ISO 13849-1 Versus en 954-1 Fasc ELAN XFRX

Une nouvelle norme pour la scurit des machines:
EN ISO 13849-1:2006
Parties des systmes de commande relatives la scurit
Risque
faible
de
Niveau
nc e
a
per form
Lr
P
requis
a
P1
P1
P2
Hohe s
Risiko
Catgorie 3
1 2
F2
P1
P1
S2
P2
S1
F1
P2
P2
P1
F1
F2
P1
S1
S2
P2
P2
r t de
e d pa
Point d
e la
n
atio d
lestim
qu e
is
r
n du
o
ti
c
u
d
r
F2
F1
Miseur!
jo
Une nouvelle norme pour la scurit des machines: Wuppertal/Wettenberg, mars 2007
EN ISO 13849-1 Parties des systmes de commande relatives la scurit
Cher client ,
Cher client ,
Toute norme qui est ventuellement en contradiction/opposition avec lEN ISO 13849-1:2006
(cest--dire lEN 954-1:1997 ou lISO 138491:1999) doit tre retire au plus tard pour
novembre 2009.
Aprs de nombreux conflits et diffrends (

ce sujet, voir galement le MRL-News du
24.02.07, page 13 et suivants, Remplacement
de lEN 954-1: Le changement de paradigme,
un fait accompli!), le projet de norme Parties
des systmes de commande relatives la
scurit a t finalement accept. Ds lors,
il portera le nom EN ISO 13849-1:2006 ou DIN
EN 13849-1:2007-02.
Par contre, toutes les autres informations

reprises dans la brochure concernant larrireplan, lapplication et la transposition pratique
de la nouvelle norme sont toujours actuelles et
correctes.
Cordialement,
Suite la modification du planning pour lentre en vigueur, le tableau repris la page 46

de notre brochure (dition mars 2006) doit tre
adapt.
La priode transitoire de la nouvelle norme va
jusqu novembre 2009; jusqu ce moment-l,
son application est facultative et non-obligatoire.
Friedrich Adams
K.A. Schmersal Holding GmbH & Co. KG
A partir de quel moment faut-il appliquer la nouvelle EN ISO 13 849-1?

Y a-t-il des priodes transitoires?
Novembre 2009
Priode transitoire
Harmonisation
Adoption
Concertation
Version dfinitive
1ier trimestre 2007

Automne 2006
Et 2006
Moiti de 2006
Wuppertal/Wettenberg, au mois de mars 2006

Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
Cher client ,
Cher client ,
F2
Point de dpart de
lestimation de la
rduction du risque
P1
P1
P2
sadressant explicitement aux constructeurs

de machines et installations et se rapportant
exclusivement aux systmes lectriques/
lectroniques/lectroniques programmables
relatifs la scurit, est candidate pour le
remplacement de lEN 954-1.
F1
S2
F2
P2
P1
P2
Risque
lev
Cette brochure reprend une explication

dtaille du discours le plus important des
sminaires organiss par Elan en 2005, cest-dire le remplacement de la norme EN 954-1
et les nouvelles rgles et prescriptions de son
successeur, lEN ISO 13849-1. Le Groupe
Schmersal veut ainsi accentuer sa comptence en ce qui concerne la scurit des
machines.
En tant que fournisseur de dispositifs de commutation de scurit et systmes relatifs la
scurit pour la protection de lhomme, de la
machine et de linstallation, nous voulons fournir nos clients des informations essentielles
et nous profiler comme leur partenaire privilgi pour tous les aspects relatifs lutilisation
de composants de scurit et de commandes
de machines.
Cette brochure est un rsum du discours de
M. Thomas Bmer et M. Karl-Heinz Bllesbach, tous deux ingnieurs diplms et collaborateurs du Berufsgenossenschaftliches
Institut fr Arbeitsschutz BGIA*, St. Augustin.
Suite leurs activits pour le Dpartement de
llectronique de la spcialit Scurit des
Machines et Technologie de commande, ils
suivent le thme de trs prs.
Les images reprises dans cette brochure sont
bases sur la prsentation PowerPoint des
messieurs Bmer et Bllesbach; les droits
dauteur ventuels pour ces images sont donc
leur proprit exclusive.
Le BGIA ainsi que diffrentes autres organisations professionnelles se sont largement
engages dans llaboration de la norme de
succession, lEN ISO 13849-1, dans le but
doffrir leurs clients, cest--dire les entreprises petites et moyennes actives dans la
construction de machines et le dveloppement
de commandes de machine, des instructions
simples et substantielles pour la ralisation
future des parties de systmes de commande
relatives la scurit.
Lentre en vigueur de la EN ISO 13849-1 est
encore un point litigieux, suite la situation
exceptionnelle dans le monde des normes. En
plus de la EN ISO 13849-1, une autre norme,
IEC EN 62061 (base sur la IEC EN 61508)
La gamme de produits du Groupe Schmersal

rpond dj aux exigences et spcifications
des deux normes futures. Si vous avez des
questions ce sujet, nhsitez pas de nous
contacter.
Par souci de clart, nous avons divis le thme
EN ISO 13849-1: Une nouvelle norme pour la
scurit des machines en chapitres individuels, qui sont subdiviss en sections vous
choisissez donc vous-mme quel point vous
voulez approfondir votre connaissance de la
matire.
Nous vous prions de bien vouloir nous excuser
lutilisation des abrviations multiples ainsi que
des expressions anglaises, qui sont parfois
invitables suite labsence dune traduction
officielle en ce moment. Le glossaire (page
rabattable) essaie de contribuer la clart et
une meilleure comprhension du texte.
Malgr nos efforts de vous prsenter un
rsum clair et comprhensible, la complexit
du sujet a parfois contrecarr nos intentions.
Nous nous excusons si certains questions
restent ouvertes ou soulvent de nouvelles
questions.
En vous souhaitant bonne lecture, nous vous
prions dagrer nos meilleures salutations.
Heinz Schmersal
PDG
Friedrich Adams
* Linstitution professionnelle pour la scurit du
travail


Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
P2
F2
P1
P2
c
d
P1
P2
Risque
lev
Table des matires

Page
Introduction
Arguments pour le remplacement de lEN 954-1
Nouveau graphe pour lestimation des risques
Architectures dsignes
13
Valeurs MTTFd
15
Diagnostic Coverage (DC) Couverture du diagnostic
23
Common Cause Failure Management (CCF) Dfaillance(s) de cause commune
26
Exemple
27
Validation
32
SiSteMa
34
La EN ISO 13849-1 et les SRP/CS de complexit faible
36
Montage en srie des SRP/CS selon la EN ISO 13849-1
38
La EN ISO 13849-1 et le logiciel
40
La prEN ISO 13 849-1 vis--vis de lEN 62 061
43
Entre en vigueur de la EN ISO 13849-1
46
Foire aux questions
47
Perspective
49
Glossaire
51
Editeur
Elan Schaltelemente GmbH & Co. KG
Im Ostpark 2
35435 Wettenberg/Allemagne
Tlphone +49 (0)641 9848-0
Tlcopie +49 (0)641 9848-420
E-Mail: info-elan@schmersal.com
Internet: www.elan.de
Rdaction et mise en page

Friedrich Adams
c/o SCHMERSAL Holding GmbH & Co. KG
Mddinghofe 30
42279 Wuppertal/Allemagne
E-Mail: fadams@schmersal.com
Compilation
flick-werk Werbe-Grafik Heinz Flick,
35075 Gladenbach/Allemagne

Introduction
Le remplacement venir de la norme EN 95411 entranera des modifications pour lestimation du risque. Le constructeur des machines
devra sadapter. Dornavant, lapproche dterministe devra dbarrasser le plancher pour
lapproche probabiliste lors de la slection des
composants relatifs la scurit.
Deux nouvelles normes rivalisent pour la
succession de lEN 954-1: la EN ISO 1384912 dune part, qui est issue directement de
la rvision de lEN 954-1 et la IEC EN 620613
dautre part, une norme sectorielle sadressant
explicitement aux constructeurs de machines
et installations, qui est drive de la IEC EN
615084.
Contrairement lEN 954-1, qui se base
exclusivement sur lanalyse des structures
(approche dterministe), les nouvelles
normes exigent une analyse de la fiabilit et
de la probabilit de dfaillance de parties des
systmes de commande relatives la scurit
(approche probabiliste).
Dans lIEC EN 61 508 et lIEC EN 62061,
lapproche probabiliste se fait sentir davantage
plus profondment sous forme des calculs
mathmatiques de la probabilit et la modlisation.
Le comit technique ayant labor la EN ISO
13849-1 par contre a essay de fournir aux
utilisateurs moyens de la norme des prescriptions de scurit et des conseils pratiques
relatifs la conception et lvaluation des
parties des systmes de commande relatives
la scurit afin de trouver un quilibre dlicat
entre lapproche dterministe et probabiliste
(voir figure 1).
1) EN 954-1:1997-03: Scurit des machines Parties des systmes de commande relatives la scurit Partie 1: Principes gnraux de conception
(correspond lISO 13849-1:1999-11)
2) EN ISO 13849-1:2007-02: Scurit des machines
Parties des systmes de commande relatives la
scurit Partie 1: Principes gnraux de conception
3) IEC EN 62061:2005-10: Scurit des machines
Scurit fonctionnelle des systmes lectriques/
lectroniques/lectroniques programmables
4) IEC EN 61508:2002-11: Scurit fonctionnelle des
systmes lectriques/lectroniques/lectroniques
programmables
Partie 1: Prescriptions gnrales
Partie 2: Prescriptions pour les systmes lectriques/lectroniques/lectroniques
programmables relatifs la scurit
Partie 3: Prescriptions concernant les logiciels
Partie 4: Termes, dfinitions et abrviations
Partie 5: Exemples de mthodes de dtermination
des niveaux dintgrit de scurit (SIL,
Safety Integrity Level)
Partie 6: Lignes directrices pour lapplication de
lIEC 61508-2 et lIEC 61508-3
Partie 7: Prescriptions pour lapplication des processus et mesures
Source: Beuth Verlag GmbH, 10772 Berlin/Allemagne; www.beuth.de
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
EN ISO 13 849-1
EN 954-1:1996
IEC 61508:19982000
Approche dterministe
$SSURFKHSUREDELOLVWH
Mthodes prouves:
)RQFWLRQVGHVFXULW
*UDSKHSRXUOHVWLPDWLRQGHVULVTXHV
&DWJRULHV
Nouveaux concepts:
4XDQWLFDWLRQDELOLWGHV
FRPSRVDQWVHWTXDOLWGHVHVVDLV
'IDLOODQFHVGHFDXVHFRPPXQH
Figure 1: Tentative de rapprocher lapproche dterministe et lapproche probabiliste
Sans porter prjudice aux efforts du comit

de normalisation de la EN ISO 13849-1, on
pourrait considrer cette norme comme une
version light de la IEC EN 61508. Light
dans ce sens que la EN ISO 13849-1 essaie
de dfendre les intrts de la majorit de ses
clients concerns, cest--dire les petits et
moyens constructeurs de machines et commandes en admettant des simplifications et
gnralisations adaptes au groupe cible, qui
sont justifiables au niveau de la technologie de
scurit.
Cette mesure est clairement implmente
dans le but de rduire considrablement les
frais supplmentaires ainsi que les efforts
quentrane lapproche probabiliste.
Justification pour la rvision

de lEN 954-1
La rvision de lEN 954-1 nest donc pas inspire par les accidents de travail aux machines
tant imputables aux imperfections et aux
lacunes de lEN 954-1.
Ceci ne signifie toutefois pas que lEN 954-1
ntait pas susceptible de critique ou damlioration.
La question qui simpose concerne plutt la
ncessite dun remplacement linaire compatible sans plus.
Pour les systmes de commande universels

hautement complexes, par exemple les API
de scurit ou les quipements de protection
lectro-sensibles, lapplication dautres normes, p.ex. la IEC EN 61508 peut tre approprie.

Lexactitude de lapproche et des exigences de

lEN 954-1 tait souvent critique par lAllemagne et par les autres tats-membres de la
Communaut Europenne.
Du point de vue thorique, la critique est
essentiellement inspire par le fait que lEN
954-1 offre seulement des mesures pour
rduire le risque, qui aboutissent au mme
risque rsiduel1 pour toutes les catgories.
En thorie, le risque auquel loprateur est
expos, reste donc toujours identique, peu
estim que la SRP/CS2 rponde aux exigences de la catgorie 1, 2, 3 ou 4 et que le
risque comporte une blessure lgre (rversible) ou srieuse (irrversible).
Les critiques exigent en outre quun risque
suprieur entrane des mesures supplmentaires pour rduire le risque rsiduel.
Deuximement, les exigences de lEN 954-1
tiennent trop peu compte de la complexit
accrue de lautomatisation industrielle. En
cas dune chane de machines de production
par exemple, lEN 954-1 ignore le fait que
la SRP/CS est intgre dans une machine
individuelle, une installation complexe ou un
systme de production intgr. Autrement
dit: au plus leve la complexit > au
plus grand le risque rsiduel > au plus
lev le nombre de mesures supplmentaires requises pour matriser le risque
rsiduel!
Il est incontestable que la complexit dune
SRP/CS est considre trop peu.
Une chose est certaine: lEN 954-1 ne correspond plus ltat actuel de la technologie,
surtout parce quelle ne prvoit pas dexigences pour les systmes hautement complexes
avec fonction de scurit, bien quelle ne les
exclue pas forcment.
Nous reprenons cette liste (non exhaustive) de
points de critique dans le seul but de faciliter la
comprhension du contexte ayant ncessit la
rvision de lEN 954-1, sans devoir approfondir
le thme (voir galement figure 2).
Nouveau graphe pour lestimation

des risques
Thorie
Le diagramme de slection des catgories,
le graphe pour lestimation du risque, est
toujours prsent dans la prEN ISO 13849-1
(voir figure 3), mais son rsultat nindique plus
une catgorie, mais un niveau de performance
(Performance Level (PL)). La norme prcise les diffrents paramtres qui permettent
dobtenir ce niveau de performance, tels que
la fiabilit du matriel (par exemple le MTTF),
la structure du systme et la surveillance, par
exemple la DC (couverture du diagnostic), les
Critique:
0DOJUOLQWJUDWLRQGHV\VWPHVOHFWUR
QLTXHVSURJUDPPDEOHVFRPSOH[HVDEVHQFH
GH[LJHQFHVGWDLOOHV
,QVXIVDPPHQWGH[LJHQFHVSRXUODFRQVLG
UDWLRQGHVWDX[GHDELOLW
/H[FOXVLRQGHGIDXWVGDQVODFDWJRULH
DERXWLWODEVHQFHGXQHKLUDUFKLHSRXU
OHVWLPDWLRQGHODUGXFWLRQGXULVTXH
*UDSKHSRXUOHVWLPDWLRQGXULVTXHSDVGH
UDSSRUWGLUHFWHQWUHODUGXFWLRQGXULVTXHHW
ODFDWJRULHODFRPSOH[LWHVWQJOLJH
Figure 2: Quelques points de critique sur la

norme existante EN 954-1
1) Voir galement CR 954-100: Lignes directrices pour lemploi et

lapplication de lEN 954-1
2) ATTENTION! A partir de ce point, les parties des systmes de
commande relatives la scurit sont dsignes par labrviation SRP/CS, par analogie avec leur nom anglais Safety
Related Part of a Control System!
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
Risque
faible
Niveau de
performance
requis PLr
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
Figure 3: Rduction du risque requise et niveau de performance: S = gravit de la blessure;

F = frquence et/ou dure dexposition au phnomne dangereux, P = possibilits dvitement du
phnomne dangereux
CCF (dfaillances de cause commune) et la

catgorie, ainsi que les aspects qualitatifs non
quantifiables affectant le comportement de la
SRP/CS, par exemple la dfaillance systmatique.
Le niveau de performance est dtermin
laide des paramtres S (gravit de la blessure),
F (frquence et dure dexposition au phnomne dangereux) et P (possibilit dviter le
phnomne dangereux). Cette mthode est
identique celle de lEN 954-1. Un niveau de
performance allant de a (plus faible) e
(plus lev) est ainsi obtenu.
Le niveau de performance PL reprsente laptitude de parties relatives la scurit raliser
une fonction de scurit dans des conditions
prvisibles (quil convient de prendre en considration) pour atteindre la rduction du risque
attendue; les niveaux de performance sont
donc dfinis (en tant que grandeurs discrtes)
en termes de probabilit de dfaillance dangereuse du systme.
Application
La probabilit de dfaillance dangereuse du
systme, reprsente par la valeur PFHd1 (voir
galement figure 4) dpend de plusieurs facteurs, tels que la structure du systme, ltendue de la dtection des dfauts (la couverture
du diagnostic, DC), la fiabilit des composants (temps moyen avant dfaillance dangereuse, MTTFd), les dfaillances de cause
commune (CCF), le processus de conception,
la contrainte de fonctionnement, les conditions
environnementales et les modes de fonctionnement.
Cette approche probabiliste est la modification
la plus marquante de la prEN ISO 13849-1.
Les classifications du niveau de performance
PL se rapportent directement aux niveaux
dintgrit de scurit (Safety Integrity Levels (SILs)) de la IEC EN 61508 et permettent
de rfrer aux catgories de lEN 954-1; par
exemple: catgorie 1 correspond (mais nest
pas lquivalent de) PL b, catgorie 2 PL
c etc.
1) PFH = Probability of Failure per Hour: probabilit de
dfaillance par heure

Probabilit de dfaillance dangereuse par heure

EN ISO 13 849-1
10 4
PL
10 5
3 x 10 5
Risques faibles
10 6
10 8
10 7
Risques levs
Figure 4: Dfinition du niveau de performance PL comme facteur de fiabilit relatif la scurit
Application
Le concepteur doit dfinir les fonctions de
scurit qui sont ncessaires pour raliser
les mesures de scurit requises du systme
de commande pour lapplication considre, par exemple, la fonction darrt, la mise
en marche et la remise en marche ou une
fonction oprationnelle. Pour chaque fonction de scurit slectionne, un niveau de
performance requis PLr (r = required)
doit tre dtermin et document. Celui-ci
rsulte de lapprciation du risque rapporte

la proportion de la rduction du risque qui
est ralise par les SRP/CS1.
La dtermination du niveau de performance
PL est une apprciation de larchitecture globale des SRP/CS excutant la (les) fonction(s)
de scurit, qui sont subdiviss en soussystmes tels que les capteurs (dtection), la
logique (le traitement) et les actionneurs (la
commutation).
La (les) fonction(s) de scurit est (sont) excute(s) par les parties dune commande relatives
la scurit (SRP/CS)
Capteur
Logique
$FWLRQQHXU
Dtection
Traitement
Commutation
Reprsentation conformment la norme:

SRP/CS
iab
SRP/CS
ilx
SRP/CS
Figure 5: Fonctions de scurit et SRP/CS
1) La norme fait une distinction systmatique entre le

PLr et le PL. PLr reprsente le niveau de performance
requis (en fait la valeur cible ou dsire) rsultant de
lapprciation du risque. Le PL est le rsultat de lanalyse de la rduction du risque (en fait la valeur relle).
10
PL
Exemples pour la construction des

machines :
$UUWVUORXYHUWXUHGHVSURWHFWHXUV
5GXFWLRQVUHGHODYLWHVVHSHQGDQWOH
rglage
Les d
faillan
c e s sy
socie
s tma
s de fa
tiques
on d
cause
sont a
termin
s, ne p
siste
o u va n
une m
c
er tain
t t r e
odifica
es
li
m
tion de
ines
p r oc e s
q u e pa
la con
sus de
r
c
e
ption o
fabrica
dexplo
u du
tion, d
itation
e
s p r oc
, de la
dautre
d u r es
d oc u m
s f ac te
entatio
urs ap
n ou
propri
Lanne
xe G fo
s.
urnit d
es me
Utilis
s u r e s:
ation d
e la d
voir EN
s
a
c
ti
v
ation
ISO 13
nergti
849-2
Matr
que,
ise ou
viteme
ne me n
nt d e s
t physiq
ef fets d
ue
Me su
e lenvir
res info
on r
matiqu
s qu e n
es: sur
c e de p
v
e
il
lance d
ro g r a m
conten
e la
m a p ou
a nt u n
r les SR
logicie
Matr
l
P/CS
ise des
ef fets d
ef fets r
e s e r re
sultan
ur s et d
t de to
munica
autres
u t p ro c
tion de
e
s su s d
donn e
e c om s
Figure
7: Elim
iner et
systm
matris
atiques
er les d
faillan
ces
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
P1
P2
Risque
lev
Nouveaux aspects pour lapprciation

Suite la combinaison de lapproche dterministe et probabiliste, le PL des SRP/CS dpend
de plusieurs aspects (voir figure 6), comprenant par exemple:
1. La catgorie (plus ou moins), pour laquelle la
norme prescrit des architectures dsignes
qui comportent une approche simplifie
pour la quantification des valeurs calcules;
2. La fiabilit du matriel (niveau de fiabilit des
composants permettant dviter les dfauts,
le MTTFd (Mean Time to dangerous
Failure temps moyen avant dfaillance
dangereuse);
3. La couverture du diagnostic (DC);
4. Les mesures pour viter les dfaillances de
cause commune (Common Cause Failure
ou CCF).
La norme y ajoute encore les mesures pour
viter les dfaillances systmatiques, une exigence qui doit dj tre prise en compte. Ces
mesures sont discutes dans lannexe G de la
EN ISO 13 849-1. La norme fait une distinction
entre les dfaillances alatoires (voir MTTFd) et
les dfaillances systmatiques (voir figure 7).
idem
EN 954-1:
1997
Catgories
(redondance,
essai)
CCF
partir de
catgorie 2
Application
Le concepteur doit dfinir les fonctions de
scurit qui sont ncessaires pour raliser
les mesures de scurit requises du systme
de commande pour lapplication considre, par exemple, la fonction darrt, la mise
en marche et la remise en marche ou une
fonction oprationnelle. Pour chaque fonction de scurit slectionne, un niveau de
performance requis PLr (r = required)
doit tre dtermin et document. Celui-ci
rsulte de lapprciation du risque rapporte
la proportion de la rduction du risque qui
est ralise par les SRP/CS.
La dtermination du niveau de performance
PL est une apprciation de larchitecture globale des SRP/CS excutant la (les) fonction(s)
de scurit, qui sont subdiviss en soussystmes tels que les capteurs (dtection), la
logique (le traitement) et les actionneurs (la
commutation) (voir figure 5)
MTTFd
(qualit des
composants)
DC
(qualit
dessai)
en fonction de
la catgorie
partir de
catgorie 2
Figure 6: Extension de la notion catgorie
11
Niveau de performance

a
b
c
d
e
MTTFd = faible
MTTFd = moyen
MTTFd = lev
Catgorie Catgorie Catgorie Catgorie Catgorie Catgorie Catgorie
B
1
2
2
3
3
4
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
0
0
faible
moyen
faible
moyen
lev
Figure 8: Mthode simplifie pour la dtermination du niveau de performance PL
Un niveau de performance
au lieu dune catgorie
Les rsultats de lestimation des valeurs de fiabilit (cest--dire lvaluation des architectures
dsignes, du MTTFd, de la DC et des CCF) sont
copis ensuite dans un diagramme pour dterminer le niveau de performance (voir figure 8).
on a plusieurs possibilits pour la conception,

par exemple: pour un niveau de performance
d une structure selon la catgorie 2, avec un
MTTFd lev et une DC moyenne. A partir
de la catgorie 2, il faut toujours tenir compte
des CCF.
Suite la dlimitation imprcise des zones
limites des diffrentes niveaux de performance
dans le diagramme, lutilisation dune mthode
simplifie est admise (la norme reprend cet
effet un tableau au lieu dune graphique, voir
figure 9.
Si on veut obtenir un niveau de performance

c ou d pour la rduction du risque requise,
Ici se termine la brve description des grandes

lignes de la prEN ISO 13849-1.
Ceci signifie que le niveau de performance e

exige une structure correspondant la catgorie 4, avec le MTTFd dun canal lev et une
DC lev (pour explication de DCavg: voir plus
loin).
a
b
c
d
e
MTTFd = faible
MTTFd = moyen
MTTFd = lev
1) In der Systematik der Norm wird zwischen PLr und

PL unterschieden. PLr steht dabei fr den aufgrund
der Risikobetrachtung bentigten Performance Level
(praktisch eine Soll-Ermittlung). PL ist dann das bewertete Ergebnis (praktisch die Ist-Ermittlung).

B
1
2
2
3
3
4
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
0
0
faible
moyen
faible
moyen
lev
Figure 9: Niveau de performance PL: Dtermination alternative laide du tableau
12
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
Architectures dsignes
Excution
La figure 10 reprend les architectures dsignes applicables dans la EN ISO 13849-1.
Thorie
La EN 13 849-1 utilise toujours les anciennes catgories de lEN 954-1 pour classifier les parties dun systme de commande
relatives la scurit selon leur rsistance aux
dfauts et leur comportement conscutif des
dfauts. Elle prvoit toutefois lutilisation darchitectures dsignes pour les catgories, des
architectures types qui remplissent les prescriptions des catgories correspondantes. La
contribution la rduction du risque apporte
par ces structures a t dfinie pralablement
laide des modles de Markov (cf. IEC EN
61508). Lutilisateur de la EN ISO 13 849-1 ne
doit donc plus effectuer des calculs mathmatiques complexes.
Application
Lutilisation des architectures dsignes est
un lment de lapproche simplifie de la EN
ISO 13894-1. Toutefois, certaines questions
restent sans rponse bien quelles restent
galement sans rponse pour linterprtation
de lEN 954-1.
Prenons par exemple lexcution 2 canaux
des capteurs et actionneurs dans les catgories 3 et 4: faut-il prvoir deux capteurs ou actionneurs par exemple pour la surveillance de
position dun protecteur mobile? Et quest-ce
quil faut faire exactement si on veut scarter
des architectures dsignes?
Signal
dentre
La prise en compte de larchitecture dsigne

dune SRP/CS brode sur lapproche dterministe de lEN 954-1, mais elle nest quun des
nombreux aspects du niveau de performance
PL.
O possibilits:
L
Il y a de nombreuses
Surveillance
Signal
dentre
TE
Signal de
sortie
L
Surveillance
Surveillance
Surveillance
OTE
L1
Signal
de sortie
O1
I1
Signal
dentre
L1
Cross
Surveillance
coupure
Monitoring
Cross
rveillance
I1
OTE
I1
Signal
dentre
Surveillance
Monitoring
L1
I2
Signal
dentre
L2
Signal
de sortie
O1
Monitoring
Signal
de sortie
O2
2ime
ou voie
dindication
Signal
dentre
2ime
voie de
coupure
ou voie
dindication
Figure 10: Introduction

aux architectures dsignes
voie de
TE
Surveillance
Signal de
sortie
Surveillance
OTE
ou voie
dindication
Surveillance
Signal
dentre
2
voie de
coupure
Catgorie 3 et 4:
Surveillance
TE
Catgorie 2:
Signal de
sortie
Surveillance
Signal
dentre
dentre
Signal de
sortie
Cross
Surveillance
Catgorie B et 1:
Une premire possibilit se base sur la

norme C (norme de produit) qui reprend des
Surveillance
Surveillance Un
propositions concrtes
pour lexcution.
simple interrupteur deSignal
scurit Signal
2 canaux
de
sortiede polectriques suffit pourdentre
la surveillance
I
O
L
sition de protecteurs mobiles aux machines
dimpression.
ime
En fait, les architectures dsignes sont les

structures de SRP/CS connues et prouves
qui sont utilises depuis des annes pour les
diffrentes catgories de lEN 954-1. La catgorie 2 est cependant une exception.
Signal
Signal de
sortie
I2
Signal
dentre
L2
Monitoring
Signal
de sortie
O1
Monitoring
Signal
de sortie
O2
13

Une deuxime possibilit consiste lutilisation de lexclusion de dfauts (voir figure

11). Laptitude rsister aux dfauts doit tre
value. Exceptionnellement, dans quelques
composants, certains dfauts peuvent tre exclus au cours de la dure de vie des SRP/CS.
Dans ces circonstances, la prise en considration de tels dfauts dans les catgories nest
pas ncessaire. Si des dfauts sont exclus,
une justification dtaille doit tre fournie dans
la documentation.
Les annexes A D de lEN ISO 13 849-2
(lancienne EN 954-2) reprennent des listes
numrant les dfauts et dfaillances importants pour les diverses technologies. Les
listes des dfauts ne sont pas limitatives et, si
ncessaire, il convient de prendre en compte
et dnumrer des dfauts supplmentaires
sous lapplication stricte du paragraphe 3.3
de lEN ISO 13 849-2. Dans ce cas, il convient
galement de dtailler clairement la mthode
dvaluation utilise.
Quand puis-je exclure des dfauts?

Pour lvaluation dune SRP/CS, il convient
parfois de prendre en compte lexclusion
de certains dfauts. Pour plus de dtails
relatifs lexclusion de dfauts, nous rfrons lEN ISO 13 849-2.
Les dfauts peuvent tre exclus sur base
de:
limprobabilit technique de loccurrence
dun dfaut
lexprience technique gnralement
accepte, indpendamment de lapplication
des exigences techniques de lapplication et des risques et phnomnes
dangereux spciaux
Si des dfauts sont exclus, une justification dtaille doit tre fournie dans la
documentation.
Figure 11: Exclusion de dfauts
14
Faut-il imprativement utiliser les architectures dsignes?

4.5.1 Il existe plusieurs mthodes pour
calculer le niveau de performance PL,
par exemple la modlisation par graphes
de Markov, les rseaux de Ptri Stochastiques Gnraliss (GSPN), les blocs
diagrammes de fiabilit [voir par exemple
la srie EN 61508 (IEC 61 508)].
Pour faciliter lvaluation des aspects
quantitatifs du niveau de performance
PL, cette norme dcrit une procdure
simplifie pour calculer le PL, limite
cinq architectures dsignes, remplissant
des critres de conception spciaux ainsi
quun comportement spcifique en cas
dun dfaut).
Figure 12: Pas de rgle sans exception
Une troisime possibilit consiste labandon des simplifications de la EN ISO 13849-1

et lutilisation de la modlisation par graphes
de Markov, les rseaux de Petri Stochastiques
Gnraliss (GSPN) ou les blocs diagrammes
de fiabilit (voir figure 12).
ATTENTION! Lemploi des architectures
dsignes pour la catgorie 2
La structure recommande pour la catgorie
2 fait exception aux architectures dsignes
gnralement connues.
Les SPR/CS de catgorie 2 ralises en canal
unique doivent tre conues de sorte que
leurs fonctions soient contrles intervalles
convenables (100 fois suprieurs la sollicitation prvue de la fonction de scurit) par
le systme de commande de la machine; de
plus, il faut prvoir une deuxime sortie (voir
figure 13 la page 15).
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Signal
dentre
Risque
lev
Signal de
sortie
Catgorie 2:
Surveillance
Signal de
sortie
L
Surveillance
Surveillance
Surveillance
Signal
dentre
TE
2ime
voie de
coupure
OTE
ou voie
dindication
Figure 13: Nouvelles exigences pour la catMoniSignal

gorie 2
toring
dentre
L1
Cross
Surveillance
I1
Signal
de sortie
O1
En principe, cette architecture dsigne peut

Monitre considre comme une
version light de
toring
la catgorie 3.I2Nous vous
de
O2
L2 recommandons
Signal
Signal
vrifier la conformit
SRP/CS de catdentrede vos
de sortie
gorie 2 aux exigences futures.
Valeurs MTTFd
Thorie
Lors du calcul des valeurs MTTFd dans le
contexte de la EN ISO 13849-1, il faut se
rendre compte que les SRP/CS prsentent
toujours un pourcentage de risques rsiduels
affectant la fonction de scurit (notamment
les dfaillances dangereuses alatoires
probables). Il faut donc matriser ces risques
rsiduels, cest--dire les rduire un taux
acceptable.
Un contact de commutation ne peut pas ouvrir
ou fermer par exemple. Limpossibilit douverture gnralement cre une situation dangereuse dans la commande de la machine en cas
dabsence dun systme redondant ou dune
surveillance approprie. Tous les contacts ne
sont cependant pas identiques: il y a des diffrences qualitatives, telles que la conception, le
matriel utilis, etc.
Ces diffrences qualitatives peuvent affecter

la probabilit des dfaillances alatoires.
La valeur MTTFd est donc une dfinition de la
qualit de la fiabilit relative la scurit des
composants et systmes de scurit utiliss
dans une SRP/CS.
MTTFd est une valeur moyenne statistique
exprimant la dure de fonctionnement avant
dfaillance en annes (= MTTF, Mean Time To
Dangerous Failure). Une dfaillance est dfinie
comme la cessation de laptitude dune entit
accomplir une fonction requise. Les dfaillances naffectant que la disponibilit du processus command ne sont pas couvertes par le
domaine dapplication de la EN ISO 13849-1.
Puisque chaque dfaillance naffecte pas la scurit, la valeur MTTFd est toujours > la valeur
MTTF. La valeur est exprime en annes (= y).
La valeur MTTFd est toujours la valeur rciproque de la valeur PFHd et vice versa. Une valeur
MTTFd de 10 annes est par exemple lquivalent dune valeur PFHd de 1,14 10 5 (1/10
8.760). Il est fondamental pour lapplication de
la norme EN ISO 13849-1 que MTTFd soit pris
en compte pour chaque canal1 dune SRP/CS.
Les calculs des valeurs MTTF ou MTTFd
partent toujours dune rpartition exponentielle des dfaillances alatoires, cest--dire
quaprs lexpiration du MTTF ou MTTFd, une
dfaillance (dangereuse) est survenue 63%
de toutes les units ou, autrement dit: la probabilit de survie des units concernes aprs
lexpiration du MTTF ou MTTFd est de 37%
seulement (voir figures 14 et 15).
1) Les valeurs PFH calcules selon la IEC EN 61508

peuvent tre utilises pour les calculs selon EN ISO 13
849-1 pourvu que les indications relatives au niveau
dintgrit de scurit (SIL) soient prises en compte.
Ceci est une mthode de calcul fort simplifie, surtout
pour les structures 2 canaux, mais elle vite une
prsentation trop favorable des choses.
15

Annes
Distribution de la abilit des units

de trois collectifs
Intacte
60
annes
18
annes
72%
28%
37%
63%
90%
10%
Dfaillance
MTBF = 6 annes
MTBF = 18 annes
MTBF = 60 annes
Figure 14: Reprsentation concrte dune dure de mission moyenne, reprenant trois collectifs avec
diffrents niveaux de fiabilit. Leurs units (reprsentes par les points) prsentent des dfaillances
des moments alatoires. Les moments des dfaillances sont indiqus par les coordonnes verticales.
Les dfaillances sont rparties sur une priode assez longue, par exemple certaines units individuelles
du premier collectif ont une dure de vie de 18 ans, lorsque dautres prsentent une dfaillance aprs
un an. Aprs 6 ans, une dfaillance est survenue 63% des units. (Source: introduction aux mthodes
pour lanalyse de fiabilit, SIEMENS AG, I&S IS ICS IT2).
Autrement dit:
Dfaillances dangereuses [%]
100%
inacceptable
80%
MTTFd = 3 y
MTTFd = 10 y
MTTFd = 30 y
MTTFd = 100 y
faible
60%
moyen
40%
lev
20%
inacceptable
0%
10
15
Temps [annes]
Figure 15: Que signifie MTTFd spcifiquement?
16
20
25
30
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
ATTENTION! Les composants sensibles

lusure, qui ont une dure de mission diffrente, sont exclus de cette supposition de rpartition exponentielle typique des composants
lectriques. La EN ISO 13849-1 considre ce
type de composants via la grandeur intermdiaire qui rsulte du calcul de la valeur B10d.
Ces valeurs doivent galement tre fournies

pour les composants, appareils et dispositifs
qui, dans le sens stricte de la Directive Europenne Machines sont plutt des produits
dits dual use, cest--dire des composants
et dispositifs prvus pour des applications
relatives la scurit et ordinaires.
Ausfhrung
Dans le contexte de la EN ISO 13849-1, les
calculs du MTTFd et de la PFH doivent tre diffrentis en fonction quils sont utiliss pour:
ATTENTION! Si une exclusion de dfaut est

formule pour un composant, il faudra prendre
la valeur MTTFd gale dans la formule (voir
ci-aprs).
un composant de scurit
ou
un canal dune SRP/CS
ou
une SRP/CS complte
Application: MTTFd pour un canal

Dans ce cas, lutilisateur doit se servir dune
formule pour estimer le MTTFd de chaque
canal individuellement selon la mthode
de comptage des parties ou parts count
method. Ce calcul utilise les valeurs MTTFd
de chacun des composants isols appartenant au canal correspondant voir galement
lexemple de calcul la page 18.
Cette diffrentiation est seulement rationnelle

si la plupart des utilisateurs de la EN ISO
13849-1 achtent ses composants et autres
systmes relatifs la scurit pour les intgrer
dans une SRP/CS.
Les utilisateurs de la EN ISO 13849-1 qui achtent des composants de scurit tous faits,
par exemple auprs de socits telles que le
Groupe Schmersal, seront privilgis lavenir,
car les fabricants de composants de scurit
indiqueront bientt les valeurs requises selon
la EN ISO 13849-1 dans les fiches techniques
de leurs produits.
Il est vident que les fabricants de composants
de scurit prennent en compte les exigences de la norme aussi vite que possible pour
anticiper la nouvelle situation (voir galement
le paragraphe Entre en vigueur de la EN ISO
13849-1).
1
=
MTTFd
i=1
1
MTTFd i
Figure 16: MTTFd dun canal (selon la mthode de comptage des parties, parts count
method)
Ensuite, il doit comparer le rsultat aux valeurs reprises dans le tableau (figure 17) pour
connatre la qualit relative la scurit dun
canal de la SRP/CS.
17

Description de la qualit Valeur MTTFd

bas
3 annes MTTFd < 10 annes
moyen
10 annes MTTFd < 30 annes
lev
30 annes MTTFd 100 annes
MTTFd est une valeur moyenne statistique et non pas une dure de mission garantie!
Figure 17: MTTFd Valeur moyenne pour la dure de fonctionnement avant dfaillance dans un canal
du systme de commande
Exemple de calcul
j
Component
1/MTTFd,j
nj/MTTFd,j
Units MTTFd,j
(nj)
worst case worst case worst case
[y]
[1/y]
[1/y]
Transistors, bipolaires, puissance faible
1142
0,000876
0,001752
Rsistance, film de carbone
11416
0,000088
0,000438
Condensateur, standard, absence de

puissance
5708
0,000175
0,000701
Relais (donnes provenant du fabricant)
1256
0,000796
0,003185
Contacteur
32
0,031250
0,031250
0,037325
(nj/MTTFd,j)
MTTFd = 1/(nj/MTTFd,j)
[y]
26,79
Cet exemple donne un MTTFd de 26,8 ans, qui correspond un indice moyen selon la figure 17.
Dans cet exemple, le contacteur est le composant ayant la plus grande influence. Le rsultat est
gnralement bien meilleur, cest--dire que le MTTFd est plus lev.
Il faut toujours tenir compte des rgles

suivantes:
Les valeurs MTTFd sappliquent toujours un
canal, quelle que soit larchitecture dsigne
(1 canal ou 2 canaux), sauf si les canaux ont
une structure diversitaire. Dans ce cas-ci, il
faut utiliser une formule de symtrisation (voir
figure 18).
Selon la Directive Europenne Machines,
le constructeur des machines ou la personne
commercialisant la machine doit (faire) calculer la valeur MTTFd pour un canal.
18
ATTENTION! Si le calcul pour un canal

produit plusieurs valeurs MTTFd >100 ans,
lexcs (le chiffre suprieur 100) nest pas
considr, puisque la valeur MTTFd maximale dun canal dune SRP/CS est limite
100 ans (contrairement un composant
[de scurit] isol qui peut obtenir un score
suprieur). En dfinissant cette limite 100
ans, le comit de normalisation veut viter une reprsentation trop favorable des
valeurs MTTFd pour obtenir un niveau de
performance suprieur. Cette procdure
vite galement lutilisation des mthodes de
calcul autorisant lutilisation des structures
1 canal dans une situation o des structures
2 canaux sont exiges.
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
Les architectures dsignes admettent que les valeurs MTTFd de diffrents canaux dans
une partie SRP/CS redondante sont les mmes.
Formule de symtrisation en cas de valeurs MTTFd diffrentes:
MTTFd =
2
3
MTTFd C1 + MTTFd C2
1
1
1
+
MTTFd C1 MTTFd C2
Exemple: MTTFd C1 = 3 ans, MTTFd C3 = 100 ans, il en rsulte donc un MTTFd de 66 ans
Figure 18: Symtrisation de MTTFd pour diffrents canaux
ATTENTION! La combinaison des composants isols relatifs la scurit dune SRP/

CS prsuppose que:
lapplication se fait avec lobservation
stricte des remarques et instructions ventuelles reprises dans les manuels dutilisateur et
des exclusions de dfauts supplmentaires
selon lISO 13849-2 sont garanties surtout au niveau du cblage
Les exigences spciales de la EN ISO 138491 (voir paragraphe 4.6) sont applicables au
logiciel ventuellement utilis
Si deux canaux dune SRP/CS ont une structure diversitaire, il faut appliquer la formule
de symtrisation (voir figure 18).
Remarques
Les fabricants offrant des composants
ou dispositifs isols pour une SRP/CS qui
doivent rpondre aux exigences de lIEC
EN 61508 (ou IEC EN 62061), sont obligs
dindiquer une valeur lambda (l). Dans le
contexte de la EN ISO 13849-1, cette valeur
est quivalente la valeur PFHd.
Sil faut naviguer entre les deux mondes
de la EN ISO 13849-1 et lIEC EN 61508
(ou IEC EN 62061) pour les composants de
scurit et les dispositifs relatifs la scurit
(voir galement page 44), il est recommand
dutiliser le niveau de performance PL ou le
niveau dintgrit de scurit SIL.
Si la valeur MTTF est disponible au lieu de

la valeur MTTFd, il est admis de redoubler la
valeur MTTF pour obtenir une valeur MTTFd,
condition que lquilibre entre les dfaillances dangereuses et non dangereuses soient
plus ou moins maintenu. En cas de doute, la
EN ISO 13849-1 recommande de considrer
seulement une portion (proposition: 10%)
dans le calcul.
Si seule la valeur MTBF (Mean Time Between
Failure, la moyenne des temps de bon fonctionnement) est disponible, il est admis que
celle-ci soit traite comme une valeur MTTF,
pour simplifier les choses.
Application: calcul du MTTFd pour un composant isol relatif la scurit
Cet exemple soriente aux personnes construisant des composants relatifs la scurit, des
systmes de commande et des produits dual
use pour leur propre usage. Elles doivent
dcomposer lquipement relatif la scurit
en composants fonctionnels isols et calculer
la valeur MTTFd au moyen de la mthode de
comptage des parties.
Dans ce cas-ci, la EN ISO 13849-1 fournit
galement des outils pour le cas o les valeurs
MTTF ou MTTFd ne sont pas disponibles.
Lannexe C de la norme reprend des tableaux
indiquant des valeurs moyennes types du
MTTFd pour des composants lectriques et
lectroniques isols (voir figure 19). Autres
ouvrages de rfrence: la norme SN 29500 ou
les manuels MIL.
19

Les tableaux C.2 C.7 reprennent des valeurs moyennes types du MTTFd pour les composants lectriques de la SN 29 500, par exemple
Composant
Exemple
MTTF [y]
composant
MTTFd
type [y]
MTTFd [y]
cas le plus
dfavorable
Dfaillances dangereuses
Transistor bipolaire
TO18, TO92,
SOT23
34.247
68.493
6.849
50%
15.981
31.963
3.196
50%
KS, KP, MKT, 57.078

MKC
114.155
11.416
50%
Diode antiparasite
Condensateur
Rsistance, film de carbone
Coupleur optolectronique
avec sortie bipolaire
SFH 610
114.155
228.311
22.831
50%
7.648
14.840
1.484
50%
Figure 19: MTTFd pour composants lectriques (extrait/exemples)

La EN ISO 13849-1 prte une attention particulire aux composants sensibles lusure
dune SRP/CS, puisque le taux de demande
(cest--dire la frquence de sollicitation dune
action relative la scurit dune SRP/CS) a
une influence dcisive sur leur valeur MTTFd.
Une valeur MTTFd directe est exclusivement
disponible pour les composants lectroniques
et les dispositifs relatifs la scurit, tant
donn que la courbe en U sert de rfrence
pour indiquer les dfaillances indpendantes
de lusure. Le ct gauche (mot-cl: dfaillances prcoces) de la courbe en U nest pas pris
en compte, puisque le fabricant peut prendre
des mesures appropries pour exclure des
dfaillances prcoces, par exemple le vieillissement artificiel. Le ct droit est galement
exclu puisque celui-ci dpasse largement la
dure de mission effective.
Valeurs B10d
Pour le calcul de la valeur MTTFd de composants sensibles lusure, tels que les composants mcaniques, lectromcaniques ou
fluidiques, il faut utiliser une grandeur intermdiaire, la valeur dite B10d. Celle-ci correspond
plus ou moins au nombre de manuvres,
pour lequel la fonction relative la scurit est
considre comme acceptable selon lapproche Weilbull.
20
La valeur B10d est convertie en valeur MTTFd en

tenant compte des conditions de lapplication,
cest--dire la dure de service et la frquence
moyenne de sollicitation de la fonction de scurit du composant concern (voir figure 20).
Le fabricant fournit la valeur B10d pour

le composant (reprsente par les
manuvres et dans laquelle 10% des
prototypes tests prsentent statistiquement une dfaillance dangereuse).
Ensuite, il faut dterminer la frquence de commutation moyenne de
lapplication, par exemple 0,2 Hz = >
intervalle tcycle = 5 s.
Conversion de B10d (manuvres) en
MTTFd (annes):
MTTFd =
nop =
B10d
0,1 nop
s
dop hop 3.600 h
tcycle
dop= nombre moyen de jours de service par an

hop = nombre moyen dheures de service par jour
nop: nombre moyen de manuvres par an
tcycle = sollicitation moyenne de la fonction de

scurit en s (par exemple 4 par heure =

1 par 15 min. = 900 s)
Figure 20: Calcul du MTTFd pour les composants sensibles lusure
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
P2
F2
P1
P2
c
d
P1
P2
Risque
lev
MTTFd composants mcaniques
150 ans
MTTFd composants hydrauliques
150 ans
B10d composants pneumatiques
20.000.000
Relais/contacteur (sollicitation faible)
B10d = 20.000.000
Relais/contacteur (sollicitation maximale)
B10d =
Facteur 50
400.000
Transistor utilis comme interrupteur (sollicitation faible)
B10d = 20.000.000
Transistor utilis comme interrupteur (sollicitation nominale)
B10d =
2.000.000
Dispositif darrt durgence
B10d =
10.000
Organe de commande (bouton-poussoir)
B10d =
100.000
Figure 21: Valeurs B10d (extrait) selon la norme

La EN ISO 13849-1 reprend en outre des valeurs B10d recommandes (voir figure 21) pour
des composants types sensibles lusure, que
le concepteur de la SRP/CS peut utiliser sil ne
dispose pas des spcifications du fabricant.
Dans cette liste, la norme tient compte (par
exemple pour les contacteurs et relais) de la
sollicitation du composant. Dans ce contexte,
la sollicitation ne se limite pas aux conditions
lectriques; il faut galement considrer lensemble des conditions environnementales et
de fonctionnement.
La norme prend 20% comme mesure pour une

sollicitation faible, bien que des valeurs intermdiaires toutefois pas linairement- soient
admises, par exemple (pour 20 millions de
manuvres et 20%) 7,5 millions de manuvres
40%, 2,5 millions de manuvres 60% et 1
million de manuvres 80%.
tcycle =
Composants pneumatiques
24 h
1h
547.945
22.831
1 min.
1 sec.
380
6,3
Relais/contacteur (sollicitation faible)
547.945
22.831
380
6,3
Relais/Schtz (maximale Belastung)
10.960
457
7,6
0,1
Relais/contacteur (sollicitation maximale)
547.945
22.831
380
6,3
Transistor utilis comme interrupteur (sollicitation faible)
54.794
2.283
38
0,6
Dispositif darrt durgence
274
11
0,2
0,003
Organe de commande (bouton-poussoir)
2.739
114
1,9
0,032
MTTFd > 100 ans
Figure 22: Valeurs MTTFd converties pour les composants pneumatiques et lectromcaniques en
fonction du taux de sollicitation (tcycle)
21

Pour les composants mcaniques et hydrauliques qui divergent du calcul, le comit de

normalisation sest bas sur des tudes exprimentales1 pour dfinir des valeurs MTTFd de
150 ans, indpendamment du taux de sollicitation.
Figure 22 reprend lexemple dune conversion
des valeurs B10d en valeurs MTTFd partir des
diffrents taux de sollicitation (1 toutes les 24
heures, 1 par heure, etc.); pour cet exemple,
on suppose un fonctionnement de 24/24, 365
jours par an.
Valeurs T10d
ATTENTION! Selon la EN ISO 13849-1, il faut
encore driver une valeur T10d de la valeur
B10d calcule; celle-ci correspond 10% de la
valeur MTTFd obtenue. Dans ce contexte, il est
recommand de remplacer les composants
relatifs la scurit de prfrence ds que la
valeur T10d est atteinte.
Bonnes pratiques
Pour le calcul des valeurs MTTFd, la EN ISO
13849-1 stipule que le concepteur utilise de
prfrence les donnes spcifiques fiables
concernant les composants utiliss. Les valeurs MTTFd qui lui manquent ventuellement,
peuvent tre rcupres au moyen des mthodes simplifies susmentionnes, c'est--dire
au moyen de tableaux.
Simultanment, la norme formule cependant
des conditions secondaires considrer supplmentairement, surtout pour lutilisation des
tableaux comme le montre la figure 24.
Pour le
calcul
d e s va
com po
leurs M
s a nt s
T TF d
isols,
lordre
la proc
d es
suivan
d
t sont
u r e et
p r esc r
ites:
1. Utilis
ation d
es s p
cificat
du fab
ions
ricant
2 . M t
hod e d
e lann
exe C
3 . MT T
Fd dfi
ni = 10
Condit
ans
ion: Go
o d En g
Bonne
ineerin
s Pratiq
g Prac
ue s
tices,
Figure
23: Le
s valeu
p o s a nt
r s MT T
s isols
Fd pou
r des c
om -
Considration des principes de

scurit essentiels et fiables (EN ISO
13849-2) lors de la conception du
composant
Indication claire des applications appropries et des conditions demploi
autorises par le fabricant
Considration des principes de scurit essentiels et fiables pendant
linstallation et lemploi du composant
Si ces conditions sont remplies, les
marges de dfaillance indiques
dans la norme sont applicables
Ces conditions sont applicables
pour le fabricant, linstallateur et
lutilisateur du composant
Figure 24: Good Engineering Practices
Bonnes pratiques
1) Rapport BIA 6/04, Analyse des processus de vieillissement de vannes hydrauliques www.hvbg.de/bgia.
Code web: 1006447
22
du
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
dd
P2
P1
c
d
P2
Risque
lev
DC =
3L
dd
Couverture du diagnostic
Ldd + Ldu
Figure 25: Couverture du diagnostic DC
Couverture du diagnostic
Ici, la norme part de lide que (a) loccurrence

de dfaillances est probable (voir MTTFd) et (b)
dumcanismes utiliss pour la dtection des
les
dfaillances possdent un degr defficacit
diffrent et que le nombre de dfaillances non
dddtectes ests donc inexistant.
Thorie
Bien que les exigences de la EN ISO 138491 pour les calculs MTTFd sont relativement
claires et rectilignes, il faut faire quelques
concessions lors de lanalyse de la couverture
du diagnostic (Diagnostic Coverage = DC).
Ceci est une hypothse relative, car les dfaillances de la SRP/CS ne sont pas toujours
dtectes immdiatement. Parfois, elles sont
seulement dtectes la prochaine sollicitation de la fonction de scurit, par exemple un
contact de scurit lectromcanique pont
ou soudure dun contact pendant louverture
dun protecteur mobile.
Ces concessions concernent le rapport de

la probabilit de dfaillances dangereuses
dtectes de la partie concerne la probabilit de toutes les dfaillances dangereuses de
la partie, donc une quantification de lefficacit des mesures utilises pour dtecter les
dfaillances dune SRP/CS.
Identification de tous les essais en ligne et des mesures de surveillance
CP U1 90%
CPU1
Valeurs DC pour
chaque mesure
dun tableau
90%
60%
S2
90%
Intakt
M2
90%
90%
EN ISO 13849-1,
annexe E
IEC 61508-2,
Tableau A.2-15
0%
99%
CP U2
CPU2
99%
90%
M199%
S1
90%
A1
99%
A2
99%
Figure 26: Estimation de la DC moyenne pour lensemble du systme, partie 1
23

Estimation de la DC moyenne pour lensemble du systme au

moyen dune formule:
Signification
Couverture du diagnostic DC
nulle
faible
60% DC < 90%
moyenne
90% DC < 99%
leve
99% DC
Formule pour DCavg selon

figure 28
DC < 60%
PL
Figure 27: Estimation de la DC moyenne pour lensemble du systme, partie 2
Du point de vue de la technique de scurit, le

thme dtection des erreurs est trs important pour viter laccumulation de dfaillance,
cest--dire, viter quune deuxime dfaillance
sajoute la premire, qui na pas t dtecte
dans la SRP/CS, ce qui entrane la perte de la
fonction de scurit.
Excution
Conformment lide de simplification, la EN
ISO 13849-1 classifie la qualit de la dtection
des dfaillances ou de la couverture du diagnostic (DC, Diagnostic Coverage) en diffrents niveaux: none (nulle), low (faible), medium
(moyenne) et high (leve) voir figure 27.
De recherches exprimentales, il sest avr

quun systme redondant simple avec dtection de dfaillances atteint un niveau de scurit suprieur celui dun systme redondant
complexe sans dtection de dfaillance. Ceci
rvle donc limportance de la qualit de la
couverture du diagnostic sans oublier lavantage conomique des premiers.
Lannexe E de la EN ISO 13849-1 offre une

simplification supplmentaire (voir page 25).
Mesure
DC
Relais/
contacteur
Contrle de plausibilit, par exemple un contact

NF et un contact NO guidage forc
99%
Actionneur
Surveillance des sorties par le deuxime canal

sans essais dynamiques
0-99% selon les changements

de signal de lapplication
Capteur
Surveillance de certaines caractristiques (temps

de rponse, gamme des signaux analogiques,
par exemple rsistance lectrique, capacit)
60%
Logique
Auto-tests par le logiciel
6090%
Figure 28: Exemples pour la couverture du diagnostic
24
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
Le niveau de performance PL tient exclusivement compte de la DC moyenne (DCavg), qui

est une valeur pondre de tous les essais.
Le facteur de pondration est le MTTFd de la partie soumise lessai et non pas du dispositif dessai:
DCavg =
DC2
DCS
DC1
+
+ ... +
MTTFd1 MTTFd2
MTTFdN
1
1
1
+
+ ... +
MTTFdN
MTTFd1 MTTFd2
Les parties sans dtection de dfaillance, par exemple celles qui nont pas t soumises
un essai, ont une DC = 0. Toutes les parties de la SRP/CS ne prsentant pas dexclusion de
dfauts doivent tre prises en considration et additionnes. Le MTTFd et la DC sont pris
en compte pour chaque partie.
Figure 29: Couverture du diagnostic moyenne DCavg
Application
La DC moyenne DCavg calcule reprsente la
qualit de la couverture du diagnostic ou de
la dtection de dfaillances de lensemble des
SRP/CS ralisant la fonction de scurit.
Les valeurs MTTFd de lensemble des SRP/CS
ralisant la fonction de scurit sont intgres
dans le calcul, dans ce sens quune combinaison dun MTTFd dindice faible et dune DC
individuelle dindice faible est plus prpondrant et rduit la DCavg (et vice versa).
Lannexe E reprend plusieurs mesures fiables

et prouves pour la couverture du diagnostic
avec une valuation de la DC en pourcentages.
Certaines mesures sont toutefois values
0 99% en fonction de, ce qui exige au
fond une analyse plus profonde cf. la IEC EN
61508 , une chose que la EN ISO 13849-1
prfre viter.
Cette approche inductive pour le calcul de la

couverture diagnostic moyenne DCavg est correcte dans une certaine mesure, bien quelle
ne corresponde pas strictement lide de
simplification. Lannexe E de la EN ISO 138491 comprend un tableau dtaill, facilitant le
calcul.
25

Mesures de prvention des dfaillances de cause commune (CCF)

Thorie
En plus des architectures dsignes, la valeur
MTTFd et la DC, un quatrime paramtre est
pris en compte pour la dfinition du niveau de
performance PL, cest--dire les dfaillances
de cause commune (CCF).
Lestimation des effets des CCF est seulement
exige pour les structures 2 canaux partir
de la catgorie 2, tant donn que la EN ISO
13849-1 tient exclusivement compte des mesures de prvention des dfaillances de cause
commune dune SRP/CS.
Ces dfaillances peuvent causer une situation
critique relative la scurit des deux canaux en mme temps. Un exemple: la foudre
frappant les sorties de scurit redondantes
(effet de surtension) limine simultanment
laptitude denclenchement ou de dclenchement des deux canaux.
Dfaillance
Cause
canal 2
commune
Dfaillance
canal 1
Dans la prsente norme et conformment lannexe D de lIEC 61508-6, il est
admis que le facteur b pour les mesures
de prvention des CCF exiges pour les
systmes redondantes (catgorie 2, 3, 4)
est gnralement infrieur ou gal 2%.
Figure 30: Dfaillances de cause commune
(CCF)
Excution
Lestimation de leffet des CCF doit tre
ralise pour lensemble du systme. Chaque
partie du systme de commande doit tre
considre.
La EN 13 849-1 comprend un tableau numrant les mesures et contenant des valeurs associes, fondes sur une valuation dexpert,
qui reprsentent la contribution de chaque
mesure la rduction des dfaillances de
cause commune (CCF).
Suite au contexte de lestimation des CCF,
des mesures telles que la sparation physique
entre les voies de signaux, la diversit ou les
mesures relatives limmunit lectromagntique ont un score lev (idem pour les
mesures de protection contre la surtension, la
surpression, la surintensit ou les mesures de
filtration dans la technique fluidique.
Pour remplir les exigences de la EN ISO
13849-1 ce sujet, il faut obtenir un score minimal de 65 points. Le score maximal slve
CCF: dfaillances de cause commune pour les diffrentes parties du systme

Mesures de prvention des dfaillances CCF (score maximal: 100 points)
Sparation physique entre les voies de signaux
Diversit
Protection contre la surtension, la surpression,
la surintensit, etc.
Utilisation satisfaisante des composants
pendant plusieurs annes en tenant compte
des influences environnementales
Les rsultats dune analyse des modes de
dfaillance et de leurs effets sont-ils pris en
compte pour prvenir les dfaillances de cause
commune la conception
Comptence/formation du concepteur
CEM ou filtrage du moyen de pression et
protection contre la contamination
Autres influences: temprature, humidit,
chocs, vibrations, etc.
Objectif: au moins 65 points
Figure 31: Mesures contre les dfaillances CCF
26
15 points
20 points
15 points
5 points
5 points
5 points
25 points
10 points
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
Slectionner les fonctions de scurit

indispensables que la SRP/CS doit raliser
A partir de lanalyse
du risque
(EN ISO 12 100-1)
Pour chaque fonction de scurit, spcier

les caractristiques requises
Dterminer le niveau de performance requis PL r 2
Conception et ralisation technique des fonc3

tions de scurit ; identier les parties relatives
la scurit qui excutent la fonction de scurit
Dterminer le niveau de performance PL
4
Catgorie
MTTFd
DC
PL r PL r
* Toutes SF = Toutes les

fonctions de scurit
ont-elles t analyses?
Validation
Vers lanalyse du risque
oui
oui
oui
CCF
Toutes SF?*
non
non
non
Figure 32: Processus itratif pour la conception et la ralisation des SRP/CS selon prEN ISO 13849-1
Exemple
La EN ISO 13849-1 comprend une version
adapte du processus itratif pour la conception de parties des systmes de commande
relatives la scurit (SRP/CS) de lEN ISO
12100-1. Le processus est divis ici en 8 tapes thoriques. Il commence par la slection
des fonctions de scurit indispensables que
la SRP/CS doit raliser (tape 1) et termine par
conclure que le niveau de performance requis
PLr est obtenu ou pas (tape 8).
Lexemple (voir figure 33) discute le verrouillage

dun protecteur mobile: le mouvement dangereux est arrt louverture du protecteur; tant
que le protecteur est ouvert, le redmarrage
de la machine est empch, etc. (voir EN 1088:
Scurit des machines Dispositifs dinterverrouillage en liaison avec les protecteurs avec
sparation physiques Principes essentielles
pour la conception et la slection).
Exemple:
Verrouillage dun protecteur avec sparation physique
Fonction de scurit:
Le mouvement dangereux est arrt ds que la porte du
protecteur est ouverte
Figure 33: Slection et dfinition des exigences indispensables
pour la fonction de scurit
27

Niveau de
performance
requis PLr
Risque
faible
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P2
P1
F1
S2
P1
P2
c
d
P1
F2
PL r = c
P2
Risque
lev
Figure 34: Dfinition du niveau de performance requis PLr
Lestimation du niveau de performance requis,
cest--dire lvaluation du risque au moyen du
nouveau graphe de la EN ISO 13 849-1, doit
aboutir un niveau de performance requis PLr
c (voir figure 34).
Ouvrir
La figure 35 reprend une discussion de la

structure de la SRP/CS (architecture dsigne).
Fermer
SW1B
SW2
K1B
API
PLC
SW1B
CC: Convertisseur de courant

PLC: Programmable Logic Controller: API,
automate programmable industriel
M:
Moteur
RS: Dtecteur de rotation
:
Interrupteur (reprsent, tat commut)
SW2
SPS
Signal de commande
RS n
Figure 35: Conception et identification des SRP/CS
28
CC
K1B
PLC
CC
RS
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
A partir de larchitecture dsigne utilise dans

la figure 35, ceci signifie:
SW2, API, CC:

MTTFd = 20 y chacun (spcification du fabricant)
1
1
1
1
=
+
+
= 3
20 y
MTTFd C2 MTTFSW2 MTTFPLC MTTFCC
Les exigences de la catgorie B

sont remplies
Loccurrence dun dfaut ne conduit

pas la perte de la fonction de
scurit?
Dtection partielle des dfaillances
Laccumulation de dfauts non

dtects ne conduit pas la perte
de la fonction de scurit? (1er API
prsente une dfaillance non
dtecte, le 2ime canal A prsente
une dfaillance)
Canal 2: MTTFd = 6,7 y

Symtrisation du MTTFd pour les deux canaux:
MTTFd =
2
MTTFd C1 + MTTFd C2
3
1
1
1
+
MTTFd C1 MTTFd C2
MTTFd = 20 y (moyen)
Figure 38: Dfinition du niveau de performance PL:

MTTFd pour le canal B et MTTFd commun
> Catgorie 3 peut tre obtenue

Figure 36: Dfinition de la catgorie pour le PL
Puisque les deux canaux de lexemple ont une

structure diversitaire (voir structure SRP/CS),
les diffrentes valeurs MTTFd des deux canaux
A et B doivent tre dtermines et symtrises.
Maintenant, la couverture du diagnostic DC est

analyse:
DCK1B = 99%, leve suite aux contacts lectriques

guidage forc, tableau en annexe E.1
DCSW2 = 60%, faible suite la surveillance des signaux dentre sans tests dynamiques
SW1B: contact manoeuvre positive

douverture:
Exclusion de dfaut pour la non ouverture des contacts, la non commutation
de linterrupteur suite une dfaillance
mcanique (p.ex. rupture du poussoir,
usure du levier, dcalage)
K1B: MTTFd = 30 y (spcification du
fabricant)
1
1
=
=
MTTFd K1B
MTTFd C1
1
30 y
Canal 1: MTTFd = 30 y
DCPLC = 30%, nulle suite lefficacit faible des autotests

DCCC = 90%, moyenne suite la voie de coupure
rduite avec surveillance de lactionneur par le systme
de commande, voir tableau E.1, annexe E.1
DCavg =
DC2
DCS
DC1
+
+ ... +
MTTFd1 MTTFd2
MTTFdN
1
1
1
+
+ ... +
MTTFdN
MTTFd1 MTTFd2
DCavg = 67% (faible)
Figure 39: Dfinition du niveau de performance PL: DCavg
Figure 37: Dfinition du niveau de performance

PL: MTTFd pour canal A
29

Maintenant, les mesures de prvention des

dfaillances de cause commune CCF sont
values:
et finalement tous les paramtres sont

classifis dans le diagramme bloc, pour vrifier
que PL => PLr (figure 41).
Remarque: la dcomposition minutieuse de
cet exemple en diffrentes tapes est videmment un peu exagre.
CCF: dfaillance des divers composants suite une

cause commune
Sparation physique entre les voies
de signaux
15 points
Diversit
20 points
Protection contre la surtension,
la surpression, etc.
0 points
Utilisation de composants fiables
5 points
Prise en compte des rsultats dune analyse
des modes de dfaillances et leurs effets
pour prvenir les dfaillances de cause
commune la conception
5 points
Comptence/formation du concepteur
0 points
CEM ou filtration du mdium de pression
et protection contre la contamination
25 points
Temprature, humidit, chocs, vibrations, etc.10 points
Lexemple possde en outre deux canaux de

structure diversitaire tant bien au niveau des
capteurs quau niveau du systme de commande; il est donc un peu plus complexe que
les structures ordinaires gnralement utilises.
Lexemple donne toutefois une bonne illustration du contexte des nouvelles exigences de la
EN ISO 13849-1, bien que la valeur B10d ne soit
pas calcule pour le dispositif dinterverrouillage (en tant que composant lectromcanique)
ainsi, lexemple reflterait encore mieux la
ralit.
S = 80 points > 65 points

Figure 40: Dfinition du niveau de performance PL: CCF
Performance level
a
b
c
d
e
MTTFd = faible
MTTFd = moyen
MTTFd = lev
B
1
2
2
3
3
4
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
0
0
faible
moyen
faible
moyen
lev
PL = PLr = c
Figure 41: Vrification que niveau de performance calcul PL PLr
30
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P2
P1
F1
S2
P1
P2
c
d
P1
F2
P2
Risque
lev
Vous avez dj remarqu quelque chose?
Supposition: 240 jours / 16 heures /

accs toutes les 20 s
240 16 3.600
Diagramme:
nop =
SW1B
K1B
MTTFd =
SW2
SPS
CC
RS
MTTFd =
nop =
20
manvres
= 691.200
20.000.000
0,1 691.200
an
= 289 ans
La dure de mission maximale prvue

selon la norme: T10d = B10d/nop = 28,9 ans
Figure 43: Calcul du MTTFd pour K1B et SW2
B10d
0,1 nop
dop hop 3.600
s
h
tcycle
nop = nombre moyen de manuvres par an
Figure 42: Les composants lectromcaniques

ont une valeur B10d
La valeur B10d entranerait le recalcul suivant

du MTTFd pour K1B et SW2, si nous supposons
que le protecteur fonctionnerait 240 jours par
an et 16 heures par jour avec un taux de sollicitation moyen toutes les 20 s:
Dans lexemple, la supposition de F1 du

graphe pour lestimation des risques ne serait
plus applicable (voir: frquence et/ou dure
dexposition rare et/ou courte au phnomne
dangereux).
F2 serait plutt applicable et le niveau de
performance requis serait alors PL d. Grce
la correction de la valeur MTTFd, le problme
est rsolu.
Remarque de la part du rdacteur
La procdure de correction exige de lexemple montre que la rdaction des normes est
lui aussi un processus itratif, car lexemple
provient effectivement de la norme, bien quil
soit cr un moment o lestimation de la
valeur B10d ntait pas encore intgre. Ce sont
plus particulirement les apprciations des
valeurs B10d qui fournissent une contribution
essentielle pour lutilisateur de la norme. Sans
celles-ci, la EN 13849-1 aurait des problmes
pour justifier ces exigences spcifiques relatives lapplication pratique.
31

Dpart
Spcication
du produit
Listes de
dfaillances
(3.2, 3.3)
Estimations lors
de la conception
(EN 954-1:1996,
Paragraphe 4)
Plan de
validation (3.4)
Consignes pour la
validation (3.1)
Plan
Documents
(3.5)
Critres pour
lexclusion des
dfauts (voir annexe
en question)
Analyse
(paragraphe 4)
Non
Lanalyse
convientelle ?
Non
Essai
(paragraphe 5)
Essais
Oui
Essai
complet ?
Oui
Rapport de
validation (3.6)
Protocoles/
rapports
Fin
Figure 44: Schma de validation selon EN ISO 13849-2
Validation1
La conception des SRP/CS doit tre valide
selon lEN ISO 13849-2. Ce sujet ne sera pas
discut en dtail ici, car il est dj applicable
en ce moment-ci.
1) Les prescriptions pour la matrise des dfaillances

systmatiques ne seront pas discutes en dtail ici,
car elles font dj partie intgrante de lensemble des
exigences prvues pour une SRP/CS. Lannexe G de
la EN ISO 13849-1 contient une prsentation dtaille.
32
LEN ISO 13849-2 se rapporte au contenu qui

tait lorigine prvu pour la norme EN 954-2,
qui a t cependant implmente directement
au niveau ISO aprs son acceptation. Il est fort
probable quelle formera lobjet dune rvision
elle aussi, afin dadapter ldition 1998/1999
et les rfrences lEN 954-1 la situation
actuelle, cest--dire la EN ISO 13 849-1.
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
La plupart des accidents avec les machines

ne sont toutefois pas dus aux dfaillances
alatoires. Ils sont plutt associs aux erreurs
de spcification des prescriptions de scurit et aux erreurs de conception, fabrication,
installation et exploitation du matriel. Cest
pourquoi la validation est trs importante pour
la scurit dune machine.
Les annexes informatives de la EN ISO 138492 jouent en outre un rle important pour la EN
ISO 13849-1. Elles sont divises par technologies composants mcaniques (annexe A),
composants pneumatiques (annexe B), composants hydrauliques (annexe C) et composants lectriques (annexe D); elles contiennent
les listes suivantes:
les principes de scurit essentiels (importants pour la catgorie B selon lEN 954-1 ou
PL a),
les principes de scurit fiables (importants
pour la catgorie 1 et suivantes selon lEN
954-1 ou PL b PL e),
les composants de scurit fiables et prouvs (importants pour la catgorie 1 selon lEN
954-1 ou PL b),
des listes reprenant des dfaillances prendre en compte ainsi que les exclusions de
dfauts autorises
(importantes pour les catgories 2, 3 et 4 selon
lEN 954-1 ou PL c PL e).
33

SiSteMa
Ce nest plus quune question de temps avant
quun logiciel pour simplifier les procdures
exemplaires dcrites ne soit lanc sur le march.
Pour linstant, un logiciel, appel SiSteMa
(Scurit des Systmes de commande de Machines) est en cours de prparation au sein de
la BGIA, qui sera bientt publi comme logiciel
gratuit.
34
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
Puisque SiSteMa nest pas encore disponible

(date de publication prvue: mi-2006), lorganisation professionnelle fournit dj des
services de support pour lutilisation et lapplication de la EN ISO 13849-1. En liaison avec
la Zentralverband Elektrotechnik- und Elektronikindustrie (ZVEI Fachverband Automation
lorganisation professionnelle centrale pour
llectrotechnique, lindustrie lectrique et
lautomatisation en Allemagne) et le Verband
Deutscher Maschinen- und Anlagenbau VDMA
lassociation allemande des constructeurs
de machines et installations, un disque PLC a
t dvelopp, permettant une dfinition simple et facile du niveau de performance PL.
Les mthodes de la EN ISO 13849-1 sont
concrtises via un genre de disque de
stationnement, cest--dire deux disques
qui peuvent tre tourns lune par rapport
lautre.
Pour dterminer le niveau de performance PL,
il faut tourner le premier disque jusqu ce que
la valeur dsire pour le MTTFd (Mean Time to
Failure dangerous) est affiche dans la fentre
en bas.
Aprs slection de la catgorie dsire et de
la Couverture du diagnostic (DC) ct de la
fentre en haut, celle-ci indiquera un chiffre.
Ce chiffre doit tre multipli avec le facteur
de la lgende pour connatre la probabilit moyenne de dfaillance dangereuse du
systme de commande relatif la scurit. Le
code couleur est utilis pour slectionner le
facteur et indique simultanment le niveau de
performance PL obtenu.
Source PLC:
www.hvbg.de/d/bia/pra/drehscheibe.html
35

La EN ISO 13849-1 et les SRP/CS

de complexit faible
Excution
La procdure de simplification est reprise
dans le tableau de la figure 45 (le dit tableau
de combinaison). Le nombre de niveaux de
performance individuels du systme de commande est repris gauche; aprs addition des
niveaux de performance PL les plus faibles,
le niveau de performance PL global peut tre
trouv droite.
Thorie
Ds que le niveau de performance PL est
dtermin pour chaque partie des systmes
de commande relative la scurit, la EN ISO
13849-1 prvoit une procdure de simplification spciale pour les SRP/CS de complexit
faible.
Comme rgle gnrale, (pour les structures

simples) plus de trois PL individuels identiques ou (pour les structures 2 canaux fiables), plus de quatre PL individuels identiques
rduisent le PL global par un niveau. Trois fois
un PL individuel c aboutit alors un niveau
de performance global b ou quatre fois un
PL individuel e un PL global d.
Cette procdure indique galement que lenchanement dun nombre suprieur de composants relatifs la scurit peut influencer le
niveau de performance PL global. Ceci signifie
que le niveau de performance global PL de
lensemble dun systme de commande, comprenant plusieurs SRP/CS enchanes, peut
tre considrablement infrieur aux niveaux de
performance individuels des diffrents lments de la chane.
Dans lexemple ci-aprs (figure 46), ceci signifie que les deux PL individuels les plus faibles
doivent tre additionns (2 PL c), lorsque
le PL suprieur d nest pas pris en compte
dans le calcul (du point de vue de la valeur
PFH, PL d est une grandeur suprieure que
PL c). 2 PL c reste PL c. Sil fallait
considrer un PL c au lieu dun PL d, le
PL global serait (seulement) b.
Cette rflexion se base sur le fait que le

nombre de dfaillances rsiduelles probables
additionner est tellement que le niveau de
performance PL global peut tre rduit par un
niveau sans problme.
SRP/CS 1
PL c
PL low
N low
>3
3
=>
=>
none
a
>2
2
=>
=>
a
b
>2
2
=>
=>
b
c
>3
3
=>
=>
c
d
>3
3
=>
=>
d
e
SRP/CS 2
PL d
SRP/CS
PL
SRP/CS 3
PL c
Figure 45: Combinaisons linaires de plusieurs SRP/CS
36
PL
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
Mouvement
Actionneur uidique
dangereux
Rideaux lumineux
Catgorie 2 (classe 2)
PL = c
Logique de
commande
lectronique
Fluidique
Catgorie 3
PL = d
Catgorie 1
PL = c
I1
L1
O1
I
TE
OTE
I2
L2
O2
Figure 46: Schma de principe explicatif de la combinaison de SRP/CS
Application
Pour autant que le niveau de performance
requis PLr, calcul au moyen de lanalyse des
risques, est atteint lemploi du tableau cidessus peut savrer utile. Cette apprciation
permet cependant dintgrer des exclusions de
dfauts qui ne seront pas prises en compte par
la suite.
Si le niveau de performance global calcul

selon cette mthode ne correspond pas au
niveau de performance requis PLr, il convient
deffectuer une analyse plus dtaille. Dans
ce contexte, le rsultat nest pas dcisif, il est
plutt d la gnralisation de lapprciation.
La EN ISO 13849-1 offre galement des
solutions pour ce problme (voir paragraphe
suivant Montage en srie des SRP/CS).
37

Montage en srie des SRP/CS

selon la EN ISO 13849-1
Excution
Le tableau (figure 47) permet une meilleure
comprhension de la qualit de SRP/CS
combines montes en srie (mot-cl: addition
des dfaillances rsiduelles probables) dans le
contexte de la EN ISO 13849-1.
Thorie
Les parties combines dun systme de commande relatives la scurit commencent aux
points o sont gnrs les signaux relatifs la
scurit et se terminent la sortie des actionneurs. Cependant, les SRP/CS combines
peuvent tre constitues de plusieurs parties
relies de manire linaire (montage en srie).
Afin dviter une nouvelle estimation complexe

du niveau de performance PL atteint par les
SRP/CS combines lorsque les PL de toutes les
parties prises individuellement ont dj t calculs, la EN ISO 13849-1 prvoit une mthode
pour calculer le PL de lensemble des SRP/CS
combines ralisant la fonction de scurit.
a
b
c
d
e
MTTFd
[years]
3
3,3
3,6
3,9
4,3
4,7
5,1
5,6
6,2
6,8
7,5
8,2
d
9,1
d 10
11
d
12
13
Le tableau repris en annexe K de la EN ISO

13849-1 reprend une reprsentation dtaille
du diagramme bloc central (voir figure 8) pour
dterminer le PL atteint. Au plus correct le
MTTFd dun canal, au plus prcis le PFHd. Les
valeurs calcules des SRP/CS individuelles
doivent tre additionnes et le rsultat de cette
addition doit tre compar avec le PFH maximal autoris pour le niveau de performance
PL en question (voir figure 4). Une valeur PFHd
suprieure rduira le risque de dfaillance.
PFHd [1/h] PL
3,80 105
3,46 105
3,17 105
2,93 105
2,65 105
2,43 105
2,24 105
2,04 105
1,84 105
1,68 105
1,52 105
1,39 105
1,25 105
1,14 105
1,04 105
9,51 106
MTTF = faible
MTTF = moyen
MTTF = lev
a
a
a
a
a
a
a
a
a
a
a
a
a
a
a
b
MTTFd
[years]
3
3,3
3,6
3,9
4,3
4,7
5,1
5,6
6,2
6,8
7,5
8,2
9,1
10
11
12
13
PFHd [1/h] PL
3,80 105
3,46 105
3,17 105
2,93 105
2,65 105
2,43 105
2,24 105
2,04 105
1,84 105
1,68 105
1,52 105
1,39 105
1,25 105
1,14 105
1,04 105
9,51 106
a
a
a
a
a
a
a
a
a
a
a
a
a
a
a
b
Catgorie Catgorie Catgorie Catgorie Catgorie Catgori

B
1
2
2
3
3
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
0
0
faible
moyen
faible
moyen
Figure 47: Alternative: addition des PFHd pour des SRP/CS combines montes en srie
38
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
Montage en srie sans perte

de la catgorie
La logique de commande lectronique intgre surveille le fonc
tionnement de linterrupteur (autosurveillance)
Toutes les dfaillances sont dtectes dans le montage en srie
(31 composants)
Montage en srie de linterrupteur
(CSS 180 et/ou AZM 200) possible
sans dtriment la catgorie
Figure 48: Dispositifs dinterverrouillage sans contact avec et sans maintien
Montages en srie complexes:

toujours PL e!
Linfluence des montages en srie complexes
sur le PL global dune SRP/CS est un grand
problme, surtout pour les composants de
scurit lectromcaniques.
La gamme de produits de SCHMERSAL comprend, entre autres, les capteurs de scurit

CSS 180 et les interverrouillages de scurit
sans contact de la srie AZM 200, qui peuvent
tre enchans indpendamment de la srie
(figure 48).
Dans ce sens, les nouvelles technologies de

commutation commande par microprocesseur ralisant les fonctions de scurit offrent
de nouvelles perspectives, car ces technologies permettent gnralement les tests
dynamiques permanents des composants.
Ceci signifie que la catgorie ou le niveau de
performance nest pas affect, mme en cas
dun cblage en srie de plusieurs composants
de scurit.
Pour plus dinfo: www.schmersal.com
Capteurs et interverrouillages de scurit

lectroniques
Les capteurs et interverrouillages de scurit lectroniques sont destins la surveillance de protecteurs
mobiles avec sparation physique. La machine est
arrte louverture de ces protecteurs et le redmarrage de la machine est empch.
Leur avantage le plus important est la dtection sans
contact de la position du protecteur. Ils sont insensibles lusure ainsi quaux dcalages ventuels du
capteur et de lactionneur.
39

La EN ISO 13849-1 et le logiciel
Pour tous les PL et SRESW1 + SRASW2

En fait: mesures de prvention de dfauts et programmation dfensive
Thorie
Contrairement lEN 954-1, la EN ISO 13849-1
tient largement compte des systmes lectroniques programmables avec fonction de scurit (= systmes PES) et donc galement du
thme logiciel. Malgr ceci, il est impossible
de ngliger les exigences de lIEC EN 61508
(par exemple pour les applications avec niveau
de performance PL e). Puisque ce thme est
exclusivement applicable aux dveloppeurs de
systmes PES, il ne sera pas discut en dtail
ici.
Prise en compte du fait que les dfaillances sont dues des erreurs de spcification et de conception du logiciel
Base: norme de scurit essentielle IEC
61508-3
toutefois pas un niveau scientifique
lev
Principalement sans rfrence lIEC
61508
Comprhensible, oriente la pratique
et facile appliquer
Figure 49 dcrit lide de base de la EN ISO

13849-1.
Excution
Les exigences que prvoit la EN ISO 138491 pour le logiciel, peuvent tre divises en
exigences gnrales, exigences pour le logiciel
embarqu relatif la scurit et exigences
pour le logiciel dapplication relatif la scu-
Figure 49: Ide de base pour les exigences

remplir par le logiciel selon lEN ISO 13849-1
rit; en fonction du langage utilis (LVL 3 ou
FVL 4) et des niveaux de performance PL (voir
figures 50 et 51), il y a encore des divisions
supplmentaires.
Langage
Limited Variability
Languages (LVL),
p. ex. KOP, FUB
Full Variability
Languages (FVL),
p. ex. C/C++, Asm
Type de logiciel
ISO 13849-1
IEC 62061 /61511
849-1
ISO 13 8-3
50
1
IEC 6
ISO 13849-1
IEC 61508-3
Logiciel intgr
relatif la scurit :
SRASW
Logiciel embarqu
relatif la scurit :
SRESW
Figure 50: Rseaux du logiciel relatif la scurit
1) SRASW (safety-relevant application software) = logiciel

intgr relatif la scurit
2) SRESW (safety-relevant embedded software) = logiciel
embarqu relatif la scurit
3) LVL (Limited Variability Language) Langage de variabilit limite: type de langage qui fournit la possibilit
de combiner des fonctions de bibliothque, prd-
40
finies, spcifiques une application, pour mettre en

uvre les spcifications des exigences concernant la
scurit.
4) FVL (Full Variability Language) Langage de variabilit
totale: type de langage qui fournit la possibilit de
mettre en uvre une gamme tendue de fonctions et
dapplications
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
P2
S2
F2
P1
P2
c
d
P1
P2
Risque
lev
4.6.1
Gnral, objectif, modle V
4.6.2
SRESW/SRASW en FVL
Supplmentaire :
PL c, d
Base :
PL a, b
4.6.3
Spcial :
PL e
SRASW en LVL
Base :
PL a, b
Supplmentaire avec efcacit

suprieure : PL c e
4.6.4
Paramtrage
Figure 51: Structure des exigences pour le logiciel selon paragraphe 4.6 de la EN ISO 13849-1
Application
Nous ne nous attarderons pas aux exigences
pour le logiciel embarqu relatif la scurit,
puisque celui-ci est seulement applicable pour
les utilisateurs de la EN ISO 13849-1 dans des
cas exceptionnels. Le logiciel dapplication est
plus frquemment utilis dans la SRP/CS, gnralement en liaison avec les API de scurit,
Spcication
des exigences
de scurit
Spcication des
exigences de
scurit pour le
logiciel
systmes de bus de scurit ou autres systmes de commande relatifs la scurit.

Tout comme pour le logiciel embarqu, la EN
ISO 13849-1 recommande galement dutiliser le modle V comme base, dont la forme
simplifie est gnralement applicable dans le
secteur informatique.
Validation
Conception
du systme
Essai
dintgration
Conception
du module
Rsultat
Contrle
Validation
Logiciel
valid
Essai du
module
Codage
Figure 52: Modle V simplifi pour SRESW et SRASW selon la EN ISO 13849-1
41

Si le logiciel dapplication contient exclusivement des paramtres (exemple typique: un

scanner laser de scurit), dautres simplifications sont applicables, puisquon peut rfrer
au travail prparatoire du fournisseur.
Les autres exigences pour le logiciel sont
reprises dans lannexe J de la EN ISO 13849-1
(voir figure 53).
Exigences pour le logiciel de paramtrage
Exigences essentielles pour le paramtrage

Outil spcial du fabricant
Protg contre laccs non autoris (par
exemple: mot de passe)
Contrles de plausibilit des paramtres
+ intgrit garantie des donnes pendant le paramtrage
Transmission de donnes scurise
(avec reprsentation diversitaire)
Documentation
Figure 54: Exigences pour le logiciel de paramtrage
Figure 53: Annexe J de la EN 13849-1
42
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
P2
F2
P1
P2
c
d
P1
P2
Risque
lev
La EN ISO 13849-1 vis--vis de

lIEC EN 62061
Lindustrie de transformation (chimie et technologie de transformation) par exemple, doit se

conformer une autre norme, lIEC EN 615111.
Thorie
Comme nous lavons dj dit, deux normes
la EN ISO 13849-1 et lIEC EN 62061 rivalisent pour la succession de lEN 954-1. Bien
que lutilisation de lexpression rivaliser est
un peu exagre, la cohabitation, qui tait
prvue lorigine, a disparu.
Il est probable que lIEC EN 62061, tout
comme lEN ISO 13849-1 et contrairement
lIEC EN 61508, sera harmonise dans le
contexte de la Directive Europenne Machines. Les deux normes auront ainsi une base
juridique, qui vise fonder une prsomption
de conformit avec les exigences essentielles
de la Directive.
LIEC EN 62061 est drive de lIEC EN 61508,
la norme spcifique de la construction des
machines.
LIEC EN 61508 visait lorigine exclusivement

combler les lacunes de lEN 954-1, cest-dire labsence dexigences pour des SRP/
CS complexes et plus particulirement pour
les systmes lectroniques programmables
avec fonction de scurit (systmes PES), mais
le comit de normalisation de lIEC 61508 a
tendu le domaine dapplication de la norme
aux systmes lectriques, lectroniques et
lectroniques programmes discrets (E/E/PES).
Puisque lIEC EN 61508 sest ainsi dveloppe
jusqu devenir la norme essentielle globale
pour lensemble de la technologie de scurit
(la norme compte plus de 350 pages et est
divise en 8 parties), des normes sectorielles
ont t drives pour les secteurs individuels,
telles que lIEC EN 620612 pour la construction
des machines.
Dans ces normes drives, les exigences spcifiques du secteur sont dfinies; les exigences et les principes de conception applicables
aux autres secteurs ne sont pas reprises.
Construction
des machines
Electricit
Hydraulique
Pneumatique
Mcanique
Industrie de
transformation
IEC 61511
IEC 62061
EN 954
(EN ISO 13 849)
IEC 61508
Figure 55: Aperu des normes rivalisant
1) IEC EN 61511-1 (VDE 0810-1:2005-05): Scurit

fonctionnelle Systmes de scurit pour lindustrie
de transformation Partie 1: Notions fondamentales,
exigences pour les systmes, le logiciel et le hardware
2) IEC EN 62061-1 (VDE 0113-50): Scurit des

machines Scurit fonctionnelle des systmes de
commande lectriques, lectroniques et lectroniques
programmables relatifs la scurit
43

4 niveaux dintgrit de scurit (SIL) et 2 modes de fonctionnement

Niveaux
dintgrit
de scurit, Safety
Integrity
Level
Mode de fonctionnement faible sollicitation
Mode forte sollicitation ou

continu
Probabilit de dfaillance sur sollicitation
PFD
PFH
10 5 < 10 4
10 9 < 10 8
10 4 < 10 3
10 8 < 10 7
10 3 < 10 2
10 7 < 10 6
10
10 6 < 10 5
< 10
Applicable la construction des machines?

Figure 56: Safety Integrity Level: IEC 61508 (applications universelles) et IEC 62061 (application:
construction des machines)
Application
Nous ne nous attarderons pas aux dtails de
lIEC EN 62061. Les critiques font remarquer
que cette norme est plus difficile utiliser par
rapport la EN ISO 13849-1, surtout en cas de
questions relatives la rduction du risque aux
systmes complexes qui sont typiques de la
construction des machines et des systmes de
commande. LIEC EN 61508 savre la norme
la plus approprie en cas de problmes complexes. Une autre diffrence entre les normes
est lintgration des composants mcaniques,
pneumatiques et hydrauliques dans la EN ISO
13849-1: suite son origine, lIEC EN 62061
ne fait pas cette distinction.
Pour la construction des machines, ceci

signifie quon se limite aux exigences relatifs
la scurit en mode de fonctionnement
forte sollicitation ou continu (exprim en valeur
PFH); le mode faible sollicitation, dans lequel
la frquence des sollicitations de la fonction
de scurit nest pas suprieure une par an
et pas suprieure deux fois la frquence des
tests priodiques, nest pas considr.
Le niveau dintgrit de scurit SIL 4 (paramtre S: dcs de plusieurs personnes, effets
catastrophiques) est galement exclu.
Figure 57: Formulaire

type pour la dfinition
du niveau dintgrit
de scurit SIL
Produkt:
Hersteller:
Datum
Auswirkungen
Lfd. Gef.
Nr. Nr.
Kommentare
vorlufige Risikobeurteilung
zwischenzeitliche Risikobeurteilung
nachfolgende Riskobeurteilung
schwarzer Bereich = Sicherheitsmanahmen erforderlich

grauer Bereich = Sicherheitsmanahmen empfohlen
Klasse K
Schwere
S
Hufigkeit und
Dauer, F
b 1 Stunde
> 1 h b 1 Tag
> 1 Tag b 2 Wo.
> 2 Wo. b 1 Jahr
> 1 Jahr
Tod, Verlust eines Auges oder Arms

Permanent, Verlust von Fingern
Reversibel, medizinische Behandlung
Reversibel, Erste Hilfe
44
Dokument Nr.:
Teil von:
Risikobeurteilung und Sicherheitsmanahmen
Gefhrdung
Wahrscheinlichkeit
gef. Ereignis, W
hufig
wahrscheinlich
mglich
selten
vernachlssigbar
Sicherheitsmanahme
Vermeidung
P
unmglich
mglich
wahrscheinlich
sicher
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
P2
F2
P1
P2
c
d
P1
P2
Risque
lev
Compatibilit prvue de la EN ISO 13849-1

et de lIEC EN 62061 (IEC EN 61508)
Les comits de normalisation respectifs de
lIEC EN 62061 et la EN ISO 13849-1 ont toutefois essay de raliser une certaine compatibilit entre les deux normes en tablissant
un rapport direct entre les niveaux dintgrit
de scurit et le niveau de performance. SIL 1
correspond donc par exemple aux niveaux de
performance PL b ou c etc. (voir figure
58).
De plus, les deux normes reprennent les

mmes recommandations en ce qui concerne
la norme la plus approprie pour un problme
spcifique. Il convient toutefois de formuler la
critique ici que le comit de normalisation de la
EN ISO 13849-1 na pas respect ce compromis pour les modifications qui ont t apportes par aprs, bien que la EN ISO 13849-1
reprenne toujours le tableau dapplication (voir
figure 59).

EN ISO 13 849-1
10 4
PL
10 5
SIL
IEC 62 061/
IEC 61 508
Pas dexigences de
scurit
spciales
3 x 10 6
10 6
10 8
10 7
Scurisation
de risques faibles
3
Scurisation
de risques levs
Figure 58: Rapport entre le niveau dintgrit de scurit SIL en le niveau de performance PL
Technologie mettant en uvre la (les)

fonction(s) de commande relative(s)
la scurit
Non lectrique, p.ex. hydraulique
Electromcanique, p.ex. relais ou lectronique non complexe
Electronique complexe, p.ex. programmable
A combin avec B
C combin avec B
C combin avec A, ou C combin avec

A et B
A
B
C
ISO 13849-1
IEC 62061
X
Limit aux architectures dsignes1 et jusqu PL = e
Limit aux architectures dsignes1 et jusqu PL = d
Limit aux architectures dsignes1 et jusqu PL = e
Limit aux architectures dsignes1 et jusqu PL = d
X2
Non couvert
Toutes architectures et jusqu
SIL 3
SIL 3
X (EN ISO 13849-1 pour A)
SIL 3
X3
X indique que ce cas est trait par la norme indique en tte de colonne.
1) Les architectures dsignes sont dfinies dans lannexe B de lEN ISO 13849-1 afin de fournir une approche simplifie de la quantification du niveau de performance.
2) Pour llectronique complexe: lutilisation des architectures dsignes selon lEN ISO 13849-1 jusqu PL = d ou toute architecture
selon lIEC 62061.
3) Pour la technologie non lectrique, utilisation des parties en tant que sous-systmes selon lEN ISO 13849-1 (rvision).
Figure 59: Utilisation recommande de lIEC 62061 et de lISO 13849-1
45

A partir de quel moment faut-il appliquer la nouvelle EN ISO 13 849-1?

Y a-t-il des priodes transitoires?
Novembre 2009
Priode transitoire
Harmonisation
Adoption
Concertation
Version dfinitive
1ier trimestre 2007

Automne 2006
Et 2006
Moiti de 2006
Figure 60 : Planning actuel (situation mai 2007). Selon celui-ci, la priode transitoire de la nouvelle norme va jusqu novembre 2009 ; jusqu ce moment-l, son application est facultative et non-obligatoire.
Toute norme qui est ventuellement en contradiction ou en opposition avec lEN ISO 13849-1:2006
(cest--dire lEN 954-1:1996 ou lEN ISO 13849-1:1999) doit tre retire au plus tard pour novembre
2009 et remplace par la version nationale de la DIN EN 13849-1:2006, en Allemagne la version DIN EN
13829-1:2007-02.
Entre en vigueur
de la EN ISO 13849-1
Planning actuel
Bien que lIEC EN 62061 soit dj formellement accepte, la EN ISO 13849-1 est actuellement soumise lenqute parallle. Il se
peut quil y ait encore une priode de relecture
ultrieure. Pour linstant, le projet de norme est
exclusivement disponible en allemand (version:
juin 2004), lorsque la forme dfinitive de lIEC
EN 62 061 est dj disponible auprs de maisons ddition telles que Beuth Verlag (www.
beuth.de).
ir
o
V
2
e
g
pa
Si le planning actuel est maintenu, lEN ISO

13849-1 entrera en vigueur en 2006 pour
remplacer dfinitivement lEN 954-1 aprs une
priode transitoire de 3 ans.
46 (corrig, voir page 2)
Comparaison avec ltat de juin 2004

Par rapport ltat du projet de norme de juin
2004, la version dfinitive de la EN ISO 13849-1
comprend quelques modifications importantes,
entre autres au niveau du domaine dapplication
(voir dessus) et du graphe pour lestimation du
risque. La version actuelle de la EN ISO 138491 permet galement la ralisation de systmes
PES, moyennant quelques restrictions.
Pour le graphe pour lestimation du risque, la norme dfinit clairement le rapport entre les risques
et le niveau de performance les descriptions
doubles ont donc t supprimes (telles que:
au choix PL x ou PL y). Pour le paramtre frquence et/ou dure dexposition au phnomne
dangereux, il est indiqu clairement que rare
signifie gnralement >1 par heure.
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
P2
F2
P1
P2
c
d
P1
P2
Risque
lev
Quelles sont les diffrences essentielles entre la version actuelle et la

version publie de la EN ISO 138491:2004?
Adaptation du graphe pour lestimation
du risque
Valeurs spcifiques pour la fiabilit des
composants de scurit (PFHd)
Valeurs MTTFd et B10d spcifiques pour
les composants hydrauliques, pneumatiques et lectromcaniques
Exigences pour le logiciel
Modification du domaine dapplication
Pas limit aux architectures dsignes
Seulement pour le logiciel embarqu
pour PL e, rfrence lIEC 61508
Figure 61: Questions slectionnes
Une autre diffrence est issue de linterprtation de la catgorie 4, o lapprciation dune

accumulation de dfaillances doit gnralement se limiter deux dfaillances.
Combien de dfaillances puis-je combiner dans la catgorie 4?
EN ISO 13849-1 vis--vis des normes C

Il existe quelques centaines de normes C
ou normes de produit, par exemple pour les
machines-outils, les centres dusinage, etc.
Puisque les normes C actuelles exigent exclusivement une catgorie, des mesures pour
maintenir la compatibilit simposent.
Dans les annes venir, les concepteurs des
normes C devront donc passer laction. Ils
ont deux possibilits pour sadapter la EN
ISO 13894-1.
Ils peuvent dornavant exiger seulement un
niveau de performance PL pour leurs machines pour offrir ainsi leurs clients un degr
de libert suprieur lors de la conception,
surtout en cas dun niveau de performance
moyen.
Foire aux questions
a
b
c
d
e
MTTFd = faible
MTTFd = moyen
MTTFd = lev
B
1
2
2
3
3
4
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
0
0
faible
moyen
faible
moyen
lev
1. Loccurrence dun dfaut ne conduit pas

la perte de la fonction de scurit
Figure 63: Diverses possibilits pour la ralisation
2. La premire dfaillance est dtecte.

Si la dtection est impossible, une accumulation de dfaillances non dtectes ne peut pas conduire la perte de
la fonction de scurit.
Une autre possibilit consiste dfinir une

catgorie en plus du niveau de performance,
surtout si on veut augmenter linfluence sur la
structure.
Remarque: en pratique, il suffit de considrer la combinaison de deux dfaillances.

Nouveau: indpendamment de la technologie utilise pour lapplication ou le taux
de dfaillance des composants.
47

Le tableau repris ci-aprs est un outil pratique

(attention pour la ralisation des SRP/CS de
catgorie 2 avec les architectures dsignes
spcifies!).
Ma norme C exige une catgorie pour

le systme de commande de la machine. Convient-il dutiliser un niveau
de performance lavenir?
En principe, il convient lavenir dindiquer un niveau de performance pour la
classification. LEN ISO 13849-1 prvoit
cependant quil faut indiquer les spcifications suivantes dans le manuel
demploi de chaque SRP/CS:
EN ISO 13849-1:200x
Catgorie X PL Y
Conception conformment aux normes relevantes pour garantir laptitude des parties relatives
la scurit excuter une fonction de scurit
dans des conditions prvisibles
faible
lev
faible
lev
lev
Principes de scurit prouvs

Composants prouvs
Mean Time To dangerous Failure MTTFd
X
faible
moyen
lev
Dtection de dfaillances (tests)
Dtection dune dfaillance
Considration de laccumulation de dfaillances

Couverture du diagnostic (Diagnostic Coverage)
DCavg
faible
moyen
faible
moyen
lev
Mesures de prvention des dfaillances de

cause commune CCF
Principalement caractris par
Figure 65: Catgories et exigences supplmentaires
48
Choix
du composant
Structure
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
Perspective
Il est incontestable quun grand nombre de
questions relatives la EN ISO 13849-1 reste
sans rponse.
Nous vous tiendrons au courant des derniers
dveloppements et vous fourniront des explications plus dtailles ce sujet dans notre
MRL News.
Les effets de la EN ISO 13849-1 peuvent tre
rsums en deux grands groupes: dune part
le groupe qui se rapporte la quantification
(MTTFd, DC, CCF). On assume que les machines intgrant des SRP/CS constitue de
composants prouvs de qualit approprie,
rpondent galement aux exigences de la
nouvelle norme, sans exiger des modifications
substantielles.
Dautre part, des modifications peuvent simposer pour la ralisation de montages en srie
complexes (risque de dfaillance pour le
niveau de performance suite laddition des
risques rsiduels) et pour lutilisation des architectures dsignes de catgorie 2.
49
Notes
50

Glossaire
Architecture dsigne:
Configuration spcifique des lments matriels et logiciels dans un SRECS
CCF:
Dfaillance(s) de cause commune (Common
Cause Failure)
Dfaillances, rsultat dun ou plusieurs vnements, entranant des dfaillances simultanes
sur deux ou plusieurs canaux spars dans un
sous-systme canaux multiples (architecture
redondante), entranant la dfaillance de la
fonction de commande relative la scurit
DC:
Couverture du diagnostic (Diagnostic Coverage)
Dcroissance de la probabilit de dfaillance
dangereuse du matriel rsultant du fonctionnement des tests de diagnostic automatique
DCavg:
Couverture moyenne du diagnostic
(average Diagnostic Coverage)
MTBF:
Moyenne des temps de bon fonctionnement,
temps moyen avant dfaillance (Mean Time
Between Failures)
Esprance mathmatique de la dure de bon
fonctionnement
MTTF:
Dure moyenne de fonctionnement avant
dfaillance, temps moyen avant dfaillance
dangereuse dun canal (Mean Time To Failure)
Esprance mathmatique de la dure de fonctionnement avant dfaillance
MTTFd:
Dure moyenne de fonctionnement avant dfaillance dangereuse (Mean Time to dangerous
Failure)
Valeur moyenne du temps de fonctionnement
pendant lequel il est prvu quun canal unique
dun systme nait pas de dfaillance dangereuse
PFH:
Probabilit de dfaillance par heure
(Probability of Failure per Hour)
PFHd:
Probabilit de dfaillance dangereuse par
heure (Probability of dangerous Failure per
Hour)
PL:
Performance Level ou niveau de performance
Aptitude de parties relatives la scurit raliser une fonction de scurit dans des conditions prvisibles (quil convient de prendre en
considration) pour atteindre la rduction du
risque attendu.
PLr:
Niveau de performance requis (Performance
Level required)
Niveau de performance permettant datteindre
la rduction du risque requise pour chaque
fonction de scurit
SIL:
Niveau dintgrit de scurit (Safety Integrity
Level)
Niveau discret (parmi trois possibles) permettant de spcifier les exigences concernant lintgrit de scurit des fonctions de commande
relatives la scurit allouer aux SRECS, le
niveau 3 dintgrit de scurit possdant le
plus haut degr dintgrit et le niveau 1 possdent le plus bas
SRP/CS:
Parties dun systme de commande relatives
la scurit (Safety Related Parts of a Control
System)
Partie ou sous partie(s) dun systme de commande qui rpond(ent) des signaux dentre
et gnre(nt) des signaux de sortie relatifs la
scurit
Valeur B10d:
Valeur reprsentant le nombre de manoeuvres, dans laquelle 10% des prototypes tests
prsentent statistiquement une dfaillance
dangereuse
K.A. Schmersal GmbH

Industrielle Sicherheitsschaltsysteme
Elan Schaltelemente GmbH & Co. KG
Mddinghofe 30
Postfach 240263
Im Ostpark 2
Postfach 1109
Tlphone +49 (0)202 6474-0

Tlcopie +49 (0)202 6474-100
Courriel: info@schmersal.com
Internet: www.schmersal.com
Tlphone +49 (0)641 9848-0

Tlcopie +49 (0)641 9848-420
Courriel: info-elan@schmersal.com
Internet: www.elan.de
52
08/08 X
flick-werk

ISO 13849-1 Versus en 954-1 Fasc ELAN XFRX

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

ISO 13849-1 Versus en 954-1 Fasc ELAN XFRX

Загружено:

Авторское право:

Доступные форматы

Une nouvelle norme pour la scurit des machines:

Aprs de nombreux conflits et diffrends (

Par contre, toutes les autres informations

Suite la modification du planning pour lentre en vigueur, le tableau repris la page 46

A partir de quel moment faut-il appliquer la nouvelle EN ISO 13 849-1?

1ier trimestre 2007

Wuppertal/Wettenberg, au mois de mars 2006

sadressant explicitement aux constructeurs

Cette brochure reprend une explication

La gamme de produits du Groupe Schmersal

Une nouvelle norme pour la scurit des machines:

Une nouvelle norme pour la scurit des machines:

Table des matires

Arguments pour le remplacement de lEN 954-1

Nouveau graphe pour lestimation des risques

Diagnostic Coverage (DC) Couverture du diagnostic

Common Cause Failure Management (CCF) Dfaillance(s) de cause commune

La EN ISO 13849-1 et les SRP/CS de complexit faible

Montage en srie des SRP/CS selon la EN ISO 13849-1

La EN ISO 13849-1 et le logiciel

La prEN ISO 13 849-1 vis--vis de lEN 62 061

Entre en vigueur de la EN ISO 13849-1

Foire aux questions

Rdaction et mise en page

Une nouvelle norme pour la scurit des machines:

Figure 1: Tentative de rapprocher lapproche dterministe et lapproche probabiliste

Sans porter prjudice aux efforts du comit

Justification pour la rvision

Pour les systmes de commande universels

Une nouvelle norme pour la scurit des machines:

Lexactitude de lapproche et des exigences de

Nouveau graphe pour lestimation

Figure 2: Quelques points de critique sur la

1) Voir galement CR 954-100: Lignes directrices pour lemploi et

Figure 3: Rduction du risque requise et niveau de performance: S = gravit de la blessure;

CCF (dfaillances de cause commune) et la

Une nouvelle norme pour la scurit des machines:

Probabilit de dfaillance dangereuse par heure

Figure 4: Dfinition du niveau de performance PL comme facteur de fiabilit relatif la scurit

rsulte de lapprciation du risque rapporte

Reprsentation conformment la norme:

Figure 5: Fonctions de scurit et SRP/CS

1) La norme fait une distinction systmatique entre le

Exemples pour la construction des

Nouveaux aspects pour lapprciation

Figure 6: Extension de la notion catgorie

Une nouvelle norme pour la scurit des machines:

Figure 8: Mthode simplifie pour la dtermination du niveau de performance PL

on a plusieurs possibilits pour la conception,

Si on veut obtenir un niveau de performance

Ici se termine la brve description des grandes

Ceci signifie que le niveau de performance e

1) In der Systematik der Norm wird zwischen PLr und

Catgorie Catgorie Catgorie Catgorie Catgorie Catgorie Catgorie

Figure 9: Niveau de performance PL: Dtermination alternative laide du tableau

La prise en compte de larchitecture dsigne

Figure 10: Introduction

Une premire possibilit se base sur la

En fait, les architectures dsignes sont les

Une nouvelle norme pour la scurit des machines:

Une deuxime possibilit consiste lutilisation de lexclusion de dfauts (voir figure

Quand puis-je exclure des dfauts?

Faut-il imprativement utiliser les architectures dsignes?