compte des valeurs PL •des blocs suivants : – Arrêt d’urgence 03 – Logique – Entraînement 21 – Entraînement 35 – Entraînement 47

Les exemples montrent qu’une considération locale est recommandée lors de la définition •d’une fonction de sécurité, qui tient compte des éléments suivants : – Où se trouvent des personnes au moment de l’occurrence du danger ? – Quels mouvements constituent un danger à l’endroit où se trouvent ces personnes ? – Quels dispositifs de sécurité doivent activer la fonction de sécurité? Eventuellement, il faut tenir compte de plusieurs dispositifs de sécurité qui peuvent être utilisés alternativement.

Remarques du point de vue Schmersal/Elan, surtout pour l’exemple 2 :

Nous sommes confrontés avec une nouvelle méthode d’évaluation• (1), dans laquelle un câ-blage en série peut se composer de plusieurs fonctions de sécurité et l’évaluation PL ou SIL se rapporte à la fonction de sécurité individuelle. Ceci signifie qu’un câblage en série de 5 protecteurs peut comporter cinq fonctions de sécurité, qui doivent être évaluées individuel-lement, et donc cinq évaluations individuelles.

(1) En effet, cette méthode était déjà prévue par l’EN 954-1, bien qu’elle ne soit pas clairement formulée.

Dans cet exemple, on suppose que la fonction de sécurité est activée par l’opérateur à un •moment donné et à un seul protecteur, c’est-à-dire qu’un des 5 protecteurs est ouvert ou qu’un arrêt d’urgence d’une série de plusieurs arrêts d’urgence est activé.

Cette approche simplifie considérablement l’utilisation des nouvelles normes, parce que la •chaîne à évaluer du SRP/CS est « raccourcie ». De toute façon, cette évaluation est seule-ment autorisée pour une indépendance effective des fonctions de sécurité individuelles, donc par exemple pas aux doubles protecteurs.

Le risque d’enlèvement de défaillances dans les câblages en série SRP/CS de composants •électromécaniques (voir lexique, mot-clé « Câblages en série » et ailleurs) doit être évalué prudemment dans le cadre de la fonction de sécurité en question. Jusqu’à nouvel ordre, nous supposons qu’il faut utiliser exclusivement une valeur DC « faible » (= 60 %).

Jusqu’ici, nous avons argumenté que jusqu’à 31 composants de la famille CSS peuvent être •câblés en série sans perte du niveau de sécurité (mot-clé: addition de défaillances résiduel-les probables). Si nous le considérons de ce point de vue, le câblage en série peut com-porter un nombre considérablement supérieur de composants. L’argument de la détection détaillée des défaillances dans le câblage en série est toutefois maintenu.

Il existe encore d’autres possibilités pour contourner le thème «cascadage ou câblage en •série » (voir exemples de câblage BGIA 8.2.29 et 8.2.28).

73

Exemples de câblage du rapport BGIA(1)

73

(1) Représentation détaillée : voir rapport BGIA 2/08. Nous avons choisi les exemples suivants parce qu’ils s’appliquent à notre gamme de composants. Le rapport BGIA contient au total 37 exemples de câblage. ATTENTION : les commentaires repris ci-après ont été considéra-blement resserrés et simplifiés!

Veuillez également considérer que le rapport BGIA susmentionné utilise une évaluation spéciale pour les exclusions de défauts pour les contacts à manœuvre positive d’ouverture. Le « contact à ouverture à manœuvre positive d’ouverture » n’est pas évalué dans le cadre de la quantification (exclusion de défauts !), mais une valeur B10d est calculée pour le méca-nisme d’actionnement.

Recommandation 1: nous considérons la distinction précitée faite par le BGIA comme impertinente pour nos composants, parce qu’elle n’a aucune ou que très peu de consé-quences. Une exclusion de défauts peut être justifiée ou pas. L’aspect de l’ouverture forcée des contacts n’est qu’un aspect partiel.

Recommandation 2: il faut renoncer à une exclusion de défauts dès le début, si le résultat d’une évaluation montre que la sollicitation des composants excède la valeur B10d (p. ex. pour les interrupteurs de position en cas de plusieurs 100.000 manœuvres par an ; sous cette limite, le résultat sera régulièrement > 100 y MTTFd).

Recommandation 3: nous refusons de recommander des exclusions de défauts globales pour les interrupteurs de position simples (pensons p. ex. à l’usure du galet, des inclusions dans le poussoir, etc.) sauf si la norme C applicable tolère explicitement une exclusion de défauts. Voir page 29 et suivantes.

Recommandation 4: voir également lexique, mot-clé « exclusion de défauts ».

Les organes de commande d’arrêt d’urgence (voir ailleurs) sont une particularité ici : exclu-sion de défauts globale dans le cadre du calcul de la valeur B10d.

74

1) Exemple de câblage BGIA 8.2.34 : surveillance de protecteur avec traitement de signaux en aval via un module de sécurité SRB ou un API de sécurité (la situation classique !)

Remarques

Câblage d’entrée à 2 canaux •

Couverture du diagnostic (diagnostic extérieur) en cas d’un SRB par l’essai de plausibilité •via le relais à guidage forcé = DC 99 % ou en cas d’un API de sécurité via la comparaison de données croisée = DC 99 % (source : Annexe E de l’EN ISO 13 894-1:2006)

Le module de sécurité SRB ou l’API de sécurité doit répondre à sous-PL « e » •

Câblage de sortie à 2 canaux avec boucle de retour des contacts à guidage forcé •

Toutes les autres prescriptions pour l’utilisation, le raccordement et le câblage doivent être •prises en compte.

Résultat : si nous partons d’une valeur MTTFd haute, la combinaison correspond à PL « e » (cat. 4, MTTFd « haut », DC 99 %, insensible aux erreurs de cause commune) ! La valeur MTTFd est dérivée du calcul de la valeur B10d (voir ailleurs).

Exemple de câblage :

Ouvert

B1

B2 P

M3~

P Représentation en position actionnée

L

L L

A

Fermé

K1

S1MARCHE(réarme-

ment)

Boucle de retour

Q2Q1Q2Q1

Q1

Q2

75

2) Exemple de câblage BGIA 8.2.29 : cascadage ou câblage en série

En cas de cascadage d’organes de commande d’arrêt d’urgence, le BGIA prévoir un PL •« e », parce qu’une exclusion de défauts est faite pour l’ensemble des composants.

Remarques

Exclusion de défauts pour S1, S2 et S3 y compris niveau de câblage •

Câblage d’entrée à 2 canaux •

Module de sécurité SRB (ou similaire) avec PL « e ». •

Résultat : si nous supposons une valeur MTTF• d haute pour le module de sécurité SRB, le circuit correspond à PL « e », malgré le câblage en série.

Le BGIA ne recommande pas cette évaluation pour les composants commandés par la ma-chine.

M3~

L

AA

K2

K3

S1

MARCHES4

+

AAS2

AAS3

K1

K2

K3

76

3) Exemple de câblage BGIA 8.2.28 : cascadage ou câblage en série

Malgré le câblage en série des composants électromécaniques, le câblage suivant corres-•pond à PL « e », suite à l’intégration d’un API dans le SRP/CS pour la détection supplémen-taire de défauts.

L’API pour la détection des défauts est appelé un « dispositif d’essai’ dans le contexte de » •l’EN ISO 13 849-1:2006. Dans l’exemple de câblage BGIA, il est remarquable qu’une effica-cité de 99 % DC est attribuée à cette possibilité en liaison avec un module de sécurité.

Ouvert

Fermé

Protecteur 1

Ouvert

B3

B1A

A Représentation en position actionnée

P

A

P

P P

P

B2

B4

Q1

L

Q2

K3

K1

K3

Relaisauxiliare K2

K2

Q1

Q2Q1

Module de sécurité

API

I1.0 I1.1

O1.1

M3~

I1.2Entrées

Sorties

I1.3 I1.4

K1Fermé

Protecteur 2

Q2

77

4) Exemple de câblage BGIA 8.2.18 : interverrouillage de porte avec traitement de signaux en aval via un module de sécurité SRB ou un API de sécurité (canal 1) et un API standard (canal 2)

Cet exemple montre qu’il est possible de renoncer à un module SRB ou un API de sécurité (câblage de principe – typiquement pour les grandes imprimeuses etc.) !

Remarque

Câblage d’entrée à 2 canaux, pose noyée ou dans des gaines séparées •

Pour les deux interrupteurs de position B1 et B2, une valeur MTTF• d « haut » est calculée via la valeur B10d.

Traitement de signaux « canal 1 » directement via un contacteur (Q2) ; « canal 2 » via un API •(K1) avec contacteur en aval Q1. L’architecture correspond à la catégorie 3.

Couverture du diagnostic : la position de B1 est également lue dans l’API et la plausibilité •est comparée avec B2 (DC = 99 %). La position du contacteur (avec contacts à guidage forcé) est également lue dans l’API via la boucle de retour (DC = 99 %). L’API est testé via le processus (DC = 60 %). Il en résulte un DCavg de 62 %.

Toutes les autres règles pour l’utilisation, le raccordement et le câblage sont pris en •compte.

Résultat : le câblage correspond à un PL « d » (voir diagramme: cat. 3, MTTFd « haut », DC « faible », CCF en ordre).

M3~

L

+

Ouvert

Fermé

B1Q1

Q1

Q2

Q2

Q1Q1

Q2

B2

A

A Représentation en position actionnée

P

K1

API

I1.0 I1.1

O1.0

I1.2Entrées

Sorties

I1.3

78

(5) Exemple de câblage BGIA 8.2.19 : interverrouillage de porte

Remarques

Le câblage est réalisé sans système de commande en amont (module de sécurité SRB, API •de sécurité etc.) avec commande directe des actionneurs et correspond à un PL « d ».

L’exemple a été repris ici parce qu’il soutient notre argumentation relative aux circonstances •dans lesquelles un interverrouillage peut être classifié en catégorie 3. En liaison avec un module de sécurité SRB approprié, il serait même possible d’obtenir une catégorie 4 avec PL « e ».

Attention : contrôleur d’arrêt à un canal •

Commentaire BGIA : la position du dispositif de verrouillage est surveillée par un interrup-•teur de position intégré B1, la position du protecteur de plus via un interrupteur de position B2 pour réaliser une manipulation antifraude supérieure. L’interverrouillage possède une protection contre les défauts de fermeture.

M3~

L

S1 S2 ARRÊT

+UB

Déver-rouiller

Temporisation à l’enclenchement B2 P P

Protecteur

S3 MARCHEn > 0

n

G1K1

K2

Q1

Q2

M1

Q1

B1 A A

F1Aimant

FFermé

Ouvert

Interverrouillage actionné par ressort avec protection mécanique contre les défauts de fermeture

Q2

P Représentation en position actionnée

n

79

Donc : canal 1 « surveillance de position du protecteur »: protection contre les défauts de •fermeture + contact(s) de sécurité pour la surveillance de position du protecteur – canal 2 : « surveillance de position dispositif de verrouillage »: redondance électrique.

Si la protection antifraude est réalisée d’une autre manière, cet exemple de câblage sou-•tient notre argument concernant les circonstances dans lesquelles les interverrouillages avec protection contre les défauts de fermeture peuvent être utilisés sans 2ième interrupteur (= jusqu’à catégorie 3, voir lexique, mot-clé « Interverrouillages et catégorie » et page 29 et suivantes).

80

81

Aperçu des caractéristiques et application de l’EN ISO 13 849-1:2006

81

82

Objectif des normes SRP/CS

Les normes SRP/CS visent à maintenir la fonction de protection de personnes d’un SRP/CS •en cas de défaut par l’implémentation de mesures supplémentaires (autrement dit : réduire certaines situations dangereuses causées par une défaillance ou un défaut à un risque résiduel acceptable).

Cette défaillance représente les défauts, défaillances et erreurs dans le matériel et le logiciel •relatif à la sécurité utilisés dans un SRP/CS.

Attention ! Astuce sémantique: des erreurs (par exemple dans les composants = avant : •fonctionnement correct) résultent dans des défaillances (= situation permanente du com-posant), mais les erreurs peuvent être présentes dans un SRP/CS dès le début (= erreur de construction = défaillance systématique). Les situations dangereuses causées par des défaillances (temporaires) sont considérées comme l’équivalent de défaillances.

EN 954-1:1996 IEC 61508:1998–2000

EN ISO 13 849-1:2006

Approche déterministe

Méthodes éprouvées :• Fonctions de sécurité• Graphe pour l’estimation des risques• Catégories

Nouveaux concepts :• Quantification : fiabilité des composants et qualité des essais• Défaillances de cause commune

Approche probabiliste

Il y a deux types de mesures supplémentaires : les mesures destinées à une réduction du •risque en cas de défaillances systématiques et les mesures destinées à la maîtrise des défaillances aléatoires.

Les défaillances systématiques existent déjà au moment de la livraison: elles sont asso-•ciées de façon déterministe à certaines causes, ne pouvant être éliminées que par une mo-dification de la conception ou du processus de fabrication, des procédures d’exploitation, de la documentation ou d’autres facteurs appropriés. Il s’agit de problèmes de conception essentiels, lacunes dans les spécifications, erreurs de jugement, erreurs dans le logiciel, etc. Elles ne peuvent pas être résolues par exemple par une redondance.

83

Les mesures de prévention des défaillances systématiques sont reprises dans l’Annexe G à •l’EN ISO 13 849-1:2006 et dans l’EN ISO 13 849-2:2003.

Aux défaillances aléatoires (p. ex. •dues au vieillissement du produit, défaillance aléatoire de compo-sants) par contre, on peut seu-lement attribuer une probabilité statistique. Autrement dit : au plus faible la probabilité de défaillance, au plus élevée la sécurité fonction-nelle. La probabilité des défaillan-ces aléatoires est une estimation purement statistique et permet de tirer des conclusions concernant la sécurité d’un produit sur site, mais pas de conclusions concer-nant la sécurité d’un produit individuel. Voir également figure : courbe en U !

Causes de défaillances systématiques

Avant la mise en service, p. ex. :Vices de fabrication•Erreurs pendant le développe-•ment (faux choix, faux dimen-sionnement, erreurs dans le logiciel)Erreurs pendant l’intégration •(faux choix, erreurs de câblage)

Après la mise en service, p. ex. :Défaillance/fluctuations de •l’énergieInfluences ambiantes techniques•Usure, surcharge•Erreurs d’entretien•

Mesures de prévention des défaillances

Matériaux appropriés et processus de fabricage correct

Dimensionnement et modélisation corrects

Choix, mise en place, montage et installation corrects

Composants avec des données fonctionnelles compatibles

Résistance aux conditions ambiantes définies

Composants selon la norme appropriée avec les types de défaillance définis

Test fonctionnel

Gestion de projet, documentation

Essai Black box

INTEGRATION :

Additionnellement :

Mesures de prévention des défaillances

Principe de coupure de l’énergie

Conception pour maîtriser les influences de la tension

Conception pour maîtriser les influences ambiantes techniques

Surveillance du déroulement du programme (pour le logiciel)

Processus de communication de données « sûrs » (systèmes de bus)

Essais automatiques

Matériel redondant/diversitaire

Mode de service à guidage forcé

Contacts à guidage forcé/contacts à manœuvre positive d’ouverture

Additionnelle- ment :

Défaillances contrôlées

Surdimensionnement

Défaillances duesà l’usure

Remède : dimen-sionnement, remplace-

ment soigneux

λ

Défaillances précoces

Remède : vieillissement préalable, optimalisa-

tion des processus

Durée d’utilisationTM ou T10d

Temps0

Taux de défaillance

Défail-lances

aléatoires

84

Les défaillances aléatoires n’existent pas au moment de la livraison. Elles sont le résultat •de défauts du matériel et se produisent aléatoirement lorsque le produit est en service. Des exemples de défaillances aléatoires sont des courts-circuits, des interruptions, fatigue du matériel, etc. Des défaillances de ce type se produisent aléatoirement, mais nous pouvons leur attribuer une probabilité statistique.

Des mesures de prévention des défaillances aléatoires sont la redondance, la détection de •défauts, etc., donc tout ce qu’on peut associer de manière simplifiée (et incomplète) à la ca-tégorie, au niveau de performance PL et au niveau d’intégrité de sécurité SIL. « Incomplète », parce que les mesures de prévention de défaillances systématiques sont une exigence de base impérative pour la catégorie, le PL ou le SIL.

Un type d’évaluation spéciale est supplémentairement applicable pour les dites erreurs de •cause commune, ce sont des défaillances ou défauts de différentes unités (canaux) avec la même fonction par une cause commune.

Les défaillances aléatoires sont exclusivement associées au matériel, lorsque les défaillan-•ces systématiques sont exclusivement associées au logiciel. Cette thèse est contestée, surtout pour les niveaux critiques plus élevés, p. ex. dans le secteur aéronautique.

Le taux d’accidents aux machines suite à des défaillances aléatoires du matériel est consi-•déré faible de nos jours. Il s’élèverait à max. 10 à 15 % du taux d’accidents total. D’autres estimations indiquent un taux même plus inférieur. La majorité des accidents par contre est due à des défaillances systématiques et – facteur important – à la manipulation des disposi-tifs de sécurité.

85

Niveau de performance (1)

Définition de la norme (EN ISO 13 849-1:2006): niveau discret spécifiant l’aptitude de parties •relatives à la sécurité à réaliser une fonction de sécurité dans des conditions prévisibles (qu’il convient de prendre en considération) pour atteindre la réduction du risque attendu.

Simplifié : la qualité totale relative à la sécurité d’un SRP/CS en tenant compte de l’archi-•tecture du SRP/CS (= évaluation déterministe) et de la fiabilité du SRP/CS (= évaluation probabiliste). En principe, les éléments de la fiabilité relative à la sécurité, la résistance aux défaillances et défauts, la tolérance de défauts, le comportement en cas de défaut, la détection de défauts, les mesures de prévention des accumulations de défauts et des défaillances systématiques sont évalués.

Le PL requis (PL « a » … « e ») est le résultat de l’évaluation du graphe pour l’estimation du •risque de la fonction de sécurité en question ou de la norme C applicable.

Selon la théorie des probabilités, un niveau de performance PL représente la probabilité •moyenne de défaillance dangereuse par heure PFHd comme suit :

Niveau de performance (PL)

Probabilité moyenne de défaillance dangereuse par heure (1/h)

a ≥ 10–5 à < 10–4

b ≥ 3 × 10–6 à < 10–5

c ≥ 10–6 à < 3 × 10–6

d ≥ 10–7 à < 10–6

e ≥ 10–8 à < 10–7

Note : en plus de la probabilité moyenne d’une défaillance dangereuse par heure, d’autres mesures sont requises pour atteindre le PL.

La note du tableau indique clairement qu’il ne s’agit pas exclusivement d’exigences relatives •à la théorie des probabilités.

Pour se former une idée, les valeurs PFH• d peuvent être « traduites » comme suit :

Niveau de performance (PL) Taux de défaillance max. toléré

a 1 défaillance dangereuse par 10.000 heures

b 1 défaillance dangereuse par 30.000 heures

c 1 défaillance dangereuse par 100.000 heures

d 1 défaillance dangereuse par 1.000.000 heures

e 1 défaillance dangereuse par 10.000.000 heures

En conséquence, si un PL représente la probabilité moyenne de défaillance dangereuse •par heure PFHd, les sous-systèmes peuvent également être indiqués avec des valeurs PFHd pour un certain sous-PL. Des exemples typiques sont tous les systèmes hautement com-plexes avec fonction de sécurité, pour lesquels cette limite est généralement spécifiée en plus de classification PL ou SIL.

86

Ici, il se révèle clairement que la valeur PFH• d est plus particulièrement le lien commun de PL (ou l’EN ISO 13 849-1:2006) et SIL (ou l’EN IEC 62 061:2005 et l’EN IEC 61 508-1/-7:2001).

Pour les spécifications sous-PFH• d, il est recommandé que les valeurs en question n’utili-sent qu’une partie de la valeur totale qui est maximalement applicable pour la classification PL ou SIL en question, c’est-à-dire ≤ par 20 % pour le niveau d’entrée I et le niveau de la logique L du SRP/CS, de sorte que plus de 60% est disponible pour le niveau de sortie O – identifié par expérience comme l’élément le plus faible de la chaîne.

Si on veut, les paramètres spécifiés en paragraphe (2), qui sont utilisés pour déterminer un •PL ou un sous-PL, sont simplement des grandeurs simplifiées pour contourner les mathé-matiques complexes qui sont à la base d’une valeur PFHd.

Si la méthode des sous-systèmes est utilisée pour l’estimation PL (voir page 45 et suivan-•tes), certains des calculs indiqués ci-après sont omis ou simplifiés. On part de la méthode des sous-systèmes (voir page 131 et suivantes).

87


Un PL se compose de :

Architecture• (= catégorie) Explication : l’architecture d’un SRP/CS (à 1 canal, à 1 canal avec test, à 2 canaux avec test réciproque, à 2 canaux avec autosurveillance) pour la chaîne I (entrées) + L (logique = traitement des signaux) + O (sorties), pour laquelle l’EN ISO 13 849-1:2006 préfère certai-nes architectures, les célèbres catégories. La possibilité est également offerte de faire des exclusions de défauts par analogie avec l’EN ISO 13 849-2:2003. L’EN ISO 13 849-1:2006 « autorise » également d’autres architectures, pour lesquelles le calcul simplifié ne peut tou-tefois pas être utilisée sans plus. Pour celles-ci, il faut utiliser des mathématiques précises qui s’associent à des efforts et frais correspondants.

Sont déterminés : •– Catégorie B … 4 (Designated Architectures/architectures désignées) : classification des parties des systèmes de commande relatives à la sécurité par rapport à leur résistance aux défaillances et leur comportement subséquent en cas d’un défaut.Exclusions de défauts selon l’EN 13 849-2:2003 importantes ou exigées •

Attention : modifications en catégorie 2 ! Voir lexique, mot-clé « Catégorie 2 »•

OL

Signal d’entrée

Signal de sortie

O

O

O1L1

Signal d’entrée

Signalde sortie

Surveil-lance

I1

O2L2Signal

d’entréeSignal

de sortie

Surveil-lance

I2

I L

Signal d’entrée

Signal de sortie

OTETE

2ième

voie decoupure

ou voied’indication

Surveillance

Sur

veill

ance

Sur

veill

ance

Surveillance

Cro

ssM

onito

ring

OL

Signal d’entrée

Signal de sortie

O

O

O1L1

Signal d’entrée

Signalde sortie

Surveil-lance

I1

O2L2Signal

d’entréeSignal

de sortie

Surveil-lance

I2

I L

Signal d’entrée

Signal de sortie

OTETE

2ième

voie decoupure


Surveillance

Sur

veill

ance

Sur

veill

ance

Surveillance

Cro

ssM

onito

ring

OL

Signal d’entrée

Signal de sortie

O

O

O1L1

Signal d’entrée

Signalde sortie

Surveil-lance

I1

O2L2Signal

d’entréeSignal

de sortie

Surveil-lance

I2

I L

Signal d’entrée

Signal de sortie

OTETE

2ième

voie decoupure


Surveillance

Sur

veill

ance

Sur

veill

ance

Surveillance

Cro

ssM

onito

ring

Catégories 3 et 4 :Catégorie 2:Catégories B et 1 :

En plus des architectures précitées d’un SRP/CS, l’estimation des principes de sécurité (a) •essentiels et (b) fiables font également partie des exigences pour une catégorie. Les prin-cipes de sécurité essentiels correspondent à l’état de la technologie et doivent être consi-dérés à partir de la catégorie B ; à partir de la catégorie 1, il faut en outre tenir compte des principes de sécurité fiables. Ceci ne peut cependant pas être confondu avec l’exigence que des composants relatifs à la sécurité fiables doivent être utilisés (celle-ci est supplé-mentairement applicable pour la catégorie 1). L’un et l’autre est expliqué dans les Annexes A à D à l’EN ISO 13 849-1:2003 (validation des SRP/CS). Voir également lexique, mot-clé « Catégories ».

88

Fiabilité du matériel• (= MTTFd/Mean Time to dangerous Failure) Explication : une valeur moyenne statistique exprimant la durée de fonctionnement avant défaillance (dangereuse) en années (y) ; les valeurs MTTFd individuelles du matériel utilisé par canal doivent être calculées, additionnées (via la méthode de comptage des parties) et comparées avec les spécifications de la norme pour « haut », « moyen » et « bas ». Les va-leurs MTTFd se basent sur les spécifications du fabricant ou les spécifications de manuels de référence harmonisés, p. ex. SN 29 500.

Sont définis (2) : •– MTTFd par canal comme la somme des MTTFd individuels de I + L + O et sub- divisé en trois groupes « faible », « moyen », « élevé ».

Classification qualité Valeur MTTFd

faible 3 ans ≤ MTTFd < 10 ans

moyen 10 ans ≤ MTTFd < 30 ans

élevé 30 ans ≤ MTTFd ≤ 100 ans

Simplement dit : qualité statistique du matériel relative •à la sécurité (dérivée de la fiabilité)Pour le calcul des valeurs MTTF• d, l’EN ISO 13 849-1:2006 utilise la méthode de comptage des parties.

N1

= S 1MTTFd MTTFd i

i = 1

ATTENTION : en fait, les spécifications MTTFd se prononcent sur la probabilité statistique de survie d’un grand volume d’un produit (les paroles sont : seulement 37 % « survivent » jusqu’à ce moment. La valeur réciproque 1/MTTFd représente la probabilité de défaillance par heure, qui est également appelée la valeur λ ou FIT (pour des défaillances 10–9). La théorie de probabilité de base est la répartition exponentielle (voir ailleurs).

Les courbes montrent de haut en bas les défaillances dangereuses en % en fonction du MTTFd du composant. De haut en bas : 3 ans, 10 ans et 100 ans. La ligne de 63 %, où les années de service sont identiques au MTTFd, la ligne de 50 % et de 10 % est représentée en pointillé.

100

90

80

70

60

50

40

30

20

10

0 0 2 4 6 8 10 12 14 16 18 20 22 24 26 28 30

63 %

50 %

1 %10 %

MTTFd électronique

Déf

ailla

nces

dan

ger

euse

s %

Années d’utilisation

100 ans

30 ans

3 ans 10 ans

89

Les courbes montrent de haut en bas les défaillances dangereuses en % en fonction du MTTFd du composant. La figure reprend une coupe détaillée pour les 5 premières années de service. De haut en bas : 3 ans, 10 and, 30 ans et 100 ans. La ligne de 10 % et de 1 % des défaillances est représentée en pointillé.

Détection des défauts• (= DC/couverture du diagnostic en %) Explication: la décroissance de la probabilité de défaillance dangereuse du matériel résul-tant du fonctionnement des tests de diagnostic automatique. La mesure de probabilité de l’efficacité du diagnostic (→ détection des défauts) exprimant le rapport entre les défaillan-ces dangereuses détectées et le nombre total de défaillances dangereuses. Ce rapport est cependant pondéré supplémentairement avec la valeur MTTFd du composant en question. Ceci signifie que la qualité de surveillance de composants avec une valeur MTTFd élevée ne doit pas être aussi élevée que celle des composants avec un MTTFd. 90 % signifie par exemple que la probabilité que les défaillances dangereuses sont détectées (à temps) s’élève à 90 % et que 10 % des défaillances dangereuses ne sont pas détectées (à temps) ; à temps = détection avant la probabilité d’occurrence d’une deuxième défaillance. Des propositions pour l’évaluation des différentes mesures pour I , L et O sont indiquées dans l’Annexe E de l’EN ISO 13 849-1:2006 ; via une formule spécifique, un DCavg moyen peut être calculé pour un SRP/CS total (« avg » signifie « average » = moyen).

30

25

20

15

10

5

0 0 1 2 3 4 5

1%

10%

MTTFd électronique

Déf

ailla

nces

dan

ger

euse

s %

Années d’utilisation

100 ans

30 ans

3 ans 10 ans

Sont déterminés (3) : •– DCavg du SRP/CS total (subdivisé en 4 groupes: « néant », « faible », « moyen », « élevé ») = le résultat de l’efficacité des DC individuels de I , L et O

Classification Valeurs DC

néant DC < 60 %

faible 60 % ≤ DC < 90 %

moyen 90 % ≤ DC < 99 %

élevé 99 % ≤ DC

90

Sont déterminées (3) (continuation) :

Simplement dit: efficacité/fiabilité des mesures de prévention exprimée en pourcenta-•ges (calcul DCavg via formule)

Outil en EN ISO 13 849-1:2006 : voir Annexe E de EN ISO 13 849-1:2006•

DCavg =

DC1 +DC2 + ... +

DCS

MTTFd1 MTTFd2 MTTFdN

1 + 1 + ... + 1MTTFd1 MTTFd2 MTTFdN

DC =S λdd Probabilité de défaillances dangereuses détectéesS λd Probabilité des défaillances dangereuses totales

Mesures de prévention des défaillances de cause commune • (« CCF ») Explication : mesures prévenant les défaillances résultant d’un ou plusieurs événements, entraînant des défaillances simultanées sur deux ou plusieurs canaux séparés dans un sous-système à canaux multiples (architecture redondante), entraînant la défaillance de la fonction de commande relative à la sécurité. Exemples : pontage des deux canaux par une influence extérieure, température trop élevée, la foudre frappant les sorties de sécurité redondantes (effet de ‘surtension’) élimine simultanément l’aptitude d’enclenchement ou de déclenchement des deux canaux, huile polluée dans des composants hydrauliques ou excès d’eau dans l’air de composants pneumatiques. Autrement dit: une seule cause peut annuler la redondance. L’annexe à l’EN ISO 13 849-1:2006 reprend un tableau avec des mesures de prévention des défaillances de cause commune CCF. Chaque mesure possède une valeur exprimée en points. Les mesures avec une valeur > 65 sur 100 points doivent être réalisées.

Sont déterminés (4) : •– Mesures de prévention des CCF (détermination OUI/NON, seulement à partir de catégorie 2): défaillance de cause commune: défaillances de ces unités sans influences mutuelles suite à un seul événement.

Définition des mesures dans • I , L et O selon le tableau de recherche (sur un score maximal de 100 points, un minimum de 65 points doit être obtenu.

Défail-lance canal 1

Cause commune

Défail-lance canal 2

N° Mesures de prévention des CCF Score1 Séparation

Séparation physique entre les voies de signaux 152 Diversité

Utilisation de différentes technologies/principes de conception ou physiques

20

3 Conception/utilisation/expérience3.1 Protection contre la surtension, la surpression,

la surintensité etc.15

3.2 Verwendung bewährter Bauteile 5

91

S’y ajoutent encore les mesures de prévention des défaillances systématiques et défaillan-•ces dans le SRP/CS. voir lexique, mot-clé « Défaillances (défaillances systématiques) ».

Résultat

Soit on utilise un graphe de résultat (Fig. 1), duquel le PL obtenu peut être dérivé, soit – si un •résultat plus précis est exigé – on utilise l’Annexe K selon l’EN ISO 13 849-1:2006 (Fig. 2), qui entraîne une division numérique plus précise entre les paramètres PFHd et PL. Tableau de résultat

MTTF• d-Begrenzung auf 100 yEn fonction de la catégorie, DC, •CCF et MTTFd

Classification plus précise (selon •Annexe K)Les chevauchements peuvent •être utilisés pour un calcul précis.


Catégorie BDCavg =

0

Catégorie 1DCavg =

0




+ CCF



a

b

c

d

e

10–4

10–5

3 × 10–6

10–6

10–7

10–8

PL

PFH (1/h)

Fig. 1 : Diagramme

Fig. 2 : Annexe K à l’EN ISO 13 849-1:2006

Représentation numériqueVoir EN ISO 13 849-1:2006 •Annexe K

Tableau K.1 – Représentation numérique de la figure 5 (de l’EN ISO 13 849-1:2006 [D] – Annexe K [informatif])

Probabilité moyenne de défaillance dangereuses par heure [1/h] et le niveau de performance correspondant PL

MTTFd pour chaque canal



DCavg = néant

DCavg = faible

DCavg = moyen

DCavg = faible

DCavg = moyen

DCavg = élevé

3 3,80 × 10–5 a 2,58 × 10–5 a 1,99 × 10–5 a 1,26 × 10–5 a 6,09 × 10–6 b

3,3 3,46 × 10–5 a 2,33 × 10–5 a 1,79 × 10–5 a 1,13 × 10–5 a 5,41 × 10–6 b

3,6 3,17 × 10–5 a 2,13 × 10–5 a 1,62 × 10–5 a 1,03 × 10–5 a 4,86 × 10–6 b

3,9 2,93 × 10–5 a 1,95 × 10–5 a 1,48 × 10–5 a 9,37 × 10–6 b 4,40 × 10–6 b

4,3 2,65 × 10–5 a 1,76 × 10–5 a 1,33 × 10–5 a 8,39 × 10–6 b 3,89 × 10–6 b

4,7 2,43 × 10–5 a 1,60 × 10–5 a 1,20 × 10–5 a 7,58 × 10–6 b 3,48 × 10–6 b

5,1 2,24 × 10–5 a 1,47 × 10–5 a 1,10 × 10–5 a 6,91 × 10–6 b 3,15 × 10–6 b

5,6 2,04 × 10–5 a 1,33 × 10–5 a 9,87 × 10–6 b 6,21 × 10–6 b 2,80 × 10–6 c

6,2 1,84 × 10–5 a 1,19 × 10–5 a 8,80 × 10–6 b 5,53 × 10–6 b 2,47 × 10–6 c

6,8 1,68 × 10–5 a 1,08 × 10–5 a 7,93 × 10–6 b 4,98 × 10–6 b 2,20 × 10–6 c

7,5 1,52 × 10–5 a 9,75 × 10–6 b 7,10 × 10–6 b 4,45 × 10–6 b 1,95 × 10–6 c

8,2 1,39 × 10–5 a 8,87 × 10–6 b 6,43 × 10–6 b 4,02 × 10–6 b 1,74 × 10–6 c

9,1 1,25 × 10–5 a 7,94 × 10–6 b 5,71 × 10–6 b 3,57 × 10–6 b 1,53 × 10–6 c

10 1,14 × 10–5 a 7,18 × 10–6 b 5,14 × 10–6 b 3,21 × 10–6 b 1,36 × 10–6 c

11 1,04 × 10–5 a 6,44 × 10–6 b 4,53 × 10–6 b 2,81 × 10–6 c 1,18 × 10–6 c

12 9,51 × 10–6 b 5,84 × 10–6 b 4,04 × 10–6 b 2,49 × 10–6 c 1,04 × 10–6 c

13 8,78 × 10–6 b 5,33 × 10–6 b 3,64 × 10–6 b 2,23 × 10–6 c 9,21 × 10–7 d

15 7,61 × 10–6 b 4,53 × 10–6 b 3,01 × 10–6 b 1,82 × 10–6 c 7,44 × 10–7 d

16 7,13 × 10–6 b 4,21 × 10–6 b 2,77 × 10–6 c 1,67 × 10–6 c 6,78 × 10–7 d

18 6,34 × 10–6 b 3,68 × 10–6 b 2,37 × 10–6 c 1,41 × 10–6 c 5,67 × 10–7 d

20 5,71 × 10–6 b 3,26 × 10–6 b 2,06 × 10–6 c 1,22 × 10–6 c 4,85 × 10–7 d

22 5,19 × 10–6 b 2,93 × 10–6 c 1,82 × 10–6 c 1,07 × 10–6 c 4,21 × 10–7 d

24 4,76 × 10–6 b 2,65 × 10–6 c 1,62 × 10–6 c 9,47 × 10–7 d 3,70 × 10–7 d

27 4,23 × 10–6 b 2,32 × 10–6 c 1,39 × 10–6 c 8,04 × 10–7 d 3,10 × 10–7 d

30 3,80 × 10–6 b 2,06 × 10–6 c 1,21 × 10–6 c 6,94 × 10–7 d 2,65 × 10–7 d 9,54 × 10–8 e

33 3,46 × 10–6 b 1,85 × 10–6 c 1,08 × 10–6 c 5,94 × 10–7 d 2,30 × 10–7 d 8,57 × 10–8 e

36 3,17 × 10–6 b 1,67 × 10–6 c 9,39 × 10–7 d 5,16 × 10–7 d 2,01 × 10–7 d 7,77 × 10–8 e

39 2,93 × 10–6 c 1,53 × 10–6 c 8,40 × 10–7 d 4,53 × 10–7 d 1,78 × 10–7 d 7,11 × 10–8 e

43 2,65 × 10–6 c 1,37 × 10–6 c 7,34 × 10–7 d 3,87 × 10–7 d 1,54 × 10–7 d 6,37 × 10–8 e

47 2,43 × 10–6 c 1,24 × 10–6 c 6,49 × 10–7 d 3,35 × 10–7 d 1,34 × 10–7 d 5,76 × 10–8 e

51 2,24 × 10–6 c 1,13 × 10–6 c 5,80 × 10–7 d 2,93 × 10–7 d 1,19 × 10–7 d 5,26 × 10–8 e

56 2,04 × 10–6 c 1,02 × 10–6 c 5,10 × 10–7 d 2,52 × 10–7 d 1,02 × 10–7 d 4,73 × 10–8 e

62 1,84 × 10–6 c 9,06 × 10–7 d 4,43 × 10–7 d 2,13 × 10–7 d 8,84 × 10–8 e 4,22 × 10–8 e

68 1,68 × 10–6 c 8,17 × 10–7 d 3,90 × 10–7 d 1,84 × 10–7 d 7,68 × 10–8 e 3,80 × 10–8 e

75 1,52 × 10–6 c 7,31 × 10–7 d 3,40 × 10–7 d 1,57 × 10–7 d 6,62 × 10–8 e 3,41 × 10–8 e

82 1,39 × 10–6 c 6,61 × 10–7 d 3,01 × 10–7 d 1,35 × 10–7 d 5,79 × 10–8 e 3,08 × 10–8 e

91 1,25 × 10–6 c 5,88 × 10–7 d 2,61 × 10–7 d 1,14 × 10–7 d 4,94 × 10–8 e 2,74 × 10–8 e

100 1,14 × 10–6 c 5,28 × 10–7 d 2,29 × 10–7 d 1,02 × 10–7 d 4,29 × 10–8 e 2,47 × 10–8 e

92


Selon la norme, l’estimation doit être effectuée de préférence sur base des spécifications •du fabricant.

Un PL peut être calculé de deux manières: •

– Une fonction de sécurité (la chaîne I + L + O ) est décomposée en blocs (dans des composants fonctionnels individuels). Les blocs sont mis en rapport avec les paramè-tres d’évaluation – constituant le PL –, évalués et estimés en conclusion (en partie de manière analytique, en partie mathématiquement). Cette méthode est décrite dans l’EN ISO 13 849-1:2006 sous le nom « méthode des sous-systèmes » ; l’annexe B à la norme reprend une description détaillée de cette méthode.

– Un SRP/CS global est subdivisé en sous-systèmes, qui peuvent être dérivés de blocs fonctionnels. Pour chaque sous-système, un sous-PL est calculé et les sous-PL indivi-duels sont additionnés pour obtenir le PL global (voir page 45 et suivantes).

Les sous-PL offrent l’avantage qu’un constructeur de machines peut se servir d’une procé-•dure simplifiée pour la détermination de PL globaux. Le PL global est défini par le sous-PL le plus bas. La valeur MTTFd doit en outre correspondre à la classification « haut » ; alter-nativement, on peut utiliser le tableau de combinaison (voir page 45 et lexique, mot-clé « Calculs (calculs PL) ».

En ce qui concerne leur efficacité, un PL et un niveau d’intégrité de sécurité SIL sont identi-•que sur le plan du contenu. Dans ce sens, il existe un tableau de combinaison (p. ex. PL « e » = SIL 3 etc.), mais aussi différentes méthodes de calcul individuelles.


EN ISO 13849-1:2006

PL

SILIEC 62061:2005/IEC 61508:2001

a



b c d e



2 3

10–810–5

3 × 10–610–6 10–710–4

ATTENTION: les classifications PFH• d, telles que décrites ci-dessus, sont applicables pour un PL (ou SIL) global. Pour les sous-systèmes, seules des portions peuvent être « consom-mées » (recommandation : chaque fois max. 20 % pour I et L , et donc > 60 % pour O ).

93

Lexique/Explication des mots-clés et définitions

93

94

Addition des probabilités de défaillanceSi les valeurs MTTF• d sont disponibles, l’addition par canal se fait selon la méthode de comptage des parties (la méthode dite Parts Count Method), c’est-à-dire que les valeurs réciproques 1/MTTFd sont additionnées. La somme est reconvertie en une valeur MTTFd globale et comparée aux spécifications de la norme pour « haut » (30 y …100 y), « moyen » (10 y … 30 y) et « bas » (3 y ... 10 y). Le MTTFd par canal est limitée à 100 ans (à l’intérieur d’un canal, des valeurs supérieures sont toutefois possibles).

Pour les canaux avec différentes valeurs MTTF• d, il existe une formule de symétrisation :

Les valeurs PFH• d peuvent être additionnées sans, plus, donc 1 × 10–9 + 1 × 10–9 = 2 × 10–9. La sous-classification la plus basse définit toutefois le PL ou SIL global. En aucun cas, des valeurs PFHd supérieures ne compensent aux restrictions résultant des contraintes archi-tecturales (Architectural Constraints) pour le niveau d’intégrité de sécurité SIL.

Amendement 1 de l’EN 1088:1996Le complément Amendement (AMD) 1 de l’EN 1088:1996• (1) concerne les exigences pour la conception en vue de la minimisation des possibilités de fraude des dispositifs de ver-rouillage. Entretemps, AMD 1 a été intégré dans la publication EN 1088-10:2008.Il faut faire une distinction entre les mesures empêchant la manipulation de manière simple •(comme elles existent jusqu’à présent) et les mesures supplémentaires qui doivent rendre la manipulation plus difficile. En fonction du type de dispositif de verrouillage utilisé, diffé-rentes mesures sont présentées, desquelles – ceci est nouveau – au moins une doit être réalisée.Pour les composants avec actionneur séparé, ces mesures supplémentaires comprennent •entre autres : – un montage noyé du composant ; – un montage permanent de l’actionneur par l’utilisation de vis indémontables, par agrafes, par soudure, etc. pour empêcher son détachement à l’aide de moyens simples ; – l’actionneur possède un codage individuel ou – l’implémentation de mesures de surveillance au niveau de la technologie de commande, p. ex. essais de plausibilité, tests au démarrage etc.Compte tenu de l’historique des accidents, il faut prêter une attention particulière aux nou-•velles exigences (étendues). Selon des estimations, un quart de tous les accidents de travail avec des machines en Allemagne serait dû à la manipulation des dispositifs de sécurité. Ce résultat ainsi que d’autres informations utiles sont repris dans une étude empirique effec-tuée par le BGIA, Berufsgenossenschaftliches Institut für Arbeitsschutz BGIA, St. Augustin, pour quelques associations professionnelles (entre autres le secteur de la métallurgie Me-tall-BG). (L’étude est téléchargeable à : www.dguv.de/bgia → Publikationen → BGIA reports 2005–2006).Malgré tout, une augmentation de la protection antifraude des dispositifs de sécurité en •soi ne suffit pas. De l’étude susmentionnée, il s’avère également que les opérateurs aient souvent des raisons objectives et subjectives pour la manipulation lors de l’exécution de leur travail. Les constructeurs de machines sont priés d’en tenir compte en ce qui concerne le concept de sécurité d’une machine. Ils peuvent, par exemple, prévoir en plus du mode

A

(1) Dispositifs de verrouillage en liaison avec des protecteurs avec séparation phy-sique – principes de base pour la conception et la sélection (www.beuth.de).

MTTFd =2 MTTFd C1 + MTTFd C2 –

13 1 + 1

MTTFd C1 MTTFd C2

N1

= S 1MTTFd MTTFd i

i = 1

95

automatique, d’autres modes non seulement efficaces mais également sûrs. La « politique de sécurité » implémentée dans les entreprises utilisant les machines détermine également l’attitude adoptée par rapport au thème « Manipulation des dispositifs de sécurité ».

Annexe EEstimation de la couverture du diagnostic DC pour les fonctions et modules•Voir mot-clé « Couverture du diagnostic DC », page 32 et suivante et page 68 et suivante•

Annexe G (selon l’EN ISO 13 849-1:2006)Les mesures de prévention des défaillances systématiques sont parmi les mesures les plus •importantes pour garantir la sécurité des SRP/CS. Des imperfections et défaillances à ce niveau peuvent à peine être compensées par d’autres mesures. Dans ce sens, les mesures pour la prévention et la maîtrise des défaillances systématiques •sont supplémentairement discutées dans l’Annexe G à l‘EN ISO 13 849-1:2006, toutefois seulement à titre d’information. « Supplémentairement discutées » signifie que les normes EN 954-1:1996 (ISO 13 849-1:1999) •et surtout l’EN ISO 13 849-2:2003 (à l’origine prévue comme l’EN 954-2) comprennent des exigences relatives à l’application, qui sont maintenues et améliorées par l’Annexe G.L’EN IEC 62 061:2005 reprend les mêmes considérations sur ce thème.•L’Annexe G est divisé en 4 groupes : groupe G.1 est seulement une référence croisée aux •considérations détaillées de l’EN ISO 13 849-2:2003 (voir dessus). Groupe G.2 comprend des mesures de maîtrise des défaillances systématiques, G.3 des mesures de prévention des défaillances systématiques et G.4 des mesures de prévention des défaillances systé-matiques lors de l’intégration dans un SRP/CS.

EN ISO 13849-1:2006 (D)

Anhang G(informativ)

Systematischer Ausfall

G.1 Allgemeines

Die ISO 13849-2 liefert eine umfassende Liste mit Maßnahmen gegen den systema-tischen Ausfall, die angewendet werden sollten, wie grundlegende Sicherheitsprin-zipien und bewährte Sicherheitsprinzipien.

G.2 Maßnahmen zur Beherrschung systematischer Ausfälle

Die folgenden Maßnahmen sollten angewendet werden:

– Anwendung der Energieabschaltung (siehe ISO 13849-2)

Die sicherheitsbezogenen Teile der Steuerung (SRP/CS) sollten so gestaltet werden, dass mit Verlust der elektrischen Versorgung der sichere Zustand der Maschine er-reicht oder aufrechterhalten werden kann.

– Maßnahmen, um die Auswirkungen von Spannungsausfall, Spannungsschwan-kungen, Überspannung und Unterspannung zu beherrschen.

Das Verhalten der SRP/CS als Reaktion aufgrund der Bedingungen von Spannungs-ausfall, Spannungsschwankungen, Überspannung und Unterspannung sollten vor-her bestimmt werden, sodass die SRP/CS den sicheren Zustand der Maschine errei-chen oder aufrechterhalten kann (siehe auch IEC 60204-1 und IEC 61508-7-2000, A 8)

– Maßnahmen, um die Wirkungen physikalischer Umgebungsbedingungen (z. B. Tem-peratur, Feuchte, Wasser, Vibration, Staub, korrosive Substanzen, elektromagne-tische Beeinflussung und deren Wirkungen) zu beherrschen oder zu verhindern.

Das Verhalten der SRP/CS als Reaktion auf die Wirkungen der physikalischen Umge-bungsbedingungen sollte vorher bestimmt werden, sodass die SRP/CS den sicheren

96

Annexe K (selon l’EN ISO 13 849-1:2006)L’Annexe K a deux différents buts : •– En premier lieu, elle reprend une meilleure représentation des zones de chevauchement du diagramme, par exemple à partir de quelle valeur MTTFd un PL « e » est obtenu pour une architecture de catégorie 3 et une couverture de diagnostic DC moyenne (à partir de 62 ans) etc. Voir l’extrait du tableau ci-après. – L’Annexe K permet en outre de déterminer quelle probabilité moyenne de défaillance dangereuse par heure (autrement dit : quelles valeurs PFHd qui sont typiques de l’EN IEC 61 508:2001 et l’EN IEC 62 061:2005) correspond à une certaine configuration. Par exemple : un PL « d » avec une architecture de catégorie 3, une valeur MTTFd de 56 ans pour les canaux et une couverture du diagnostic moyenne correspond à une valeur PFHd de 1,03 × 10–7/h.La valeur PFH• d constitue le lien pratique avec l’EN IEC 61 508-2001 ou l’EN IEC 62 061:2005, parce que ces normes utilisent cette unité pour exprimer la probabilité des défaillances rési-duelles d’un SRP/CS. On pourrait également dire que l’Annexe K reflète au mieux le parrai-nage de l’EN IEC 61 508:2001 lors de la mise au point de l’EN ISO 13 849-1:2006. La valeur PFHd n’est cependant pas une évaluation purement probabiliste.

(1) Puisque les mesu-res de prévention des défaillan-ces de cause commune CCF sont obligatoires à partir de la ca-tégorie 2¸elles ne sont pas explicite-ment mentionnées dans l’Annexe K, mais considérées comme une don-née de base.

Tableau K.1 – Représentation numérique de la figure 5 (de l’EN ISO 13 849-1:2006 [D] – Annexe K [informatif])

Probabilité moyenne de défaillance dangereuses par heure [1/h] et le niveau de performance correspon-dant PL

MTTFd pour chaque canal



DCavg = néant

DCavg = faible

DCavg = moyen

DCavg = faible

DCavg = moyen

DCavg = élevé

3 3,80 × 10–5 a 2,58 × 10–5 a 1,99 × 10–5 a 1,26 × 10–5 a 6,09 × 10–6 b3,3 3,46 × 10–5 a 2,33 × 10–5 a 1,79 × 10–5 a 1,13 × 10–5 a 5,41 × 10–6 b3,6 3,17 × 10–5 a 2,13 × 10–5 a 1,62 × 10–5 a 1,03 × 10–5 a 4,86 × 10–6 b3,9 2,93 × 10–5 a 1,95 × 10–5 a 1,48 × 10–5 a 9,37 × 10–6 b 4,40 × 10–6 b4,3 2,65 × 10–5 a 1,76 × 10–5 a 1,33 × 10–5 a 8,39 × 10–6 b 3,89 × 10–6 b4,7 2,43 × 10–5 a 1,60 × 10–5 a 1,20 × 10–5 a 7,58 × 10–6 b 3,48 × 10–6 b5,1 2,24 × 10–5 a 1,47 × 10–5 a 1,10 × 10–5 a 6,91 × 10–6 b 3,15 × 10–6 b5,6 2,04 × 10–5 a 1,33 × 10–5 a 9,87 × 10–6 b 6,21 × 10–6 b 2,80 × 10–6 c6,2 1,84 × 10–5 a 1,19 × 10–5 a 8,80 × 10–6 b 5,53 × 10–6 b 2,47 × 10–6 c6,8 1,68 × 10–5 a 1,08 × 10–5 a 7,93 × 10–6 b 4,98 × 10–6 b 2,20 × 10–6 c7,5 1,52 × 10–5 a 9,75 × 10–6 b 7,10 × 10–6 b 4,45 × 10–6 b 1,95 × 10–6 c8,2 1,39 × 10–5 a 8,87 × 10–6 b 6,43 × 10–6 b 4,02 × 10–6 b 1,74 × 10–6 c9,1 1,25 × 10–5 a 7,94 × 10–6 b 5,71 × 10–6 b 3,57 × 10–6 b 1,53 × 10–6 c10 1,14 × 10–5 a 7,18 × 10–6 b 5,14 × 10–6 b 3,21 × 10–6 b 1,36 × 10–6 c11 1,04 × 10–5 a 6,44 × 10–6 b 4,53 × 10–6 b 2,81 × 10–6 c 1,18 × 10–6 c12 9,51 × 10–6 b 5,84 × 10–6 b 4,04 × 10–6 b 2,49 × 10–6 c 1,04 × 10–6 c13 8,78 × 10–6 b 5,33 × 10–6 b 3,64 × 10–6 b 2,23 × 10–6 c 9,21 × 10–7 d15 7,61 × 10–6 b 4,53 × 10–6 b 3,01 × 10–6 b 1,82 × 10–6 c 7,44 × 10–7 d16 7,13 × 10–6 b 4,21 × 10–6 b 2,77 × 10–6 c 1,67 × 10–6 c 6,78 × 10–7 d18 6,34 × 10–6 b 3,68 × 10–6 b 2,37 × 10–6 c 1,41 × 10–6 c 5,67 × 10–7 d20 5,71 × 10–6 b 3,26 × 10–6 b 2,06 × 10–6 c 1,22 × 10–6 c 4,85 × 10–7 d22 5,19 × 10–6 b 2,93 × 10–6 c 1,82 × 10–6 c 1,07 × 10–6 c 4,21 × 10–7 d24 4,76 × 10–6 b 2,65 × 10–6 c 1,62 × 10–6 c 9,47 × 10–7 d 3,70 × 10–7 d27 4,23 × 10–6 b 2,32 × 10–6 c 1,39 × 10–6 c 8,04 × 10–7 d 3,10 × 10–7 d

Des calculs détaillés au moyen des modèles Markov sont à la base du tableau de l’Annexe •K. Ces calculs ont été effectués par l’Institut für Arbeitsschutz (BGIA), St. Augustin. L’Annexe K se termine malheureusement avec une valeur MTTF• d de 100 ans par canal, bien que pour les estimations d’un canal, la conversion de valeurs « supérieures » serait parfois utile. Il est toutefois possible de calculer ces valeurs via un calcul logarithmique. Le rapport BGIA 2/08 reprend une méthode fort simplifiée pour calculer une valeur MTTFd bloc à partir d’une valeur PFHd et la valeur réciproque (le calcul est exclusivement autorisé dans cette direction). Par exemple : 1/PFHd : 8.760 = MTTFd bloc (pour les PL ou SIL supérieurs généra-lement plusieurs 100 y).Entretemps, un complément officieux des chiffres de l’Annexe K a été publié (les dites •valeurs de support), mais celui-ci concerne exclusivement les architectures selon catégorie 4. L’utilisation de ces chiffres est seulement compatible avec l’EN ISO 13 849-1:2006 pour les sous-systèmes (pour réaliser un câblage en série). La limitation d’un SRP/CS complet jusqu’à 1 × 10–8 n’est pas affectée.

97

Pour les autres architectures, une conversion prudente avec prise en compte du critère •logarithmique double ou l’utilisation des grandeurs auxiliaires MTTFd en MTTFd bloc est recommandée.Ci-après les chiffres (pour catégorie 4, DC « haut » et CCF > 65 points):•

MTTFd (y) = PFHd (par heure)

100 = 2,47 × 10–8

110 = 2,23 × 10–8

120 = 2,03 × 10–8

130 = 1,87 × 10–8

150 = 1,61 × 10–8

160 = 1,50 × 10–8

180 = 1,33 × 10–8

200 = 1,19 × 10–8

220 = 1,08 × 10–8

240 = 9,81 × 10–9

270 = 8,67 × 10–9

300 = 7,76 × 10–9

330 = 7,04 × 10–9

360 = 6,44 × 10–9

390 = 5,94 × 10–9

430 = 5,38 × 10–9

470 = 4,91 × 10–9

510 = 4,52 × 10–9

560 = 4,11 × 10–9

620 = 3,70 × 10–9

680 = 3,37 × 10–9

750 = 3,05 × 10–9

820 = 2,79 × 10–9

910 = 2,51 × 10–9

1.000 = 2,27 × 10–9

1.100 = 2,07 × 10–9

1.200 = 1,90 × 10–9

1.300 = 1,75 × 10–9

1.500 = 1,51 × 10–9

1.600 = 1,42 × 10–9

1.800 = 1,26 × 10–9

2.000 = 1,13 × 10–9

2.200 = 1,03 × 10–9

2.300 = 9,85 × 10–10

2.400 = 9,44 × 10–10

2.500 = 9,06 × 10–10

Aptitude fonctionnelleEvaluation de sécurité peu courante dans la construction des machines, qui doit être consi-•dérée principalement comme une mesure de substitution pour l’évaluation des défaillances systématiques.Voir à cet effet l’EN IEC 61 508:2001.•

Architectures désignées

Définition selon la norme (EN 62 061:2005): configuration spécifique des éléments matériels •et logiciels dans un SRP/CS: Les architectures SRP/CS se composent d’un niveau d’entrée I (composé de capteurs de sécurité et organes de commande), le niveau de la logique L (pour le traitement des signaux) et le niveau de sortie O (avec les signaux de commande pour les actionneurs acti-vant le mouvement dangereux). De plus, le nombre de canaux (ou la catégorie), les disposi-tifs d’essai internes et éventuelles externes font également partie de l’architecture.Pour déterminer un PL ou SIL (global), l’ensemble de la chaîne, c’est-à-dire le câblage en •série I + L + O doit être évaluée.Un niveau peut être de nouveau le résultat d’un câblage en série, pour autant qu’il résulte •de la fonction de sécurité.

Capteur Logique Actuatordétecter traiter commuter

SRP/CSa SRP/CSc PLr ou SILSRP/CSbiab ilx

Dans le contexte de l’EN ISO 13 849-1:2006, les dites « architectures désignées » représen-•tent les catégories, telles qu’elles sont connues de l’EN 954-1:1996 et redéfinies dans l’EN ISO 13 849-1:2006.Dans le contexte des « architectures désignées » (« designated architectures »), des dévia-•tions signifiantes/essentielles des catégories ne sont pas autorisées (sauf les exclusions de défauts), si on veut utiliser l’EN ISO 13 849-1:2006. Dans l’autre cas, elles doivent être éva-luées selon l’EN IEC 61 508:2001, l’EN IEC 62 061:2005 ou d’autres normes spécifiques (par

98

exemple l’EN IEC 61 496 pour les AOPD’s)(1). Les architectures ne peuvent toutefois pas être considérées comme des schémas de câblage, mais comme des figures fonctionnelles. Si les « architectures désignées » sont observées pour les grandes lignes et la conception de base, le nombre de blocs (sous-systèmes) dont se compose un canal n’est pas important.Cette limitation s’explique par les calculs mathématiques probabilistes qui sont à la base de •l’EN ISO 13 849-1:2006 et qui réfèrent aux catégories connues.Voir également mot-clé « catégories »•

Arrondissement/limite d’arrondissementLe MTTF• d pour un PL global est limité jusqu’à 100 y, pour éviter qu’on ne puisse se mettre en ordre rien que par un calcul des valeurs MTTFd (donc des PL supérieurs à « c »). A l’inté-rieur d’un canal, on peut utiliser des valeurs supérieures à 100 y MTTFd et pour les câblages en série plus longs, l’utilisation de ces valeurs supérieures est en partie obligatoire.Voir également la remarque sur l’outil du logiciel SISTEMA, page 23.•

BGIALe BGIA – l’institution professionnelle pour la sécurité du travail – est une institution de re-•cherche et d’essai allemande. Le siège de l’institution est sis à St. Augustin près de Bonn.Le BGIA fournit des conseils relatifs à la sécurité du travail et la protection de la santé dans •le domaine de la science et la technologie par : – Recherche, développement et analyse – Essais de produits et échantillon de substances/matériaux – Mesure et information d’entreprises – Participation dans les organes de standardisation – Mise à disposition d’information professionnelle et de savoir-faire spécialisé.Le BGIA effectue en outre les activités suivantes pour des fabricants et des sociétés •– Essai et certification de produits – Certification de systèmes pour la gestion de la qualité

Boucle de retourMesure pour la détection des erreurs au niveau • O , si elle est réalisée avec des composants isolés tels que les commandes de puissance.Le résultat d’essai d’autres mesures peut également être intégré ici pour garantir que la •commande de la machine ne peut être redémarrée qu’au moment où les composants concernés du SRP/CS fonctionnent correctement.En fonction de la qualité des signaux de retour, la couverture du diagnostic DC peut s’élever •jusqu’à 99 %.Voir également page 55.•

Câblages en sérieLa longueur d’un câblage en série (et donc le nombre relatif de défaillances résiduelles pro-•bables, c’est-à-dire au plus longue la chaîne, au plus élevé le nombre) est définie sur base de la détermination de la fonction de sécurité (voir aussi page 32 et suivante).De ce point de vue, plus de 31 composants peuvent être câblés en série, sans nécessiter •un recalcul du SIL ou PL, à condition que plusieurs fonctions de sécurité indépendantes soient associées au nombre de composants.L’argument de la détection de toutes les défaillances (DC ≥ 99 %) de la famille CSS reste •toutefois entièrement valable.

(1) AOPD = Active Optoelectronic Protective Devices = dispositifs de sécurité optoélec-troniques

B

C

99

Câblages en série de composants électromécaniquesAu passé, nous avons argumenté que les câblages en série de composants électromé-•caniques ne peuvent atteindre que la catégorie 3. Une qualification en catégorie 4 n’est pas possible, puisque toutes les défaillances dans la chaîne ne sont pas détectées et une accumulation de défauts ne peut pas être exclue dans certaines circonstances (voir figure page 32 et suivante).Cette argumentation ne change pas: on ne peut pas attribuer une couverture du diagnos-•tic « supérieure » (≥ 99 %) à un module SRB ou à un API de sécurité en cas d’un câblage en série des composants électromécaniques, mais un PL « d » est toutefois possible, même pour les architectures de catégorie 3. Après délibération avec le BGIA, nous conseillons de prendre un DC de 60% (voir ailleurs, surtout page 32 et suivante).Les câblages en série avec PL « e » sont cependant également possible si les contacts du •câblage en série sont relus dans l’API ordinaire et si leur plausibilité est vérifiée (voir exem-ple de câblage BGIA 8.2.28 page 76) ou en cas d’exclusions de défauts au niveau d’entrée (voir exemple de câblage BGIA 8.2.29, page 75).

Calculs (estimation du PL)Il y a deux méthodes fondamentalement différentes pour estimer un niveau de performance •PL selon l’EN ISO 13 849-1:2006 : – La première méthode est l’estimation discrète, c’est-à-dire que les composants d’un système de commande d’une machine avec une fonction de sécurité sont déterminés (identifiés) et structurés dans un diagramme selon la méthode des sous-systèmes (voir exemple).

B2

Arrêt fonctionnel

Autorisation du régulateur

K1

EntréesAPI

Sorties

FU

MnG1

SW1B

+ + + L

K1B1

B2 SPS FU

G1

– Pour chaque sous-système individuel, la contribution du MTTFd, DC et CCF est calculée et résumée en différentes valeurs totales au moyen de certaines formules et tableaux. Ceci est suivi par une estimation finale en référant à la figure « Rapport entre les catégo- ries, le DCavg, le MTTFd de chaque canal et le PL » de la norme EN ISO 13 849-1:2006 (voir diagramme ailleurs). – L’Annexe B de l’EN ISO 13 849-1:2006 reprend une description détaillée de la méthode des sous-systèmes. Un exemple de la norme est décrit dans cette brochure à la page 131 et suivantes. – Dans la deuxième méthode, les sous-systèmes pour lesquels le niveau de performance (sous-PL) est déjà disponible ou calculé sont évalués au moyen du dit tableau de combinaison. En principe, le sous-PL le plus faible (« a » < « b » < « c » < « d » < « e ») et son nombre (voir image page 105) est déterminant pour le PL global. Jusqu’à un certain

100

nombre de PLlow, le PL global ne change pas ou à partir d’un certain nombre de PLlow, le PL global est réduit d’un niveau sur base de l’addition des « risques résiduels/défaillan- ces résiduelles probables » (voir exemple de la norme). La réduction du PL n’est pas exigé si dans le cadre d’un calcul supplémentaire simplifié, l’addition des MTTFd individuels intégrés dans le SRP/CS résulte dans une valeur totale « haut » (> 30 y) ou une valeur PFHd correspondante. Calcul du PL pour le câblage en série des SRP/CS

PL faible N faible ➔ PL

a> 3 ➔ Néant, non autorisé≤ 3 ➔ a

b> 2 ➔ a≤ 2 ➔ b

c> 2 ➔ b≤ 2 ➔ c

d> 3 ➔ c≤ 3 ➔ d

e> 3 ➔ d≤ 3 ➔ e

L’EN IEC 62 061:2005 prévoit une méthode similaire (ici, on travaille toutefois avec des SIL-•sous-systèmes).Voir également page 45 et suivantes de la brochure. •

CatégoriesTerminologie de l’EN 954-1:1996, dorénavant appelées (dans l’EN ISO 13 849-1:2006) •« designated architectures » ou architectures désignées. Elles se rapportent aux exigences relatives à la sécurité pour un SRP/CS quelle que soit la technologie et sont divisées en 5 niveaux (les B, 1, 2, 3 et 4). Les classifications s’étendent d’exigences simples à étendues, p.ex. un défaut unique n’entraîne pas la perte de la fonction de sécurité, redondance et autosurveillance.En plus des exigences relatives aux architectures, le respect des dits principes de sécurité •essentiels (à partir de la catégorie B) fait également partie des exigences pour les catégo-ries et à partir de la catégorie 1 également le respect des dits principes de sécurité fiables. A ne pas confondre avec l’exigence que des composants éprouvés et fiables relatifs à la sécurité doivent être utilisés (s’applique exclusivement à la catégorie 1). Pour plus d’infor-mation : voir les Annexes A à D de l’EN ISO 13 849-1:2006 (validation des SRP/CS).Les catégories reflètent la résistance d’un SRP/CS aux défaillances ainsi que son compor-•tement en cas d’un défaut.Le tableau suivant (voir page 101) résume les exigences pour les 5 catégories individuelles.•

Catégories/Catégorie 2Nous ne discuterons pas les exigences et le contenu des catégories ici, parce qu’elles sont •connues depuis des années de l’EN 954-1:1996. Voir également mot-clé « catégories ».La catégorie 2 est toutefois une exception ; dans le contexte de l’EN ISO 13 849-1:2006, les •exigences pour la catégorie 2 ont été augmentées. En pratique, il s’agit dorénavant d’un genre de version « light » de la catégorie 3.Idée de base : puisqu’ en catégorie 2, la fonction de sécurité peut présenter une défaillance •qui n’est pas détectée entre les essais, la fréquence d’essai est un paramètre critique. De plus, le dispositif d’essai peut présenter une défaillance avant le canal. C’est pourquoi on suppose pour la quantification :

101

– Que la valeur MTTFd du dispositif d’essai TE n’est pas infé- rieure à la moitié du MTTFd de la logique L et – Que la fréquence ou l’intervalle de test est au moins cent fois plus élevé que la fréquence de sollicitation moyenne ou la fréquence de l’occurrence de la défaillance dangereuse. – S’y ajoute encore l’exigence d’un deuxième canal de déclen- chement (via le dispositif de test)Surtout le rapport de 1:100 exigé pour la fréquence de sollicitation et d’essai pour les •structures de catégorie 2 avec technologie électromécanique (sans propre intelligence diagnostique) est une mission quasi impossible. La raison pour laquelle les exigences pour la catégorie 2 sont devenues plus sévères, est qu’un niveau de performance « d » peut être atteint en liaison avec une valeur MTTFd « haut » et un DC « moyen ». Pour ce niveau critique, nous devons recommander à nos clients de prendre d’autres possibilités de conception en considération. Nous vous informerons dès que nous découvrirons de nouvelles possibilités de conception.Jusqu’à PL « e » par contre, une valeur MTTF• d « haut » et une architecture de catégorie 1 (à 1 canal, toutefois réalisée avec des composants relatifs à la sécurité éprouvés) sont possi-bles. Ceci signifie toutefois que pour les domaines de risque moyens typiques (c’est-à-dire

Cat.(1) Résumé des exigences Comportement du système(2) Princi-pes pour réaliser la sécurité

B Les parties des systèmes de commande relatives à la sécurité et/ou leurs dispositifs de sécurité et leurs composants doivent être conçus, sélectionnés, com-posés et combinés conformément aux normes appli-cables, de sorte qu’ils puissent résister aux influences prévisibles.

Une défaillance peut entraîner la perte de la fonction de sécurité.

Essentielle-ment carac-térisé par le choix des composants

1 Les exigences de B doivent être remplies.

Application de composants éprouvés et des principes de sécurité fiables.

Une défaillance peut entraîner la perte de la fonction de sécurité, mais la probabilité d’occurrence d’une telle défaillance est plus petite qu’en catégorie B.

2 Les exigences de B et l’utilisation des principes de sécurité fiables doivent être remplies.

La fonction de sécurité doit être vérifiée régulièrement par le système de commande de la machine.

Une défaillance peut entraîner •la perte de la fonction de sé-curité pendant la période entre les deux moments de contrôle.

La perte de la fonction de •sécurité est détectée par le système de commande.

Essentielle-ment carac-térisé par la structure


Les parties relatives à la sécurité sont conçues de manière à ce que :

Une défaillance dans chacune de ses parties n’en-•traîne pas la perte de la fonction de sécurité, etLa défaillance unique soit détectée si elles sont •réalisées de manière adéquate.

La fonction de sécurité est •maintenue en cas d’une dé-faillance unique.

Quelques défaillances sont •détectées, mais pas toutes.

Une accumulation de dé-•faillances non-détectées peut entraîner la perte de la fonction de sécurité.



Les parties relatives à la sécurité doivent être conçues de manière à ce que :

Une défaillance unique n’entraîne pas la perte de la •fonction de sécurité, etLa défaillance unique soit détectée avant ou pendant •la sollicitation suivante de la fonction de sécurité ou, si ceci n’est pas possible, une accumulation de défaillances n’entraîne pas la perte de la fonction de sécurité.

En cas de défaillances, la fonc-•tion de sécurité est toujours maintenue.

Les défaillances sont détec-•tées à temps pour éviter la perte de la fonction de sécurité


(1) Les catégories ne doivent pas être utilisées dans un certain ordre prescrit ou classification hiérarchiques en ce qui concerne les exigences de sécurité.

(2) L’évaluation des risques montrera si la perte totale ou partielle de la (des) fonction(s) de sécurité suite à des défaillance est acceptable

OL

Signal d’entrée

Signal de sortie

O

O

O1L1

Signal d’entrée

Signalde sortie

Surveil-lance

I1

O2L2Signal

d’entréeSignal

de sortie

Surveil-lance

I2

I L

Signal d’entrée

Signal de sortie

OTETE

2ième

voie decoupure


Surveillance

Sur

veill

ance

Sur

veill

ance

Surveillance

Cro

ssM

onito

ring

102

PL « c ») la technologie électromécanique peut être utilisée comme avant. Dans ce sens, il n’y a pas de différence signifiante par rapport à l’état actuel de la technologie de sécurité – malgré les exigences plus sévères pour la catégorie 2.

CCF (Common Cause Failure, défaillances de cause commune), mesures de prévention des défaillances de cause commune

Définition selon la norme (EN ISO 13 849-1:2006): défaillances résultant d’un ou plusieurs •événements, entraînant des défaillances simultanées sur deux ou plusieurs canaux séparés dans un sous-système à canaux multiples (architecture redondante) entraînant la défaillance de la fonction de commande relative à la sécurité.L’évaluation des défaillances CCF a pour but de prendre suffisamment de mesures pour •réduire les défaillances qui peuvent causer une situation critique relative à la sécurité des deux canaux d’un SRP/CS en même temps, malgré la redondance.Dans les normes EN IEC 62 061:2005 et EN IEC 61 508:2001, les CCF sont également appe-•lées ‘facteur β’.

Défail- lance canal 1

Cause commune

Défail- lance canal 2

Méthode pour le calcul du score et la quantification des mesures de prévention des défaillan-ces de cause commune CCF

Nr. Mesure de prévention des CCF Score

1 Séparation

Séparation physique entre les voies de signaux 15

2 Diversité

Utilisation de diverses technologies/conception of principes physiques 20

3 Conception/utilisation/expérience

3.1 Protection contre la surtension, la surpression, la surintensité, etc. 15

3.2 Utilisation de composants éprouvés 5

4 Évaluation/analyse

Les résultats d’une analyse des modes de défaillance et de leurs effets sont-ils pris en compte pour prévenir les défaillances de cause commune à la conception ?

5

5 Compétence/formation

Les concepteurs sont-ils formés pour comprendre les causes et effets des défaillances de cause commune ?

5

6 Environnement

6.1 Protection contre les contaminations et influences CEM pour la prévention des CCF conformément aux normes

25

6.2 Autres influences: toutes les exigences relatives à l’insensibilité à toutes les conditions ambiantes, p.ex. température, chocs, vibrations, humidité, etc. (telles qu’elles sont définies dans les normes applicables) sont prises en compte ?

10

Total 100

103

Un exemple typique de CCF sont les effets de rayons électromagnétiques, par exemple la •foudre frappant les sorties de sécurité redondantes (effet de « surtension ») élimine simul-tanément l’aptitude d’enclenchement ou de déclenchement des deux canaux. Un autre exemple est l’absence de mesures de filtration dans la technique fluidique ou les défaillan-ces dues aux influences climatologiques, par exemple humidité atmosphérique.Le tableau F.1 de l’EN ISO 13 849-1:2006 énumère les mesures et contient des valeurs asso-•ciées, qui représentent la contribution de chaque mesure à la réduction des défaillances de cause commune CCF. Pour remplir les exigences de l’ EN ISO 13 849-1:2006, il faut obtenir un score minimal de 65 points (sur un maximum de 100 points).A partir de la catégorie 2, suffisamment de mesures adéquates doivent être prévues pour •prévenir les défaillances de cause commune CCF.Il s’avère du tableau que le score CCF total pour les composants isolés ne peut être défini •d’avance que provisoirement, puisque les unités 1 et 2 de l’évaluation appartiennent aux principes généraux de conception à réaliser par nos clients. Les unités 3 et suivantes par contre sont entièrement typiques de la construction et du composant ; pour les composants isolés, ils garantissent déjà l’obtention du score minimal exigé de 65 points.

Circuit de redémarrageUn élément typique du circuit de redémarrage est le signal de redémarrage/réarmement •manuel (et dans des cas exceptionnels automatique) au niveau L .L’opérateur doit vérifier si le système de commande de la machine peut être redémarré sans •danger.L’EN ISO 13 849-1:2006 stipule que dorénavant un changement de flancs est exigé pour la •réinitialisation. Voir également page 28.Le circuit de redémarrage et la boucle de retour sont fréquemment regroupés au niveau • O .

Compatibilité SIL ↔ PL/PL ↔ SILPuisque l’EN IEC 61 508-2001 a servi de modèle pour les deux nouvelles normes SRP/•CS, les spécifications SIL et PL sont compatibles, c’est-à-dire qu’un PL peut être exprimé comme un SIL et vice versa. Le facteur commun est la probabilité d’une défaillance dange-reuse par heure (PFHd) comme suit :


EN ISO 13849-1:2006

PL

SILIEC 62061:2005/IEC 61508:2001

a



b c d e



2 3

10–810–5

3 × 10–610–6 10–710–4

Le schéma ci-dessus est globalement valable, mais peut également être utilisé pour les •sous-systèmes ou systèmes partiels. Dans ce cas, il offre l’avantage que des composants avec une qualification SIL peuvent être intégrés dans les calculs PL selon l’EN ISO 13 849-1:2006 et inversement que les composants avec une qualification PL dans un calcul SIL selon l’EN IEC 62 061:2005.

104

Si le calcul est effectué sans le tableau de combinaison (Tableau 11 selon l’EN ISO 13 849-•1:2006), il est recommandé d’utiliser pour les sous-systèmes chaque fois max. 20 % du PFHd global pour I et L ,de sorte que > 60 % soit disponible pour le niveau O (selon les expériences, l’élément le plus fiable de la chaîne).Note: pour la conversion des valeurs MTTF• d en valeurs PFHd et vice versa : voir mot-clé « Annexe K » à l’EN ISO 13 849-1:2006.

Courbe en UDiagramme représentant typiquement la durée de vie/le taux de défaillance de compo-•sants, appareils et systèmes électroniques avec des taux de défaillance constant en phase II. Si la phase I (défaillances précoces) et la phase III (fin de la durée de vie) sont prises en considération, le diagramme a la forme d’une courbe en U.

Taux de défaillance

Défail-lances

précoces

Défaillances dues àl’usure

Phase des défaillances constantes

Temps de fonctionnement

Voir également mot-clé « Répartition exponentielle » et « Taux de défaillance ».•Des produits typiques sont des capteurs de sécurité électroniques, dispositifs de sécurité •optoélectroniques (AOPD), API de sécurité, systèmes de bus de sécurité, etc.Pour les SRP/CS, les taux de défaillance avec un comportement selon la « courbe en U » ne •peuvent pas être utilisés couramment, puisque beaucoup de composants, appareils et sys-tèmes intègrent des technologies, pour lesquelles le taux de défaillance constant en phase II n’est pas applicable, p. ex. la technologie fluidique, l’électromécanique et la mécanique. Dans ces cas, le calcul des valeurs MTTFd doit être précédé par un calcul des valeurs B10d.

Couverture du diagnostic DC (Diagnostic Coverage)Voir partie 6, page 81 et suivantes : « Caractéristiques et application de l’EN ISO 13 849-•1:2006 », page 32 et suivante et page 68 et suivante

Couverture du diagnostic (extérieure)Si des composants isolés sont utilisés dans un SRP/CS, la couverture du diagnostic est •réalisée par les autres composants du SRP/CS installés en amont ou en aval (généralement le traitement des signaux dans la partie logique ou des dispositifs d’essai spéciaux).Dans ces cas, il faut savoir quelles mesures de prévention sont actives ; évidemment, une •intégration des composants isolés, par exemple dans la logique, est également impérative (p. ex. des commandes de puissance en aval par boucle de retour, de préférence équipées de contacts à guidage forcé).

105

Eventuellement, il faut vérifier les mesures de prévention, p. ex. dans la logique, qui peuvent •affecter les composants en amont et en aval. Au mieux, on utilise l’Annexe E à l’EN 13 849-1:2006 (voir également page 68 et suivantes). De plus, toutes les exigences pour les catégo-ries doivent être observées, p. ex. les exigences pour le câblage.En théorie, un sous-système ou système partiel est réalisé.•Voir également page 29 et suivante •

Court-circuit transversal

Capteur A

Capteur B

Si des modules de sécurité de catégorie 4, PL « e » ou SIL 3 sont utilisés, on peut supposer •une couverture du diagnostic DC de 99 % pour le niveau d’entrée (Tableau E – Mesure : Sur-veillance d’unités électromécaniques via une ouverture à guidage forcé). Pour le niveau de sortie, la couverture du diagnostic dépend toutefois essentiellement du type d’actionneur utilisé.Si, par exemple, une commande puissance est réalisée dans la boucle de retour avec des •contacts à guidage forcé, un DC de 99 % peut être obtenu.Pour les API de sécurité, les systèmes de bus de sécurité etc. (qui doivent également •convenir pour catégorie 4, PL e ou SIL 3), une couverture de diagnostic de 99 % peut égale-ment être supposée pour le niveau d’entrée (suite à la dite comparaison croisée des don-nées). Pour le niveau de sortie, rien ne change (voir : modules de sécurité).ATTENTION: les exécutions décrites ci-avant ne s’appliquent pas à toutes les situations, •p. ex. les câblages en série des dispositifs de commutation de sécurité électromécaniques, étant donné que certaines défaillances peuvent se produire dans la chaîne, qui ne sont pas toujours détectées par la logique. Pour obtenir une couverture du diagnostic de 99 %, les dispositifs doivent être intégrés 1:1 ou d’autres mesures supplémentaires, telles que des dispositifs d’essai externes sont exigées.Pour plus d’information sur la couverture du diagnostic dans les câblages en série: voir •page 32 et suivantes.

DCVoir partie 6, page 81 et suivantes : « Caractéristiques et application de l’ EN ISO 13 849-•1:2006 », page 32 et suivante et page 68 et suivante

Défaillances/défautsDéfinition selon la norme (EN ISO 13 849-1:2006): la cessation de l’aptitude d’une entité à •accomplir une fonction requise.La réduction du risque, c’est-à-dire éviter que les défaillances dans un SRP/CS entraînent •des situations dangereuses, est un objectif essentiel de la standardisation concernant ce thème.Les pannes doivent être considérées au pied d’égalité avec les défaillances.•En fonction de la norme SRP/CS utilisée, une distinction est faite entre les défaillances •aléatoires et systématiques, les défaillances dangereuses (dans les valeurs caractérisées par l’indice « d ») et les défaillances non-dangereuses. Une défaillance est définie comme la cessation de l’aptitude d’une entité à accomplir une fonction requise. Les défaillances n’affectant que la disponibilité du processus commandé, les dites défaillances non-dange-reuses, ne sont pas couvertes par le domaine d’application des normes SRP/CS.

D

106

Les défaillances entraînent des erreurs/pannes dans le SRP/CS. La norme stipule que les •défaillances sont des événements et les erreurs/pannes des situations. Les erreurs peuvent toutefois se produire sans l’occurrence d’une défaillance préalable. Il faudra également prendre des mesures de prévention contre les erreurs, telles qu’elles sont discutées surtout dans l’EN ISO 13 849-2:2003.Puisque la définition exacte d’une « défaillance » et d’une « erreur » est en partie une subti-•lité sémantique, les deux notions sont parfois traitées comme des synonymes dans cette brochure.

Défaillances (défaillances systématiques)Définition selon la norme (EN ISO 13 849-1:2006) : les défaillances systématiques sont as-•sociées de façon déterministe à certaines causes, ne pouvant être éliminées que par une modification de la conception ou du processus de fabrication, des procédures d’exploita-tion, de la documentation ou d’autres facteurs appropriés.Les défaillances systématiques peuvent se rapporter tant bien au matériel qu’au logiciel.•Les mesures de prévention et de maîtrise des défaillances systématiques sont considérées •supplémentairement dans la nouvelle Annexe G de l’EN ISO 13 849-1:2006, c’est-à-dire que les normes EN 954-1:1996 (ISO 13 849-1:1999) et plus particulièrement l’EN ISO 13 849-2:2003 (à l’origine prévue comme l’EN 954-2) contiennent des exigences spécifiques qui sont détaillées et améliorées dans l’Annexe G. L’EN IEC 62 061:2005 reprend aussi des discussions détaillées de ce thème.Actuellement, les défaillances systématiques, y compris des FMEA et essais insuffisants, •des défauts de conception et de spécification, mais également des erreurs de jugement etc., constituent les causes les plus importantes des défaillances d’une machine. S’y ajou-tent encore la manipulation des dispositifs de sécurité (en Allemagne, estimée à environ 25 %).Une analyse détaillée des risques fait également partie du contexte des défaillances sys-•tématiques probables. Voir également l’EN ISO 12 100-1/-2:2003 et l’EN ISO 14 121:2007 (avant l’EN 1050).Selon une étude anglaise (voir figure), plus de 60 % de tous les accidents examinés dans le •cadre d’une sélection représentative, sont dus à des causes qui étaient déjà présents dans le SRP/CS avant la mise en service.

(1) Plus de 60 % des défauts sont « intégrés » dans le SRP/CS! 15 %

Conception implémentation

6 %Installation et réception

15 %Service et

maintenance

20 %Modifications après la mise en service

44 %Spécification

107

Défaillances (défaillances aléatoires)L’exigence que la qualité totale relative à la sécurité d’un SRP/CS sous forme d’un PL ou •SIL envisage une réduction du risque résiduel de situations dangereuses causées par des défaillances dangereuses aléatoires. Le matériel peut présenter des défaillances aléatoires tant bien que systématiques. Pour le •logiciel par contre, on ne suppose que des défaillances systématiques.Une probabilité statistique peut être attribuée à une défaillance aléatoire du matériel (p. ex. •par l’affaiblissement du produit suite à des causes diverses telles que la fatigue du maté-riel). Autrement dit : au plus faible cette probabilité, au plus élevée la sécurité fonctionnelle. Le taux d’accidents causé par des défaillances aléatoires du matériel est actuellement •estimé faible, c’est-à-dire max. 10 à 15 % de toutes les défaillances de la machine. Selon d’autres estimations, ce taux serait encore plus faible.La probabilité d’occurrence de défaillances aléatoires du matériel est une évaluation pure-•ment statistique et ne permet pas de tirer des conclusions quant à la qualité d’un produit individuel.

Diagnostic coverage DCVoir partie 6, page 81 et suivantes : « Caractéristiques et application de l’ EN ISO 13 849-•1:2006 », page 32 et suivante et page 68 et suivante

Diagramme blocVoir partie 6, page 81 et suivantes : « Caractéristiques et application de l’ EN ISO 13 849-•1:2006 », page 32 et suivante et page 68 et suivante

Directive « Machines »La Directive Européenne « Machines » •constitue la base légale pour les exigences relatives à la sécurité fonctionnelle des machines en Europe et dans les autres pays EFTA (en Islande, Liechtenstein, Norvège et Suisse) ainsi qu’en Turquie – anticipant à l’adhésion à l’Union européenne.Comme pour toutes les Directives euro- •péennes, la Directive « Machines » doit être transposée en droit national, en Allemagne par exemple sous le drapeau de la loi sur la sécurité des appareils et produits (Geräte- und Produktsicherheitsgesetz GPSG) sous forme du dit Règlement « Machines » (= 9ième GPSG-VO).La nécessité d’intégrer des parties d’un système de commande relatives à la sécurité •(SRP/CS) peut être dérivée des principes généraux (mot-clé : analyse des risques ou à l’avenir évaluation des risques, réduction du risque) et des exigences du paragraphe 1.2.1 (mot-clé : sécurité et fiabilité des systèmes de commande) repris dans l’annexe I à la Direc-tive « Machines »(1). La nécessite des SRP/CS est détaillée dans le paragraphe 9.4 « Fonction de commande •en cas de défauts » de l’EN IEC 60 204-1:2005(2) et finalement (en vue de la conception concrète), il est référé à « l’autorité » de l’EN ISO 13 849-1:2006 et l’EN IEC 62 061:2005. Le concept nuancé est basé sur les principes généraux de la Directive « Machines ».

(1) Voir Directive « machines » 2006/42/CE valable à partir du 29.12.2009 ou la Directive « ma-chines » 98/37/CE actuellement en vigueur

(2) Equipements électriques de ma-chines ; source : Beuth-Verlag, Berlin

108

Dispositifs d’essaiLes dispositifs d’essai sont utilisés pour la couverture du diagnostic (DC) dans un SRP/CS. •Ils peuvent être implémentés dans un canal d’un SRP/CS, par exemple dans l’API de sécu-rité ou dans le module SRB. Ils peuvent toutefois fonctionner indépendamment des canaux d’un SRP/CS comme des dispositifs d’essai extérieurs, par exemple dans le cadre de la fonctionnalité de l’API. Dans ce cas, certaines exigences supplémentaires sont applicables, qui ne constituent toutefois pas un obstacle insurmontable pour les cas normaux. Voir éga-lement exemple de câblage BGIA 8.2.28 (page 76).

Disque rotatif BGIAOutil publié par le BGIA •démontrant le rapport entre le PL et le PFHd d’une part et le MTTFd, le DC et le CCF d’autre part. En fait, une visualisation de l’Annexe K à l’EN ISO 13 849-1:2006.

Entrée en vigueurL‘EN ISO 13 849-1:2006 est déjà entrée en vigueur depuis l’automne de 2006 ; l’IEC EN •62 061:2005 est également déjà en vigueur, mais l‘EN 954-1:1996 (ou l‘ISO 13 849-1:1999) peut encore être utilisée (avec présomption de conformité à la Directive Européenne « Ma-chines ») jusque décembre 2009.Voir également mot-clé « Période transition »•

Evaluation du PL et SILL’EN ISO 13 849-1:2006 et l’EN IEC 62 061:2005 utilisent consciemment le mot « évaluation » •pour la définition du PL et SIL, pour indiquer que les exigences quantitatives (probabilistes) n’exigent pas d’exactitudes mathématiques absolues. Il s’agit du juste ordre de grandeur.L’EN ISO 13 849-1:2006 prévoit même que pour les SRP/CS simples dans le cadre d’un PL •« a » à « c » une évaluation qualitative suffit (voir paragraphe 4.5.1).Les estimations sont suffisantes, d’une part suite à l’idée de simplification que les deux nor-•mes cherchent à atteindre et d’autre part la catégorie déterministe qui joue un rôle impor-tant, comme avant. De plus, les défaillances aléatoires, auxquelles s’adressent les mesures quantitatives (probabilistes) s’élèvent en pratique seulement à 10 à 15 % du taux d’accidents dans l’ingénierie mécanique. Selon d’autres estimations, ce taux serait même davantage inférieur.

Exclusion de défautsL’exclusion de défauts est un compromis entre les exigences techniques relatives à la sé-•curité (l’estimation de défaillance requise) et la probabilité théorique de l’occurrence d’une défaillance.L’aptitude à résister aux défauts doit être évaluée. Exceptionnellement, dans quelques •composants, certains défauts peuvent être exclus au cours de la durée de vie des SRP/CS. Dans ces circonstances, la prise en considération de tels défauts dans les catégories n’est pas nécessaire.

E

Categorie BDCavg =

0

Categorie 1DCavg =

0

Categorie 2DCavg =faible

Categorie 2DCavg =moyen

Categorie 3DCavg =faible

+ CCF

Categorie 3DCavg =moyen

a

b

c

d

e

10–4

10–5

3 × 10–6

10–6

10–7

10–8

PL

PFH (1/h)

➊

➊

Cat. 4, DC élevé

30

9,54

PL e

× 10–8

➋

e

Kategorie 4DCavg =élevé

109

Les exclusions de défauts permettent donc des simplifications – en partie essentielles – lors •de la conception de l’architecture d’un SRP/CS, p. ex. s’il s’agit de la nécessité de réaliser une structure redondante. Toutefois, si des défauts sont exclus, une justification détaillée doit être fournie dans la documentation et il convient de détailler clairement la méthode d’évaluation utilisée.Au niveau de la sécurité des machines, les Annexes A à D de l’EN ISO 13 849-2:2003 sont •considérées comme l’état de la technologie déterminant. Ces annexes reprennent des listes énumérant les défauts et défaillances pour les diverses Technologies – mécanique, hydrau-lique, pneumatique et électricité.Selon l’EN ISO 13 849-1:2006, les défauts peuvent être exclus sur base de : •– l’improbabilité technique de l’occurrence d’un défaut, – l’expérience technique généralement acceptée, indépendamment de l’application et – les exigences techniques de l’application et des risques et phénomènes dangereux spéciauxSi des défauts sont exclus, une justification détaillée doit être fournie dans la documenta-•tion.Pour les exclusions de défauts, la règle suivante est applicable: les parties combinées d’un •système de commande relatives à la sécurité commencent aux points où sont générés les signaux relatifs à la sécurité (y compris par exemple l’actionneur et le galet d’un interrupteur de position) et se terminent à la sortie des actionneurs (y compris par exemple les contacts principaux du contacteur)Voir également page 29 et suivantes•

Exclusion de défauts pour les dispositifs à commande manuelleOrganes de commande d’arrêt d’urgence, interrupteur de marche conditionnelle, etc. : voir •page 29 et suivantes

Exclusion de défauts pour les interverrouillagesRedondance physique vs. électrique des interrupteurs de surveillance pour les interver-•rouillages sur les protecteurs mobiles : voir page 29 et suivantes

Exclusion de défauts : niveau de câblageL’EN ISO 13 849-1:2006 préfère que des défauts peuvent être exclus pour le niveau de câ-•blage dans un SRP/CS.Les exigences pour une exclusion de défauts sont comme suit : • Défaillance Exclusion de défauts

Court-circuit entre deux conducteurs arbitraires

Courts-circuits entre les câbles,– qui sont posés (de manière permanente) et

protégés contre les dégâts extérieurs (p. ex. par une gaine)

– par l’utilisation de câbles gaînés ou – par l’installation dans un compartiment de

raccordement électrique1 ou– individuellement via une mise à la terre

Court-circuit entre un conducteur ar-bitraire et un composant non-protégé conducteur ou la terre ou un câble de mise à la terre

Court-circuit entre le câble et tout composant non-protégé conducteur dans un comparti-ment de raccordement1

Interruption d’un câble Non

(1) Condition : les câbles et le compartiment de raccordement doivent remplir les exigences (voir l’EN 60 204-1 [IEC 60 204-1]).

110

Dans tous les autres cas, nous conseillons à nos clients d’utiliser un traitement de signaux •avec détection supplémentaire des courts-circuits transversaux !

Fiabilité du matériel MTTFd

Voir aussi partie 6, page 81 et suivantes : « Caractéristiques et application de l’EN ISO •13 849-1:2006 »

Fonction de sécuritéPour la classification d’un PL requis selon l’EN ISO 13 849-1:2006 ou SIL selon l’EN IEC •62 061:2005, la fonction de sécurité est prise en considération. Selon la définition de la norme EN ISO 13 849-1:2006, la fonction d’une machine dont la défaillance de la fonction peut entraîner une augmentation immédiate du risque ou des risques.La définition de la fonction de sécurité a donc une influence considérable sur la détermina-•tion du PL et SIL. Plus d’information: voir page 70 et suivantes•

Formule de symétrisationVoir mot-clé « Addition des probabilités de défaillance »•

Good Engineering Practices (GEP), Bonnes PratiquesA l’origine, une notion provenant du planning et de l’utilisation des installations pharmaceu-•tiques. Dans le contexte de l’EN ISO 13 849-1:2006 et surtout en rapport avec la conception des SRP/CS, « Bonnes Pratiques » signifie le respect des : – exigences des normes de produit en question (voir Tableau D.2 de l’EN ISO 13 849-1: 2006) – exigences des normes A (EN ISO 12 100-1/-2, EN ISO 14 121-1/-2) – et des principes de sécurité essentielles et fiables, ainsi que l’utilisation de composants relatifs à la sécurité éprouvés pour la catégorie 1 (Annexes A à D de l’EN ISO 13 849-2: 2003)De plus, les Bonnes Pratiques intègrent également le choix de composants appropriés en •fonction des conditions d’application et ambiantes et le respect des spécifications du fabri-cant (mot-clé: manuel d’utilisation)Cette intégration envisage d’éviter les défaillances systématiques qui ne sont pas (à peine) •influencées par les caractéristiques de conception déterminant le PL (ou SIL).Voir également mot-clé « Défaillances ».•

Graphe de résultat PLVoir partie 6, page 81 et suivantes : «Caractéristiques et application de l’EN ISO 13 849-1: •2006 ».

Graphe résultant PLVoir partie 6, page 81 et suivantes : «Caractéristiques et application de l’EN ISO 13 849-1: •2006 ».

G

F

111

Graphe pour l’estimation des risquesLes deux nouvelles normes SRP/CS utilisent un graphe pour estimer la réduction requise du •risque pour le SRP/CS et définir le PL ou SIL résultant.Si on n’utilise pas d’évaluation différentiée dans l’EN IEC 62 061:2005, la méthode et le •résultat sont largement comparables. Dans quelques cas limites, il se peut que l’EN ISO 13 849-1:2006 soit un peu plus « sévère » (puisque les exigences sont plus élevées).

Graphe pour l’estimation du risque selon l’EN ISO 13 849-1:2006Détermine le PL• r (= PL à appliquer pour atteindre la réduction de risque requise pour cha-que fonction de sécurité).Les paramètres connus de l’EN 954-1:1995 (ISO 13 849-1:1999) pour l’estimation de risque •sont maintenus dans l’EN ISO 13 849-1:2006. Le résultat de l’estimation n’est toutefois plus une catégorie à réaliser, mais un niveau de performance requis PLr à atteindre.

Risqueélevée

Risque faible

Point de départde l’estimationde la réductiondu risque

Niveau de performance requis PLr

S1

S2

F1

F2

F1

F2

P1a

b

c

d

e

P2

P1

P2

P1

P2

P1

P2

S Gravité de la blessure S1 Blessure légère (généralement réversible) S2 Blessure grave (généralement irréversible) y compris mort

F Fréquence et/ou durée de l’exposition au phénomène dangereux F1 rarement jusqu’à moins souvent et/ou courte durée d’exposition F2 souvent jusqu’à permanent et/ou longue durée d’exposition

P Possibilités d’évitement du phénomène dangereux ou réduction des dégâts P1 possible dans certaines circonstances P2 à peine possible

Le nouveau graphe pour l’estimation du risque offre l’avantage que la norme définit main-•tenant la délimitation entre les paramètres F1 et F2. F1 est applicable pour une fréquence d’intervention dans la zone dangereuse de 1 × par heure et plus et F2 pour une fréquence d’intervention dans la zone dangereuse > 1 × par heure.Un deuxième avantage est que les estimations des paramètres aboutissent dorénavant tou-•jours à un PLr uniforme, lorsqu’avec la norme précédente, on pouvait trouver pour quelques situations mixtes deux catégories qui peuvent être utilisées au choix, sans que la norme ne fournisse d’autres outils permettant de faire un choix approprié.

Graphe pour l’estimation du risque selon l’EN IEC 62 061:2005Détermine les exigences pour l’intégrité de sécurité des SRP/CS sous forme d’un niveau •d’intégrité de sécurité (SIL).Il s’agit d’un coefficient dérivé du graphe pour l’estimation du risque selon l’EN IEC •61 508:2001 qui a été adapté pour la construction des machines.Dans ce contexte, l’EN IEC 62 061:2005 connaît également un SIL CL (= SIL Claim Limit ou •limite de revendication de SIL ou valeur SIL maximale). Selon la définition de la norme, le SIL maximal qui peut être revendiqué pour un sous-système d’un SRP/CS, compte tenu des limitations structurelles et l’intégrité de sécurité systématique. Le SIL claim limit est impor-tant pour l’évaluation globale (la validation) parce que le SIL CL le plus bas – « l’élément le plus faible de la chaîne » – détermine le SIL que l’ensemble d’un SRP/CS peut atteindre.

112

Ingénierie de fiabilitéLa fiabilité est une caractéristique qui peut être estimée de manière expérimentale au •moyen d’une grandeur statistiquement mesurable sur base des taux de défaillance obser-vés ou au moyen d’un calcul de probabilité.Dans un sens plus large, les calculs PL et SIL appartiennent également à la technologie ou •l’ingénierie de fiabilité.Les premières applications de l’ingénierie de fiabilité furent – tout comme un grand nombre •d’autres applications – de nature militaire.Le domaine de recherche de la technologie de fiabilité est la fiabilité de composants et sys-•tèmes ainsi que les méthodes pour l’analyse et garantie de fiabilité. Le développement de bases de données de fiabilité est également en rapport avec elle. La recherche comporte

H

I

K

Fréquence et/ou durée de l’exposition au phéno-mène dangereux F

Probabilité d’occur-rence du phéno-mène dangereux W

Possibilités d’evitement P

≤ 1 heure 5 souvent 5

> 1 heure à ≤ 1 jour 5 probable 4

> 1 jour à ≤ 2 semaines 4 possible 3 impossible 5

Gravité de la blessure S

> 2 semaines à ≤ 1 an 3 rarement 2 possible 3

> 1 an 2 négligeable 1 probable 1

Effets Etendue des dégâts S

Classe K = F + W + P

3–4 5–7 8–10 11–13 14–15

Mort, perte d’un œil ou d’un bras 4 SIL 2 SIL 2 SIL 2 SIL 3 SIL 3

Permanent, perte des doigts 3 SIL 1 SIL 2 SIL 3

Réversible, traitement médical 2 autres mesures SIL 1 SIL 2

Réversible, premiers soins 1 SIL 1

1940

1945

1950

1955

1960

1965

1970

1975

1980

Technologie aéronautique etspatiale (Luftwaffe „V1“)

Activités principale-ment aux EU

Technologie des composants électriquesTechnique de mesure et de régulation

Techniquede la circulation

(aviation)

Axe

de

tem

ps

Génie énergétique(alimentation électrique)

Génie nucléaire

Industrie lourdeTechnologie des processus

Ingénierie de fabrication(générale)

Technologie des processus (générale)

Génie de l’infrastructure routière (générale)

Génie de l’infrastructure(Marine, forces

terrestres)

Génie civil(générale)

Technique municipale(alimentation/évacuation)

Technique de communication(poste & générale)

Ingénierie informatique

Technologie de sécurité(générale)

Technique des véhiculeset du transport (transport terrestre)

Génie de l’infrastructure routière (voie)

Ingénierie informatique

113

des méthodes pour la planification des essais et l’évaluation statistiques des données de défaillance et les essais de durée de vie. D’autres thèmes sont la modélisation véridique de systèmes techniques complexes ainsi que la simulation de la fiabilité et de la disponibilité pendant les premières phases du développement. Des calculs sont effectués pour déter-miner la durée de vie du système et des collectifs de charge. Un champ d’application est l’exécution de FMEA et la rédaction de la documentation pendant le processus de dévelop-pement.Les méthodes et notions utilisées dans la technologie de fiabilité sont actuellement décrites •en détail dans les normes nationales et internationales et s’appliquent en principe à tous les produits et systèmes techniques.Les niveaux d’intégrité de sécurité se rapportent à la norme IEC 1508 (maintenant l’EN IEC •61 508-1/-7:2001), qui a été rédigée suite à l’accident avec gaz toxique qui a eu lieu à Se-veso. Dans ce sens, les premières applications de la norme étaient prévues pour l’industrie chimique et la technologie des processus. Seulement après, d’autres domaines ont été inclus, dont la construction de machine ferme la liste avec les normes EN IEC 62 061:2005 et EN ISO 13 849-1:2006.

Interrupteur de surveillance supplémentaireVoir page 29.•

LittératureLes maisons d’édition et les fabricants de composants de sécurité ont consacré et publié •pas mal d’œuvres au sujet de l’EN ISO 13 849-1:2006 et l’EN IEC 62 061:2005, parfois même gratuitement.Parmi la première charge d’information (et traditionnellement l’une des plus détaillées), il y •a notre brochure informative « Une nouvelle norme pour la sécurité des machines: EN ISO 13 849-1:2006 – SRP/CS », qui peut être téléchargée de notre site Internet : www.schmersal.be (lien : demande de documentation).La division Automatisation de la Fédération Professionnelle de l’industrie électronique et •électrotechnique allemande a publié un guide d’interprétation et d’application des normes EN 62 061 et EN ISO 13 849-1 (téléchargements : www.zvei.org ou www.schmersal.be, lien : demande de documentation).Et finalement, nous référons au rapport BGIA 2/08 (voir ailleurs).•

L

Neuer Ansatz für die Sicherheit von Maschinen:EN ISO 13 849-1:2006 – Sicherheitsbezogene Teile von Steuerungen

Category

S1

B1234

S2

F1P1

P2

P1

P2P2 F2

Niedriges

Risiko

Ausgangspunkt

zur Einschätzung

der Risikominderung

Performance-

Level PLr

Erforderlicher

S1

F1F1F

F2F2F

F1F1F

P1

a

b

c

dd

P2P2P

P1

PP

P1

P2P2P

Sicherheit von Maschinen

Erläuterungen zur Anwendung der Normen EN 62061 und EN ISO 13849-1

Automation

114

LogicielL’EN ISO 13 849-1:2006 et l’EN IEC 62 061:2005 tiennent largement compte du thème « logi-•ciel ».Une distinction est faite entre le logiciel d’un système de commande d’un PES d’une part (= •SRESW pour Safety-Related Embedded Software ou logiciel intégré relatif à la sécurité) et le logiciel d’application d’un PES (= SRASW pour Safety-Related Application Software ou logiciel embarqué relatif à la sécurité) d’autre part. Ce dernier (SRASW) est encore subdi-visé selon les langages utilisés (FVL ou LVL).Dans cette brochure, nous ne discuterons pas le thème « SRESW ».•Il convient de savoir que l’EN 13 849-1:2006 permet également le développement de sys-•tèmes PES (voir ailleurs) et qu’elle contient des exigences SRESW jusqu’à PL « d ». Pour PL « e », il faut prendre la partie correspondante de l’EN IEC 61 508 comme base et alternative-ment, le logiciel SRESW peut être créé de manière diversitaire.Pour le logiciel SRASW, il faut désormais prendre en compte des exigences supplémen-•taires, qui sont importantes pour l’utilisateur, par exemple le programmeur d’un API de sécurité. Il y a des exigences générales qui sont applicables pour tous les PL et en fonction du langage utilisé (LVL ou FVL), des exigences qui sont applicables pour les applications à partir du niveau de performance PL « c ».Définition de « logiciel d’application » :• Logiciel spécial implémenté dans l’application par le fabricant, comprenant généralement des séquences logiques, des valeurs limites et des expressions pour la commande des entrées et sorties correspondantes, des calculs et des décisions pour remplir les exigences requises des SRP/CS.Définition de FVL :• « Full Variability Language » ou langage de variabilité totale : type de langage, qui fournit la possibilité de mettre en œuvre une gamme étendue de fonctions de d’applications. – Exemple : C, C++, Assembler – Note 1 : voir IEC 61 511-1:2003, paragraphe 3.2.80.1.3 – Note 2: un exemple typique de systèmes pour lesquels FVL est utilisé: systèmes embar- qués – Note 3 : au niveau des machines, FVL est utilisé dans le logiciel embarqué et parfois dans le logiciel d’application.Définition de LVL :• « Limited Variability Language » ou langage de variabilité limitée ; type de langage qui fournit la possibilité de combiner les fonctions de bibliothèque prédéfinies spécifiques à une appli-cation pour mettre en œuvre les spécifications des exigences concernant la sécurité. – Note 1 : voir IEC 61 511-1:2003, paragraphe 3.2.80.1.2 – Note 2 : des exemples typiques de LVL sont repris dans l’IEC 61 131-3 – Note 3: exemple typique d’un système qui utilise LVL : l’API

Low Demand Mode, mode de faible sollicitationVoir PFD•

Mesures de prévention des défaillances de cause commune CCFVoir dessus! •

Méthode de comptage des parties ou Parts Count MethodVoir « Addition des probabilités de défaillance »•

M

115

N

Mission Time (durée de vie, durée de mission)Les modèles probabilistes de l’EN ISO 13 849-1:2006 partent d’un dit Mission Time de 20 •ans. Une exception ici est le calcul des valeurs B10d ou T10d en vue du remplacement pré-ventif éventuellement requis de l’appareil. Les dits Proof Test ou Intervalles d’essai etc. par contre sont moins importants pour le PL et le SIL dans le contexte de la construction de machines.

MTTFd fiabilité du matérielVoir ailleurs (mots-clés « Risques de défaillance », « Courbe en U » etc.) et partie 6, page 81 •et suivantes : « Caractéristiques et application de l’EN ISO 13 849-1:2006 »

Niveau de câblageVoir exclusion de défauts « Niveau de câblage »•

Niveau de performanceVoir ailleurs (mot-clé « Calculs » etc.) et partie 6, page 81 et suivantes : « Caractéristiques et •application de l’EN ISO 13 849-1:2006 »

NORMES

Normes(-type) A, B et C Voir normes C•

EN 954-1:1996Cette norme concernant le thème SRP/CS, qui fut controversée dès le début, sera retirée •en décembre 2009.Successeur: la norme EN ISO 13 849-1:2006•

EN 954-2Voir EN ISO 13 849-2:2003•

EN ISO 13 849-1:2006 Nouvelle norme B1 relative au sujet: Partie des systèmes de commande relatives à la sécu-•rité – Partie 1 : Principes de conception essentiellesVersion allemande : DIN EN 13 849-1:2008; •source: Beuth-Verlag GmbH, Berlin, www.beuth.deDepuis mai 2007 intégrée comme norme (harmonisée) avec « Présomption de conformité •avec les exigences essentielles de la Directive » dans la Directive Européenne « Machines »Remplace l’EN 954-1:1996 (ISO 13 849-1:1999) (qui sera retirée en décembre 2009)•Modifications essentielles : •– Niveau de performance (remplace l’évaluation exclusive des catégories) – Tient compte du développement et de l’utilisation des dits systèmes de commande élec- troniques programmables relatifs à la sécurité (PES) dans la technologie d’un SRP/CS – Extension (via Annexe G) de l’évaluation des mesures de prévention des défaillances systématiques Norme alternative pour l’EN ISO 13 849-1:2006 (pour certains secteurs) : EN IEC 62 061:2005•

116

EN ISO 13 849-2:2003Norme originalement prévue comme Partie 2 de l’EN 954, dont le point principal est la « Va-•lidation des SRP/CS » (Parties des systèmes de commande relative à la sécurité – Partie 2 : Validation)Version allemande : DIN EN ISO 13 849-2:2003-12; •source: Beuth-Verlag GmbH, Berlin, www.beuth.deReste en vigueur (fait actuellement l’objet d’une révision) et complète maintenant l’EN ISO •13 849-1:2006La norme reste en vigueur pour la conception et la réalisation des SRP/CS, même après •l’entrée en vigueur de la nouvelle partie 1 sous forme de l’EN ISO 13 849-1:2006.Elle a une signification particulière suite aux listes énumérant les défauts et défaillances •importants pour les diverses technologies (Annexes A à D).

EN IEC 62 061:2005Nouvelle norme B1 au sujet de la ‘Sécurité fonctionnelle des systèmes de commande élec-•triques, électroniques et électroniques programmables relatifs à la sécurité (les dits systè-mes E/E/PES)Norme spécifique pour la construction des machines, dérivée de l’EN (IEC) 61 508:2001•Version allemande: DIN EN 62 061 (VDE 0113-50):2005-10; •source: Beuth-Verlag GmbH, Berlin, www.beuth.deDepuis décembre 2006 intégrée comme norme (harmonisée) avec « Présomption de confor-•mité avec les exigences essentielles de la Directive » dans la Directive Européenne « Machi-nes »Considérée comme alternative de l’EN 954-1:1996 et plus particulièrement pour les systè-•mes E/E/EPES plus complexes également comme alternative de l’EN ISO 13 849-1:2006Contenu essentiel: •– tient compte des systèmes de commande électriques programmables relatifs à la sécu- rité (SRECS) et les niveaux d’intégrité de sécurité (SIL) – Reflète les exigences de l’EN (IEC) 61 508:2001 pour la construction des machines, toutefois en forme simplifiéeVoir également mot-clé « EN ISO 13 849-1:2006 • ↔ EN IEC 62 061:2005 (comparaison) ».

EN IEC 61 508:2001Une norme de sécurité de base dite Basic Safety Publication concernant le thème: Sécu-•rité fonctionnelle des systèmes de commande électriques, électroniques et électroniques programmables relatifs à la sécurité – Partie 1 à 7 (= 370 pages)Version allemande : DIN EN 61 508-x:2001 (x = parties 1 à 7) ; •source : Beuth-Verlag GmbH, Berlin, www.beuth.deCette norme visait à l’origine exclusivement à combler les lacunes de l’EN 954-1, c’est-à-•dire l’absence d’exigences pour des SRP/CS complexes et plus particulièrement pour les systèmes électroniques programmables avec fonction de sécurité (systèmes PES), mais le comité de normalisation de l’IEC 61 508 a étendu le domaine d’application de la norme aux systèmes électriques, électroniques et électroniques programmables (E/E/PES). Le champ d’application de la norme s’étend sur toutes les phases de la vie d’un produit/•système et tient compte du cycle de vie de sécurité (commençant par la conception et se terminant par le démontage et la démolition). L’évaluation se rapporte à toutes sortes de systèmes relatifs à la sécurité (systèmes avec tolérance de défauts, systèmes de déclen-chement, etc.) et aux mesures pour la réduction du risque en cas d’un défaut ou d’une défaillance jusqu’à des risques catastrophiques. Information de base : cette norme a été rédigée suite à l’accident avec gaz toxique à Seveso.

117

Pétrochimieet technologiedu processus

Centralesd’électricié

Constructiondes machines

Secteurmédical

… secteur

L’efficacité des mesures est exprimée sous forme d’un niveau d’intégrité de sécurité (Safety •Integrity Level ou SIL). Le SIL est calculé au moyen de modélisations mathématiques com-pliquées avec une revendication scientifique élevée. De cette norme, des normes sectoriel-les ont été dérivées, reprenant les exigences de l’EN IEC 61 508:2001 sous forme simplifiée pour les secteurs en question.Simplement dit, l’EN IEC 61 508 est l’archétype d’une ingénierie de fiabilité relative à la sé-•curité qui a servi de modèle pour l’EN ISO 13 849-1:2006.

EN ISO 13 849-1:2006 ↔ EN IEC 62 061:2005 (comparaison)Les deux normes sont des normes (harmonisées) avec « Présomption de conformité avec •les exigences essentielles de la Directive » intégrées dans la Directive Européenne « Machi-nes ».Malheureusement, il y a des chevauchements entre les deux normes: elles se rapportent à •la conception des SRP/CS avec des technologies électriques, électroniques et électroni-ques programmables (EN ISO 13 849-1:2006 sous forme d’un Niveau de performance, l’EN IEC 62 061:2005 sous forme d’un niveau d’intégrité de sécurité).Ces chevauchements sont dus au fait que l’une norme a été rédigée au niveau ISO et l’autre •au niveau IEC (au niveau européen, au niveau CEN ou CENELEC). Le concepteur des nor-mes ISO part de l’idée que l’EN 954-1:1996 était elle aussi une norme ISO et dans ce sens, il revendique l’autorité pour la révision de celle-ci (donc le successeur), lorsque le concepteur des normes IEC réfère à la Basic Safety Publication EN IEC 61 508:2001 pour revendiquer l’autorité pour les technologies E/E/PES.Une délimitation claire est faite pour les technologies mécaniques, hydrauliques, pneu-•matiques et électriques sensibles à l’usure (ici, c’est seulement l’EN ISO 13 849-1:2006 qui donne des spécifications claires) d’une part et d’autre part pour les architectures, qui se distinguent clairement des architectures ou plutôt catégories prévues par l’EN 13 849-1:2006 (bien que ce soit la « compétence » de l’EN IEC 62 061:2005, elle contient de nombreuses références à l’EN IEC 61 508:2001). De plus, pour la compétence au ni-

118

veau du développement des PES avec niveau de performance « e », il est référé à l’EN IEC 62 061:2005/61 508:2001 en l’absence d’un logiciel diversitaire. Dans tous les autres cas, nous recommandons à nos clients d’utiliser l’EN ISO 13 849-1:2006.Nous recommandons la norme EN ISO 13 849-1:2006 pour la simple raison que celle-ci •cherche une simplification maximale des complications découlant de la transition au niveau de performance pour les constructeurs de machines (il faut toutefois se limiter exclusive-ment aux architectures désignées), lorsque l’EN IEC 62 061:2005 offre plus de possibilités (toutefois en référant souvent à l’EN IEC 61 508:2001). L’idée de simplification de l’EN IEC 62 061:2005 par rapport à l’EN IEC 61 508:2001 consiste en la réalisation des SRP/CS via des sous-systèmes.Pourtant, les deux normes sont compatibles, ce qui signifie qu’elles peuvent être utilisées •individuellement ou combinées.

EN ISO 13 849-1 / EN IEC 62 061:2005 (comparaison avec EN 954-1:1996)Abstraction faite des complications inutiles, les deux nouvelles normes SRP/CS offrent plus •de possibilités pour la conception à l’utilisateur. Par exemple, pour PL « c », l’EN ISO 13 849-1:2006 offre 5 ou 6 possibilités différentes. Au passé, ceci aurait été seulement catégorie 2.


Catégorie BDCavg =

0

Catégorie 1DCavg =

0




+ CCF



a

b

c

d

e

10–4

10–5

3 × 10–6

10–6

10–7

10–8

PL

PFH (1/h)

Niveau de performance (PL) PL « a » PL « b »Architecture désignée (cat.) SK B SK 2 SK 2 SK 3 SK 3Fiabilité du matériel (MTTFd) faible faible moyen faible faibleCouverture du diagnostic (DC) faible faible moyen faibleMesures de prévention des CCF Oui ! Oui ! Oui ! Oui !

Niveau de performance (PL) PL « c »Architecture désignée (cat.) SK 1 SK 2 SK 2 SK 3 SK 3Fiabilité du matériel (MTTFd) élevé élevé moyen moyen faibleCouverture du diagnostic (DC) faible moyen faible moyenMesures de prévention des CCF Oui ! Oui ! Oui ! Oui !

Niveau de performance (PL) PL « d » PL « e »Architecture désignée (cat.) SK 2 SK 3 SK 3 SK 4Fiabilité du matériel (MTTFd) élevé élevé moyen/élevé(1) élevéCouverture du diagnostic (DC) moyen faible moyen élevéMesures de prévention des CCF Oui ! Oui ! Oui ! Oui !

(1) Pour MTTFd « très élevé » PL « e » Arrondi en direction sûre :

119

O

Vis-à-vis de l’EN 954-1:1996, elles tiennent en outre compte du développement et de l’utili-•sation des systèmes PES (API de sécurité, systèmes de bus de sécurité, etc.) et elles propo-sent une évaluation plus spécifique des défaillances systématiques (y compris les CCF).

Normes C (normes types)Ces normes se rapportent aux exigences relatives à la sécurité spécifiques pour les types •de machines individuels (machines-outils, centres d’usinage, emballeuses, etc.). si ces normes définissent une catégorie pour la réalisation de certaines fonctions de sécurité, le concepteur des normes C doit les convertir en un niveau de performance requis (= PLr). Etant donné le grand volume de normes C (plus de 100), il est impossible de réaliser cette •conversion à court terme (c’est-à-dire dans les prochains mois). Dans ce sens, le respon-sable du SRP/CS doit lui-même réaliser la conversion catégorie → PLr. L’entrée en vigueur de la nouvelle Directive Européenne « Machines » 2006/42/CE accélérera probablement ce processus.La conversion catégorie • → PLr peut être réalisée en partie de manière schématique, mais d’autre part, il faut prendre en compte les paramètres S (gravité de la blessure), F (fré-quence et durée d’exposition au phénomène dangereux) et P (possibilité d’éviter le phé-nomène dangereux) – voir mot-clé « Graphe pour l’estimation du risque » selon l’EN ISO 13 849-1:2006 – lorsque le graphe actuel pour l’estimation du risque fournit deux catégories qui peuvent être utilisées alternativement.De telles ambigüités sont dorénavant exclues. •Il serait également concevable que quelques concepteurs de normes C exigeraient une •catégorie en plus de la détermination d’un PLr, parce qu’ils ne consentent pas au fait qu’à l’avenir, les structures à 2 canaux utilisées jusqu’à présent peuvent être remplacées par des structures à 1 canal avec des valeurs MTTFd et/ou DC « élevées » correspondantes.Parmi les normes pour la sécurité des machines, les normes C constituent un niveau à eux, •au-dessus des niveaux des dites normes A et B. Les normes A (type) définissent les exi-gences essentielles pour la sécurité des machines (principes de conception, évaluation des risques etc.). Le sous-groupe B1 des normes B (type) concerne les différents aspects de sécurité (distances de sécurité, dimensions, etc.) et le sous-groupe B2 décrit les exigences pour les dispositifs de sécurité (interverrouillages, AOPD, etc.).

Objectif de la standardisation SRP/CSVoir partie 6, page 81 et suivantes : « Caractéristiques et application de l’EN ISO 13 849-•1:2006 »

PFD (Probability of Failure on Demand, probabilité de défaillance sur sollicitation)Evaluation de l’EN IEC 61 508-1/-7:2001•Probabilité de l’intégrité de sécurité d’un SRP/CS typique de la technologie de processus. •La valeur PFD est le pendant de la valeur PFHd pour l’automatisation industrielle.La différence est que la fréquence d’activation d’une fonction de sécurité est considéra-•blement différente. Dans le mode de fonctionnement à faible sollicitation, en anglais Low Demand Mode (typique de la technologie des processus), la fonction de sécurité n’est acti-vée que très rarement (pas plus qu’une fois par an). Un exemple typique sont les systèmes d’arrêt d’urgence, qui deviennent seulement actifs au moment du dérapage du processus, ce qui se passe normalement moins d’une fois par an. L’opposition est le mode de fonction-nement à forte sollicitation ou continue, en anglais High Demand Mode, (avec les valeurs PFHd) dans lequel la fonction de sécurité est activée souvent ou en permanence (= plus d’une fois par an).

P

120

La classification SIL pour le • Low Demand Mode est comme suit(1):

SIL PFD Défaillance max. acceptée des SIS

1 ≥ 10–2 à < 10–1 1 défaillance dangereuse en 10 ans

2 ≥ 10–3 à < 10–2 1 défaillance dangereuse en 100 ans

3 ≥ 10–4 à < 10–3 1 défaillance dangereuse en 1.000 ans

4 ≥ 10–5 à < 10–4 1 défaillance dangereuse en 10.000 ans

PL – Niveau de performanceVoir ailleurs (mot-clé « Calculs » etc.) et partie 6, page 81 et suivantes : « Caractéristiques et •application de l’EN ISO 13 849-1:2006 »

PLr = required, niveau de performance requisDéfinition selon la norme (EN ISO 13 849-1:2006) : niveau de performance PL permettant •d’atteindre la réduction du risque requise pour chaque fonction de sécurité.Il s’agit en fait de la détermination de la situation DESIREE ; pour chaque fonction de sécu-•rité sélectionnée, un niveau de performance requis PLr doit être déterminé et documenté. Celui-ci résulte de l’appréciation du risque rapportée à la proportion de la réduction du risque qui est réalisée par les SRP/CS. Il faut donc obtenir un PL ≥ PLr.Le PL• r est le résultat de la norme C en question ou du graph pour l’estimation des risques d’une fonction de sécurité, c’est-à-dire le niveau de performance (« a », « b », « c », « d » ou « e ») à atteindre pour une fonction de sécurité est dérivé de la gravité probable de la bles-sure en cas d’un défaut, la fréquence et/ou la durée d’exposition au phénomène dangereux et la possibilité d’éviter le phénomène dangereux par une réaction personnelle.Voir mot-clé « Graphe pour l’estimation du risque selon l’EN ISO 13 849-1:2006 »•

Proof Test/Proof TestintervalEssai répétitif d’un SRP/CS, réalisé dans le but de détecter des défauts et défaillances, de •sorte que le système puisse – si nécessaire – être ramené à un état « aussi neuf que prati-quement possible ». A ce moment-là, une nouvelle durée de mission commence.Les champs d’application typiques des Proof Tests et Proof Testintervals sont la technolo-•gie chimique et de processus, mais également l’entretien d’avions.Pour nos composants, ce thème est à peine important (à l’exception du calcul de la valeur •T10d pour les composants sensibles à l’usure). L’obligation de l’employeur de soumettre les moyens de travail à des inspections et essais •réguliers, telle qu’elle est prévue dans la Directive Européenne relative à l’utilisation des moyens de travail ou en Allemagne dans le BetrSichV, n’est pas concernée par ceci.

Proven in useVoir mot-clé « Aptitude fonctionnelle ».•

Rapport BGIA 2/08Ce rapport, intitulé « Sécurité fonctionnelle des systèmes de commande de machines – Uti-•lisation de la DIN EN ISO 13 849 » doit permettre une meilleure compréhension de l’EN ISO 13 849-1:2006.L’auteur du rapport est l’institution professionnelle pour la sécurité du travail BGIA, St. •Augustin ; le rapport peut être téléchargé sous www.dguv.de ; une version imprimée est disponible auprès du BGIA (ou de nous).

R

(1) SIL 4 se rapporte aux fonctions de sécurité suscep-tibles de causer plusieurs morts ainsi que des conséquences fatales ; dans la construction des machines (l’auto-matisation indus-trielle), il n’est pas applicable.

121

Le rapport comprend 260 pages et est divisé comme •suit: – Préface – Introduction – Aperçu du rapport et de la norme – Fonctions de sécurité et leur contribution à la ré- duction du risque – Conception de systèmes de commande surs – Vérification et validation – Exemples de câblage pour SRP/CS – Littérature + 10 annexes.37 exemples de câblage sont présentés, bien que ce •ne soit pas des « recettes toutes faites »Voir également page 73 et suivantes•

Répartition exponentielleLa répartition exponentielle est une répartition continue de la probabilité sur le nombre de •chiffres positifs réels et une répartition typique de la durée de vie. Elle est exprimée par les valeurs MTTF ou MTBF et est utilisée par exemple pour l’estimation de la durée de vie de composants et appareils, s’il ne faut pas tenir compte des symptômes de vieillissement tels que l’usure.Pour les composants sensibles à l’usure, il faut calculer préalablement la valeur B• 10d.Une valeur MTTF• d signifie que – une défaillance est survenue à 63 % de toutes les unités, ou autrement dit : – la probabilité de survie des unités concernées après l’expiration du MTTF ou MTTFd est de 37 % seulement.L’EN ISO 13 849-1:2006 classifie les valeurs MTTF• d par canal en trois groupes:

inaccept-able

MTTFd =MTTFd =MTTFd =MTTFd =

= 30 % défaillances après 1 ans= 10 % défaillances après 1 ans= 3 % défaillances après 1 ans= 1 % défaillances après 1 ans

3 y10 y30 y

100 y

Déf

ailla

nces

dan

gere

uses

[%]

100 %

80 %

60 %

40 %

20 %

0 %0 5 10 15 20 25 30

Temps [années]

inacceptable

faible

moyen

élevé

Reset, réarmementVoir mot-clé « Circuit de redémarrage » et page 28.•

122

Définition des limites de la machine

An

alys

e d

es r

isq

ues

Réd

uctio

n du

risq

ueD

ocu

men

tati

on

tech

niq

ue

Évaluation des risques

Description de l’utilisation correcte dans le manuel d’utilisation. Description des mesures de sécurité et de protection qui ont été sélectionnées pour empêcher et prévenir les dangers émanant de la machine et références aux risques résiduels. Nous recommandons de reprendre également une description des risques, pour lesquels les mesures de sécurité ne sont pas exigées.

Pas d’exigences de sécurité supplémentaires

Sélection des mesures de protection

OUI

NON

Identification des situations dangereuses

Estimation des risques

Éva

luat

ion

des

ris

qu

es

La ma-chine est

sûre ?

Risque, analyse des risques, estimation des risquesDéfinition de risque selon la norme : la combinaison de la probabilité de l’occurrence de •dégâts et la gravité des dégâts.Définition de l’analyse des risques selon la norme : combinaison de la définition des limites •de la machine, de l’identification des dangers et de l’estimation des risques.Définition de l’estimation des risques selon la norme : évaluation sur base de l’analyse des •risques si les objectifs visant à la réduction du risque peuvent être réalisés.Les exigences légales de la Directive Européenne « Machines » (voir mot-clé « Directive Ma-•chines ») sont également à la base de ce thème.Les deux points de vue « risque et analyse des risques » (ailleurs également appelés évalua-•tion des risques, analyse des dangers etc.) ne sont pas l’objet principal des deux nouvelles normes SRP/CS ; on suppose plutôt qu’ils sont exécutés avant l’utilisation des deux normes SRP/CS.Surtout les normes EN ISO 12 100-1/-2:2004• (1) et EN 1050:1995 (dorénavant l’EN ISO 14 121:2007(2)) offrent des outils pour faciliter l’interprétation et l’exécution.

Exemple d’un schéma pour l’évaluation des risques (source : SUVA/CH)

(1) Sécurité des ma-chines – Notions de base, principes de conception généraux – -1 : Partie 1 :

Terminologie de base, mé-thodologie ;

-2 : Partie 2 : Principes techniques

(2) Sécurité des ma-chines – Evalua-tion des risques – -1 : Partie 1 : Prin-

cipes essen-tiels

123

SIL (Safety Integrity Level, niveau d’intégrité de sécurité)Classe de la qualité totale relative à la sécurité d’un SRP/CS, utilisée dans l’EN IEC •62 061:2005 et l’EN IEC 61 508-1/-7:2001 (cf. philosophie PL).Définition selon la norme: niveau discret (parmi trois possibles) permettant de spécifier les •exigences concernant l’intégrité de sécurité des fonctions de commande relatives à la sé-curité à allouer aux SRECS, le niveau d’intégrité 3 de sécurité possédant le plus haut degré d’intégrité et le niveau 1 possédant le plus bas. L’intégrité de sécurité est définie comme la probabilité que les fonctions de commande exigées soient réalisées de manière satisfai-sante dans toutes les conditions définies et se rapporte à l’intégrité du matériel, du logiciel et de la sécurité systématique. Malgré la notion « probabilité », un SIL n’est pas de probabi-lisme pur.Un SIL est déterminé sur base des dites contraintes de fonctionnement (Architectural •Constraints) et de la probabilité d’une défaillance dangereuse par heure (PFHd).Les contraintes de fonctionnement existent en fonction du taux de pannes sûres, le dit •Safe Failure Fraction ou SFF. Elles combinent le diagnostic avec le taux de pannes sûres. Simplement dit : si le SFF (c’est-à-dire le taux de pannes sûres et/ou détectées) est élevé, on peut utiliser une structure à 1 canal en fonction du SIL. Si le SIL est faible, il faut – également en fonction du SIL – prévoir une structure redondante (tolérance de défauts du matériel). SFF : s = erreurs ou pannes sûres, dd = défaillances dangereu-ses détectées (« failures dangerous detected »), défaillances dangereuses non-détectées (« failures dangerous undetected »)

Exemple : un SIL 2 exige une valeur PFH• d entre 1 × 10–7 et 1 × 10–6 sur base d’un HWT 2 (à 3 canaux) pour SFF < 60 % ou HWT 1 (à 2 canaux) pour SFF 60 … 90 % ou HWT 0 (à 1 canal) pour SFF 90 … 99 %.En fonction du niveau critique, l’EN IEC 62 061:2005 distingue trois niveaux d’intégrité de •sécurité pour la construction des machines. Pour la classification, le graphe pour l’estima-tion des risques (idem EN ISO 13 849-1:2006) est déterminant.En ce qui concerne les défaillances résiduelles probables, on ne peut pas dire non plus •qu’un SIL est plus sévère qu’un PL ou vice versa. Toutefois, les possibilités de conception sont plus étendues pour les SIL.En ce qui concerne les sous-systèmes ou systèmes partiels d’un SRP/CS, cette brochure •utilise également les notions sous-PL ou sous-SIL. Ceux-ci indiquent l’aptitude relative à la sécurité d’un sous-système ou d’un système partiel, exprimée en SIL et PFHd.Le SIL global d’un SRP/CS correspond au sous-SIL le plus bas (théorie de l’élément le plus •faible) et à la valeur PFHd à obtenir. Cette dernière est la somme des valeurs PFHd indivi-duelles par sous-SIL.L’EN IEC 61 508:2001 connaît 4 niveaux SIL. Le SIL 4 couvre les risques comportant plu-•sieurs morts ou conséquences catastrophiques et n’est donc pas applicable à la construc-tion des machines. En plus de la valeur de PFHd, l’EN IEC 61 508:2001 utilise également la dite valeur PFD (PFD = Probability of Failure on Demand, Probabilité de Défaillance sur sollicitation) si la fonction de sécurité n’est activée que rarement ou exceptionnellement (> 1 fois par an), par exemple typiquement dans l’industrie chimique et la technologie des processus.

SIL Claim Limit (SILCL)SIL claim limit, c’est-à-dire le SIL maximal revendiqué pour une fonction de sécurité (la va-•leur désirée sur base d’un graphe pour l’estimation du risque ou fournie par une norme C).Le « SILCL » doit être considéré comme identique au niveau de performance requis PL• r.Voir également mot-clé « SIL » et « Graphe pour l’estimation des risques selon l’EN IEC •62 061:2005 ».

S

du

dd s

124

SISTEMALogiciel sur base de WINDOWS pour calculer le PL selon l’EN ISO 13 849-1:2006, écrit par •l’Institut für Arbeitsschutz BGIA, St. Augustin, et mis gratuitement à la disposition des utili-sateurs intéressés.SISTEMA signifie • SIcherheit von STEuerungen an MAschinen (sécurité des systèmes de commande de machines)L’outil SISTEMA imite la structure des parties d’un système de commande relatives à la sé-•curité (SRP/CS) sur base des dites architectures désignées et calcule les valeurs détaillées relatives à la fiabilité y compris le niveau de performance Pl atteint. Les paramètres utilisés pour la détermination du PL, donc la catégorie, les mesures de prévention des défaillances de cause commune CCF, la valeur MTTFd et la qualité DCavg, sont calculés un par un. L’effet de la modification de chaque paramètre sur l’ensemble du système est immédiatement visualisé et peut être imprimé sous forme d’un rapport.Le logiciel est un outil pour réaliser le calcul, mais ne remplace en aucun cas la compréhen-•sion et la connaissance de base de la norme !SISTEMA peut être téléchargé via www.dguv.de/bgia/13849. En vue de l’acceptation des •conditions de licence et la réception des mises à jour éventuelles, l’utilisateur est prié de s’enregistrer.

Taux de défaillanceLes valeurs typiques que la norme EN ISO 13 849-1:2006 prend en compte pour les taux de •défaillances sont les valeurs MTTFd (= Mean Time to dangerous Failure, temps moyen avant défaillance dangereuse).Les valeurs MTTF sont généralement des grandeurs statistiques reflétant la fiabilité d’un •objet (quel que soit cet « objet ») ; elles expriment la probabilité d’occurrence de défaillances aléatoires. Les défaillances causées par d’autres influences, p.ex. un choix fautif, un dimen-sionnement insuffisant, etc. appartient au groupe des défaillances systématiques et ne sont pas exprimées sous forme de valeurs MTTF.

T

125

Les valeurs MTTF se rapportent à la durée de vie moyenne ou la durée de mission d’objets •(jusqu’à leur défaillance). Les données relatives à la durée de vie ou durée de mission sont collectées entre autre sur base de données pratiques, de calculs des essais de résistance aux sollicitations, les dites analyses FMED(1). Dans le contexte des normes EN ISO 13 849-1:2006 et EN IEC 62 061:2005, seules les •défaillances dangereuses sont intéressantes. Un contact de commutation ne peut pas fermer par exemple (= généralement ennuyeux pour les systèmes de déclenchement, mais pas dangereux) ou pas ouvrir (= généralement dangereux pour les systèmes de déclenche-ment). Généralement, le rapport entre les défaillances dangereuses et non-dangereuses est intégré à 50:50. Dans ce cas, une valeur MTTFd est toujours deux fois la valeur MTTF qui reflète toutes les défaillances probables.Les calculs des valeurs MTTF ou MTTF• d partent toujours d’une répartition exponentielle des défaillances aléatoires, c’est-à-dire qu’après expiration de MTTFd une défaillance (dange-reuse) est survenue à 63 % de toutes les unités. Dans ce cas, il s’agit donc d’une indication de la probabilité de survie.

Exemple : •

(1) Failure Modes Effects and Diag-nostic Analysis

Distribution de la fiabilité des unitésde trois collectifs

Intacte

Défaillance

18années

37 %63 %

MTTF = 6 années MTTF = 18 années MTTF = 60 années

72 %28 %

90 %10 %

60années

Années

60

18

6

Représentation concrète d’une durée de mission moyenne, reprenant trois collectifs avec différents niveaux de fiabilité. Leurs unités (représentées par des points) présentent des défaillances à des moments aléatoires. Les moments de défaillance sont indiqués par les coordonnées verticales. Les défaillances sont réparties sur une période assez longue, par exemple certaines unités individuelles du premier collectif ont une durée de vie de 18 ans, lorsque d’autres présentent une défaillance après un an. Après 6 ans, une défaillance est survenue à 63 % des unités (source : introduction aux méthodes pour l’analyse de fiabilité, Siemens AG, I&S IS ICS IT2).

Les valeurs • λ ou FIT– les taux de défaillance utilisés par l’EN IEC 62 061:2005 – représen-tent par contre le nombre d’objets présentant une défaillance aléatoire pendant une cer-taine unité de temps (= 1/temps vis-à-vis de la « probabilité de survie » des valeurs MTTF ou MTTFd). Les valeurs FIT représentent un taux de défaillance exprimé en 10–9 par heure. Les valeurs réciproques des valeurs λ ou FIT sont donc de nouveau des valeurs MTTF ou MTTFd.

126

Les valeurs PFH• d expriment également la probabilité d’une défaillance dangereuse par heure, mais leur calcul tient également compte d’éléments autres que les défaillances aléa-toires du matériel. La valeur PFHd est toujours la valeur réciproque de la valeur MTTFd et vice versa (1/MTTFd = PFHd et vice versa). De plus, les valeurs PFHd peuvent être converties en valeurs MTTFd blocs au moyen de la valeur réciproque (1/PFHd : 8.760). Cette méthode fort simplifiée ne peut pas être utilisée dans le sens inverse.Pour les valeurs PFH, l’indice « d » n’est généralement pas importante ; la défaillance dange-•reuse est indiquée par une valeur PFH ou une valeur PFHd.Un sous-type des valeurs MTTF ou MTTF• d sont les valeurs MTBF ou MTBFd. MTBF signi-fie Mean Time Between Failures, la moyenne des temps de bon fonctionnement ou temps moyen avant défaillance. Il représente l’espérance mathématique de la durée de bon fonc-tionnement. La différence entre MTTF (MTTFd) et MTBF (MTBFd) est minime et peut être négligée dans le contexte des évaluations pour les SRP/CS.Dans beaucoup de domaines, tels que la chimie et la technologie des processus, la tech-•nologie militaire, l’aéronautique, etc. l’intégration des taux de défaillances est une chose commune (mot-clé: « Ingénierie de fiabilité »). Autres ouvrages de référence pour le taux de défaillance : SN 29 500, manuels MIL, etc.•Si on utilise des sources générales indiquant les taux de défaillance, il convient de vérifier •qu’une valeur reflète exclusivement les défaillances dangereuses dans le sens de l’EN ISO 13 849-1:2006 (souvent caractérisées par l’indice d) ou toutes les défaillances probables. Dans ce dernier cas, il faut effectuer des conversions – voir dessus.L’EN ISO 13 894-1:2006 recommande en outre que les valeurs d’origine étrangère, qui n’ont •pas été vérifiées pour l’application, ne soient inclues dans les calculs que pour 10 %.Pour les spécifications non-spécifiques des taux de défaillance, par exemple pour les •composants électriques, il s’agit souvent de valeurs nominales sans prise en compte des influences thermiques (p. ex. le taux de défaillance est redoublé lorsque la température aug-mente de 20 °C), cycles thermiques (chaud ↔ froid) et autres influences ambiantes.Ces influences doivent être intégrées dans les calculs ultérieurs (typiquement pour l’EN IEC •61 508:2001) ou être considérées forfaitairement en intégrant seulement 10 % du taux de défaillance nominal dans les calculs ultérieurs (recommandation de l’EN ISO 13 849-1:2006).

Valeurs B10d

Définition selon la norme : valeur représentant le nombre de manœuvres, dans laquelle 10 % •des prototypes testés présentent statistiquement une défaillance dangereuse (les valeurs B10d sont principalement utilisées pour les composants mécaniques, fluidiques et électro-mécaniques).ATTENTION : autre caractéristique importante • → valeur T10d

! Le nombre de cycles représente ici le nombre de manœuvres pendant la durée de vie, c’est-•à-dire que la valeur B10d exprime un nombre maximal de manœuvre et constitue la base pour les calculs MTTFd pour les composants sensibles à l’usure intégrés dans un SRP/CS, tels que les composants et dispositifs mécaniques (p. ex. vérins), fluidiques (p. ex. vannes) et électromécaniques (contacteurs, interrupteurs de position, organes de commande d’arrêt d’urgence, etc.)Ce type de composants présente un comportement consécutif à des défauts qui est dé-•terminé par le nombre de manœuvres effectués – et en partie par la charge commutable – et pour lequel il faut partir d’une distribution uniforme Weibull, puisque la probabilité de défaillance varie en fonction du temps.Les formules pour convertir une valeur B• 10d vers une valeur MTTFd sont comme suit :

V

127

L’Annexe C (Tableau C.1) de l’EN ISO 13 849-1:2006 reprend les valeurs B• 10d pour les com-posants typiques sensibles à l’usure, pour lesquels les formules indiquées ci-dessus peuvent être utilisées pour calculer la valeur MTTFd par canal (alternativement, les spécifi-cations du fabricant divergentes peuvent être utilisées).La formule ne doit pas être utilisée pour les composants mécaniques et hydrauliques. •Puisque ces composants possèdent une fiabilité élevée empiriquement prouvée, la norme conseille de prendre un MTTFd forfaitaire de 150 y par canal (à condition que les principes de sécurité essentielles et fiables décrites dans la norme soient respectées).Une deuxième particularité de l’Annexe C sont les valeurs B• 10d pour les détecteurs de proxi-mité, les contacteurs et les relais avec contacts Reed. Pour ce type de composants, deux valeurs B10d sont spécifiées, à savoir une valeur B10d si le composant est utilisé avec une charge minimale (= 20 %) (B10d = 20.000.000) et une deuxième valeur B10d si le composant est utilisé avec une charge maximale (B10d = 400.000). La formation de valeurs intermédiai-res est autorisée, 7.500.000 (charge de 40 %), 2.500.000 (charge de 60 %) ou 1.000.000 (charge de 80 %).De plus, il faut tenir compte que pour les organes de commande d’arrêt d’urgence et les in-•terrupteurs de position, l’EN IEC 60 947-5-x prescrit obligatoirement l’utilisation de contacts à guidage forcé.

dop × hop × 3.600s

MTTFd =B10d nop =

h0,1 × nop tcycle

nop = nombre moyen de manœuvres par an dop= nombre moyen de jours de service par anhop = nombre moyen d’heures de service par jourtcycle = sollicitation moyenne ide la fonction de sécurité en s (par exemple 4 × par heure = 1 × par 15 min. = 900 s)

(1) Si exclusion de défauts possible pour l’ouverture à guidage forcé

Normes internationales reprenant des valeurs MTTFd ou B10d pour des composants (extrait)

Principes de sécu-rité essentielles et fiables selon l’ISO 13 849-2:2003

Autres normes applica-bles

Valeurs typi-ques : MTTFd (années), B10d (cycle)

Composants mécaniques Tableaux A.1 et A.2 – MTTFd = 150

Composants hydrauliques Tableaux C.1 et C.2 EN 982 MTTFd = 150

Composants pneumatiques Tableaux B.1 et B.2 EN 983 B10d = 20.000.000

Relais et relais auxiliaire, sollicitation (mécanique) faible Tableaux D.1 et D.2 EN 50 205IEC 61 810IEC 60 947

B10d = 20.000.000

Relais et relais auxiliaire, sollicitation maximale Tableaux D.1 et D.2 EN 50 205IEC 61 810IEC 60 947

B10d = 400.000

Détecteurs de proximité, sollicitation (mécanique) faible Tableaux D.1 et D.2 IEC 60 947EN 1088

B10d = 20.000.000

Détecteurs de proximité, sollicitation maximale Tableaux D.1 et D.2 IEC 60 947EN 1088

B10d = 400.000

Relais auxiliare, sollicitation (mécanique) faible Tableaux D.1 et D.2 IEC 60 947 B10d = 20.000.000

Relais auxiliare, sollicitation nominale Tableaux D.1 et D.2 IEC 60 947 B10d = 2.000.000

Détecteurs de position, indépendamment de la charge(1) Tableaux D.1 et D.2 IEC 60 947EN 1088

B10d = 20.000.000

Détecteurs de position (avec actionneur séparé, disposi-tif de verrouillage), indépendamment de la charge(1)

Tableaux D.1 et D.2 IEC 60 947EN 1088

B10d = 2.000.000

Dispositifs d’arrêt d’urgence, indépendamment de la charge(1)

Tableaux D.1 et D.2 IEC 60 947ISO 13 850

B10d = 100.000

Dispositifs d’arrêt d’urgence avec un nombre maximal de manœuvres(1)

Tableaux D.1 et D.2 IEC 60 947ISO 13 850

B10d = 100.000

Boutons-poussoirs, indépendamment de la charge(1) Tableaux D.1 et D.2 IEC 60 947 B10d = 100.000

128

La norme stipule que les Bonnes Pratiques (= Good Engineering Practices) sont mises à la •base de l’utilisation des valeurs B10d ; c’est-à-dire : – considération des principes de sécurité essentiels et fiables (EN ISO 13 849-2:2003 ou les normes de produit applicables) lors de la conception du composant et – indication claire des applications appropriées et des conditions d’emploi autorisées par le fabricant (mot-clé: « Manuel d’utilisation »).De plus, le responsable du SRP/CS doit observer les principes de sécurité essentiels et •fiables selon l’EN ISO 13 849-2:2003 pendant l’installation et l’emploi du composant.

Valeur T10d

Le calcul d’une valeur T• 10d est également une nouvelle estimation dans l’EN ISO 13 849-1:2006. La valeur T10d correspond à 10 % de la valeur B10d ; elle est exprimée en années (y) et doit être considérée comme une indication pour le remplacement préventif des composants sensibles à l’usure. Pour une valeur T10d, on suppose que le composant en question pré-sente un comportement de défaillance constant dans le temps (cf. la phase moyenne de la « Courbe en U »).L’indication d’un remplacement préventif du composant est seulement sensée pour les va-•leurs MTTFd, si le taux de 10 % se situe endéans la durée de mission de 20 ans prévue des SRP/CS. La valeur T• 10d ne remplace pas les inspections et contrôles réguliers des moyens de travail selon la Directive Européenne relative à l’utilisation des moyens et équipements de travail, en Allemagne selon le BetrSichV.Voir également mot-clé « Valeurs B• 10d »

129

Extrait de notre brochure « Une nouvelle norme pour la sécurité des machines :EN ISO 13 849-1:2006 – Parties des systèmes de commande relatives à la sécurité »

129

130

Exemple de la norme selon l’Annexe I à EN ISO 13 849-1:2006

Il faudrait encore calculer une valeur B10d pour les composants sensibles à l’usure. Nous assu-mons que les spécifications du fabricant disponibles ont déjà été converties conformément.

13127

Risque élevé

Risque faible

Point de départ de l’estimation de la



S1

S2

F1

F2

F1

F2

P1a

b

c

d

e

P2

P1

P2

P1

P2

P1

P2

performance performance

Risque Risque élevéélevé

l’estimation de la l’estimation de la réduction du risqueréduction du risque

SS22

FF11FF1FF

FF22FF2FF

cc

dd

ee

PP11

PP22PP2PP

PP22PP2PP

PP11

PP22PP2PP

Figure 32 : Processus itératif pour la conception et la réalisation des SRP/CS selon prEN ISO 13 849-1

A partir de l’analyse du risque (EN ISO 12100-1)

Vers l’analyse du risque

oui

oui

oui

non

non

non

Sélectionner les fonctions de sécuritéindispensables que la SRP/CS doit réaliser

Pour chaque fonction de sécurité, spécifier les caractéristiques requises

Déterminer le niveau de performance requis PLr

Conception et réalisation technique des fonc-tions de sécurité ; identifier les parties relatives

à la sécurité qui exécutent la fonction de sécurité

Déterminer le niveau de performance PL

PL ≥ PLr

Catégorie MTTFd DC CCF

Validation

Toutes SF?*

1

2

3

7654

8* Toutes SF = Toutes les fonctions de sécurité ont-elles été analysées?

➊

Exemple :

• Verrouillage d’un protecteur avec séparation physique

Fonction de sécurité :• Le mouvement dangereux est arrêté dès que la porte du

protecteur est ouverte

Figure 33: Sélection et défi nition des exigences indispensables pour la fonction de sécurité

Exemple

La EN ISO 13 849-1 comprend une version adaptée du processus itératif pour la concep-tion de parties des systèmes de commande relatives à la sécurité (SRP/CS) de l’EN ISO 12 100-1. Le processus est divisé ici en 8 éta-pes théoriques. Il commence par la sélection des fonctions de sécurité indispensables que la SRP/CS doit réaliser (étape 1) et termine par conclure que le niveau de performance requis PLr est obtenu ou pas (étape 8).

L’exemple (voir fi gure 33) discute le verrouillage d’un protecteur mobile : le mouvement dange-reux est arrêté à l’ouverture du protecteur; tant que le protecteur est ouvert, le redémarrage de la machine est empêché, etc. (voir EN 1088 : Sécurité des machines – Dispositifs d’interver-rouillage en liaison avec les protecteurs avec séparation physiques – Principes essentielles pour la conception et la sélection).

132 28

Une nouvelle norme pour la sécurité des machines: EN ISO 13 849-1 – Parties des systèmes de commande relatives à la sécurité

L’estimation du niveau de performance requis, c’est-à-dire l’évaluation du risque au moyen du nouveau graphe de la EN ISO 13 849-1, doit aboutir à un niveau de performance requis PLr » c « (voir fi gure 34).

La fi gure 35 reprend une discussion de la structure de la SRP/CS (architecture désignée).

Risque élevé

Risque faible




PLr = c

S1

S2

F1

F2

F1

F2

P1a

b

c

d

e

P2

P1

P2

P1

P2

P1

P2

Figure 34 : Défi nition du niveau de performance requis PLr

➋

SW1B

K1BSW2

CC:PLC:

M:RS:P:

Convertisseur de courantProgrammable Logic Controller: API, automate programmable industrielMoteurDétecteur de rotationInterrupteur (représenté, état commuté)

Fermer

Ouvrir

Signal de commandeCC

L+++

MRS n

API PLC SPS

A

PSW1B K1B

SW2 PLC CC

RS

Figure 35 : Conception et identifi cation des SRP/CS

➌

13329

Risque élevé

Risque faible




S1

S2

F1

F2

F1

F2

P1a

b

c

d

e

P2

P1

P2

P1

P2

P1

P2

performance performance

Puisque les deux canaux de l’exemple ont une structure diversitaire (voir structure SRP/CS), les différentes valeurs MTTFd des deux canaux A et B doivent être déterminées et symétrisées.

➍

• Les exigences de la catégorie B sont remplies ✔

• L’occurrence d’un défaut ne conduit pas à la perte de la fonction de sécurité ? ✔

• Détection partielle des défaillances ✔

• L’accumulation de défauts non détectés ne conduit pas à la perte de la fonction de sécurité ? (1er API présente une défaillance non détectée, le 2ième canal A présente une défaillance) ✔

–> Catégorie 3 peut être obtenue

Figure 36 : Défi nition de la catégorie pour le PL

A partir de l’architecture désignée utilisée dans la fi gure 35, ceci signifi e:

➎

• SW1B : contact à manoeuvre positive d’ouverture :Exclusion de défaut pour la non ouver-ture des contacts, la non commutation de l’interrupteur suite à une défaillance mécanique (p. ex. rupture du poussoir, usure du levier, décalage)

• K1B : MTTFd = 30 y (spécifi cation du fabricant)

1 = 1 = 1MTTFd C1 MTTFd K1B 30 y

Canal 1: MTTFd = 30 y

Figure 37 : Défi nition du niveau de performance PL : MTTFd pour canal A

Maintenant, la couverture du diagnostic DC est analysée :

➎

• SW2, API, CC : MTTFd = 20 y chacun (spécifi cation du fabricant)

1 = 1 + 1 + 1 = 3MTTFd C2 MTTFSW2 MTTFPLC MTTFCC 20 y

Canal 2: MTTFd = 6,7 y

• Symétrisation du MTTFd pour les deux canaux :

MTTFd =2

MTTFd C1 + MTTFd C2 –1

3 1+

1MTTFd C1 MTTFd C2

MTTFd = 20 y (moyen)

Figure 38 : Défi nition du niveau de performance PL: MTTFd pour le canal B et MTTFd commun

Figure 39 : Défi nition du niveau de performance PL : DCavg

➏

• DCK1B = 99%, » élevée « suite aux contacts électriques à guidage forcé, tableau en annexe E.1

• DCSW2 = 60%, » faible « suite à la surveillance des si-gnaux d’entrée sans tests dynamiques

• DCPLC = 30%, » nulle « suite à l’effi cacité faible des auto-tests

• DCCC = 90%, » moyenne « suite à la voie de coupure réduite avec surveillance de l’actionneur par le système de commande, voir tableau E.1, annexe E.1

DCavg =

DC1 +DC2 + ... +

DCS

MTTFd1 MTTFd2 MTTFdN

1 + 1 + ... + 1MTTFd1 MTTFd2 MTTFdN

DCavg = 67% (faible)

134 30

Une nouvelle norme pour la sécurité des machines: EN ISO 13 849-1 – Parties des systèmes de commande relatives à la sécurité

Maintenant, les mesures de prévention des défaillances de cause commune CCF sont évaluées :

Figure 40 : Défi nition du niveau de performance PL : CCF

➐

CCF : défaillance des divers composants suite à une cause commune

• Séparation physique entre les voies de signaux 15 points

• Diversité 20 points• Protection contre la surtension,

la surpression, etc. 0 points• Utilisation de composants fi ables 5 points• Prise en compte des résultats d’une analyse

des modes de défaillances et leurs effets pour prévenir les défaillances de cause commune à la conception 5 points

• Compétence/formation du concepteur 0 points• CEM ou fi ltration du médium de pression

et protection contre la contamination 25 points• Température, humidité, chocs, vibrations, etc. 10 points

Σ = 80 points > 65 points

… et fi nalement tous les paramètres sont classifi és dans le diagramme bloc, pour vérifi er que PL => PLr (fi gure 41).

Remarque : la décomposition minutieuse de cet exemple en différentes étapes est évidem-ment un peu exagérée.

L’exemple possède en outre deux canaux de structure diversitaire tant bien au niveau des capteurs qu’au niveau du système de com-mande; il est donc un peu plus complexe que les structures ordinaires généralement utili-sées.

L’exemple donne toutefois une bonne illustra-tion du contexte des nouvelles exigences de la EN ISO 13 849-1, bien que la valeur B10d ne soit pas calculée pour le dispositif d’interverrouilla-ge (en tant que composant électromécanique) – ainsi, l’exemple refl éterait encore mieux la réalité.

Per

form

ance

leve

l


Catégorie B

DCavg =0

Catégorie 1

DCavg =0

Catégorie 2

DCavg =faible

Catégorie 2

DCavg =moyen

Catégorie 3

DCavg =faible

Catégorie 3

DCavg =moyen

Catégorie 4

DCavg =élevé

a

b

c

d

e

Figure 41 : Vérifi cation que niveau de performance calculé PL ≥ PLr

➑

PL = PLr = c ✔

135

136

Technologie de sécuritéSécurité des systèmes – Protection pour l’homme et la machine

Il est souvent inévitable que l’homme intervienne dans les cycles de la machine, par exemple pour placer ou retirer de pièces, pour nettoyer ou réparer la machine …. Dans ces cas, la sécurité de l’opérateur doit être garantie. Cette condition, qui relève de la responsabilité de l’exploitant de la machine est exigée par les normes et directives relatives à la sécurité des machines, qui sont applicables partout au monde.

Le Groupe Schmersal fabrique et vend depuis des an-nées déjà des produits qui contribuent à la sécurité du et au travail ; actuellement, l’entreprise offre à l’industrie le programme le plus étendu du monde de dispositifs et systèmes de commutation de sécurité pour la pro-tection de l’homme et de la machine.

Sous la devise « Sécurité des systèmes – Protection pour l’homme et la machine », les entre-prises du Groupe Schmersal développent et fabriquent des dispositifs de commutation de sécurité qui se laissent intégrer de façon optimale dans les cycles de travail.

Nous sommes convaincus que la sécurité n’est pas en opposition avec une productivité maximale ; selon nous, elle peut y contribuer et même l’augmenter.

Notre programme extrêmement étendu s’explique surtout par une orientation client de nos ingénieurs de développement et notre gestion de produits : beaucoup de nos produits ont été développés sur base des spé-cifications de nos clients ou adaptés à des applications spécifiques. De plus, notre expansion de petite entre-prise jusqu’à devenir un groupe performant a contribué à l’extension de notre portfolio.

Aujourd’hui, le Groupe Schmersal se présente comme une association mondiale de centres de compétences, dont chacune d’entre elles est spécialisée dans un domaine particulier de la sécurité.

Ainsi, les dispositifs et systèmes de commutation de sécurité du Groupe Schmersal garantissent la sécu-rité des systèmes et la protection de l’homme et de la machine

137

Plus de détails

Vous trouverez des informations détaillées relatives à notre gamme de produits sur notre site Internet www.schmersal.be, pour les informations techniques détaillées, vous pouvez consulter www.schmersal.net

Documentation en ligne en six languesNous étendons en permanence notre offre en ligne. Notre catalogue global est disponible sur l’Internet, en six langues. Les données techniques actuelles de tous nos produits sont disponibles 24 h/24 et 7 jours sur 7. Vous pouvez également consulter ou télécharger les déclarations de conformité, les certificats d’essai et les instructions de montage.

Service pour les constructeursLes dessins techniques de nos produits sont éga-lement disponibles dans le catalogue en ligne – un service spécial pour les constructeurs. Ils peuvent télécharger les dessins et les copier directement dans leurs systèmes DAO. La page d’accueil de Schmersal comporte en outre toujours des informations actuelles relatives à des thèmes généraux, tels que des articles spécialisés au sujet de la sécurité des machines ainsi que des tuyaux relatifs à des formations et des événe-ments. Vivement recommandé !

La ligne directeSi vous nécessitez de plus amples informations ou vous souhaitez un entretien avec un de nos collabora-teurs, vous pouvez simplement nous appeler au :

Tél.: +32 (0)16.57.16.18

Nous sommes entièrement à votre disposition !

138

Editeur

K.A. Schmersal GmbHDispositifs de commutation de sécurité industrielsMöddinghofe 30D-42279 WuppertalPostfach 240263D-42232 Wuppertal

Tél.: +49 (0)202 6474-0Fax: +49 (0)202 6474-100E-mail: [email protected]: www.schmersal.com

Elan Schaltelemente GmbH & Co. KGIm Ostpark 2D-35435 WettenbergPostfach 1109D-35429 Wettenberg

Tél.: +49 (0)641 9848-0Fax: +49 (0)641 9848-420E-mail: [email protected]: www.elan.de

Rédaction

Friedrich AdamsK.A. Schmersal Holding GmbH & Co. KGChef Schmersal tec.nicum

Tél. (mobil): +49 (0)178 6474-051Tél. (Wuppertal): +49 (0)202 6474-700 Tél. (Homeoffice): +49 (0)6406 8362-37Fax (Wuppertal): +49 (0)202 6474-700719 Fax (Homeoffice): +49 (0)6406 8362-38E-mail: [email protected]

Compilation

flick-werk – Werbe-Grafik Heinz Flick, D-35075 Gladenbach

139

140

0.00

0 /

X /

02.

2009

/ 0

0000

00 /

Aus

gab

e 01

© fl

ick-

wer

k

K.A. Schmersal GmbHDispositifs de commutation de sécurité industrielsMöddinghofe 30D-42279 WuppertalPostfach 24 02 63 09D-42232 Wuppertal

Tél.: +49 (0)202 6464-0Fax: +49 (0)202 6474-100E-mail: [email protected]: www.schmersal.com

Elan Schaltelemente GmbH & Co. KG Im Ostpark 2D-35435 WettenbergPostfach 11 09D-35429 Wettenberg

Tél.: +49 (0)641 9848-0Fax: +49 (0)641 9848-420E-mail: [email protected]: www.elan.de

Documents

Informations de base spécifiques sur la norme EN ISO … · qualité de la technologie d’une SRP/CS. Lorsque la catégorie B et la catégorie 1 se rap-portent à la qualité des