Équipements de Travail: Sécurité Des Systèmes Programmés: Philippe CHARPENTIER

quipements de travail :
scurit des systmes programms
par Philippe CHARPENTIER

Docteur-ingnieur
Chef du laboratoire Sret des systmes automatiss, Institut national de recherche
et de scurit (INRS)
et Joseph CICCOTELLI
Docteur s sciences
Adjoint au chef du dpartement Ingnierie des quipements de travail, INRS
1. Scurit intgre la conception des machines........................ S 8 270 - 2

1.1 Notion de machine ...................................................................................... 2
1.2 Principe de scurit intgre ...................................................................... 2
1.3 Caractristiques du dispositif normatif...................................................... 3
2. Notions fondamentales et principes gnraux
de conception sre .................................................................................. 5
2.1 De lentit dangereuse laccident : approche normative
du processus accidentel.............................................................................. 5
2.2 Processus dapprciation des risques........................................................ 5
2.3 valuation et rduction du risque .............................................................. 6
3. Prescriptions applicables la scurit des systmes
de commande de machines................................................................... 9
3.1 Gnralits ................................................................................................... 9
3.2 Prescription selon la norme EN 954-1/ISO 13849-1 .................................. 9
3.3 Prescription selon la norme CEI 61508 ...................................................... 13
3.4 Prescription selon la norme CEI 62061 ...................................................... 15
4. Conclusion ................................................................................................. 16
Pour en savoir plus ........................................................................................... Doc. S 8 270
e document sappuie largement sur ltat de la normalisation qui dsor-

C mais couvre en grande partie le domaine de la scurit des systmes
programms dans les quipements de travail, et au sein de laquelle les points
de vue, mthodes et outils sont discuts et partags.
On rappelle tout dabord les principales caractristiques de lapproche
normative mise en place dans le cadre de la scurit intgre la conception
dune machine. Les normes applicables la scurit des systmes de
commande des machines sont ensuite dcrites : la norme EN 954-1 ddie aux
parties relatives la scurit des systmes de commande de machines, la norme
CEI 61508, qui traite de la scurit fonctionnelle des systmes de commande
technologies lectriques, lectroniques, lectroniques programmables et la
norme CEI 62061, dclinaison de la norme CEI 61508 pour la scurit fonction-
nelle des systmes de commande de machines. Les volutions venir de ces
rfrentiels sont exposes.
Le dossier se conclut sur une proposition argumente de lINRS pour la
dtermination du rfrentiel utiliser, en fonction des choix de conception,
pour la ralisation des fonctions de scurit dune machine.
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur S 8 270 1
QUIPEMENTS DE TRAVAIL : SCURIT DES SYSTMES PROGRAMMS __________________________________________________________________________
1. Scurit intgre
la conception Signalisation, Organes de service
des machines affichage,
avertissements
Appareils de
commande
Paralllement lvolution du progrs technique et de lindus- Systme

trialisation, la prvention des risques professionnels [1] [2] sest de Mmorisation et traitement
considrablement dveloppe tout au long du XXe sicle [3]. La commande logique ou analogique des informations
normalisation associe ce domaine relve dun programme
intitul Hygine et scurit au travail ; celui-ci couvre un large
champ puisquil intresse la quasi-totalit des quipements utiliss Capteurs
au travail dans les diverses branches professionnelles de la vie Dispositifs de
conomique. De fait, les travaux normatifs font appel des protection
Practionneurs
domaines scientifiques et techniques multiples sciences pour (contacteurs, distributeurs,
lingnieur, sciences humaines et sociales, sciences de la vie. Nous variateurs de vitesse...)
limitons ici notre propos au domaine technique des machines et
systmes de production automatiss.
Protecteurs
Actionneurs
Les notions fondamentales, les principes gnraux et les mtho- (moteurs, vrins)
dologies dcoulant du concept de scurit intgre ont fait Partie
lobjet depuis les annes 1980 de multiples dbats, rflexions et oprative
tudes. Ces travaux, issus dun large consensus europen, ont
abouti ladoption de nombreux textes qui non seulement ne lments de transmission
peuvent tre ignors, mais qui doivent avantageusement guider lments de travail
les dveloppements des concepteurs.
Nous rappelons ici ces notions et principes gnraux de pr-

Interface oprateur-machine
vention dans leur contexte normatif.
Figure 1 Reprsentation schmatique dune machine

(daprs EN ISO 12100-1)
1.1 Notion de machine
Selon son mtier, sa formation de base, son exprience, le terme 1.2 Principe de scurit intgre
machine na pas le mme sens pour chaque individu (ou
groupe dindividus). Sa dfinition normalise est donne dans
le texte de la directive 98/ 37/ CE, dite directive Machines . Il est 1.2.1 Gense
repris par la norme EN ISO 12100-1 o une machine est dfinie
comme tant un ensemble de pices ou dorganes lis entre eux Cest au dbut des annes 1980 que le principe dintgration de
dont au moins un est mobile et, le cas chant, dactionneurs, de la scurit la conception des machines fut formellement dict
circuits de commande et de puissance, etc., runis de faon soli- dans des dispositions lgislatives nationales (loi 76-1106 du
daire en vue dune application dfinie, notamment pour la trans- 6 dcembre 1976 et dcrets 80-542, 543 et 544 du 15 juillet 1980 [4])
formation, le traitement, le dplacement et le conditionnement et prit rellement place en France. Auparavant, les situations
dun matriau . juges dangereuses taient plutt corriges chez (et par) luti-
lisateur aprs rception de lquipement. Pour limiter les risques
Un ensemble de machines qui, afin de concourir un mme daccidents graves constats sur des machines considres comme
rsultat, sont disposes et commandes de manire tre soli- extrmement dangereuses, les autorits instaurrent pour les
daires dans leur fonctionnement, est galement considr comme concepteurs et fabricants lobligation de rendre celles-ci conformes
tant une machine. Cest par exemple le cas dune ligne certaines rgles de scurit, avant mme leur mise sur le march.
dimprimerie. Le principe de scurit intgre tait n ; tout en imaginant les
solutions techniques permettant lquipement dassurer sa
La reprsentation schmatique gnrale dune machine laisse fonction premire, il tait demand au concepteur de se soucier
apparatre de nombreux flux dinformations et trois parties prin- des risques inhrents sa future utilisation. Sil parat simple
cipales que sont la partie commande, la partie oprative et linter- noncer et comprhensible pour tout un chacun, on verra plus loin
face oprateur-machine (figure 1). quun tel objectif nest pas sans influencer le mtier mme du
concepteur et sinscrit dans une problmatique plus large ding-
On remarque que cette dfinition renvoie la fois une vue nierie intgre.
physique ou technologique de la machine (elle est faite de pices,
dactionneurs...), une vue fonctionnelle (elle transforme, traite, la fin des annes 1980, ce principe de scurit intgre
dplace...) et des lments structurels (elle comprend une partie largement prouv en France pendant une dizaine dannes sur
commande pour commander , oprative pour oprer ). certaines catgories de machines (presses, machines bois) est
tendu et constitue le fondement de la lgislation europenne en
La composante humaine qui nest pas explicitement reprsente matire de conception des machines ; une directive europenne
sur la figure 1 intervient dans les lments dinterface ; la machine, dite directive Machines est adopte en 1989, elle est suivie de
dans sa vue exclusivement technique, comprend des parties modifications et damendements, intgrs et regroups depuis
interface oprateur-machine reprsentant diffrents niveaux 1998 dans un seul et unique texte : la directive europenne
(organes de commande, capteurs...) les interactions possibles 98/ 37/ CE codifie (transpose en droit national dans chacun des
entre lHomme et la machine. pays de lUnion europenne).
S 8 270 2 Techniques de lIngnieur
__________________________________________________________________________ QUIPEMENTS DE TRAVAIL : SCURIT DES SYSTMES PROGRAMMS
La directive Machines entre dans le cadre des principes de la mobiles automatiques pour la protection des machines). La dfi-
Nouvelle Approche en matire dharmonisation technique et de nition qui en est donne est plus large puisquil est question de
normalisation adopte en 1985. Ce principe, peu connu des acteurs composant mis sur le march dans le but dassurer, par son
concerns, mrite dtre rappel. Les directives Nouvelle Approche utilisation, une fonction de scurit, et dont la dfaillance ou le
constituent en effet un lment fondamental de la libre circulation mauvais fonctionnement met en cause la scurit ou la sant des
des produits au sein de lUnion europenne. labores dans le personnes exposes .
cadre du processus de codcision entre la CE et le Parlement
Dans son annexe I, la directive Machines dcline les principes
europen, elles sont obligatoirement transposes par les tats
dintgration de la scurit et stipule notamment que :
membres dans leur droit national. Elles permettent donc un
rapprochement et une harmonisation entre ces tats. Elles ont Les machines doivent par construction tre aptes assurer leur
pour objectifs de faciliter les changes intracommunautaires et de fonction, tre rgles, entretenues sans que les personnes soient
renforcer le principe de reconnaissance mutuelle. Toutes les entre- exposes un risque lorsque ces oprations sont effectues dans
prises qui souhaitent mettre en service ou changer des produits les conditions prvues par le fabricant.
en Europe sont donc tenues de respecter ces directives.
Les mesures prises doivent avoir pour objectif de supprimer les
Les directives Nouvelle Approche ont ncessit un travail risques daccidents durant la dure dexistence prvisible de la
consquent dharmonisation des textes lgislatifs et rglementai- machine, y compris les phases de montage et de dmontage,
res. La rdaction de normes europennes (CEN et CENELEC) et nor- mme dans le cas o les risques daccidents rsultent de situations
mes internationales (ISO et CEI) a t entreprise, guide par les anormales prvisibles .
considrations suivantes :
CEN : Comit europen de normalisation (pour les aspects dominante mcanique)
Elle dfinit des exigences essentielles de scurit et de sant
CENELEC : Comit europen de normalisation lectrotechnique relatives la conception et la construction des machines et des
ISO : Organisation internationale de normalisation (pour les aspects dominante composants de scurit, qui portent sur les commandes et sur les
mcanique) mesures de protection prendre contre les risques mcaniques,
CEI : Commission lectrotechnique internationale
mais aussi tous les autres risques (explosion, bruit, vibrations,
les directives contiennent des exigences essentielles ; dans le rayonnements extrieurs...). Elle exige du fabricant quil effectue
cas de la directive Machines, des exigences trs gnrales appli- une analyse des risques afin de rechercher ceux qui sappliquent
cables de nombreuses catgories de machines ; sa machine ; il doit ensuite concevoir et construire la machine en
des normes harmonises tablissent des dispositions tech- prenant en compte son analyse.
niques permettant de concevoir et de fabriquer des quipements
conformes aux exigences ( les normes harmonises servent de Pour les systmes de commande, sujet trait ici, la directive
guide pour lapplication des directives europennes et de rfrence dfinit les exigences essentielles suivantes :
pour la conception des produits ). Ces dispositions techniques ne Les systmes de commande doivent tre conus et construits
sont pas obligatoires, elles sont une aide au fabricant mais pour tre srs et fiables, de manire viter toute situation
celui-ci peut choisir tout autre moyen de mise en uvre pour dangereuse. Ils doivent notamment tre conus et construits de
assurer la conformit ; manire rsister aux contraintes normales de service et aux
un quipement conforme aux dispositions dune norme influences extrieures, et ce quil ne se produise pas de situations
harmonise est prsum conforme aux exigences rglementaires dangereuses en cas derreur de logique dans les manuvres
qui lui sont applicables, pour autant que ces exigences soient (directive 98/37/ CE, annexe I, paragraphe 1.2.1. : Scurit et fiabilit
couvertes par le champ dapplication de cette norme. des systmes de commande).
Lnonc dexigences essentielles de sant et de scurit satis- Un dfaut affectant la logique du circuit de commande ou une
faire dans les directives montre clairement lobjectif (en termes dfaillance ou une dtrioration du circuit de commande, ne doit
dobligation de rsultat) fix au concepteur. Dans la Nouvelle pas crer de situations dangereuses (directive 98/37/CE, annexe I,
Approche, la rglementation prend appui sur la normalisation qui paragraphe 1.2.7. : Dfaillance du circuit de commande) .
de fait occupe une place importante dans latteinte de cet objectif.
La conception des machines, systmes et dispositifs de pro-
Comme le soulignait M. Van Gheluwe, administrateur principal tection doit donc se proccuper non seulement de leur aptitude
la Commission des communauts europennes DG III, reconnu fonctionnelle assurer la scurit, mais encore de leur compor-
comme un des principaux fondateurs de la directive Machines, tement en environnement industriel (mcano-climatique et lec-
dans un sminaire sur les nouvelles rgles techniques organis en trique) et en prsence de dfauts de composants.
1993 par le Centre technique des industries mcaniques
(Cetim) [5] : ... la Directive nonce les objectifs sans donner les
moyens de les atteindre...... pas de dfaitisme, il y a des solutions,
mais il faut les trouver... . 1.3 Caractristiques du dispositif normatif
Le dispositif normatif a donc pour objectif de contribuer
La directive Machines stipule des obligations de rsultats ; les
trouver ces solutions. Il sappuie sur un vaste programme, sans
normes europennes qui lui viennent en appui sont dveloppes
prcdent en matire de normalisation technique, non encore
par consensus entre toutes les parties intresses pour aider les
achev ce jour.
diffrents acteurs (concepteurs, utilisateurs, prventeurs)
atteindre les objectifs viss.
1.2.2 Directive Machines
La directive Machines 98/ 37/CE sapplique aux machines telles 1.3.1 Dfinition dune norme
que dfinies au paragraphe 1.1. Elle sapplique galement aux
composants de scurit lorsquils sont mis isolment sur le Une norme est un document tabli par consensus et approuv
march. par un organisme reconnu qui fournit, pour des usages communs
et rpts, des rgles, des lignes directrices ou des caractris-
Il est important de noter que le terme de composant de scurit
tiques, pour des activits ou leurs rsultats, garantissant un niveau
ne caractrise pas uniquement les composants lists lannexe IV
dordre optimal dans un contexte donn (EN 45020).
de la directive (dispositifs lectrosensibles conus pour la dtection
des personnes, notamment barrages immatriels, tapis sensibles, Les dispositions contenues dans une norme peuvent prendre la
dtecteurs lectromagntiques ; blocs logiques assurant des forme dun nonc, dune instruction, dune recommandation ou
fonctions de scurit pour commandes bimanuelles ; protecteurs dune exigence ; elles indiquent des prescriptions.
1.3.2 Classification des normes

Tableau 1 Exemples de normes reprsentatives
Les normes relatives la conception des machines prsentent des types A, B1, B2 et C
une architecture originale reposant sur des degrs dimbrication.
Elles sont classes selon trois types (EN 414) : Type Norme reprsentative
normes de type A : elles prcisent les notions fondamentales,
les principes de conception et les aspects gnraux valables pour EN ISO 12100-1 Scurit des machines : Notions
tous les types de machines ; A fondamentales, principes gnraux de conception
normes de type B : Partie 1 : terminologie de base, mthodologie.
les normes de type B1 traitent dun aspect particulier de la EN 954-1 (ISO 13849-1) Scurit des machines :
scurit (par exemple, distances de scurit, temprature super- Parties des systmes de commande relatives la
B1 scurit. Partie 1 : principes gnraux de
ficielle, bruit). Elles dfinissent les principes de base du sujet de
scurit trait et comment ces principes peuvent tre appliqus conception.
B
aux normes de type C,
CEI 61496-1 Scurit des machines qui-
les normes de type B2 traitent dun type de dispositif B2 pements de protection lectrosensibles Partie 1 :
conditionnant la scurit (par exemple, commandes bimanuel- prescriptions gnrales et essais.
les, dispositifs de verrouillage, dispositifs sensibles la pression,
protecteurs) valable pour une large gamme de machines. Elles EN 693 Machines-outils Scurit Presses
donnent les prescriptions de performance pour la conception et la C hydrauliques.
fabrication du moyen de protection considr ;
normes de type C : elles indiquent des prescriptions de
scurit dtailles sappliquant une machine particulire ou un
groupe de machines. Elles traitent de tous les phnomnes
dangereux significatifs concernant la machine considre, en
sappuyant notamment sur les normes de type B pertinentes. EN ISO 12100
Principes gnraux EN 294
Dans le but de fixer les ides, le tableau 1 met en regard de ces EN 349
de conception
diffrents types une norme machine caractristique. EN 547
EN 999 EN 61496-1/2/3/4
EN 982
EN 614 EN 983 EN 811
Remarques : Principes EN 1760-1/2/3
ergonomiques
Certaines normes, dveloppes initialement dans un de conception EN 954-1
contexte europen comme la norme EN 954-1, ont t reprises Parties des
au niveau international de lISO pour devenir ISO 13849-1. Nous systmes de
utilisons ici les rfrences initiales, en donnant la correspon- commande relatives
dance en cas de reprise par lISO. la scurit
EN 574
On note que certaines normes ont t dveloppes dans le
EN 418 EN 1010
cadre du CEN (EN 954-1/ ISO 13849-1), mais aussi dans le cadre EN 953
du Cenelec /CEI lorsquil sagissait de prendre en compte des Machines d'impression
ISO TR et de transformation du
aspects lectriques ou lectroniques. Cest le cas par exemple 11688-1 papier
de la norme CEI 61496, dveloppe initialement dans le cadre du ISO EN 1088
7960 EN 1050
Cenelec, puis reconnue et harmonise dans le contexte de la
directive Machines. EN 60204 Principes pour
quipement lectrique l'apprciation
des machines des risques
La reprsentation plantaire [6] du dispositif normatif (figure 2)
donne un aperu de linterrelation entre normes ; faire graviter des
normes produit de type C comme EN 1010 ( Machines dimpres- Figure 2 Reprsentation plantaire du dispositif normatif
sion et de transformation du papier ) autour de normes de type A et (non exhaustive)
B plus gnriques illustre le fait que ces dernires exercent une cer-
taine influence en propageant les principes et concepts de base sur
lesquels doivent sappuyer les normes de type C.
Ces travaux de normalisation sont mens au sein de comits
techniques (TC) comprenant des groupes de travail composs des
acteurs rappels sur la figure 3. Prventeurs :
Constructeurs/fabricants : - organismes de prvention ;
Pour mieux visualiser les diffrents champs techniques et gnralement les concepteurs - autorits publiques
disciplines couverts par la normalisation machines, on peut ga- des produits objets de la nationales ;
norme - organismes de contrle
lement utiliser une reprsentation en matrice (figure 4) faisant technique.
apparatre les notions de norme horizontale et de norme
verticale :
les normes horizontales (de type A ou B) traitant daspects Utilisateurs :
communs applicables presque toutes les machines comme reprsentants des salaris,
lergonomie, le bruit... ; consommateurs,
employeurs...
les normes verticales (de type C) dterminant les dispositions
spcifiques dune catgorie de machines en faisant rfrence aux
dispositions des normes horizontales, vitant ainsi la duplication
du travail ralis et donnant une certaine cohrence lensemble
des normes. (0) Figure 3 Acteurs des comits techniques
Scurit des machines (CEN/TC 114)
Principes de Terminologie Rgles pour Autres Comits

base l'laboration groupes techniques
des normes de travail chargs
de scurit d'laborer
"machines" les
normes
(EN 292) (ENV 1070) (EN 414) verticales
Scurit des machines - Aspects lectroniques (CENELEC/TC 44 X)
Ergonomie (CEN/TC 122)
Bruit (CEN/TC 211)
Vibration (CEN/TC 231)
clairage (CEN/TC 169)
Figure 4 Acteurs et comits du CEN/Cenelec

chargs des normes horizontales
Une dernire caractristique du dispositif normatif mis en place dune part et prsence de lHomme (gnralement loprateur,
en soutien la directive Machines est son volume [7]. Le pro- mais dans certains cas des tierces personnes) dautre part, qui
gramme global de normalisation en scurit des machines est engendre des situations potentiellement dangereuses. Il est vrai
estim plus de 700 normes [7] labores et adoptes au sein des quen labsence de lune ou lautre de ces parties, il ne peut y avoir
diffrents comits techniques (TC) tels que ceux lists sur la mergence de situation dangereuse.
figure 4. Toute situation potentiellement dangereuse ne conduit pas pour
Face la complexit croissante dlaboration et dutilisation du autant au dommage. Encore faut-il que lenchanement des dif-
dispositif normatif, des travaux de recherche sont dores et dj frentes tapes du processus soit favoris par dautres lments
engags pour faciliter lintgration des prescriptions normatives en comme la non-annihilation de phnomnes dangereux, lapparition
conception [8], prescriptions qui senrichissent continuellement la dvnements critiques ou la non-possibilit dvitement, autant
lumire de ltat de la technique. dlments que le concepteur se doit dapprcier.
Cet enchanement est prcis sur la figure 5, daprs la
brochure [9] dite par la CRAMIF pour guider les utilisateurs,
concepteurs et constructeurs de machines dans les analyses de
2. Notions fondamentales risque effectuer pour choisir les mesures de prvention adaptes.
et principes gnraux
de conception sre 2.2 Processus dapprciation des risques
La norme EN ISO 12100 donne les principes gnraux de
conception dune application de scurit. Elle propose un pro-
2.1 De lentit dangereuse laccident : cessus dapprciation des risques destin dterminer les mesu-
approche normative du processus res ncessaires llimination des dangers ou la rduction des
risques associs aux phnomnes dangereux. La norme EN 1050
accidentel (ISO 14121) guide les concepteurs dans cette apprciation, sans
voquer de solutions techniques pour rsoudre les problmes de
Concevoir une machine sre, cest pour le technicien concepteur scurit engendrs par les risques recenss.
appliquer des principes et des mesures, surtout dordre technique,
garantissant la non-occurrence de dfaillances dites catastro- Intgrer la scurit en amont des phases de spcification et de
phiques, cest--dire dont les consquences seraient dommageables conception des quipements, comme prconis par le principe de
pour la sant de lHomme (quil soit oprateur ou tiers). scurit intgre, consiste :
viter ou rduire autant de phnomnes dangereux que
Pour satisfaire cet objectif, lapproche normative invite le possible en choisissant convenablement certaines caractristiques
concepteur sinterroger partir dun modle de reprsentation, de conception ;
certes simpliste, du processus de survenue du dommage. limiter lexposition des personnes aux phnomnes dan-
Cest au dpart la conjonction de deux tats, prsence dune gereux en rduisant soit le besoin, soit la dure dintervention dun
entit dangereuse (EN ISO 12100-1) (lobjet technique machine ) oprateur dans des zones potentiellement dangereuses.
Dans une premire tape, le concepteur dtermine les limites de

la machine, cest--dire son utilisation, dans lespace et dans le
Phnomne temps. Il identifie ensuite les phnomnes dangereux que peut
Personne dangereux ou engendrer le systme dans tous ses modes de fonctionnement.
danger Lannexe I de la directive Machines impose de ne pas limiter cette
identification aux risques dorigine mcanique, thermique ou lec-
trique, mais de sintresser aussi aux risques pour la sant lis au
Situation bruit, aux vibrations, au non-respect des principes ergonomiques...
dangereuse
Aprs avoir spcifi les limites de la machine et ses conditions
dutilisation, le concepteur doit suivre les tapes dtailles ci-aprs.
vnement Dclenchement d'origine
dangereux matrielle ou humaine
2.2.1 Identification des phnomnes dangereux
On dtermine lors de cette tape lensemble des phnomnes
Possibilit d'vitement ou dangereux que la machine considre est susceptible de gnrer,
de limitation du dommage ainsi que les dangers associs lenvironnement dans lequel la
d'origine matrielle ou
humaine machine est utilise.
Ces phnomnes dangereux sont par exemple : rotation de laxe
dun moteur, conducteur lectrique sous tension, projection de
dchets.
Dommage
2.2.2 Estimation du risque
Le concepteur de la machine doit estimer les risques relatifs aux
Figure 5 Condition de survenue dun dommage (daprs [9]) diffrents phnomnes dangereux identifis ltape prcdente,
que ces phnomnes dangereux soient permanents ou quils
apparaissent de faon inattendue. Comme indiqu auparavant, les
risques considrer sont par exemple : risque mcanique,
lectrique, thermique, risques dus aux vibrations, au bruit, aux
Dpart
rayonnements, lenvironnement...
Exemple : les situations dangereuses associes aux phnomnes
Dtermination des dangereux dcrits au paragraphe 2.2.1 seraient par exemple : travail
limites de la machine proximit de laxe du moteur ou du conducteur lectrique, travail dans
la zone de projection.
Analyse On est alors capable de dcrire les vnements dangereux cor-
du
Identification des
risque
respondants, par exemple le contact avec la partie tournante ou le
phnomnes conducteur et den dduire les dommages possibles.
dangereux
Lestimation du risque consiste, pour chaque phnomne dan-
Apprciation gereux, dterminer les paramtres tels que :
Estimation du risque du la gravit du dommage ;
risque lexposition au risque de dommage (frquence, dure) ;
la probabilit doccurrence dun vnement dangereux
valuation du risque (dorigine technique ou humaine) ;
la possibilit dvitement (dorigine technique ou humaine).
Une mise en relation de ces divers paramtres, comme indiqu
La par exemple par la grille de la figure 7, permet daffecter un
machine est-elle Fin indice de risque chaque phnomne dangereux identifi.
sre ? oui
Si dans labsolu de tels indices ont peu de sens, en relatif le
non concepteur peut de cette faon comparer les niveaux de risque de
nouvelles solutions par rapport ceux de solutions dj en place
Rduction du risque (machines en service par exemple), condition toutefois que les
situations de travail soient comparables (conditions dutilisation,
technologies...), ce qui en pratique se rvle parfois difficile.
Figure 6 Processus itratif dapprciation du risque (daprs EN 1050)

2.3 valuation et rduction du risque
Lobjectif est de faire en sorte que le processus accidentel dcrit Ltape dvaluation du risque doit permettre daborder la
sur la figure 5 ne puisse se drouler, en diminuant prioritairement question : les objectifs de rduction du risque sont-ils atteints ? .
la dangerosit des phnomnes dangereux (rendre lentit moins Si ncessaire, elle est suivie par des actions de rduction des
dangereuse), en anticipant par des structures appropries (techni- risques.
ques, organisationnelles...) les vnements critiques, en prvoyant
Lobjet de ce paragraphe est dnoncer les principales tapes de
enfin des possibilits dvitement.
la rduction du risque propose par la norme EN ISO 12100, en
Pour cela, les principes pour lapprciation du risque noncs combinaison avec lestimation du risque dcrite dans la norme
dans EN 1050 invitent le concepteur appliquer les tapes du EN 1050. Cest une dmarche maintenant largement usite en scu-
processus schmatis sur la figure 6. rit des machines, qui part des donnes issues de lestimation des
Probabilit Possibilit
d'occurence de d'vitement
Gravit Exposition
l'vnement Possible
dangereux dans Rarement
certains cas posible
1 : faible
1 : blessure lgre 2 : moyenne
rversible 3 : grande ou frquente
1 1
1 : faible peu probable
Risque 2 : moyenne ( une fois
1 : peu frquent et/ou
1 2
faible dure au moins la vie durant)
d'exposition 3 : grande ou frquente
2 : blessure grave
2 3
(irrversible) 1 : faible peu probable
ou dcs
2 : frquent et/ou 2 : moyenne ( une fois
3 4
longue dure au moins la vie durant)
d'exposition
3 : grande ou frquente
4 5
Indice de risque
Figure 7 Exemple de grille de dtermination
dun indice de risque (daprs [10])
risques pour rduire le risque en rpondant au moins aux 2.3.1 Mesures de prvention intrinsque
exigences lgales, ltat de la technique du moment tant pris en
considration (EN ISO 12100-1). On entend par mesures intrinsques de rduction du risque celles
qui rduisent les risques associs aux phnomnes dangereux sans
Elle fait intervenir une valuation du risque base sur un recourir des protecteurs ou des dispositifs de protection. La
jugement destin tablir, partir de lanalyse du risque, si les norme EN ISO 12100-2 dveloppe plusieurs voies pour rduire les
objectifs de rduction du risque ont t atteints (EN ISO 12100-1). risques en agissant ds la conception du systme de commande,
Lobjectif vis consiste essentiellement dterminer les actions voies gnralement issues des technologies lectromcaniques ou
entreprendre pour rduire les risques identifis lors des phases lectroniques faiblement intgres. Les mesures prconises
didentification et destimation, en prenant en compte les diffrents sappliquent bien sr aussi aux technologies composants lectro-
modes oprationnels. niques complexes, mais ne dispensent en aucun cas de recourir
La figure 8 situe les actions entreprendre dans le cadre gnral une dmarche complte de sret de fonctionnement.
de la dmarche de rduction des risques propose par la norme
EN ISO 12100. On constate que cest une mthode itrative qui 2.3.1.1 Utilisation de composants fiables
demande systmatiquement dterminer si les mesures prises ont Lutilisation de composants fiables est indique comme tant un
rduit le risque de faon adquate. Le concepteur est ainsi amen des moyens mettre en uvre pour faire face aux diffrentes per-
sassurer que les actions effectues pour rduire les risques ne turbations et contraintes associes lutilisation de lquipement
gnrent pas de nouveaux risques. Ce nest que lorsque lanalyste dans les conditions prvues.
juge que la rduction du risque a atteint un niveau satisfaisant que
ce processus est arrt. Cette mesure concourt la scurit puisquen minimisant les
dfaillances des composants dues en particulier lenvironnement,
Paradoxalement, un tel schma, satisfaisant pour lesprit elle limite lventualit de crer des comportements dangereux de
cartsien du concepteur technique qui y trouve un algorithme la machine. Elle permet au systme d absorber des pertur-
de rsolution des problmes de prvention, suscite dimportantes bations thermiques (chaud, froid), mcaniques (vibrations, chocs...)
interrogations du fait des notions et concepts quil manipule : de ou lectriques (lectricit statique, champ lectromagntique...).
quels risques parle-t-on, quentend-on par conditions dutilisation,
Cest une condition ncessaire respecter pour concevoir les
par adquation de la rduction du risque... ?
systmes qui auront traiter les fonctions de scurit dune
Ainsi, si lobjectif gnral parat (sur le papier) relativement bien machine. Elle nest bien entendu pas suffisante puisque, mme
dfini, le comment latteindre (sur le terrain) suscite de nom- avec une fiabilit accrue, les composants sont toujours suscep-
breuses questions. tibles dtre dfaillants.
Le questionnement est itratif, imposant au concepteur de
sinterroger sur la pertinence et lefficacit des mesures de 2.3.1.2 Redondance des composants critiques
rduction des risques auxquelles il a eu recours. Lobjectif final est Une solution couramment prconise en scurit des systmes
une rduction du risque adquate, cest--dire qui rponde au de commande de machines pour rduire les risques est de
moins aux exigences lgales, ltat de la technique du moment concevoir des architectures redondantes. La redondance est alors
tant pris en considration. utilise comme un moyen de dtection de fautes permettant au
Une chronologie des actions entreprendre est donne, qui systme dadopter une position de scurit (gnralement de
privilgie les actions amont de prvention, cest--dire lors de la repli). Cette technique est trs rpandue et on verra ( 3.2) quelle
phase de conception des systmes ou sous-systmes qui est un des principaux lments utiliss pour assurer un niveau de
composeront linstallation. Les actions de suppression ou de scurit lev.
rduction du risque sont envisages, dans lordre dans lequel elles La norme indique la possibilit de recourir la diversit (de
sont cites ci-aprs. conception ou de technologie) pour saffranchir des ventuelles
Dpart
Dtermination des limites Apprciation du risque effectu

de la machine conformment l'EN 1050
Identification des phnomnes

dangereux Le processus itratif de rduction du risque doit-tre
conduit sparment pour chacun des phnomnes
dangereux et chacune des situations dangereuses,
ainsi que pour chacune des cnditions d'utilisation
Estimation du risque
oui
valuation du risque
non D'autres
phnomnes dangereux
sont-ils crs ?
Le risque
a-t-il-t rduit oui
de manire adquate ? (1) Fin
(rduction adquate du risque)
non
chaque tape du processus itratif de rduction du risque,

estimation du risque, valuation du risque et, ventuellement,
comparaison des risques
Le
phnomne oui
dangereux
peut-il tre
limin ? tape 1
Rduction du risque par La
des mesures de rduction du oui
non
prvention intrinsque risque souhaite
est-elle ralise ?
Des
Article 4 de l'EN ISO 12100-2
mesures de
prvention intrinsque
permettent-elles de oui
rduire le
risque ? non
non
tape 2
Le risque Rduction du risque par

La
peut-il tre rduit protection oui
oui rduction du
par des protecteurs, Mise en uvre de
risque souhaite
des dispositifs de mesures de protection
est-elle ralise ?
protection ? complmentaires
non non
tape 3
Rduction du risque La
Les limites par les rduction du
oui non oui
peuvent-elles tre informations pour risque souhaite
spcifies l'utilisation est-elle ralise ?
nouveau ?
non
(1) La premire fois que la question est pose, c'est le rsultat de l'apprciation initiale du risque qui y rpond.
Figure 8 Reprsentation schmatique de la mthode itrativeen trois tapes pour la rduction du risque (daprs EN ISO 12100-1)
dfaillances de cause commune. On cre alors deux voies de Lorsque le processus de rduction du risque conduit choisir
traitement diffrentes en postulant quune dfaillance sur une voie des mesures de prvention intrinsque ou des mesures de pro-
ne se produira pas sur lautre voie ou, si elle se produit, naura pas tection, il faut passer la phase de conception et dintgration des
la mme consquence. Cette technique, thoriquement sduisante, systmes mettant en uvre ces mesures. Trois rfrentiels, lis la
trouve ses limites dans lvaluation de lefficacit relle de dif- conception des systmes de commande de machines relatifs la
frences effectivement introduites, mais aussi dans le cot de scurit, peuvent alors tre envisags (figure 9) :
dveloppement et de ralisation de ce type de structures [11]. EN 954-1 ( 3.2), norme europenne harmonise qui donne
des prescriptions et des orientations pour la conception des parties
2.3.2 Implantation de moyens de protection des systmes de commande relatives la scurit, reprise dans la
norme ISO 13849-1 ;
Cest le recours des protecteurs ou des dispositifs de pro- CEI 61508 ( 3.3), norme internationale gnrique qui traite de
tection, lorsque les mesures intrinsques de conception se sont la scurit fonctionnelle des systmes lectriques, lectroniques,
avres insuffisantes pour rduire les risques de la machine. Ces lectroniques programmables (E/E/ PE) relatifs la scurit. Cette
dispositifs peuvent tre fixes ou mobiles, matriels (dispositifs norme na pas t dveloppe dans le cadre de la directive Machi-
sensibles la pression) ou immatriels (barrires lumineuses). nes, mais dans le contexte international de la Commission lectro-
technique internationale (CEI) ;
2.3.3 Information des utilisateurs CEI 62061 ( 3.4), norme internationale, considrer comme
une dclinaison de la norme CEI 61508 pour la scurit des machines.
sur les risques rsiduels de la machine
Les dmarches proposes par ces trois normes traitant de la
Cette action nest envisage que si les prcdentes savrent conception font suite une analyse des phnomnes dangereux et
insuffisantes pour rduire les risques de faon adquate. Elle des risques destine dterminer la contribution des systmes de
consiste mettre disposition des utilisateurs des informations commande la scurit. De cette analyse sont dduites les
sur le fonctionnement de la machine, par exemple sous forme de prescriptions respecter pour la conception de ces systmes.
signaux visuels, de diagrammes ou de documents daccompa-
Lobjectif de ce paragraphe est de dcrire les principales carac-
gnement, en particulier la notice dinstructions. Compte tenu de la
tristiques de ces trois rfrentiels et de donner des informations
complexit des systmes qui sont maintenant dvelopps, cette
sur les volutions en cours. Cette description sera utilise pour
dernire voie est importante pour donner aux utilisateurs les
proposer une utilisation raisonne de ces rfrentiels pour traiter la
moyens dexploiter en scurit les capacits de ces systmes.
scurit dune machine ( 4 et encadr Dtermination du rfren-
tiel utiliser : proposition de lINRS ).
3. Prescriptions applicables 3.2 Prescription selon la norme

la scurit des systmes EN 954-1/ ISO 13849-1
de commande de machines La norme EN 954-1 est une norme de type B1. Dveloppe dans
le cadre de la directive Machines, elle dfinit des prescriptions de
3.1 Gnralits scurit et donne des indications sur les principes gnraux de
conception. Elle a t complte par une seconde partie
(EN 13849-2), qui spcifie le processus de validation des pres-
3.1.1 Distinction entre le systme de commande criptions de la premire partie. Dans leur premire version, ces
et la partie oprative deux parties sont harmonises.
Cette norme sert de rfrence pour des normes de type B2
Le paragraphe 1 a donn les principales composantes dune comme CEI 61496-1 concernant les dispositifs lectrosensibles de
machine, classiquement regroupes en un systme de commande dtection des personnes, mais aussi pour un grand nombre de
et une partie oprative (PO). Ces deux parties sont relies, dune normes de type C concernant des machines ds quil sagit de
part, par les capteurs et les dispositifs de scurit (sens PO vers traiter des problmes lis la scurit des systmes de protection
systme de commande) et, dautre part, par les practionneurs ou de commande.
(sens systme de commande vers PO).
Les prescriptions de la partie 1 de cette norme concernent la
Le systme de commande de la machine est dfini comme tant conception des parties de systmes de commande dune machine
le systme qui rpond des signaux dentre en provenance du relatives la scurit (laspect fonctionnel de la machine nest pas
processus, des autres lments de la machine, de loprateur, dun trait). Elles sont applicables quelle que soit la technologie de
quipement de commande externe ou de toute combinaison de ralisation choisie pour le systme de commande : pneumatique,
ces signaux et qui gnre des signaux de sortie permettant la hydraulique, lectromcanique, lectronique et lectronique
machine de se comporter de la faon attendue (CEI 62061). programmable.
Le systme de commande dune machine peut tre ralis en Un exemple reprsentatif du champ dapplication de cette norme
diffrentes technologies : pneumatique, hydraulique, lectrique. est la fonction darrt durgence (bien que larrt durgence ne soit
La partie oprative est compose des actionneurs (moteurs, pas proprement parler une fonction de scurit), du point o le
vrins...) et des lments de transmission et de travail. signal darrt durgence est gnr jusqu la sortie du pr-
Nous ne considrons dans la suite que les normes applicables actionneur, via les parties de traitement grant cette fonction.
la scurit des systmes de commande de machines, et princi- La norme EN 954 propose une dmarche globale de conception
palement les parties lectriques bases sur des technologies dont les principales tapes sont :
programmables. 1. analyse des phnomnes dangereux et apprciation du risque ;
2. mesures pour la rduction du risque ;
3.1.2 Positionnement des diffrents rfrentiels 3. spcification des fonctions de scurit et du niveau de scurit
requis ;
Comme nous lavons vu au paragraphe 2.3, lidentification des 4. conception des parties du systme de commande relatives
parties lectriques des systmes de commande relatives la la scurit ;
scurit fait suite une analyse globale des risques de la machine. 5. validation par analyse et par test.
EN ISO 12100 Apprciation des risques
Spcifier les limites et l'utilisation prvue de la machine

Identifier les dangers et les situations dangereuse associes
EN 1050 / ISO 14121 Estimer le risque associ chaque danger identifi
Scurit des machines valuer le risque et prendre les dcisions pour rduire le risque
Principes pour
l'apprciation
des risques
Le risque a-t-il t rduit oui

de faon adquate ? Fin
EN ISO 12100
Scurit des machines
Concepts de base, non
principes gnraraux
de conception
non
D'autres phnomnes
EN 954 / ISO 13849 Rduction des risques dangereux ont-ils
Scurit des machines t gnrs ? oui
Parties des systmes de
commande relatives
la scurit 1 - Mesures de prvention intrinsque oui
2 - Mesures de protection
CEI 61508 La rduction
Scurit fontionnelle des requise du risque
systmes de commande est-elle atteinte ? non
E/E/PE relatifs la scurit
3 - Informations pour l'utilisation
CEI 62061
Scurit des machines
Scurit fontionnelle des
systmes de commande
E/E/PE relatifs la scurit
Figure 9 Normes lies la scurit des systmes de commande dans la dmarche EN ISO 12100
Il est propos de mener les trois premires tapes en suivant exemple une machine pour laquelle la gravit serait moindre
une mthode simplifie base sur la norme EN 1050. Celle-ci est (risque de dommage rversible, par exemple).
dcrite dans une annexe informative dans laquelle lestimation des Le concept de catgorie est essentiel pour fixer les prescriptions
risques est ralise en considrant les trois lments suivants : de rsultat atteindre en termes de scurit. Il est fond sur la consi-
gravit de la lsion, frquence et/ou dure dexposition au phno- dration prcdente et module le comportement en prsence de
mne dangereux, possibilit dviter le phnomne dangereux. dfauts en fonction des rsultats de lvaluation du risque (tapes 1,
Cette analyse conduit fixer une catgorie pour les parties relati- 2 et 3 de la dmarche voque prcdemment). Une annexe infor-
ves la scurit des systmes de commande concerns. mative donne un tableau pour choisir raisonnablement la catgorie
des parties dun systme de commande relatives la scurit en
fonction de cette valuation.
3.2.1 Concept de catgorie
Une correspondance a t tablie entre niveaux de risque et
catgories : une ou deux catgories prfrentielles sont donnes
La norme EN 954-1 est base sur une approche qualifie par pour chaque niveau. Dautres catgories sont envisageables qui
certains de dterministe. La cause dune altration de la scurit sont soit surdimensionnes, soit sous-dimensionnes. Cette
dun systme quelconque, plus prcisment de son circuit de latitude est destine, sous rserve de justification, faciliter ladap-
commande, est lexistence ou lapparition de dfauts (un dfaut tation des prescriptions diffrentes technologies.
correspond ltat dune entit inapte accomplir une fonction
requise). La consquence peut tre un dysfonctionnement du
circuit de commande, qui peut potentiellement piloter la partie 3.2.2 Diffrentes catgories
oprative de la machine de faon dangereuse. En cohrence avec les recommandations de la norme
La rsistance aux dfauts ou aux dfaillances est une exigence EN ISO 12100 pour rduire les risques par des mesures de pr-
de la directive Machines prise en compte dans la dfinition des vention intrinsque, la norme EN 954-1 dfinit cinq catgories (B, 1,
catgories. La norme EN 954 propose de ladapter au risque rsul- 2, 3 et 4). (0)
tant de ces dfauts. En effet, si lon envisage une activit haut La premire catgorie (B) fait intervenir une conception suivant
risque (par exemple, manipuler des objets en zone dangereuse des principes de scurit de base, de faon rsister aux
avec risque de dommage irrversible), la rsistance aux dfauts influences attendues, en particulier celles dues aux perturbations
exige est sans commune mesure avec celle concernant par environnementales de tout type (mcanique, climatique, lectro-
se situant au niveau des mcanismes de dtection de dfauts. La

Tableau 2 Catgories des systmes par rapport leur catgorie 3 fait intervenir la notion (subjective) de raisonnablement
comportement en prsence de dfauts (daprs EN 954-1) faisable alors que la catgorie 4 demande ce que tous les dfauts
soient dtects (objectif thorique dune dtection de 100 % des
Principales Comportement dfauts) avant chaque sollicitation de la fonction de scurit.
Catgorie Principe
prescriptions du systme Une hirarchie apparente existe entre les diffrents niveaux,
puisque lon envisage la possibilit de dfauts dangereux pour la
2 La fonction de Possibilit de
scurit doit tre dfaut dangereux catgorie 2 alors que la fonction de scurit est toujours assure
contrle inter- entre les intervalles lorsquun dfaut survient dans un systme de catgorie 3 ou 4. En
valles convenables de contrle. pratique, il savre que cette hirarchie nest applicable que pour
par le systme de La perte de la une technologie donne : pour une technologie lectrotechnique
commande de la fonction de scurit par exemple, un systme procure un niveau de scurit plus lev
machine. est dtecte par le sil est de catgorie 4 que sil est de catgorie 3.
contrle.
3 Un dfaut unique Lorsquun dfaut 3.2.3 Validation de la catgorie
ne doit pas unique se produit,
conduire la perte la fonction de La partie 1 de la norme EN 954 est essentiellement axe sur la
de la fonction de scurit est dfinition dobjectifs atteindre pour la conception de parties rela-
scurit. toujours assure.
tives la scurit. La partie 2 est destine fournir les lments
Si cela est raisonna- Possibilit daccu- ncessaires la validation de la catgorie. Pour cela, on donne
blement faisable, le mulation dange- Essentiel-
dfaut unique doit reuse de dfauts lement pour chaque technologie de ralisation :
tre dtect. non dtects. caract- les principes de scurit de base, pour valider la catgorie B ;
ris par la la liste des principes de scurit prouvs et des composants
4 Un dfaut unique Lorsque les dfauts structure
ne doit pas se produisent, la prouvs, pour valider la catgorie 1 ;
conduire une fonction de scurit la liste des dfauts et des exclusions de dfauts pour valider
perte de la fonction est toujours les catgories 2, 3 et 4. Il est en effet prvu que la validation dune
de scurit. assure. catgorie puisse se faire en excluant certains dfauts, si le
Le dfaut unique Les dfauts seront concepteur est capable de prouver quil est improbable que ces
doit tre dtect , dtects temps dfauts surviennent.
ou avant, la pro- pour empcher une
chaine sollicitation perte de la fonction On constate la lecture de ces listes et principes que les techno-
de la fonction de de scurit. logies pneumatiques, hydrauliques, lectromcaniques et lectro-
scurit. Sinon, une niques non complexes sont correctement couvertes. En revanche,
accumulation de peu dinformations sont donnes sur les technologies lectro-
dfauts ne doit pas niques complexes (par exemple circuits spcifiques application
mener une perte specific integrated circuit : ASIC) et/ou programmables. Il est en
de la fonction de effet impossible de lister de faon satisfaisante lensemble des
scurit. dfauts susceptibles daffecter ces technologies. Ce constat fait
quil est difficilement envisageable dutiliser uniquement la norme
EN 954 lorsquil sagit de traiter des technologies lectroniques
magntique...). Aucune mesure de scurit particulire nest pr- complexes. Le concepteur doit alors recourir dautres rfren-
conise pour cette catgorie. Il est donc possible que la survenue tiels, comme par exemple CEI 61508 ( 3.3).
dun dfaut conduise la perte de la fonction de scurit. Les pres-
criptions de cette catgorie, considres comme basiques pour le
dveloppement dun systme contribuant assurer la scurit 3.2.4 volution en cours : rvision de la norme
dune application, sont reprises pour toutes les autres catgories. pr EN ISO 13849-1
La deuxime catgorie (1) demande ce que les parties relatives
la scurit soient conues en utilisant des composants et des 3.2.4.1 Introduction de donnes probabilistes
principes de scurit prouvs. La fiabilit est une des caractris-
tiques proposes pour dfinir un composant prouv. Il est Des travaux ont t entrepris pour rviser la norme EN 954-1 et
dailleurs indiqu que la probabilit de dfaillance en catgorie 1 tenter dapporter une rponse aux diffrentes questions que se
est plus faible quen catgorie B, rendant de ce fait moins probable posent ses utilisateurs. Ils ont notamment t orients de faon
la perte de la fonction de scurit. Bien quaucun objectif quantifi introduire et expliciter une composante probabiliste dans les
ne soit explicitement fix, la catgorie 1 fait donc intervenir des prescriptions associes aux catgories, dans le but dobjectiver les
prescriptions caractre fiabiliste/probabiliste, ce qui attnue le prescriptions en termes de :
caractre purement dterministe que certains confrent la norme fiabilit des composants, en rfrence la notion de fiabilit
EN 954. associe aux composants prouvs tels que dfinis pour la
En plus des prescriptions de la catgorie B, les prescriptions des catgorie 1 ;
trois autres catgories (2, 3 et 4) sattachent essentiellement la dtection de dfauts, lie aux prescriptions des catgories 2,
structure. Le tableau 2 en regroupe les principales caractristiques. 3 et 4. (0)
Il est bien vident que ce tableau nest quune synthse des pres- Le projet pr EN ISO 13849-1 en date de 2004 demande ainsi de
criptions de catgorie et quil ne dispense nullement danalyser le quantifier :
texte correspondant pour les appliquer correctement. la fiabilit des composants utiliss laide du temps moyen
Contrairement aux deux premires catgories, on constate quil avant dfaillance dangereuse (MTTFd : mean time to dangerous
est ncessaire dagir sur la structure des systmes dvelopps failure ). Pour simplifier et prendre en compte les incertitudes des
pour respecter les prescriptions des catgories 2, 3 et 4. De faon paramtres de calcul, seules des plages de valeurs sont indiques
caricaturale, on associe gnralement une structure autocontrle (faible, moyen, lev). Pour les composants simples, la norme
la catgorie 2, alors que les dispositifs de catgories 3 et 4 ont propose en annexe des valeurs dans le cas o les donnes ne
classiquement recours des principes de redondance, la diffrence seraient pas disponibles ;
Tableau 3 Prescriptions probabilistes des catgories

(daprs pr EN ISO 13489-1) Niveau de
Risque performance
faible requis PLr
Catgorie MTTFd DC CCF Point de dpart de
l'estimation de la a
rduction du risque S1
B Faible moyen Nulle Non pertinent P1
b
F1 c
1 lev Nulle Non pertinent P2
S2 d
2 Faible lev Faible moyenne P1
Dcision suite F2 e
P2
3 Faible lev Faible moyenne lestimation de Risque
leffet des lev
4 lev leve y compris dfaillances de Paramtres de risque suivants :
en cas daccumu- cause commune
lation de dfauts S gravit de la blessure :
S1 blessure lgre (normalement rversible)
S2 blessure grave (normalement irrversible, y compris le dcs)
F frquence et/ou dure d'exposition au phnomne dangereux :
lefficacit des tests pour dtecter les dfauts, par le biais de F1 rare assez frquente et/ou courte dure d'exposition
la couverture du diagnostic (DC : diagnostic coverage ), rapport de F2 frquente continue et/ou longue dure d'exposition
la probabilit de dfaillances dangereuses dtectes dd et de la P possibilit d'viter le phnomne dangereux ou de limiter le dommage :
probabilit de toutes les dfaillances dangereuses d . Comme P1 possible sous certaines conditions
pour le MTTFd , la norme ne distingue que trois plages de valeurs. P2 rarement possible
En thorie, ce rapport est valu suite une analyse des modes de
dfaillances et de leurs effets (AMDE, ou FMEA : failure mode and
effect analysis ). Dans le but de simplifier la dmarche, une annexe Figure 10 De lestimation des risques au niveau de performance
informative donne les plages de valeurs pouvant tre atteintes par (daprs pr EN ISO 13489-1)
les mesures de dtection les plus courantes ;
lindpendance des canaux dune structure redondante par
lvaluation de leffet des dfaillances de cause commune (CCF :
common cause failures ). Une procdure simplifie dvaluation est Niveau de performance
a
donne dans une annexe informative, qui reprend les principales
caractristiques de lvaluation du facteur propose par la norme b
CEI 61508.
c
Aux prescriptions dfinies dans la premire version (1996) de la
norme EN 954-1, on ajoute donc des objectifs atteindre en termes d
de MTTFd , DC et CCF (tableau 3).
e
3.2.4.2 Introduction du niveau de performance
Catgorie : B 1 2 2 3 3 4
DCmoyen : nul nul faible moyen faible moyen lev
La quantification de linfluence des dfaillances matrielles ala-
toires permet dintroduire une notion intermdiaire appele niveau MTTFd faible
de performance (PL : performance level ). Le PL reprsente lapti- MTTFd moyen
tude des parties relatives la scurit raliser une fonction de MTTFd lev
scurit dans des conditions prvisibles quil convient de prendre (MTTFd pour un seul canal)
en considration pour atteindre la rduction du risque attendue.
Plus la rduction du risque dpend du systme de commande, plus
le PL devra tre lev. Contrairement la notion de catgorie, une Figure 11 Lien entre PL, catgorie, DC et MTTDd
hirarchisation est possible grce aux niveaux de performance.
Cinq niveaux (de a e, dans lordre croissant de performance) 3.2.4.3 De lanalyse du risque la catgorie
ont t dfinis, auxquels correspondent des plages de valeurs de
probabilit moyenne dune dfaillance dangereuse par heure. Ils Lintroduction du niveau de performance a modifi le processus
dpendent : de dtermination des caractristiques de scurit dun systme.
Lestimation des risques, identique celle propose dans la
de la fiabilit du matriel (niveau de fiabilit des composants premire version de la norme, conduit un niveau de performance
permettant dviter les dfauts), par exemple le MTTFd ; au lieu dune catgorie prfrentielle (figure 10).
de la structure du systme et des mcanismes de surveillance Le niveau de performance atteindre pour rduire les risques
mis en place pour viter, tolrer ou dtecter les dfauts, par exem- est alors utilis pour fixer la catgorie atteindre, mais aussi les
ple la catgorie, les dfaillances de cause commune CCF et la cou- paramtres probabilistes tels que MTTFd et DC (figure 11).
verture du diagnostic DC ;
La contribution de la fiabilit et de la structure peut varier selon
des aspects qualitatifs non quantifiables lis en particulier aux la technologie utilise, au contraire de la premire version o il
dfaillances systmatiques. tait difficile de faire intervenir ce paramtre.
On constate que dans lesprit, les volutions proposes rapprochent Exemple : des parties relatives la scurit ralises en canal
les prescriptions de la norme EN 954 de celles des normes CEI 61508 unique et de fiabilit leve dans une technologie peuvent atteindre
et CEI 62061. Lintroduction des niveaux de performance est un moyen (dans certaines limites) un PL quivalent ou suprieur celui dune
de faire le lien avec les niveaux dintgrit de scurit (SIL : safety structure tolrante aux dfauts de moindre fiabilit dans une tech-
integrity level ) de la norme CEI 61508 ( 3.3). nologie diffrente.
3.3 Prescription selon la norme CEI 61508 de scurit du systme que tout est mis en uvre pour construire
la scurit fonctionnelle. Le paragraphe suivant ( 3.3.2) expose le
La norme CEI 61508 est une norme gnrique qui concerne tous cycle de vie global de scurit, support de la gestion de la scurit
les domaines dactivit : nuclaire, aronautique, spatial, trans- fonctionnelle ;
port... Elle sapplique la ralisation de fonctions de scurit spcifier les responsabilits des personnes, services et orga-
base de technologies lectriques, lectroniques, lectroniques nisations ayant la charge de chaque phase du cycle de vie global
programmables, dans le but datteindre un niveau de scurit fonc- des logiciels et systmes E/ E/ PE ou des activits comprises dans
tionnelle requis. On entend par scurit fonctionnelle le chaque phase.
sous-ensemble de la scurit globale dun quipement sous Nota : cet aspect abord dans cette norme internationale dborde du rle assign aux
normes europennes harmonises.
contrle (EUC : equipment under control ) et de son systme de
commande qui dpend du fonctionnement correct des systmes Dans le cas de systmes E/E/PE (considrs comme complexes),
lectriques, lectroniques, lectroniques programmables relatifs on considre donc quil ne suffit pas de prendre des mesures
la scurit, des systmes relatifs la scurit bass sur dautres techniques pour garantir la scurit fonctionnelle, mais que des
technologies et des dispositifs externes de rduction de risque. mesures organisationnelles sont aussi ncessaires. On demandera
par exemple didentifier les personnes, services et autres organi-
la diffrence de la norme EN 954 qui couvre toutes les tech-
sations responsables de lexcution et de la revue des phases appro-
nologies de ralisation, et mme si la dfinition de la scurit fonc-
pries du cycle de vie global de scurit des systmes E/ E/PE. Il est
tionnelle fait intervenir tout type de technologie, la norme CEI 61508
aussi question de comptence des personnes intervenant dans la
concerne uniquement les technologies lectriques, lectroniques,
construction de la scurit fonctionnelle du systme relatif la
lectroniques programmables : relais lectromcaniques (lectrique),
scurit, ainsi que de formation des personnels pour le diagnostic et
composants lectroniques discrets (lectronique) et programmables
la rparation des dfauts et pour le test du systme ou de formation
comme les microprocesseurs ou les ASIC (lectronique pro-
du personnel dexploitation.
grammable). Elle sapplique donc typiquement la conception des
systmes lectroniques programmables au sens large, en allant de En rsum, la gestion de la scurit est essentiellement destine
la conception dun automate programmable industriel (API) ddi spcifier les diffrents moyens qui contribueront la
la scurit, par exemple, celle de lensemble dun systme de construction de la scurit fonctionnelle, tant techniques en forma-
scurit, du capteur, via la logique de commande et les systmes de lisant les tapes respecter pour cette construction quhumains,
communication, jusquaux actionneurs finaux. en sattachant aux comptences des personnes ayant la charge de
Cest une norme de conception dont la dmarche consiste, ces diffrentes tapes. Cette gestion contient un ensemble de pres-
partir de la dfinition des prescriptions de scurit, concevoir le criptions procdurales rapprocher dune dmarche qualit. Elle
systme relatif la scurit, en prenant en compte toutes les est entre autres destine viter lintroduction (involontaire)
dfaillances susceptibles daffecter un systme lectrique : danomalies systmatiques lors des diffrentes phases du cycle de
dfaillances matrielles alatoires ou systmatiques, du matriel vie de scurit.
comme du logiciel. Il est intressant de noter que la gestion de la scurit fonction-
nelle ne sarrte pas la validation du systme relatif la scurit.
Les phases dexploitation et de maintenance sont elles aussi
Dfaillance matrielle alatoire : dfaillance survenant de traites en demandant notamment de relever et danalyser les
manire alatoire et rsultant de divers mcanismes de incidents dangereux. Ces prescriptions relvent en grande partie
dgradation au sein du matriel (et uniquement du matriel). de la constitution dun retour dexprience, utile surtout lorsquil
Dfaillance systmatique : dfaillance relie de faon sagit de manipuler des technologies rcentes aux modes de
dterministe une certaine cause, ne pouvant tre limine que dfaillance mal connus. En ce qui concerne lexploitation et la
par une modification de la conception ou du processus de maintenance, la norme CEI 61508 voque la modification du
fabrication, des procdures dexploitation. Les dfaillances du systme en demandant de prendre en considration les procdu-
logiciel sont un exemple typique de dfaillances systmatiques. res dapprobation et dautorisation de ces modifications. Ce type
de prescription revt une importance particulire lorsquil sagit de
traiter des technologies programmables, gnralement conues
Pour traiter lensemble de ces dfaillances, la norme CEI 61508
pour tre aisment modifiables.
propose dutiliser diffrents outils qui sappuient sur les concepts
cls suivants :
gestion de la scurit fonctionnelle ( 3.3.1) ; 3.3.2 Cycle de vie de scurit
cycle de vie de scurit ( 3.3.2) ;
spcification des prescriptions de scurit en termes de La notion de cycle de vie de scurit global propose par la
niveau dintgrit de scurit ( 3.3.3) ; norme CEI 61508 est rapprocher des principes dicts par la
processus de conception traitant les dfaillances matrielles norme EN ISO 12100. Elle correspond une dmarche gnrale de
alatoires, ainsi que les dfaillances systmatiques, du matriel conception destine systmatiser toutes les activits ncessaires
comme du logiciel ( 3.3.4). pour assurer finalement le niveau dintgrit de scurit prescrit
pour une application et les systmes E/ E/ PE relatifs la scurit
La suite de ce paragraphe dcrit ces diffrents concepts. quelle ncessite. Partant du principe quil est ncessaire de
construire la scurit chacune des tapes de la vie dun systme,
3.3.1 Gestion de la scurit fonctionnelle elle structure les prescriptions pour couvrir lensemble des activi-
ts allant de la phase de spcification jusqu la phase de mise
La gestion de la scurit fonctionnelle est un aspect novateur hors service.
de la norme CEI 61508, rendu ncessaire par la complexit des Lobjectif vis, qui tient compte de la complexit des techno-
technologies abordes. Ses objectifs sont doubles : logies utilises, est de planifier la ralisation de chaque phase et de
spcifier les activits techniques et de gestion quil sera dfinir pour chacune delles les entres et les sorties. Cette plani-
ncessaire de raliser pendant les phases du cycle de vie global fication permet de mener un processus de vrification des sorties
des systmes E/ E/ PE (matriel et logiciel) pour garantir la scurit de chaque phase dans le but de sassurer quelles correspondent
fonctionnelle prescrite pour ces systmes. Lexprience montre en bien ce qui tait attendu. Elle est rendue ncessaire par la
effet quil nest pas suffisant de spcifier des objectifs de scurit complexit des technologies mises en uvre, qui ne permet plus
et de vrifier lissue du dveloppement que ces spcifications ont de valider la scurit fonctionnelle dune application la seule
t respectes. Il faut aussi sassurer tout au long du cycle de vie analyse du produit final.
requises dans toutes les conditions spcifies et dans une priode

de temps fixe.
Concept
Contrairement aux catgories de la version 1996 de la norme
EN 954-1, le SIL est un objectif quantitatif atteindre. Il sexprime
Dfinition globale du en termes de probabilit moyenne de dfaillance pour un mode de
domaine d'application fonctionnement faible sollicitation ou en probabilit dune
dfaillance dangereuse par heure pour un mode de fonction-
nement continu ou forte sollicitation. Une telle quantification
Analyse de danger permet donc de hirarchiser les capacits des systmes de scurit
et de risque excuter une fonction de scurit donne et de qualifier lapport
de ces systmes la rduction des risques de lapplication
Prescriptions globales considre.
de scurit Quatre niveaux ont t dfinis (1 4, 4 tant le niveau dintgrit
de scurit le plus lev). Pour chacun de ces niveaux, des plages
Allocation des prescriptions de valeurs ont t attribues aux probabilits correspondantes.
de scurit
Remarque : compte tenu de la diversit des dfaillances

Ralisation des systmes susceptibles daffecter le fonctionnement dun systme E/ E/PE,
de scurit E/E/PE il est admis que, malgr la nature quantitative de lobjectif de
scurit, lintgrit de scurit repose aussi sur des techniques,
Vers la phase mesures et jugements qualitatifs.
* Installation et mise en adquate du
service globale Cette remarque est essentielle pour une bonne compr-
cycle de vie
hension et une utilisation correcte de la norme CEI 61508. Elle
permet de ne pas focaliser uniquement sur les rsultats quantita-
* Validation globale de Modification et tifs obtenus (qui quantifient le comportement du systme face
la scurit remise niveau des dfaillances matrielles alatoires), mais de prendre aussi en
compte les techniques et mesures utilises pour faire face aux
dfaillances systmatiques affectant entre autres le logiciel (qui
* Exploitation, maintenance
et rparation ne sont pas quantifiables, mais dont lapport est primordial).
Mise hors service 3.3.4 Processus de conception

ou au rebus
Pour atteindre le niveau dintgrit de scurit requis lors de la
* phases ayant fait lobjet dune planification globale, en parallle la dfinition des prescriptions de scurit, la norme CEI 61508
ralisation du systme de scurit. propose dutiliser un certain nombre d outils destins traiter
lensemble des dfaillances susceptibles daffecter le fonction-
Figure 12 Schma simplifi du cycle de vie de scurit global nement dun systme de scurit technologie E/ E/ PE. Lintgrit
de la norme CEI 61508 de scurit est dcompose en intgrit de scurit du matriel
(associe aux dfaillances alatoires du matriel) et en intgrit
systmatique (associe aux dfaillances systmatiques du matriel
Le cycle de vie propos (figure 12) est un cycle global qui int- comme du logiciel).
gre la ncessit de dvelopper les prescriptions de scurit des
systmes E/ E/ PE en tenant compte des contributions la scurit 3.3.4.1 Intgrit de scurit du matriel
rsultant de lutilisation de systmes de scurit bass sur dautres
technologies et des moyens externes de rduction du risque. Ce premier point concerne exclusivement les dfaillances
matrielles alatoires.
La figure 12 ne fait pas apparatre :
les phases de ralisation des systmes de scurit bass sur Prescriptions probabilistes : la norme demande destimer la
dautres technologies et des dispositifs externes de rduction du probabilit de dfaillance de la fonction de scurit due des
risque, qui concourent aussi assurer la scurit fonctionnelle de dfaillances matrielles alatoires. Les calculs font intervenir un
lEUC. Ces phases, qui sont hors du champ dapplication de la grand nombre de paramtres (architecture, taux de dfaillance des
norme CEI 61508, interviennent en parallle la ralisation des composants, taux de couverture des tests, intervalle des tests,
systmes de scurit E/ E/ PE ; dfaillances de cause commune...) qui peuvent tre difficiles dter-
miner. Une solution envisageable pour pallier cette difficult peut
les activits relatives la gestion de la scurit fonctionnelle. consister se placer systmatiquement dans le pire cas, dans le but
Bien que ntant pas reprsentes, ces activits ncessitent dtre de survaluer la probabilit de dfaillance calcule.
appliques toutes les phases appropries des cycles de vie de
scurit globaux des systmes E/ E/ PE et du logiciel. Contraintes darchitecture : la difficult estimer certains para-
mtres du calcul de probabilit de dfaillance dangereuse est
lorigine de lintroduction des contraintes darchitecture. Elles
3.3.3 Spcification des prescriptions de scurit permettent de concevoir une architecture suffisamment robuste
en termes de niveau dintgrit de scurit vis--vis des fautes matrielles. Elles ont gnralement pour effet de
limiter le niveau dintgrit de scurit pouvant tre atteint en
La dmarche de conception de la norme CEI 61508 conduit considrant, dune part, le degr de tolrance aux fautes matrielles
fixer des prescriptions applicables aux fonctions de scurit en ter- de larchitecture et, dautre part, la proportion de dfaillances en
mes de niveau dintgrit de scurit (SIL). Lintgrit de scurit scurit. Un niveau dintgrit de scurit suprieur calcul par une
est une probabilit, lie la capacit dun systme relatif la scu- approche uniquement mathmatique sera donc abaiss au
rit excuter de manire satisfaisante les fonctions de scurit niveau fix pour respecter les contraintes darchitecture.
3.3.4.2 Intgrit de scurit systmatique

Ce deuxime point concerne les dfaillances systmatiques (du Spcification des exigences
matriel et du logiciel), qui peuvent tre relies de faon dter- pour chaque fonction de
ministe une certaine cause et ne peuvent tre limines que par commande relative la Des SIL sont
une modification de la conception ou du processus de fabrication, scurit affects aux
par des procdures dexploitation, de la documentation, etc. Les fonctions de
mesures et techniques relatives lintgrit de scurit syst- commande
Gestion de la scurit fonctionnelle

Conception et dveloppement relatives
matique concernent deux aspects. la scurit.
du SRECS, incluant la ralisation
vitement des dfaillances systmatiques : on prvient lintro- des sous- systmes qui
composent le SRECS
duction de fautes la conception et au dveloppement du matriel Le SRECS
et du logiciel des sous-systmes. Des prescriptions sont notamment (hard et soft)
donnes pour le dveloppement du logiciel (cf. partie 3 de la de SIL donn
Intgration et test du SRECS a t conu.
norme).
Matrise des dfaillances systmatiques : de la mme faon que
pour lvitement des dfaillances systmatiques, la norme donne Information pour l'utilisation
des mesures destines matriser les fautes systmatiques lors de et la maintenance du SRECS
leur apparition en fonctionnement, quelles soient dues la
conception ou des contraintes ou influences environnementales.
Parmi ces mesures, on trouve notamment la surveillance de la Validation du SRECS
squence du programme, le recours la sparation ou encore des
mesures contre les chutes ou les variations de tension.
Des tableaux donnent, en regard des diffrentes mesures Prescription pour la
modification du SRECS
envisageables, un niveau dimportance (de peu hautement
recommand) ainsi que lefficacit requise si la mesure est utilise.
Ils sont destins faciliter le travail du concepteur dans ses tches
de choix dun ensemble de mesures appropries et de justification Figure 13 Dmarche de conception de la norme CEI 62061
de ses choix.
Lobjectif vis est de publier une nouvelle version de lensemble
3.3.4.3 Comportement du systme des parties qui composent la norme CEI 61508 au premier trimestre
lors de la dtection dun dfaut 2006, aprs avoir suivi de faon synchronise toutes les tapes du
Ces prescriptions sont destines spcifier le comportement de processus CEI de rdaction dune norme (CD, CDV, FDIS).
lEUC en cas de dtection dune anomalie dangereuse (par les tests
de diagnostic, les tests priodiques ou tout autre moyen) dans un
sous-systme. Deux options sont proposes. La premire requiert 3.4 Prescription selon la norme CEI 62061
une action spcifie pour atteindre ou maintenir un tat sr (par
exemple, un arrt sr de lquipement). La seconde fait intervenir Une nouvelle norme, rfrence CEI 62061, a t mise en
une notion de disponibilit. Elle impose lisolement de la partie du chantier en 1998 pour adapter les prescriptions et la dmarche de
sous-systme prsentant lanomalie afin de permettre la poursuite la norme CEI 61508 la scurit des machines. Elle spcifie des
en scurit de lexploitation de lquipement pendant que la partie exigences et fait des recommandations pour la conception, lint-
prsentant une dfaillance est rpare. gration et la validation de la scurit fonctionnelle des systmes
relatifs la scurit bass sur des technologies E/ E/ PE lorsquils
sont utiliss sur des machines.
3.3.5 volution en cours : maintenance
de la norme CEI 61508 La norme CEI 62061 repose sur les mmes concepts que ceux de
la CEI 61508 ( 3.3) : gestion de la scurit fonctionnelle, cycle de
Pour prendre en compte les constats faits la suite des pre- vie de scurit, spcification des prescriptions de scurit en ter-
mires applications pratiques de la norme CEI 61508 en secteur mes de niveau dintgrit de scurit et processus de conception
industriel, la CEI a rcemment dmarr un processus de main- traitant lensemble des dfaillances.
tenance. Plusieurs groupes ont t mis en place, qui travaillent de La dmarche de conception quelle propose consiste
faon coordonne pour aboutir une rvision cohrente. (figure 13) :
Parmi les diffrents points traits, on trouve : identifier la contribution la rduction du risque apporte par
la clarification de la signification des modes continus et sur le systme lectrique de commande pour allouer un niveau
demande ; dintgrit de scurit chaque fonction de scurit ;
la rvision et la mise jour des tables de prconisations permettre la conception des systmes relatifs la scurit
techniques ; destins traiter les fonctions de scurit qui leur sont assignes ;
intgrer les sous-systmes relatifs la scurit conus en
la prise en compte des facteurs humains ;
suivant la norme EN 954 ;
la communication de donnes numriques ;
valider le systme de commande lectrique relatif la scu-
les problmes darchitectures et de SIL rsultant des sous- rit (SRECS : safety-related electrical control system ) en vrifiant
ensembles ; quil satisfait les spcifications de performance requises.
lacceptabilit des modules prexistants et de systmes sur
tagre (COTS : commercial off-the-shelf ) ;
la compatibilit lectromagntique et la scurit fonction- Remarque : comme pour les normes EN 954 et CEI 61508, la
nelle ; premire tape de la mthodologie dborde du cadre de la
la dtermination de la spcification des exigences de scurit, norme, puisque lon traite de lanalyse du risque. Elle est
des fonctions de scurit et de SIL partir des phnomnes dan- cependant indispensable pour fixer les objectifs de scurit
gereux et de lanalyse des risques. atteindre par les fonctions de scurit.
Fonction de scurit B Spcifier les prescriptions des

fonctions de commande relatives
Fonction de scurit A la scurit implantes dans le SRECS
Vue virtuelle :
description fonctionnelle Dcomposer les fonctions de Dcomposition
(F = Fb1 'ET' Fb2 'ET' Fb3 commande relatives la scurit fonctionnelle
en blocs fonctionnels
Bloc Bloc Bloc
fonctionnel B1 fonctionnel B2 fonctionnel B3
Dtailler les prescriptions de
Bloc Bloc Bloc scurit de chaque bloc fonctionnel
fonctionnel A1 fonctionnel A2 fonctionnel A3
Allouer les blocs fonctionnels

Attribution aux sous-systmes de scurit
Sous-systme 1 Sous-systme 2 Sous-systme 3 Crer l'architecture du SRECS
Dcomposition
Concevoir structurelle
Vue relle : Choisir un
et dvelopper
architecturale sous-systme un sous-systme
SRECS
Dterminer le SIL atteint pour chaque
fonction de commande relative la
scurit
Figure 14 Dcomposition fonctionnelle (extrait de CEI 62061)

Documenter la structure conue
La conception dun SRECS est base sur une dcomposition de
la fonction de scurit raliser en un certain nombre de blocs Implanter le SRECS
fonctionnels (figure 14).
La figure 15 reprsente cette dcomposition intgre au proces-
sus global de conception de la fonction de scurit. Les blocs fonc-
tionnels issus de la dcomposition sont affects des Figure 15 Dmarche de la norme CEI 62061
sous-systmes qui seront assembls/ intgrs pour concevoir le pour la conception dun systme de scurit
SRECS. Ce nest quaprs avoir dtaill les prescriptions de scurit
(en termes de niveau dintgrit de scurit : SIL) applicables ces
veillance de la squence du programme, la dtection de dfaillan-
blocs que le concepteur peut passer la phase de ralisation mat-
ces par des tests en ligne, la diversit logicielle et matrielle et des
rielle et logicielle. Cette dcomposition en sous-systmes fait que
mesures contre les perturbations environnementales comme la
la dmarche propose par la norme CEI 62061 est bien adapte
temprature, lhumidit ou les perturbations lectromagntiques.
la ralisation de fonctions de scurit laide de sous-systmes
dont on aura au pralable dtermin les principales caractristi-
ques.
Chaque sous-systme doit possder des caractristiques dfinies 4. Conclusion
en termes dintgrit de scurit du matriel, dintgrit de scurit
systmatique et de comportement en cas de dtection dun dfaut. La scurit des systmes programms la conception des
Parmi les adaptations de la norme CEI 61508 faites dans la machines et des quipements de travail est fortement prise en
norme CEI 62061, on note : compte par la normalisation, les groupes de travail intgrant
seuls les trois premiers niveaux dintgrit de scurit dfinis rgulirement les rsultats de travaux majeurs dvelopps par les
par la norme CEI 61508 ont t repris. Le niveau le plus lev na spcialistes du domaine. Plusieurs normes peuvent tre envi-
pas t jug adapt la scurit des machines ; sages pour aborder la conception dun systme relatif la
scurit. la fin des annes 1980, la scurit des systmes de
seul le mode forte demande a t retenu, qui correspond
commande de machines a t dveloppe dans la norme EN 954-1
un systme de scurit sollicit plus dune fois par an ou plus de
(harmonise), qui fixe des prescriptions applicables tout type de
deux fois la frquence des tests de preuve (proof tests ). Dans ce
technologie (pneumatique, hydraulique, lectromcanique et lec-
cas, on value la probabilit de dfaillance dangereuse par heure ;
tronique). Cest une composante importante du rfrentiel normatif
des prescriptions pour le dveloppement du logiciel applicatif
europen tabli lappui de la directive Machines. En parallle, la
sont donnes, ainsi que des mesures telles que le recours une
norme gnrique internationale CEI 61508 spcifique la scurit
conception modulaire et structure, lutilisation de composants
des systmes bass sur des technologies lectriques, lectro-
prouvs, la simulation... ;
niques, lectroniques programmables a t mise en chantier, sans
les contraintes architecturales sont reprises et adaptes la lien avec un domaine dapplication particulier (bien que fortement
scurit des machines. influence par le process continu). La rdaction de la norme
Parmi les mesures destines matriser les dfaillances CEI 62061, dclinaison de cette norme pour la scurit des
systmatiques, on trouve comme dans la norme CEI 61508 la sur- machines, a t entreprise en 1998.
Cet tat de fait conduit au constat suivant : lorsquil sagit de la ncessit de quantifier les effets des dfaillances mat-
concevoir tout ou partie dun systme de commande dune rielles alatoires. Ce problme ne pourra tre rsolu quen dis-
machine traitant une fonction de scurit, les concepteurs se posant de banques de donnes de taux de dfaillance de
trouvent devant un choix qui peut savrer difficile, du fait des composants adaptes aux machines ;
champs dapplication qui prsentent des zones de recouvrement, la compatibilit entre prescriptions relatives aux objectifs de
difficult qui se trouve encore augmente par les volutions en scurit fixs par ces rfrentiels, lintroduction de niveaux de per-
cours des diffrents textes. formance PL chiffrs dans la rvision de la norme EN 954-1 permet
Une proposition de lINRS pour faciliter lexploitation des dtablir les liens ncessaires une utilisation conjointe des
normes applicables la conception du systme de commande diffrentes normes (tableau 4) ;
dune machine, en particulier lorsque celui-ci intgre des la complexit des dmarches proposes, directement lie
composants lectroniques complexes et/ou programmables, est la complexit des technologies mises en uvre. La rvision de la
expose dans lencadr. Elle a pour objectif essentiel de tirer le norme EN 954-1 tente de conserver la simplicit de la dmarche
meilleur parti de lexistant actuel en utilisant les caractristiques propose initialement. La norme CEI 62061 tente de rduire la
les plus intressantes de chacune des normes applicables. lave- complexit de la norme CEI 61508 en ne retenant que les pres-
nir, le problme mritera dtre nouveau abord pour tenir criptions adaptes au domaine de la scurit des machines. Seule
compte des volutions ventuelles de ces diffrents rfrentiels. lapplication concrte de ces normes des cas industriels rels per-
Cette proposition fait abstraction des difficults dapplication des mettra de juger de leur adaptation tre utilises pour la
diffrents rfrentiels, par exemple : conception des systmes relatifs la scurit dune machine.
Dtermination du rfrentiel utiliser : proposition de lINRS

Une rflexion a t mene lINRS [12] [13] pour dterminer le La dcomposition fonctionnelle quelle contient est en effet adap-
rfrentiel pouvant tre utilis pour la conception de tout ou te lintgration de modules. De plus, seul ce rfrentiel traite du
partie des systmes de commande relatifs la scurit partir de dveloppement du logiciel applicatif intgr dans les automates
ces normes. programmables industriels ddis la scurit. Lutilisation du
Important : avant de choisir un rfrentiel de conception, il est terme prioritairement signifie que le concepteur se place dans
indispensable, pour chaque cas, de dfinir clairement les limites en une dmarche et une logique dassemblage de composants lec-
termes de signaux dentre et de sortie du systme raliser, afin triques, et non dans celle de la ralisation de ces composants.
de spcifier ce qui sera considr comme tant tout ou partie du Les applications industrielles bases sur cette dmarche sont de
systme de commande . plus en plus nombreuses. Cest le cas typique de lintgration de
Le rfrentiel de conception doit tre dtermin par un choix de capteurs (par exemple, barrage immatriel), dont les informations
conception qui prenne en compte : sont traites par un API ddi la scurit reli la partie oprative
la technologie des composants utiliss : lectrique (lectri- de la machine via des actionneurs de scurit. Tous ces composants
que, lectronique, lectronique programmable) ou non lectrique ; (considrs par la directive Machines 98/ 37/ CE comme tant de
la distinction de deux types de composants lectriques pour scurit) sont assimils des sous-systmes dont lintgration per-
raliser les fonctions de scurit dune machine [12] : met de raliser la fonction de scurit considre. En complment
les composants de scurit mis sur le march et dfinis dans le lutilisation de la dmarche de la norme CEI 62061, il peut tre
champ dapplication de la directive Machines 98/ 37/ CE, tels que ncessaire davoir recours, pour les parties concernes :
blocs logiques de scurit (commande bimanuelle, verrouillage de la norme EN 954-1 sil est ncessaire de mettre en uvre
protecteur, contrleur de rotation, arrt durgence...), automates des composants non lectriques et /ou des composants lectriques
programmables industriels ddis la scurit, barrages imma- logiques simples (par exemple un relayage) ;
triels, tapis sensibles, etc., la norme CEI 61508 sil est ncessaire de mettre en uvre
les composants ayant une fonction exclusivement logique, des composants lectriques logiques complexes. Ce cas ne devrait
tels que relais, transistors, microcontrleurs, etc. ; pas tre frquemment rencontr, car il se situe en dehors de la
le degr de complexit des composants lectriques. La logique de conception choisie (intgration de sous-systmes ). Il
figure 16 situe les composants couramment utiliss sur une correspond la ncessit pour le concepteur de dvelopper une
chelle subjective de complexit. partie de la logique laide de composants lectriques logiques
Lorganigramme de la figure 17 reprsente le questionnement complexes (partie qui ne serait pas disponible sur tagre ).
que doivent avoir les concepteurs pour dterminer le rfrentiel La ralisation dune fonction de scurit via la mise en uvre de
utiliser en fonction des choix de conception pour la ralisation de la composants lectriques complexes ne pourra se faire quen
fonction de scurit. utilisant la norme CEI 61508. Cette norme a t spcifiquement
La conception de tout ou partie dun systme de commande , dveloppe pour cet usage et contient toutes les prescriptions et
base exclusivement sur lintgration de composants de techno- mesures ncessaires pour mener bien la conception dun systme
logies non lectriques, ne soulve pas de question particulire. utilisant des composants lectriques complexes. Elle doit tre utili-
Seule la norme EN 954 est applicable. Ce cas est reprsentatif dune se lorsquau moins un des composants employs pour la ralisa-
logique de commande o seules des technologies hydrauliques ou tion est complexe. Cest notamment le cas pour la conception de
pneumatiques sont employes pour traiter les fonctions de scurit sous-systmes tels que les API ddis la scurit.
de la machine. On peut tout de mme noter que la rvision de cette Sil est ncessaire de mettre en uvre des composants
norme qui demande de quantifier les taux de dfaillance des lectriques logiques simples, alors le concepteur utilise pour les
composants (MTTFd ), la couverture des tests (DC) et les dpen- parties considres, et uniquement pour ces parties, la norme
dances entre composants (CCF) a pour effet de compliquer la EN 954-1.
tche des concepteurs, en particulier du fait de la difficult obtenir Dans le cas o la fonction de scurit est ralise essentiellement
des donnes chiffres issues de la thorie ou du retour dexprience par la mise en uvre de composants lectriques logiques simples,
pour certains composants comme par exemple les composants le concepteur se tourne vers la norme EN 954-1.
hydrauliques et pneumatiques. Remarque : dans le cas du logiciel, une telle utilisation des
La ralisation dune fonction de scurit en ayant recours priori- normes amnerait considrer la norme CEI 61508 (ou lannexe de
tairement lintgration de composants lectriques mis sur le mar- la norme CEI 62061 traitant de ce point) pour le logiciel embarqu et
ch est mene en utilisant la dmarche de la norme CEI 62061. la norme CEI 62061 pour le logiciel applicatif.
(0)
Tableau 4 Liens entre niveaux de performance PL

et niveaux dintgrit de scurit Relais Composant Composant Microcontrleur,
lectrovanne lectronique faiblement circuit spcifique
(daprs pr EN ISO 13849-1) discret : intgr : (ASIC)
diode TTL
Probabilit moyenne transistor CMOS, ...
Niveau
dune dfaillance SIL (CEI 61508-1) Porte logique
de performance
dangereuse par heure pour information standard
(PL)
(1/ h)
a 10 5 < 10 4 aucune prescription de Composants logiques simples Composants logiques complexes

scurit particulire
Le niveau de complexit du systme considr dpend aussi du nombre
b 3 10 6 < 10 5 1 de composants lectroniques mis en uvre dans ce systme.
Il faut traiter le cas d'une multitude de composants simples de la mme
c 10 6 < 3 10 6 1 faon qu'un composant complexe :
de l'ordre d'une dizaine de composants simples systme simple
plus d'une centaine de composants simples systme complexe
d 10 7 < 10 6 2
Figure 16 Composants ayant une fonction logique :
e 10 8 < 10 7 3
chelle de complexit (daprs [13])
Choix de conception
pour le traitement de la
fonction de scurit
Exclusivement
par mise en uvre et/ou oui Utilisation de la norme
intgration de composants EN 954-1
de technologies non comme rfrentiel
lectriques
non
Prioritairement par Utilisation de la norme Si en plus, mise + CEI 61508

oui oui
intgration de composants CEI 62061 en uvre de composants lectriques pour la partie
de scurit lectriques mis comme rfrentiel logiques complexes considre
sur le march
non
Si en plus, mise
en uvre de composants oui + EN 954-1
lectriques logiques simples pour la partie
non et/ou de composants considre
non lectriques
non
Par mise en uvre oui Utilisation de la norme Si en plus, mise oui + EN 954-1
de composants lectriques CEI 61508 en uvre de composants lectriques pour la partie
logiques complexes comme rfrentiel logiques simples* considre
non
non
Essentiellement
par mise en uvre de oui Utilisation de la norme
composants lectriques EN 954-1
logiques simples* comme rfrentiel
* en n'excluant pas la possibilit de mettre en uvre quelques composants de scurit mis sur le march
et de composants non lectriques Conception
Figure 17 Position de lINRS pour la dtermination du rfrentiel utiliser en fonction des choix de conception pour la ralisation
de la fonction de scurit (daprs [13])

Équipements de Travail: Sécurité Des Systèmes Programmés: Philippe CHARPENTIER

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Équipements de Travail: Sécurité Des Systèmes Programmés: Philippe CHARPENTIER

Uploaded by

Copyright:

Available Formats

quipements de travail :

scurit des systmes programms

par Philippe CHARPENTIER

1. Scurit intgre la conception des machines........................ S 8 270 - 2

e document sappuie largement sur ltat de la normalisation qui dsor-

Paralllement lvolution du progrs technique et de lindus- Systme

Nous rappelons ici ces notions et principes gnraux de pr-

Figure 1 Reprsentation schmatique dune machine

1.3.2 Classification des normes

Scurit des machines (CEN/TC 114)

Principes de Terminologie Rgles pour Autres Comits

Scurit des machines - Aspects lectroniques (CENELEC/TC 44 X)

Ergonomie (CEN/TC 122)

Bruit (CEN/TC 211)

Vibration (CEN/TC 231)

clairage (CEN/TC 169)

Figure 4 Acteurs et comits du CEN/Cenelec

Dans une premire tape, le concepteur dtermine les limites de

Figure 6 Processus itratif dapprciation du risque (daprs EN 1050)

Dtermination des limites Apprciation du risque effectu

Identification des phnomnes

chaque tape du processus itratif de rduction du risque,

Le risque Rduction du risque par

3. Prescriptions applicables 3.2 Prescription selon la norme

EN ISO 12100 Apprciation des risques

Spcifier les limites et l'utilisation prvue de la machine

Le risque a-t-il t rduit oui

se situant au niveau des mcanismes de dtection de dfauts. La

Tableau 3 Prescriptions probabilistes des catgories

requises dans toutes les conditions spcifies et dans une priode

Remarque : compte tenu de la diversit des dfaillances

Mise hors service 3.3.4 Processus de conception

3.3.4.2 Intgrit de scurit systmatique

Gestion de la scurit fonctionnelle

Fonction de scurit B Spcifier les prescriptions des

Allouer les blocs fonctionnels

Sous-systme 1 Sous-systme 2 Sous-systme 3 Crer l'architecture du SRECS

Figure 14 Dcomposition fonctionnelle (extrait de CEI 62061)

Dtermination du rfrentiel utiliser : proposition de lINRS

Tableau 4 Liens entre niveaux de performance PL

a 10 5 < 10 4 aucune prescription de Composants logiques simples Composants logiques complexes

Prioritairement par Utilisation de la norme Si en plus, mise + CEI 61508

You might also like