Академический Документы
Профессиональный Документы
Культура Документы
EN ISO 13849-1:2006
Parties des systmes de commande relatives la scurit
Risque
faible
de
Niveau
nc e
a
per form
Lr
P
requis
a
P1
P1
P2
Hohe s
Risiko
Catgorie 3
1 2
F2
P1
P1
S2
P2
S1
F1
P2
P2
P1
F1
F2
P1
S1
S2
P2
P2
r t de
e d pa
Point d
e la
n
atio d
lestim
qu e
is
r
n du
o
ti
c
u
d
r
F2
F1
Miseur!
jo
Une nouvelle norme pour la scurit des machines: Wuppertal/Wettenberg, mars 2007
EN ISO 13849-1 Parties des systmes de commande relatives la scurit
Cher client ,
Cher client ,
Toute norme qui est ventuellement en contradiction/opposition avec lEN ISO 13849-1:2006
(cest--dire lEN 954-1:1997 ou lISO 138491:1999) doit tre retire au plus tard pour
novembre 2009.
Friedrich Adams
K.A. Schmersal Holding GmbH & Co. KG
Novembre 2009
Priode transitoire
Harmonisation
Adoption
Concertation
Version dfinitive
Et 2006
Moiti de 2006
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
Cher client ,
Cher client ,
F2
Point de dpart de
lestimation de la
rduction du risque
P1
P1
P2
S2
F2
P2
P1
P2
Risque
lev
Heinz Schmersal
PDG
K.A. Schmersal Holding GmbH & Co. KG
Friedrich Adams
K.A. Schmersal Holding GmbH & Co. KG
* Linstitution professionnelle pour la scurit du
travail
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
P2
F2
P1
P2
c
d
P1
P2
Risque
lev
Introduction
Architectures dsignes
13
Valeurs MTTFd
15
23
26
Exemple
27
Validation
32
SiSteMa
34
36
38
40
43
46
47
Perspective
49
Glossaire
51
Editeur
Elan Schaltelemente GmbH & Co. KG
Im Ostpark 2
35435 Wettenberg/Allemagne
Tlphone +49 (0)641 9848-0
Tlcopie +49 (0)641 9848-420
E-Mail: info-elan@schmersal.com
Internet: www.elan.de
Introduction
Le remplacement venir de la norme EN 95411 entranera des modifications pour lestimation du risque. Le constructeur des machines
devra sadapter. Dornavant, lapproche dterministe devra dbarrasser le plancher pour
lapproche probabiliste lors de la slection des
composants relatifs la scurit.
Deux nouvelles normes rivalisent pour la
succession de lEN 954-1: la EN ISO 1384912 dune part, qui est issue directement de
la rvision de lEN 954-1 et la IEC EN 620613
dautre part, une norme sectorielle sadressant
explicitement aux constructeurs de machines
et installations, qui est drive de la IEC EN
615084.
Contrairement lEN 954-1, qui se base
exclusivement sur lanalyse des structures
(approche dterministe), les nouvelles
normes exigent une analyse de la fiabilit et
de la probabilit de dfaillance de parties des
systmes de commande relatives la scurit
(approche probabiliste).
Dans lIEC EN 61 508 et lIEC EN 62061,
lapproche probabiliste se fait sentir davantage
plus profondment sous forme des calculs
mathmatiques de la probabilit et la modlisation.
Le comit technique ayant labor la EN ISO
13849-1 par contre a essay de fournir aux
utilisateurs moyens de la norme des prescriptions de scurit et des conseils pratiques
relatifs la conception et lvaluation des
parties des systmes de commande relatives
la scurit afin de trouver un quilibre dlicat
entre lapproche dterministe et probabiliste
(voir figure 1).
1) EN 954-1:1997-03: Scurit des machines Parties des systmes de commande relatives la scurit Partie 1: Principes gnraux de conception
(correspond lISO 13849-1:1999-11)
2) EN ISO 13849-1:2007-02: Scurit des machines
Parties des systmes de commande relatives la
scurit Partie 1: Principes gnraux de conception
3) IEC EN 62061:2005-10: Scurit des machines
Scurit fonctionnelle des systmes lectriques/
lectroniques/lectroniques programmables
4) IEC EN 61508:2002-11: Scurit fonctionnelle des
systmes lectriques/lectroniques/lectroniques
programmables
Partie 1: Prescriptions gnrales
Partie 2: Prescriptions pour les systmes lectriques/lectroniques/lectroniques
programmables relatifs la scurit
Partie 3: Prescriptions concernant les logiciels
Partie 4: Termes, dfinitions et abrviations
Partie 5: Exemples de mthodes de dtermination
des niveaux dintgrit de scurit (SIL,
Safety Integrity Level)
Partie 6: Lignes directrices pour lapplication de
lIEC 61508-2 et lIEC 61508-3
Partie 7: Prescriptions pour lapplication des processus et mesures
Source: Beuth Verlag GmbH, 10772 Berlin/Allemagne; www.beuth.de
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
EN ISO 13 849-1
EN 954-1:1996
IEC 61508:19982000
Approche dterministe
$SSURFKHSUREDELOLVWH
Mthodes prouves:
)RQFWLRQVGHVFXULW
*UDSKHSRXUOHVWLPDWLRQGHVULVTXHV
&DWJRULHV
Nouveaux concepts:
4XDQWLFDWLRQDELOLWGHV
FRPSRVDQWVHWTXDOLWGHVHVVDLV
'IDLOODQFHVGHFDXVHFRPPXQH
Une chose est certaine: lEN 954-1 ne correspond plus ltat actuel de la technologie,
surtout parce quelle ne prvoit pas dexigences pour les systmes hautement complexes
avec fonction de scurit, bien quelle ne les
exclue pas forcment.
Nous reprenons cette liste (non exhaustive) de
points de critique dans le seul but de faciliter la
comprhension du contexte ayant ncessit la
rvision de lEN 954-1, sans devoir approfondir
le thme (voir galement figure 2).
Critique:
0DOJUOLQWJUDWLRQGHV\VWPHVOHFWUR
QLTXHVSURJUDPPDEOHVFRPSOH[HVDEVHQFH
GH[LJHQFHVGWDLOOHV
,QVXIVDPPHQWGH[LJHQFHVSRXUODFRQVLG
UDWLRQGHVWDX[GHDELOLW
/H[FOXVLRQGHGIDXWVGDQVODFDWJRULH
DERXWLWODEVHQFHGXQHKLUDUFKLHSRXU
OHVWLPDWLRQGHODUGXFWLRQGXULVTXH
*UDSKHSRXUOHVWLPDWLRQGXULVTXHSDVGH
UDSSRUWGLUHFWHQWUHODUGXFWLRQGXULVTXHHW
ODFDWJRULHODFRPSOH[LWHVWQJOLJH
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
Risque
faible
Niveau de
performance
requis PLr
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
Application
La probabilit de dfaillance dangereuse du
systme, reprsente par la valeur PFHd1 (voir
galement figure 4) dpend de plusieurs facteurs, tels que la structure du systme, ltendue de la dtection des dfauts (la couverture
du diagnostic, DC), la fiabilit des composants (temps moyen avant dfaillance dangereuse, MTTFd), les dfaillances de cause
commune (CCF), le processus de conception,
la contrainte de fonctionnement, les conditions
environnementales et les modes de fonctionnement.
Cette approche probabiliste est la modification
la plus marquante de la prEN ISO 13849-1.
Les classifications du niveau de performance
PL se rapportent directement aux niveaux
dintgrit de scurit (Safety Integrity Levels (SILs)) de la IEC EN 61508 et permettent
de rfrer aux catgories de lEN 954-1; par
exemple: catgorie 1 correspond (mais nest
pas lquivalent de) PL b, catgorie 2 PL
c etc.
1) PFH = Probability of Failure per Hour: probabilit de
dfaillance par heure
10 4
PL
10 5
3 x 10 5
Risques faibles
10 6
10 8
10 7
Risques levs
Application
Le concepteur doit dfinir les fonctions de
scurit qui sont ncessaires pour raliser
les mesures de scurit requises du systme
de commande pour lapplication considre, par exemple, la fonction darrt, la mise
en marche et la remise en marche ou une
fonction oprationnelle. Pour chaque fonction de scurit slectionne, un niveau de
performance requis PLr (r = required)
doit tre dtermin et document. Celui-ci
La (les) fonction(s) de scurit est (sont) excute(s) par les parties dune commande relatives
la scurit (SRP/CS)
Capteur
Logique
$FWLRQQHXU
Dtection
Traitement
Commutation
iab
SRP/CS
ilx
SRP/CS
10
PL
Les d
faillan
c e s sy
socie
s tma
s de fa
tiques
on d
cause
sont a
termin
s, ne p
siste
o u va n
une m
c
er tain
t t r e
odifica
es
li
m
tion de
ines
p r oc e s
q u e pa
la con
sus de
r
c
e
ption o
fabrica
dexplo
u du
tion, d
itation
e
s p r oc
, de la
dautre
d u r es
d oc u m
s f ac te
entatio
urs ap
n ou
propri
Lanne
xe G fo
s.
urnit d
es me
Utilis
s u r e s:
ation d
e la d
voir EN
s
a
c
ti
v
ation
ISO 13
nergti
849-2
Matr
que,
ise ou
viteme
ne me n
nt d e s
t physiq
ef fets d
ue
Me su
e lenvir
res info
on r
matiqu
s qu e n
es: sur
c e de p
v
e
il
lance d
ro g r a m
conten
e la
m a p ou
a nt u n
r les SR
logicie
Matr
l
P/CS
ise des
ef fets d
ef fets r
e s e r re
sultan
ur s et d
t de to
munica
autres
u t p ro c
tion de
e
s su s d
donn e
e c om s
Figure
7: Elim
iner et
systm
matris
atiques
er les d
faillan
ces
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
P1
P2
Risque
lev
idem
EN 954-1:
1997
Catgories
(redondance,
essai)
CCF
partir de
catgorie 2
Application
Le concepteur doit dfinir les fonctions de
scurit qui sont ncessaires pour raliser
les mesures de scurit requises du systme
de commande pour lapplication considre, par exemple, la fonction darrt, la mise
en marche et la remise en marche ou une
fonction oprationnelle. Pour chaque fonction de scurit slectionne, un niveau de
performance requis PLr (r = required)
doit tre dtermin et document. Celui-ci
rsulte de lapprciation du risque rapporte
la proportion de la rduction du risque qui
est ralise par les SRP/CS.
La dtermination du niveau de performance
PL est une apprciation de larchitecture globale des SRP/CS excutant la (les) fonction(s)
de scurit, qui sont subdiviss en soussystmes tels que les capteurs (dtection), la
logique (le traitement) et les actionneurs (la
commutation) (voir figure 5)
MTTFd
(qualit des
composants)
DC
(qualit
dessai)
en fonction de
la catgorie
partir de
catgorie 2
11
Niveau de performance
a
b
c
d
e
MTTFd = faible
MTTFd = moyen
MTTFd = lev
Catgorie Catgorie Catgorie Catgorie Catgorie Catgorie Catgorie
B
1
2
2
3
3
4
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
0
0
faible
moyen
faible
moyen
lev
Un niveau de performance
au lieu dune catgorie
Les rsultats de lestimation des valeurs de fiabilit (cest--dire lvaluation des architectures
dsignes, du MTTFd, de la DC et des CCF) sont
copis ensuite dans un diagramme pour dterminer le niveau de performance (voir figure 8).
Niveau de performance
a
b
c
d
e
MTTFd = faible
MTTFd = moyen
MTTFd = lev
12
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
Architectures dsignes
Excution
La figure 10 reprend les architectures dsignes applicables dans la EN ISO 13849-1.
Thorie
La EN 13 849-1 utilise toujours les anciennes catgories de lEN 954-1 pour classifier les parties dun systme de commande
relatives la scurit selon leur rsistance aux
dfauts et leur comportement conscutif des
dfauts. Elle prvoit toutefois lutilisation darchitectures dsignes pour les catgories, des
architectures types qui remplissent les prescriptions des catgories correspondantes. La
contribution la rduction du risque apporte
par ces structures a t dfinie pralablement
laide des modles de Markov (cf. IEC EN
61508). Lutilisateur de la EN ISO 13 849-1 ne
doit donc plus effectuer des calculs mathmatiques complexes.
Application
Lutilisation des architectures dsignes est
un lment de lapproche simplifie de la EN
ISO 13894-1. Toutefois, certaines questions
restent sans rponse bien quelles restent
galement sans rponse pour linterprtation
de lEN 954-1.
Prenons par exemple lexcution 2 canaux
des capteurs et actionneurs dans les catgories 3 et 4: faut-il prvoir deux capteurs ou actionneurs par exemple pour la surveillance de
position dun protecteur mobile? Et quest-ce
quil faut faire exactement si on veut scarter
des architectures dsignes?
Signal
dentre
O possibilits:
L
Il y a de nombreuses
Surveillance
Signal
dentre
TE
Signal de
sortie
L
Surveillance
Surveillance
Surveillance
OTE
L1
Signal
de sortie
O1
I1
Signal
dentre
L1
Cross
Surveillance
coupure
Monitoring
Cross
rveillance
I1
OTE
I1
Signal
dentre
Surveillance
Monitoring
L1
I2
Signal
dentre
L2
Signal
de sortie
O1
Monitoring
Signal
de sortie
O2
2ime
ou voie
dindication
Signal
dentre
2ime
voie de
coupure
ou voie
dindication
TE
Surveillance
Signal de
sortie
Surveillance
OTE
ou voie
dindication
Surveillance
Signal
dentre
2
voie de
coupure
Catgorie 3 et 4:
Surveillance
TE
Catgorie 2:
Signal de
sortie
Surveillance
Signal
dentre
dentre
Signal de
sortie
Cross
Surveillance
Catgorie B et 1:
Signal de
sortie
I2
Signal
dentre
L2
Monitoring
Signal
de sortie
O1
Monitoring
Signal
de sortie
O2
13
14
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Signal
dentre
Risque
lev
Signal de
sortie
Catgorie 2:
Surveillance
Signal de
sortie
L
Surveillance
Surveillance
Surveillance
Signal
dentre
TE
2ime
voie de
coupure
OTE
ou voie
dindication
L1
Cross
Surveillance
I1
Signal
de sortie
O1
Valeurs MTTFd
Thorie
Lors du calcul des valeurs MTTFd dans le
contexte de la EN ISO 13849-1, il faut se
rendre compte que les SRP/CS prsentent
toujours un pourcentage de risques rsiduels
affectant la fonction de scurit (notamment
les dfaillances dangereuses alatoires
probables). Il faut donc matriser ces risques
rsiduels, cest--dire les rduire un taux
acceptable.
Un contact de commutation ne peut pas ouvrir
ou fermer par exemple. Limpossibilit douverture gnralement cre une situation dangereuse dans la commande de la machine en cas
dabsence dun systme redondant ou dune
surveillance approprie. Tous les contacts ne
sont cependant pas identiques: il y a des diffrences qualitatives, telles que la conception, le
matriel utilis, etc.
15
Annes
60
annes
18
annes
72%
28%
37%
63%
90%
10%
Dfaillance
MTBF = 6 annes
MTBF = 18 annes
MTBF = 60 annes
Figure 14: Reprsentation concrte dune dure de mission moyenne, reprenant trois collectifs avec
diffrents niveaux de fiabilit. Leurs units (reprsentes par les points) prsentent des dfaillances
des moments alatoires. Les moments des dfaillances sont indiqus par les coordonnes verticales.
Les dfaillances sont rparties sur une priode assez longue, par exemple certaines units individuelles
du premier collectif ont une dure de vie de 18 ans, lorsque dautres prsentent une dfaillance aprs
un an. Aprs 6 ans, une dfaillance est survenue 63% des units. (Source: introduction aux mthodes
pour lanalyse de fiabilit, SIEMENS AG, I&S IS ICS IT2).
Autrement dit:
100%
inacceptable
80%
MTTFd = 3 y
MTTFd = 10 y
MTTFd = 30 y
MTTFd = 100 y
faible
60%
moyen
40%
lev
20%
inacceptable
0%
10
15
Temps [annes]
16
20
25
30
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
Ausfhrung
Dans le contexte de la EN ISO 13849-1, les
calculs du MTTFd et de la PFH doivent tre diffrentis en fonction quils sont utiliss pour:
un composant de scurit
ou
un canal dune SRP/CS
ou
une SRP/CS complte
1
=
MTTFd
i=1
1
MTTFd i
Figure 16: MTTFd dun canal (selon la mthode de comptage des parties, parts count
method)
Ensuite, il doit comparer le rsultat aux valeurs reprises dans le tableau (figure 17) pour
connatre la qualit relative la scurit dun
canal de la SRP/CS.
17
moyen
lev
MTTFd est une valeur moyenne statistique et non pas une dure de mission garantie!
Figure 17: MTTFd Valeur moyenne pour la dure de fonctionnement avant dfaillance dans un canal
du systme de commande
Exemple de calcul
j
Component
1/MTTFd,j
nj/MTTFd,j
Units MTTFd,j
(nj)
worst case worst case worst case
[y]
[1/y]
[1/y]
1142
0,000876
0,001752
11416
0,000088
0,000438
5708
0,000175
0,000701
1256
0,000796
0,003185
Contacteur
32
0,031250
0,031250
0,037325
(nj/MTTFd,j)
MTTFd = 1/(nj/MTTFd,j)
[y]
26,79
Cet exemple donne un MTTFd de 26,8 ans, qui correspond un indice moyen selon la figure 17.
Dans cet exemple, le contacteur est le composant ayant la plus grande influence. Le rsultat est
gnralement bien meilleur, cest--dire que le MTTFd est plus lev.
18
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
Les architectures dsignes admettent que les valeurs MTTFd de diffrents canaux dans
une partie SRP/CS redondante sont les mmes.
Formule de symtrisation en cas de valeurs MTTFd diffrentes:
MTTFd =
2
3
MTTFd C1 + MTTFd C2
1
1
1
+
MTTFd C1 MTTFd C2
Exemple: MTTFd C1 = 3 ans, MTTFd C3 = 100 ans, il en rsulte donc un MTTFd de 66 ans
Figure 18: Symtrisation de MTTFd pour diffrents canaux
19
Les tableaux C.2 C.7 reprennent des valeurs moyennes types du MTTFd pour les composants lectriques de la SN 29 500, par exemple
Composant
Exemple
MTTF [y]
composant
MTTFd
type [y]
MTTFd [y]
cas le plus
dfavorable
Dfaillances dangereuses
Transistor bipolaire
TO18, TO92,
SOT23
34.247
68.493
6.849
50%
15.981
31.963
3.196
50%
114.155
11.416
50%
Diode antiparasite
Condensateur
Rsistance, film de carbone
Coupleur optolectronique
avec sortie bipolaire
SFH 610
114.155
228.311
22.831
50%
7.648
14.840
1.484
50%
20
nop =
B10d
0,1 nop
s
dop hop 3.600 h
tcycle
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
P2
F2
P1
P2
c
d
P1
P2
Risque
lev
150 ans
150 ans
20.000.000
B10d = 20.000.000
B10d =
Facteur 50
400.000
B10d = 20.000.000
B10d =
2.000.000
B10d =
10.000
B10d =
100.000
tcycle =
Composants pneumatiques
24 h
1h
547.945
22.831
1 min.
1 sec.
380
6,3
547.945
22.831
380
6,3
10.960
457
7,6
0,1
547.945
22.831
380
6,3
54.794
2.283
38
0,6
274
11
0,2
0,003
2.739
114
1,9
0,032
Figure 22: Valeurs MTTFd converties pour les composants pneumatiques et lectromcaniques en
fonction du taux de sollicitation (tcycle)
21
Pour le
calcul
d e s va
com po
leurs M
s a nt s
T TF d
isols,
lordre
la proc
d es
suivan
d
t sont
u r e et
p r esc r
ites:
1. Utilis
ation d
es s p
cificat
du fab
ions
ricant
2 . M t
hod e d
e lann
exe C
3 . MT T
Fd dfi
ni = 10
Condit
ans
ion: Go
o d En g
Bonne
ineerin
s Pratiq
g Prac
ue s
tices,
Figure
23: Le
s valeu
p o s a nt
r s MT T
s isols
Fd pou
r des c
om -
1) Rapport BIA 6/04, Analyse des processus de vieillissement de vannes hydrauliques www.hvbg.de/bgia.
Code web: 1006447
22
du
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
dd
P2
P1
c
d
P2
Risque
lev
DC =
3L
dd
Couverture du diagnostic
Ldd + Ldu
Couverture du diagnostic
Thorie
Bien que les exigences de la EN ISO 138491 pour les calculs MTTFd sont relativement
claires et rectilignes, il faut faire quelques
concessions lors de lanalyse de la couverture
du diagnostic (Diagnostic Coverage = DC).
Ceci est une hypothse relative, car les dfaillances de la SRP/CS ne sont pas toujours
dtectes immdiatement. Parfois, elles sont
seulement dtectes la prochaine sollicitation de la fonction de scurit, par exemple un
contact de scurit lectromcanique pont
ou soudure dun contact pendant louverture
dun protecteur mobile.
CP U1 90%
CPU1
Valeurs DC pour
chaque mesure
dun tableau
90%
60%
S2
90%
Intakt
M2
90%
90%
EN ISO 13849-1,
annexe E
IEC 61508-2,
Tableau A.2-15
0%
99%
CP U2
CPU2
99%
90%
M199%
S1
90%
A1
99%
A2
99%
23
Couverture du diagnostic DC
nulle
faible
moyenne
leve
99% DC
DC < 60%
PL
Excution
Conformment lide de simplification, la EN
ISO 13849-1 classifie la qualit de la dtection
des dfaillances ou de la couverture du diagnostic (DC, Diagnostic Coverage) en diffrents niveaux: none (nulle), low (faible), medium
(moyenne) et high (leve) voir figure 27.
Mesure
DC
Relais/
contacteur
99%
Actionneur
Capteur
60%
Logique
6090%
24
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
DCavg =
DC2
DCS
DC1
+
+ ... +
MTTFd1 MTTFd2
MTTFdN
1
1
1
+
+ ... +
MTTFdN
MTTFd1 MTTFd2
Les parties sans dtection de dfaillance, par exemple celles qui nont pas t soumises
un essai, ont une DC = 0. Toutes les parties de la SRP/CS ne prsentant pas dexclusion de
dfauts doivent tre prises en considration et additionnes. Le MTTFd et la DC sont pris
en compte pour chaque partie.
Figure 29: Couverture du diagnostic moyenne DCavg
Application
La DC moyenne DCavg calcule reprsente la
qualit de la couverture du diagnostic ou de
la dtection de dfaillances de lensemble des
SRP/CS ralisant la fonction de scurit.
Les valeurs MTTFd de lensemble des SRP/CS
ralisant la fonction de scurit sont intgres
dans le calcul, dans ce sens quune combinaison dun MTTFd dindice faible et dune DC
individuelle dindice faible est plus prpondrant et rduit la DCavg (et vice versa).
25
Dfaillance
Cause
canal 2
commune
Dfaillance
canal 1
Dans la prsente norme et conformment lannexe D de lIEC 61508-6, il est
admis que le facteur b pour les mesures
de prvention des CCF exiges pour les
systmes redondantes (catgorie 2, 3, 4)
est gnralement infrieur ou gal 2%.
Figure 30: Dfaillances de cause commune
(CCF)
Excution
Lestimation de leffet des CCF doit tre
ralise pour lensemble du systme. Chaque
partie du systme de commande doit tre
considre.
La EN 13 849-1 comprend un tableau numrant les mesures et contenant des valeurs associes, fondes sur une valuation dexpert,
qui reprsentent la contribution de chaque
mesure la rduction des dfaillances de
cause commune (CCF).
Suite au contexte de lestimation des CCF,
des mesures telles que la sparation physique
entre les voies de signaux, la diversit ou les
mesures relatives limmunit lectromagntique ont un score lev (idem pour les
mesures de protection contre la surtension, la
surpression, la surintensit ou les mesures de
filtration dans la technique fluidique.
Pour remplir les exigences de la EN ISO
13849-1 ce sujet, il faut obtenir un score minimal de 65 points. Le score maximal slve
26
15 points
20 points
15 points
5 points
5 points
5 points
25 points
10 points
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
Catgorie
MTTFd
DC
PL r PL r
Validation
oui
oui
oui
CCF
Toutes SF?*
non
non
non
Figure 32: Processus itratif pour la conception et la ralisation des SRP/CS selon prEN ISO 13849-1
Exemple
La EN ISO 13849-1 comprend une version
adapte du processus itratif pour la conception de parties des systmes de commande
relatives la scurit (SRP/CS) de lEN ISO
12100-1. Le processus est divis ici en 8 tapes thoriques. Il commence par la slection
des fonctions de scurit indispensables que
la SRP/CS doit raliser (tape 1) et termine par
conclure que le niveau de performance requis
PLr est obtenu ou pas (tape 8).
Exemple:
Verrouillage dun protecteur avec sparation physique
Fonction de scurit:
Le mouvement dangereux est arrt ds que la porte du
protecteur est ouverte
Figure 33: Slection et dfinition des exigences indispensables
pour la fonction de scurit
27
Niveau de
performance
requis PLr
Risque
faible
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P2
P1
F1
S2
P1
P2
c
d
P1
F2
PL r = c
P2
Risque
lev
Figure 34: Dfinition du niveau de performance requis PLr
Lestimation du niveau de performance requis,
cest--dire lvaluation du risque au moyen du
nouveau graphe de la EN ISO 13 849-1, doit
aboutir un niveau de performance requis PLr
c (voir figure 34).
Ouvrir
Fermer
SW1B
SW2
K1B
API
PLC
SW1B
SW2
SPS
Signal de commande
RS n
28
CC
K1B
PLC
CC
RS
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
2
MTTFd C1 + MTTFd C2
3
1
1
1
+
MTTFd C1 MTTFd C2
MTTFd = 20 y (moyen)
1
30 y
Canal 1: MTTFd = 30 y
DCavg =
DC2
DCS
DC1
+
+ ... +
MTTFd1 MTTFd2
MTTFdN
1
1
1
+
+ ... +
MTTFdN
MTTFd1 MTTFd2
DCavg = 67% (faible)
29
Performance level
a
b
c
d
e
MTTFd = faible
MTTFd = moyen
MTTFd = lev
Catgorie Catgorie Catgorie Catgorie Catgorie Catgorie Catgorie
B
1
2
2
3
3
4
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
0
0
faible
moyen
faible
moyen
lev
PL = PLr = c
30
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P2
P1
F1
S2
P1
P2
c
d
P1
F2
P2
Risque
lev
Diagramme:
nop =
SW1B
K1B
MTTFd =
SW2
SPS
CC
RS
MTTFd =
nop =
20
manvres
= 691.200
20.000.000
0,1 691.200
an
= 289 ans
B10d
0,1 nop
s
h
tcycle
31
Dpart
Spcication
du produit
Listes de
dfaillances
(3.2, 3.3)
Estimations lors
de la conception
(EN 954-1:1996,
Paragraphe 4)
Plan de
validation (3.4)
Consignes pour la
validation (3.1)
Plan
Documents
(3.5)
Critres pour
lexclusion des
dfauts (voir annexe
en question)
Analyse
(paragraphe 4)
Non
Lanalyse
convientelle ?
Non
Essai
(paragraphe 5)
Essais
Oui
Essai
complet ?
Oui
Rapport de
validation (3.6)
Protocoles/
rapports
Fin
Validation1
La conception des SRP/CS doit tre valide
selon lEN ISO 13849-2. Ce sujet ne sera pas
discut en dtail ici, car il est dj applicable
en ce moment-ci.
32
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
les principes de scurit essentiels (importants pour la catgorie B selon lEN 954-1 ou
PL a),
les principes de scurit fiables (importants
pour la catgorie 1 et suivantes selon lEN
954-1 ou PL b PL e),
les composants de scurit fiables et prouvs (importants pour la catgorie 1 selon lEN
954-1 ou PL b),
des listes reprenant des dfaillances prendre en compte ainsi que les exclusions de
dfauts autorises
(importantes pour les catgories 2, 3 et 4 selon
lEN 954-1 ou PL c PL e).
33
SiSteMa
Ce nest plus quune question de temps avant
quun logiciel pour simplifier les procdures
exemplaires dcrites ne soit lanc sur le march.
Pour linstant, un logiciel, appel SiSteMa
(Scurit des Systmes de commande de Machines) est en cours de prparation au sein de
la BGIA, qui sera bientt publi comme logiciel
gratuit.
34
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
Source PLC:
www.hvbg.de/d/bia/pra/drehscheibe.html
35
Excution
La procdure de simplification est reprise
dans le tableau de la figure 45 (le dit tableau
de combinaison). Le nombre de niveaux de
performance individuels du systme de commande est repris gauche; aprs addition des
niveaux de performance PL les plus faibles,
le niveau de performance PL global peut tre
trouv droite.
Thorie
Ds que le niveau de performance PL est
dtermin pour chaque partie des systmes
de commande relative la scurit, la EN ISO
13849-1 prvoit une procdure de simplification spciale pour les SRP/CS de complexit
faible.
Cette procdure indique galement que lenchanement dun nombre suprieur de composants relatifs la scurit peut influencer le
niveau de performance PL global. Ceci signifie
que le niveau de performance global PL de
lensemble dun systme de commande, comprenant plusieurs SRP/CS enchanes, peut
tre considrablement infrieur aux niveaux de
performance individuels des diffrents lments de la chane.
Dans lexemple ci-aprs (figure 46), ceci signifie que les deux PL individuels les plus faibles
doivent tre additionns (2 PL c), lorsque
le PL suprieur d nest pas pris en compte
dans le calcul (du point de vue de la valeur
PFH, PL d est une grandeur suprieure que
PL c). 2 PL c reste PL c. Sil fallait
considrer un PL c au lieu dun PL d, le
PL global serait (seulement) b.
SRP/CS 1
PL c
PL low
N low
>3
3
=>
=>
none
a
>2
2
=>
=>
a
b
>2
2
=>
=>
b
c
>3
3
=>
=>
c
d
>3
3
=>
=>
d
e
SRP/CS 2
PL d
SRP/CS
PL
SRP/CS 3
PL c
36
PL
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
Mouvement
Actionneur uidique
dangereux
Rideaux lumineux
Catgorie 2 (classe 2)
PL = c
Logique de
commande
lectronique
Fluidique
Catgorie 3
PL = d
Catgorie 1
PL = c
I1
L1
O1
I
TE
OTE
I2
L2
O2
Application
Pour autant que le niveau de performance
requis PLr, calcul au moyen de lanalyse des
risques, est atteint lemploi du tableau cidessus peut savrer utile. Cette apprciation
permet cependant dintgrer des exclusions de
dfauts qui ne seront pas prises en compte par
la suite.
37
Excution
Le tableau (figure 47) permet une meilleure
comprhension de la qualit de SRP/CS
combines montes en srie (mot-cl: addition
des dfaillances rsiduelles probables) dans le
contexte de la EN ISO 13849-1.
Thorie
Les parties combines dun systme de commande relatives la scurit commencent aux
points o sont gnrs les signaux relatifs la
scurit et se terminent la sortie des actionneurs. Cependant, les SRP/CS combines
peuvent tre constitues de plusieurs parties
relies de manire linaire (montage en srie).
Niveau de performance
a
b
c
d
e
MTTFd
[years]
3
3,3
3,6
3,9
4,3
4,7
5,1
5,6
6,2
6,8
7,5
8,2
d
9,1
d 10
11
d
12
13
PFHd [1/h] PL
3,80 105
3,46 105
3,17 105
2,93 105
2,65 105
2,43 105
2,24 105
2,04 105
1,84 105
1,68 105
1,52 105
1,39 105
1,25 105
1,14 105
1,04 105
9,51 106
MTTF = faible
MTTF = moyen
MTTF = lev
a
a
a
a
a
a
a
a
a
a
a
a
a
a
a
b
MTTFd
[years]
3
3,3
3,6
3,9
4,3
4,7
5,1
5,6
6,2
6,8
7,5
8,2
9,1
10
11
12
13
PFHd [1/h] PL
3,80 105
3,46 105
3,17 105
2,93 105
2,65 105
2,43 105
2,24 105
2,04 105
1,84 105
1,68 105
1,52 105
1,39 105
1,25 105
1,14 105
1,04 105
9,51 106
a
a
a
a
a
a
a
a
a
a
a
a
a
a
a
b
Figure 47: Alternative: addition des PFHd pour des SRP/CS combines montes en srie
38
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
39
Thorie
Contrairement lEN 954-1, la EN ISO 13849-1
tient largement compte des systmes lectroniques programmables avec fonction de scurit (= systmes PES) et donc galement du
thme logiciel. Malgr ceci, il est impossible
de ngliger les exigences de lIEC EN 61508
(par exemple pour les applications avec niveau
de performance PL e). Puisque ce thme est
exclusivement applicable aux dveloppeurs de
systmes PES, il ne sera pas discut en dtail
ici.
Prise en compte du fait que les dfaillances sont dues des erreurs de spcification et de conception du logiciel
Base: norme de scurit essentielle IEC
61508-3
toutefois pas un niveau scientifique
lev
Principalement sans rfrence lIEC
61508
Comprhensible, oriente la pratique
et facile appliquer
Langage
Limited Variability
Languages (LVL),
p. ex. KOP, FUB
Full Variability
Languages (FVL),
p. ex. C/C++, Asm
Type de logiciel
ISO 13849-1
IEC 62061 /61511
849-1
ISO 13 8-3
50
1
IEC 6
ISO 13849-1
IEC 61508-3
Logiciel intgr
relatif la scurit :
SRASW
Logiciel embarqu
relatif la scurit :
SRESW
40
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
P2
S2
F2
P1
P2
c
d
P1
P2
Risque
lev
4.6.1
4.6.2
SRESW/SRASW en FVL
Supplmentaire :
PL c, d
Base :
PL a, b
4.6.3
Spcial :
PL e
SRASW en LVL
Base :
PL a, b
4.6.4
Paramtrage
Figure 51: Structure des exigences pour le logiciel selon paragraphe 4.6 de la EN ISO 13849-1
Application
Nous ne nous attarderons pas aux exigences
pour le logiciel embarqu relatif la scurit,
puisque celui-ci est seulement applicable pour
les utilisateurs de la EN ISO 13849-1 dans des
cas exceptionnels. Le logiciel dapplication est
plus frquemment utilis dans la SRP/CS, gnralement en liaison avec les API de scurit,
Spcication
des exigences
de scurit
Spcication des
exigences de
scurit pour le
logiciel
Validation
Conception
du systme
Essai
dintgration
Conception
du module
Rsultat
Contrle
Validation
Logiciel
valid
Essai du
module
Codage
Figure 52: Modle V simplifi pour SRESW et SRASW selon la EN ISO 13849-1
41
42
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
P2
F2
P1
P2
c
d
P1
P2
Risque
lev
Thorie
Comme nous lavons dj dit, deux normes
la EN ISO 13849-1 et lIEC EN 62061 rivalisent pour la succession de lEN 954-1. Bien
que lutilisation de lexpression rivaliser est
un peu exagre, la cohabitation, qui tait
prvue lorigine, a disparu.
Il est probable que lIEC EN 62061, tout
comme lEN ISO 13849-1 et contrairement
lIEC EN 61508, sera harmonise dans le
contexte de la Directive Europenne Machines. Les deux normes auront ainsi une base
juridique, qui vise fonder une prsomption
de conformit avec les exigences essentielles
de la Directive.
LIEC EN 62061 est drive de lIEC EN 61508,
la norme spcifique de la construction des
machines.
Construction
des machines
Electricit
Hydraulique
Pneumatique
Mcanique
Industrie de
transformation
IEC 61511
IEC 62061
EN 954
(EN ISO 13 849)
IEC 61508
43
PFD
PFH
10 5 < 10 4
10 9 < 10 8
10 4 < 10 3
10 8 < 10 7
10 3 < 10 2
10 7 < 10 6
10
10 6 < 10 5
< 10
Application
Nous ne nous attarderons pas aux dtails de
lIEC EN 62061. Les critiques font remarquer
que cette norme est plus difficile utiliser par
rapport la EN ISO 13849-1, surtout en cas de
questions relatives la rduction du risque aux
systmes complexes qui sont typiques de la
construction des machines et des systmes de
commande. LIEC EN 61508 savre la norme
la plus approprie en cas de problmes complexes. Une autre diffrence entre les normes
est lintgration des composants mcaniques,
pneumatiques et hydrauliques dans la EN ISO
13849-1: suite son origine, lIEC EN 62061
ne fait pas cette distinction.
Produkt:
Hersteller:
Datum
Auswirkungen
Lfd. Gef.
Nr. Nr.
Kommentare
vorlufige Risikobeurteilung
zwischenzeitliche Risikobeurteilung
nachfolgende Riskobeurteilung
Klasse K
Schwere
S
Hufigkeit und
Dauer, F
b 1 Stunde
> 1 h b 1 Tag
> 1 Tag b 2 Wo.
> 2 Wo. b 1 Jahr
> 1 Jahr
44
Dokument Nr.:
Teil von:
Gefhrdung
Wahrscheinlichkeit
gef. Ereignis, W
hufig
wahrscheinlich
mglich
selten
vernachlssigbar
Sicherheitsmanahme
Vermeidung
P
unmglich
mglich
wahrscheinlich
sicher
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
P2
F2
P1
P2
c
d
P1
P2
Risque
lev
10 4
PL
10 5
SIL
IEC 62 061/
IEC 61 508
Pas dexigences de
scurit
spciales
3 x 10 6
10 6
10 8
10 7
Scurisation
de risques faibles
3
Scurisation
de risques levs
Figure 58: Rapport entre le niveau dintgrit de scurit SIL en le niveau de performance PL
C combin avec B
A
B
C
ISO 13849-1
IEC 62061
X
Limit aux architectures dsignes1 et jusqu PL = e
Limit aux architectures dsignes1 et jusqu PL = d
Limit aux architectures dsignes1 et jusqu PL = e
Limit aux architectures dsignes1 et jusqu PL = d
X2
Non couvert
Toutes architectures et jusqu
SIL 3
Toutes architectures et jusqu
SIL 3
X (EN ISO 13849-1 pour A)
Toutes architectures et jusqu
SIL 3
X3
X indique que ce cas est trait par la norme indique en tte de colonne.
1) Les architectures dsignes sont dfinies dans lannexe B de lEN ISO 13849-1 afin de fournir une approche simplifie de la quantification du niveau de performance.
2) Pour llectronique complexe: lutilisation des architectures dsignes selon lEN ISO 13849-1 jusqu PL = d ou toute architecture
selon lIEC 62061.
3) Pour la technologie non lectrique, utilisation des parties en tant que sous-systmes selon lEN ISO 13849-1 (rvision).
45
Novembre 2009
Priode transitoire
Harmonisation
Adoption
Concertation
Version dfinitive
Et 2006
Moiti de 2006
Figure 60 : Planning actuel (situation mai 2007). Selon celui-ci, la priode transitoire de la nouvelle norme va jusqu novembre 2009 ; jusqu ce moment-l, son application est facultative et non-obligatoire.
Toute norme qui est ventuellement en contradiction ou en opposition avec lEN ISO 13849-1:2006
(cest--dire lEN 954-1:1996 ou lEN ISO 13849-1:1999) doit tre retire au plus tard pour novembre
2009 et remplace par la version nationale de la DIN EN 13849-1:2006, en Allemagne la version DIN EN
13829-1:2007-02.
Entre en vigueur
de la EN ISO 13849-1
Planning actuel
Bien que lIEC EN 62061 soit dj formellement accepte, la EN ISO 13849-1 est actuellement soumise lenqute parallle. Il se
peut quil y ait encore une priode de relecture
ultrieure. Pour linstant, le projet de norme est
exclusivement disponible en allemand (version:
juin 2004), lorsque la forme dfinitive de lIEC
EN 62 061 est dj disponible auprs de maisons ddition telles que Beuth Verlag (www.
beuth.de).
ir
o
V
2
e
g
pa
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
P2
F2
P1
P2
c
d
P1
P2
Risque
lev
Niveau de performance
a
b
c
d
e
MTTFd = faible
MTTFd = moyen
MTTFd = lev
Catgorie Catgorie Catgorie Catgorie Catgorie Catgorie Catgorie
B
1
2
2
3
3
4
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
0
0
faible
moyen
faible
moyen
lev
47
Conception conformment aux normes relevantes pour garantir laptitude des parties relatives
la scurit excuter une fonction de scurit
dans des conditions prvisibles
faible
lev
faible
lev
lev
X
faible
moyen
lev
faible
moyen
faible
moyen
lev
48
Choix
du composant
Structure
Risque
faible
Niveau de
performance
requis PL r
a
P1
F1
P2
S1
F2
Point de dpart de
lestimation de la
rduction du risque
P1
F1
S2
F2
P2
P1
P2
c
d
P1
P2
Risque
lev
Perspective
Il est incontestable quun grand nombre de
questions relatives la EN ISO 13849-1 reste
sans rponse.
Nous vous tiendrons au courant des derniers
dveloppements et vous fourniront des explications plus dtailles ce sujet dans notre
MRL News.
Les effets de la EN ISO 13849-1 peuvent tre
rsums en deux grands groupes: dune part
le groupe qui se rapporte la quantification
(MTTFd, DC, CCF). On assume que les machines intgrant des SRP/CS constitue de
composants prouvs de qualit approprie,
rpondent galement aux exigences de la
nouvelle norme, sans exiger des modifications
substantielles.
Dautre part, des modifications peuvent simposer pour la ralisation de montages en srie
complexes (risque de dfaillance pour le
niveau de performance suite laddition des
risques rsiduels) et pour lutilisation des architectures dsignes de catgorie 2.
49
Notes
50
Glossaire
Architecture dsigne:
Configuration spcifique des lments matriels et logiciels dans un SRECS
CCF:
Dfaillance(s) de cause commune (Common
Cause Failure)
Dfaillances, rsultat dun ou plusieurs vnements, entranant des dfaillances simultanes
sur deux ou plusieurs canaux spars dans un
sous-systme canaux multiples (architecture
redondante), entranant la dfaillance de la
fonction de commande relative la scurit
DC:
Couverture du diagnostic (Diagnostic Coverage)
Dcroissance de la probabilit de dfaillance
dangereuse du matriel rsultant du fonctionnement des tests de diagnostic automatique
DCavg:
Couverture moyenne du diagnostic
(average Diagnostic Coverage)
MTBF:
Moyenne des temps de bon fonctionnement,
temps moyen avant dfaillance (Mean Time
Between Failures)
Esprance mathmatique de la dure de bon
fonctionnement
MTTF:
Dure moyenne de fonctionnement avant
dfaillance, temps moyen avant dfaillance
dangereuse dun canal (Mean Time To Failure)
Esprance mathmatique de la dure de fonctionnement avant dfaillance
MTTFd:
Dure moyenne de fonctionnement avant dfaillance dangereuse (Mean Time to dangerous
Failure)
Valeur moyenne du temps de fonctionnement
pendant lequel il est prvu quun canal unique
dun systme nait pas de dfaillance dangereuse
PFH:
Probabilit de dfaillance par heure
(Probability of Failure per Hour)
PFHd:
Probabilit de dfaillance dangereuse par
heure (Probability of dangerous Failure per
Hour)
PL:
Performance Level ou niveau de performance
Aptitude de parties relatives la scurit raliser une fonction de scurit dans des conditions prvisibles (quil convient de prendre en
considration) pour atteindre la rduction du
risque attendu.
PLr:
Niveau de performance requis (Performance
Level required)
Niveau de performance permettant datteindre
la rduction du risque requise pour chaque
fonction de scurit
SIL:
Niveau dintgrit de scurit (Safety Integrity
Level)
Niveau discret (parmi trois possibles) permettant de spcifier les exigences concernant lintgrit de scurit des fonctions de commande
relatives la scurit allouer aux SRECS, le
niveau 3 dintgrit de scurit possdant le
plus haut degr dintgrit et le niveau 1 possdent le plus bas
SRP/CS:
Parties dun systme de commande relatives
la scurit (Safety Related Parts of a Control
System)
Partie ou sous partie(s) dun systme de commande qui rpond(ent) des signaux dentre
et gnre(nt) des signaux de sortie relatifs la
scurit
Valeur B10d:
Valeur reprsentant le nombre de manoeuvres, dans laquelle 10% des prototypes tests
prsentent statistiquement une dfaillance
dangereuse
Mddinghofe 30
42279 Wuppertal/Allemagne
Postfach 240263
42232 Wuppertal/Allemagne
Im Ostpark 2
35435 Wettenberg/Allemagne
Postfach 1109
35429 Wettenberg/Allemagne
52
08/08 X
flick-werk