Академический Документы
Профессиональный Документы
Культура Документы
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur S 8 270 1
QUIPEMENTS DE TRAVAIL : SCURIT DES SYSTMES PROGRAMMS __________________________________________________________________________
1. Scurit intgre
la conception Signalisation, Organes de service
des machines affichage,
avertissements
Appareils de
commande
Selon son mtier, sa formation de base, son exprience, le terme 1.2 Principe de scurit intgre
machine na pas le mme sens pour chaque individu (ou
groupe dindividus). Sa dfinition normalise est donne dans
le texte de la directive 98/ 37/ CE, dite directive Machines . Il est 1.2.1 Gense
repris par la norme EN ISO 12100-1 o une machine est dfinie
comme tant un ensemble de pices ou dorganes lis entre eux Cest au dbut des annes 1980 que le principe dintgration de
dont au moins un est mobile et, le cas chant, dactionneurs, de la scurit la conception des machines fut formellement dict
circuits de commande et de puissance, etc., runis de faon soli- dans des dispositions lgislatives nationales (loi 76-1106 du
daire en vue dune application dfinie, notamment pour la trans- 6 dcembre 1976 et dcrets 80-542, 543 et 544 du 15 juillet 1980 [4])
formation, le traitement, le dplacement et le conditionnement et prit rellement place en France. Auparavant, les situations
dun matriau . juges dangereuses taient plutt corriges chez (et par) luti-
lisateur aprs rception de lquipement. Pour limiter les risques
Un ensemble de machines qui, afin de concourir un mme daccidents graves constats sur des machines considres comme
rsultat, sont disposes et commandes de manire tre soli- extrmement dangereuses, les autorits instaurrent pour les
daires dans leur fonctionnement, est galement considr comme concepteurs et fabricants lobligation de rendre celles-ci conformes
tant une machine. Cest par exemple le cas dune ligne certaines rgles de scurit, avant mme leur mise sur le march.
dimprimerie. Le principe de scurit intgre tait n ; tout en imaginant les
solutions techniques permettant lquipement dassurer sa
La reprsentation schmatique gnrale dune machine laisse fonction premire, il tait demand au concepteur de se soucier
apparatre de nombreux flux dinformations et trois parties prin- des risques inhrents sa future utilisation. Sil parat simple
cipales que sont la partie commande, la partie oprative et linter- noncer et comprhensible pour tout un chacun, on verra plus loin
face oprateur-machine (figure 1). quun tel objectif nest pas sans influencer le mtier mme du
concepteur et sinscrit dans une problmatique plus large ding-
On remarque que cette dfinition renvoie la fois une vue nierie intgre.
physique ou technologique de la machine (elle est faite de pices,
dactionneurs...), une vue fonctionnelle (elle transforme, traite, la fin des annes 1980, ce principe de scurit intgre
dplace...) et des lments structurels (elle comprend une partie largement prouv en France pendant une dizaine dannes sur
commande pour commander , oprative pour oprer ). certaines catgories de machines (presses, machines bois) est
tendu et constitue le fondement de la lgislation europenne en
La composante humaine qui nest pas explicitement reprsente matire de conception des machines ; une directive europenne
sur la figure 1 intervient dans les lments dinterface ; la machine, dite directive Machines est adopte en 1989, elle est suivie de
dans sa vue exclusivement technique, comprend des parties modifications et damendements, intgrs et regroups depuis
interface oprateur-machine reprsentant diffrents niveaux 1998 dans un seul et unique texte : la directive europenne
(organes de commande, capteurs...) les interactions possibles 98/ 37/ CE codifie (transpose en droit national dans chacun des
entre lHomme et la machine. pays de lUnion europenne).
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
S 8 270 2 Techniques de lIngnieur
__________________________________________________________________________ QUIPEMENTS DE TRAVAIL : SCURIT DES SYSTMES PROGRAMMS
La directive Machines entre dans le cadre des principes de la mobiles automatiques pour la protection des machines). La dfi-
Nouvelle Approche en matire dharmonisation technique et de nition qui en est donne est plus large puisquil est question de
normalisation adopte en 1985. Ce principe, peu connu des acteurs composant mis sur le march dans le but dassurer, par son
concerns, mrite dtre rappel. Les directives Nouvelle Approche utilisation, une fonction de scurit, et dont la dfaillance ou le
constituent en effet un lment fondamental de la libre circulation mauvais fonctionnement met en cause la scurit ou la sant des
des produits au sein de lUnion europenne. labores dans le personnes exposes .
cadre du processus de codcision entre la CE et le Parlement
Dans son annexe I, la directive Machines dcline les principes
europen, elles sont obligatoirement transposes par les tats
dintgration de la scurit et stipule notamment que :
membres dans leur droit national. Elles permettent donc un
rapprochement et une harmonisation entre ces tats. Elles ont Les machines doivent par construction tre aptes assurer leur
pour objectifs de faciliter les changes intracommunautaires et de fonction, tre rgles, entretenues sans que les personnes soient
renforcer le principe de reconnaissance mutuelle. Toutes les entre- exposes un risque lorsque ces oprations sont effectues dans
prises qui souhaitent mettre en service ou changer des produits les conditions prvues par le fabricant.
en Europe sont donc tenues de respecter ces directives.
Les mesures prises doivent avoir pour objectif de supprimer les
Les directives Nouvelle Approche ont ncessit un travail risques daccidents durant la dure dexistence prvisible de la
consquent dharmonisation des textes lgislatifs et rglementai- machine, y compris les phases de montage et de dmontage,
res. La rdaction de normes europennes (CEN et CENELEC) et nor- mme dans le cas o les risques daccidents rsultent de situations
mes internationales (ISO et CEI) a t entreprise, guide par les anormales prvisibles .
considrations suivantes :
CEN : Comit europen de normalisation (pour les aspects dominante mcanique)
Elle dfinit des exigences essentielles de scurit et de sant
CENELEC : Comit europen de normalisation lectrotechnique relatives la conception et la construction des machines et des
ISO : Organisation internationale de normalisation (pour les aspects dominante composants de scurit, qui portent sur les commandes et sur les
mcanique) mesures de protection prendre contre les risques mcaniques,
CEI : Commission lectrotechnique internationale
mais aussi tous les autres risques (explosion, bruit, vibrations,
les directives contiennent des exigences essentielles ; dans le rayonnements extrieurs...). Elle exige du fabricant quil effectue
cas de la directive Machines, des exigences trs gnrales appli- une analyse des risques afin de rechercher ceux qui sappliquent
cables de nombreuses catgories de machines ; sa machine ; il doit ensuite concevoir et construire la machine en
des normes harmonises tablissent des dispositions tech- prenant en compte son analyse.
niques permettant de concevoir et de fabriquer des quipements
conformes aux exigences ( les normes harmonises servent de Pour les systmes de commande, sujet trait ici, la directive
guide pour lapplication des directives europennes et de rfrence dfinit les exigences essentielles suivantes :
pour la conception des produits ). Ces dispositions techniques ne Les systmes de commande doivent tre conus et construits
sont pas obligatoires, elles sont une aide au fabricant mais pour tre srs et fiables, de manire viter toute situation
celui-ci peut choisir tout autre moyen de mise en uvre pour dangereuse. Ils doivent notamment tre conus et construits de
assurer la conformit ; manire rsister aux contraintes normales de service et aux
un quipement conforme aux dispositions dune norme influences extrieures, et ce quil ne se produise pas de situations
harmonise est prsum conforme aux exigences rglementaires dangereuses en cas derreur de logique dans les manuvres
qui lui sont applicables, pour autant que ces exigences soient (directive 98/37/ CE, annexe I, paragraphe 1.2.1. : Scurit et fiabilit
couvertes par le champ dapplication de cette norme. des systmes de commande).
Lnonc dexigences essentielles de sant et de scurit satis- Un dfaut affectant la logique du circuit de commande ou une
faire dans les directives montre clairement lobjectif (en termes dfaillance ou une dtrioration du circuit de commande, ne doit
dobligation de rsultat) fix au concepteur. Dans la Nouvelle pas crer de situations dangereuses (directive 98/37/CE, annexe I,
Approche, la rglementation prend appui sur la normalisation qui paragraphe 1.2.7. : Dfaillance du circuit de commande) .
de fait occupe une place importante dans latteinte de cet objectif.
La conception des machines, systmes et dispositifs de pro-
Comme le soulignait M. Van Gheluwe, administrateur principal tection doit donc se proccuper non seulement de leur aptitude
la Commission des communauts europennes DG III, reconnu fonctionnelle assurer la scurit, mais encore de leur compor-
comme un des principaux fondateurs de la directive Machines, tement en environnement industriel (mcano-climatique et lec-
dans un sminaire sur les nouvelles rgles techniques organis en trique) et en prsence de dfauts de composants.
1993 par le Centre technique des industries mcaniques
(Cetim) [5] : ... la Directive nonce les objectifs sans donner les
moyens de les atteindre...... pas de dfaitisme, il y a des solutions,
mais il faut les trouver... . 1.3 Caractristiques du dispositif normatif
Le dispositif normatif a donc pour objectif de contribuer
La directive Machines stipule des obligations de rsultats ; les
trouver ces solutions. Il sappuie sur un vaste programme, sans
normes europennes qui lui viennent en appui sont dveloppes
prcdent en matire de normalisation technique, non encore
par consensus entre toutes les parties intresses pour aider les
achev ce jour.
diffrents acteurs (concepteurs, utilisateurs, prventeurs)
atteindre les objectifs viss.
1.2.2 Directive Machines
La directive Machines 98/ 37/CE sapplique aux machines telles 1.3.1 Dfinition dune norme
que dfinies au paragraphe 1.1. Elle sapplique galement aux
composants de scurit lorsquils sont mis isolment sur le Une norme est un document tabli par consensus et approuv
march. par un organisme reconnu qui fournit, pour des usages communs
et rpts, des rgles, des lignes directrices ou des caractris-
Il est important de noter que le terme de composant de scurit
tiques, pour des activits ou leurs rsultats, garantissant un niveau
ne caractrise pas uniquement les composants lists lannexe IV
dordre optimal dans un contexte donn (EN 45020).
de la directive (dispositifs lectrosensibles conus pour la dtection
des personnes, notamment barrages immatriels, tapis sensibles, Les dispositions contenues dans une norme peuvent prendre la
dtecteurs lectromagntiques ; blocs logiques assurant des forme dun nonc, dune instruction, dune recommandation ou
fonctions de scurit pour commandes bimanuelles ; protecteurs dune exigence ; elles indiquent des prescriptions.
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur S 8 270 3
QUIPEMENTS DE TRAVAIL : SCURIT DES SYSTMES PROGRAMMS __________________________________________________________________________
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
S 8 270 4 Techniques de lIngnieur
__________________________________________________________________________ QUIPEMENTS DE TRAVAIL : SCURIT DES SYSTMES PROGRAMMS
Une dernire caractristique du dispositif normatif mis en place dune part et prsence de lHomme (gnralement loprateur,
en soutien la directive Machines est son volume [7]. Le pro- mais dans certains cas des tierces personnes) dautre part, qui
gramme global de normalisation en scurit des machines est engendre des situations potentiellement dangereuses. Il est vrai
estim plus de 700 normes [7] labores et adoptes au sein des quen labsence de lune ou lautre de ces parties, il ne peut y avoir
diffrents comits techniques (TC) tels que ceux lists sur la mergence de situation dangereuse.
figure 4. Toute situation potentiellement dangereuse ne conduit pas pour
Face la complexit croissante dlaboration et dutilisation du autant au dommage. Encore faut-il que lenchanement des dif-
dispositif normatif, des travaux de recherche sont dores et dj frentes tapes du processus soit favoris par dautres lments
engags pour faciliter lintgration des prescriptions normatives en comme la non-annihilation de phnomnes dangereux, lapparition
conception [8], prescriptions qui senrichissent continuellement la dvnements critiques ou la non-possibilit dvitement, autant
lumire de ltat de la technique. dlments que le concepteur se doit dapprcier.
Cet enchanement est prcis sur la figure 5, daprs la
brochure [9] dite par la CRAMIF pour guider les utilisateurs,
concepteurs et constructeurs de machines dans les analyses de
2. Notions fondamentales risque effectuer pour choisir les mesures de prvention adaptes.
et principes gnraux
de conception sre 2.2 Processus dapprciation des risques
La norme EN ISO 12100 donne les principes gnraux de
conception dune application de scurit. Elle propose un pro-
2.1 De lentit dangereuse laccident : cessus dapprciation des risques destin dterminer les mesu-
approche normative du processus res ncessaires llimination des dangers ou la rduction des
risques associs aux phnomnes dangereux. La norme EN 1050
accidentel (ISO 14121) guide les concepteurs dans cette apprciation, sans
voquer de solutions techniques pour rsoudre les problmes de
Concevoir une machine sre, cest pour le technicien concepteur scurit engendrs par les risques recenss.
appliquer des principes et des mesures, surtout dordre technique,
garantissant la non-occurrence de dfaillances dites catastro- Intgrer la scurit en amont des phases de spcification et de
phiques, cest--dire dont les consquences seraient dommageables conception des quipements, comme prconis par le principe de
pour la sant de lHomme (quil soit oprateur ou tiers). scurit intgre, consiste :
viter ou rduire autant de phnomnes dangereux que
Pour satisfaire cet objectif, lapproche normative invite le possible en choisissant convenablement certaines caractristiques
concepteur sinterroger partir dun modle de reprsentation, de conception ;
certes simpliste, du processus de survenue du dommage. limiter lexposition des personnes aux phnomnes dan-
Cest au dpart la conjonction de deux tats, prsence dune gereux en rduisant soit le besoin, soit la dure dintervention dun
entit dangereuse (EN ISO 12100-1) (lobjet technique machine ) oprateur dans des zones potentiellement dangereuses.
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur S 8 270 5
QUIPEMENTS DE TRAVAIL : SCURIT DES SYSTMES PROGRAMMS __________________________________________________________________________
Dommage
2.2.2 Estimation du risque
Le concepteur de la machine doit estimer les risques relatifs aux
Figure 5 Condition de survenue dun dommage (daprs [9]) diffrents phnomnes dangereux identifis ltape prcdente,
que ces phnomnes dangereux soient permanents ou quils
apparaissent de faon inattendue. Comme indiqu auparavant, les
risques considrer sont par exemple : risque mcanique,
lectrique, thermique, risques dus aux vibrations, au bruit, aux
Dpart
rayonnements, lenvironnement...
Exemple : les situations dangereuses associes aux phnomnes
Dtermination des dangereux dcrits au paragraphe 2.2.1 seraient par exemple : travail
limites de la machine proximit de laxe du moteur ou du conducteur lectrique, travail dans
la zone de projection.
Analyse On est alors capable de dcrire les vnements dangereux cor-
du
Identification des
risque
respondants, par exemple le contact avec la partie tournante ou le
phnomnes conducteur et den dduire les dommages possibles.
dangereux
Lestimation du risque consiste, pour chaque phnomne dan-
Apprciation gereux, dterminer les paramtres tels que :
Estimation du risque du la gravit du dommage ;
risque lexposition au risque de dommage (frquence, dure) ;
la probabilit doccurrence dun vnement dangereux
valuation du risque (dorigine technique ou humaine) ;
la possibilit dvitement (dorigine technique ou humaine).
Une mise en relation de ces divers paramtres, comme indiqu
La par exemple par la grille de la figure 7, permet daffecter un
machine est-elle Fin indice de risque chaque phnomne dangereux identifi.
sre ? oui
Si dans labsolu de tels indices ont peu de sens, en relatif le
non concepteur peut de cette faon comparer les niveaux de risque de
nouvelles solutions par rapport ceux de solutions dj en place
Rduction du risque (machines en service par exemple), condition toutefois que les
situations de travail soient comparables (conditions dutilisation,
technologies...), ce qui en pratique se rvle parfois difficile.
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
S 8 270 6 Techniques de lIngnieur
__________________________________________________________________________ QUIPEMENTS DE TRAVAIL : SCURIT DES SYSTMES PROGRAMMS
Probabilit Possibilit
d'occurence de d'vitement
Gravit Exposition
l'vnement Possible
dangereux dans Rarement
certains cas posible
1 : faible
1 : blessure lgre 2 : moyenne
rversible 3 : grande ou frquente
1 1
1 : faible peu probable
Risque 2 : moyenne ( une fois
1 : peu frquent et/ou
1 2
faible dure au moins la vie durant)
d'exposition 3 : grande ou frquente
2 : blessure grave
2 3
(irrversible) 1 : faible peu probable
ou dcs
2 : frquent et/ou 2 : moyenne ( une fois
3 4
longue dure au moins la vie durant)
d'exposition
3 : grande ou frquente
4 5
Indice de risque
Figure 7 Exemple de grille de dtermination
dun indice de risque (daprs [10])
risques pour rduire le risque en rpondant au moins aux 2.3.1 Mesures de prvention intrinsque
exigences lgales, ltat de la technique du moment tant pris en
considration (EN ISO 12100-1). On entend par mesures intrinsques de rduction du risque celles
qui rduisent les risques associs aux phnomnes dangereux sans
Elle fait intervenir une valuation du risque base sur un recourir des protecteurs ou des dispositifs de protection. La
jugement destin tablir, partir de lanalyse du risque, si les norme EN ISO 12100-2 dveloppe plusieurs voies pour rduire les
objectifs de rduction du risque ont t atteints (EN ISO 12100-1). risques en agissant ds la conception du systme de commande,
Lobjectif vis consiste essentiellement dterminer les actions voies gnralement issues des technologies lectromcaniques ou
entreprendre pour rduire les risques identifis lors des phases lectroniques faiblement intgres. Les mesures prconises
didentification et destimation, en prenant en compte les diffrents sappliquent bien sr aussi aux technologies composants lectro-
modes oprationnels. niques complexes, mais ne dispensent en aucun cas de recourir
La figure 8 situe les actions entreprendre dans le cadre gnral une dmarche complte de sret de fonctionnement.
de la dmarche de rduction des risques propose par la norme
EN ISO 12100. On constate que cest une mthode itrative qui 2.3.1.1 Utilisation de composants fiables
demande systmatiquement dterminer si les mesures prises ont Lutilisation de composants fiables est indique comme tant un
rduit le risque de faon adquate. Le concepteur est ainsi amen des moyens mettre en uvre pour faire face aux diffrentes per-
sassurer que les actions effectues pour rduire les risques ne turbations et contraintes associes lutilisation de lquipement
gnrent pas de nouveaux risques. Ce nest que lorsque lanalyste dans les conditions prvues.
juge que la rduction du risque a atteint un niveau satisfaisant que
ce processus est arrt. Cette mesure concourt la scurit puisquen minimisant les
dfaillances des composants dues en particulier lenvironnement,
Paradoxalement, un tel schma, satisfaisant pour lesprit elle limite lventualit de crer des comportements dangereux de
cartsien du concepteur technique qui y trouve un algorithme la machine. Elle permet au systme d absorber des pertur-
de rsolution des problmes de prvention, suscite dimportantes bations thermiques (chaud, froid), mcaniques (vibrations, chocs...)
interrogations du fait des notions et concepts quil manipule : de ou lectriques (lectricit statique, champ lectromagntique...).
quels risques parle-t-on, quentend-on par conditions dutilisation,
Cest une condition ncessaire respecter pour concevoir les
par adquation de la rduction du risque... ?
systmes qui auront traiter les fonctions de scurit dune
Ainsi, si lobjectif gnral parat (sur le papier) relativement bien machine. Elle nest bien entendu pas suffisante puisque, mme
dfini, le comment latteindre (sur le terrain) suscite de nom- avec une fiabilit accrue, les composants sont toujours suscep-
breuses questions. tibles dtre dfaillants.
Le questionnement est itratif, imposant au concepteur de
sinterroger sur la pertinence et lefficacit des mesures de 2.3.1.2 Redondance des composants critiques
rduction des risques auxquelles il a eu recours. Lobjectif final est Une solution couramment prconise en scurit des systmes
une rduction du risque adquate, cest--dire qui rponde au de commande de machines pour rduire les risques est de
moins aux exigences lgales, ltat de la technique du moment concevoir des architectures redondantes. La redondance est alors
tant pris en considration. utilise comme un moyen de dtection de fautes permettant au
Une chronologie des actions entreprendre est donne, qui systme dadopter une position de scurit (gnralement de
privilgie les actions amont de prvention, cest--dire lors de la repli). Cette technique est trs rpandue et on verra ( 3.2) quelle
phase de conception des systmes ou sous-systmes qui est un des principaux lments utiliss pour assurer un niveau de
composeront linstallation. Les actions de suppression ou de scurit lev.
rduction du risque sont envisages, dans lordre dans lequel elles La norme indique la possibilit de recourir la diversit (de
sont cites ci-aprs. conception ou de technologie) pour saffranchir des ventuelles
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur S 8 270 7
QUIPEMENTS DE TRAVAIL : SCURIT DES SYSTMES PROGRAMMS __________________________________________________________________________
Dpart
valuation du risque
non D'autres
phnomnes dangereux
sont-ils crs ?
Le risque
a-t-il-t rduit oui
de manire adquate ? (1) Fin
(rduction adquate du risque)
non
non
tape 2
non non
tape 3
Rduction du risque La
Les limites par les rduction du
oui non oui
peuvent-elles tre informations pour risque souhaite
spcifies l'utilisation est-elle ralise ?
nouveau ?
Article 6 de l'EN ISO 12100-2
non
(1) La premire fois que la question est pose, c'est le rsultat de l'apprciation initiale du risque qui y rpond.
Figure 8 Reprsentation schmatique de la mthode itrativeen trois tapes pour la rduction du risque (daprs EN ISO 12100-1)
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
S 8 270 8 Techniques de lIngnieur
__________________________________________________________________________ QUIPEMENTS DE TRAVAIL : SCURIT DES SYSTMES PROGRAMMS
dfaillances de cause commune. On cre alors deux voies de Lorsque le processus de rduction du risque conduit choisir
traitement diffrentes en postulant quune dfaillance sur une voie des mesures de prvention intrinsque ou des mesures de pro-
ne se produira pas sur lautre voie ou, si elle se produit, naura pas tection, il faut passer la phase de conception et dintgration des
la mme consquence. Cette technique, thoriquement sduisante, systmes mettant en uvre ces mesures. Trois rfrentiels, lis la
trouve ses limites dans lvaluation de lefficacit relle de dif- conception des systmes de commande de machines relatifs la
frences effectivement introduites, mais aussi dans le cot de scurit, peuvent alors tre envisags (figure 9) :
dveloppement et de ralisation de ce type de structures [11]. EN 954-1 ( 3.2), norme europenne harmonise qui donne
des prescriptions et des orientations pour la conception des parties
2.3.2 Implantation de moyens de protection des systmes de commande relatives la scurit, reprise dans la
norme ISO 13849-1 ;
Cest le recours des protecteurs ou des dispositifs de pro- CEI 61508 ( 3.3), norme internationale gnrique qui traite de
tection, lorsque les mesures intrinsques de conception se sont la scurit fonctionnelle des systmes lectriques, lectroniques,
avres insuffisantes pour rduire les risques de la machine. Ces lectroniques programmables (E/E/ PE) relatifs la scurit. Cette
dispositifs peuvent tre fixes ou mobiles, matriels (dispositifs norme na pas t dveloppe dans le cadre de la directive Machi-
sensibles la pression) ou immatriels (barrires lumineuses). nes, mais dans le contexte international de la Commission lectro-
technique internationale (CEI) ;
2.3.3 Information des utilisateurs CEI 62061 ( 3.4), norme internationale, considrer comme
une dclinaison de la norme CEI 61508 pour la scurit des machines.
sur les risques rsiduels de la machine
Les dmarches proposes par ces trois normes traitant de la
Cette action nest envisage que si les prcdentes savrent conception font suite une analyse des phnomnes dangereux et
insuffisantes pour rduire les risques de faon adquate. Elle des risques destine dterminer la contribution des systmes de
consiste mettre disposition des utilisateurs des informations commande la scurit. De cette analyse sont dduites les
sur le fonctionnement de la machine, par exemple sous forme de prescriptions respecter pour la conception de ces systmes.
signaux visuels, de diagrammes ou de documents daccompa-
Lobjectif de ce paragraphe est de dcrire les principales carac-
gnement, en particulier la notice dinstructions. Compte tenu de la
tristiques de ces trois rfrentiels et de donner des informations
complexit des systmes qui sont maintenant dvelopps, cette
sur les volutions en cours. Cette description sera utilise pour
dernire voie est importante pour donner aux utilisateurs les
proposer une utilisation raisonne de ces rfrentiels pour traiter la
moyens dexploiter en scurit les capacits de ces systmes.
scurit dune machine ( 4 et encadr Dtermination du rfren-
tiel utiliser : proposition de lINRS ).
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur S 8 270 9
QUIPEMENTS DE TRAVAIL : SCURIT DES SYSTMES PROGRAMMS __________________________________________________________________________
D'autres phnomnes
EN 954 / ISO 13849 Rduction des risques dangereux ont-ils
Scurit des machines t gnrs ? oui
Parties des systmes de
commande relatives
la scurit 1 - Mesures de prvention intrinsque oui
2 - Mesures de protection
CEI 61508 La rduction
Scurit fontionnelle des requise du risque
systmes de commande est-elle atteinte ? non
E/E/PE relatifs la scurit
3 - Informations pour l'utilisation
CEI 62061
Scurit des machines
Scurit fontionnelle des
systmes de commande
E/E/PE relatifs la scurit
Figure 9 Normes lies la scurit des systmes de commande dans la dmarche EN ISO 12100
Il est propos de mener les trois premires tapes en suivant exemple une machine pour laquelle la gravit serait moindre
une mthode simplifie base sur la norme EN 1050. Celle-ci est (risque de dommage rversible, par exemple).
dcrite dans une annexe informative dans laquelle lestimation des Le concept de catgorie est essentiel pour fixer les prescriptions
risques est ralise en considrant les trois lments suivants : de rsultat atteindre en termes de scurit. Il est fond sur la consi-
gravit de la lsion, frquence et/ou dure dexposition au phno- dration prcdente et module le comportement en prsence de
mne dangereux, possibilit dviter le phnomne dangereux. dfauts en fonction des rsultats de lvaluation du risque (tapes 1,
Cette analyse conduit fixer une catgorie pour les parties relati- 2 et 3 de la dmarche voque prcdemment). Une annexe infor-
ves la scurit des systmes de commande concerns. mative donne un tableau pour choisir raisonnablement la catgorie
des parties dun systme de commande relatives la scurit en
fonction de cette valuation.
3.2.1 Concept de catgorie
Une correspondance a t tablie entre niveaux de risque et
catgories : une ou deux catgories prfrentielles sont donnes
La norme EN 954-1 est base sur une approche qualifie par pour chaque niveau. Dautres catgories sont envisageables qui
certains de dterministe. La cause dune altration de la scurit sont soit surdimensionnes, soit sous-dimensionnes. Cette
dun systme quelconque, plus prcisment de son circuit de latitude est destine, sous rserve de justification, faciliter ladap-
commande, est lexistence ou lapparition de dfauts (un dfaut tation des prescriptions diffrentes technologies.
correspond ltat dune entit inapte accomplir une fonction
requise). La consquence peut tre un dysfonctionnement du
circuit de commande, qui peut potentiellement piloter la partie 3.2.2 Diffrentes catgories
oprative de la machine de faon dangereuse. En cohrence avec les recommandations de la norme
La rsistance aux dfauts ou aux dfaillances est une exigence EN ISO 12100 pour rduire les risques par des mesures de pr-
de la directive Machines prise en compte dans la dfinition des vention intrinsque, la norme EN 954-1 dfinit cinq catgories (B, 1,
catgories. La norme EN 954 propose de ladapter au risque rsul- 2, 3 et 4). (0)
tant de ces dfauts. En effet, si lon envisage une activit haut La premire catgorie (B) fait intervenir une conception suivant
risque (par exemple, manipuler des objets en zone dangereuse des principes de scurit de base, de faon rsister aux
avec risque de dommage irrversible), la rsistance aux dfauts influences attendues, en particulier celles dues aux perturbations
exige est sans commune mesure avec celle concernant par environnementales de tout type (mcanique, climatique, lectro-
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
S 8 270 10 Techniques de lIngnieur
__________________________________________________________________________ QUIPEMENTS DE TRAVAIL : SCURIT DES SYSTMES PROGRAMMS
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur S 8 270 11
QUIPEMENTS DE TRAVAIL : SCURIT DES SYSTMES PROGRAMMS __________________________________________________________________________
Cinq niveaux (de a e, dans lordre croissant de performance) 3.2.4.3 De lanalyse du risque la catgorie
ont t dfinis, auxquels correspondent des plages de valeurs de
probabilit moyenne dune dfaillance dangereuse par heure. Ils Lintroduction du niveau de performance a modifi le processus
dpendent : de dtermination des caractristiques de scurit dun systme.
Lestimation des risques, identique celle propose dans la
de la fiabilit du matriel (niveau de fiabilit des composants premire version de la norme, conduit un niveau de performance
permettant dviter les dfauts), par exemple le MTTFd ; au lieu dune catgorie prfrentielle (figure 10).
de la structure du systme et des mcanismes de surveillance Le niveau de performance atteindre pour rduire les risques
mis en place pour viter, tolrer ou dtecter les dfauts, par exem- est alors utilis pour fixer la catgorie atteindre, mais aussi les
ple la catgorie, les dfaillances de cause commune CCF et la cou- paramtres probabilistes tels que MTTFd et DC (figure 11).
verture du diagnostic DC ;
La contribution de la fiabilit et de la structure peut varier selon
des aspects qualitatifs non quantifiables lis en particulier aux la technologie utilise, au contraire de la premire version o il
dfaillances systmatiques. tait difficile de faire intervenir ce paramtre.
On constate que dans lesprit, les volutions proposes rapprochent Exemple : des parties relatives la scurit ralises en canal
les prescriptions de la norme EN 954 de celles des normes CEI 61508 unique et de fiabilit leve dans une technologie peuvent atteindre
et CEI 62061. Lintroduction des niveaux de performance est un moyen (dans certaines limites) un PL quivalent ou suprieur celui dune
de faire le lien avec les niveaux dintgrit de scurit (SIL : safety structure tolrante aux dfauts de moindre fiabilit dans une tech-
integrity level ) de la norme CEI 61508 ( 3.3). nologie diffrente.
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
S 8 270 12 Techniques de lIngnieur
__________________________________________________________________________ QUIPEMENTS DE TRAVAIL : SCURIT DES SYSTMES PROGRAMMS
3.3 Prescription selon la norme CEI 61508 de scurit du systme que tout est mis en uvre pour construire
la scurit fonctionnelle. Le paragraphe suivant ( 3.3.2) expose le
La norme CEI 61508 est une norme gnrique qui concerne tous cycle de vie global de scurit, support de la gestion de la scurit
les domaines dactivit : nuclaire, aronautique, spatial, trans- fonctionnelle ;
port... Elle sapplique la ralisation de fonctions de scurit spcifier les responsabilits des personnes, services et orga-
base de technologies lectriques, lectroniques, lectroniques nisations ayant la charge de chaque phase du cycle de vie global
programmables, dans le but datteindre un niveau de scurit fonc- des logiciels et systmes E/ E/ PE ou des activits comprises dans
tionnelle requis. On entend par scurit fonctionnelle le chaque phase.
sous-ensemble de la scurit globale dun quipement sous Nota : cet aspect abord dans cette norme internationale dborde du rle assign aux
normes europennes harmonises.
contrle (EUC : equipment under control ) et de son systme de
commande qui dpend du fonctionnement correct des systmes Dans le cas de systmes E/E/PE (considrs comme complexes),
lectriques, lectroniques, lectroniques programmables relatifs on considre donc quil ne suffit pas de prendre des mesures
la scurit, des systmes relatifs la scurit bass sur dautres techniques pour garantir la scurit fonctionnelle, mais que des
technologies et des dispositifs externes de rduction de risque. mesures organisationnelles sont aussi ncessaires. On demandera
par exemple didentifier les personnes, services et autres organi-
la diffrence de la norme EN 954 qui couvre toutes les tech-
sations responsables de lexcution et de la revue des phases appro-
nologies de ralisation, et mme si la dfinition de la scurit fonc-
pries du cycle de vie global de scurit des systmes E/ E/PE. Il est
tionnelle fait intervenir tout type de technologie, la norme CEI 61508
aussi question de comptence des personnes intervenant dans la
concerne uniquement les technologies lectriques, lectroniques,
construction de la scurit fonctionnelle du systme relatif la
lectroniques programmables : relais lectromcaniques (lectrique),
scurit, ainsi que de formation des personnels pour le diagnostic et
composants lectroniques discrets (lectronique) et programmables
la rparation des dfauts et pour le test du systme ou de formation
comme les microprocesseurs ou les ASIC (lectronique pro-
du personnel dexploitation.
grammable). Elle sapplique donc typiquement la conception des
systmes lectroniques programmables au sens large, en allant de En rsum, la gestion de la scurit est essentiellement destine
la conception dun automate programmable industriel (API) ddi spcifier les diffrents moyens qui contribueront la
la scurit, par exemple, celle de lensemble dun systme de construction de la scurit fonctionnelle, tant techniques en forma-
scurit, du capteur, via la logique de commande et les systmes de lisant les tapes respecter pour cette construction quhumains,
communication, jusquaux actionneurs finaux. en sattachant aux comptences des personnes ayant la charge de
Cest une norme de conception dont la dmarche consiste, ces diffrentes tapes. Cette gestion contient un ensemble de pres-
partir de la dfinition des prescriptions de scurit, concevoir le criptions procdurales rapprocher dune dmarche qualit. Elle
systme relatif la scurit, en prenant en compte toutes les est entre autres destine viter lintroduction (involontaire)
dfaillances susceptibles daffecter un systme lectrique : danomalies systmatiques lors des diffrentes phases du cycle de
dfaillances matrielles alatoires ou systmatiques, du matriel vie de scurit.
comme du logiciel. Il est intressant de noter que la gestion de la scurit fonction-
nelle ne sarrte pas la validation du systme relatif la scurit.
Les phases dexploitation et de maintenance sont elles aussi
Dfaillance matrielle alatoire : dfaillance survenant de traites en demandant notamment de relever et danalyser les
manire alatoire et rsultant de divers mcanismes de incidents dangereux. Ces prescriptions relvent en grande partie
dgradation au sein du matriel (et uniquement du matriel). de la constitution dun retour dexprience, utile surtout lorsquil
Dfaillance systmatique : dfaillance relie de faon sagit de manipuler des technologies rcentes aux modes de
dterministe une certaine cause, ne pouvant tre limine que dfaillance mal connus. En ce qui concerne lexploitation et la
par une modification de la conception ou du processus de maintenance, la norme CEI 61508 voque la modification du
fabrication, des procdures dexploitation. Les dfaillances du systme en demandant de prendre en considration les procdu-
logiciel sont un exemple typique de dfaillances systmatiques. res dapprobation et dautorisation de ces modifications. Ce type
de prescription revt une importance particulire lorsquil sagit de
traiter des technologies programmables, gnralement conues
Pour traiter lensemble de ces dfaillances, la norme CEI 61508
pour tre aisment modifiables.
propose dutiliser diffrents outils qui sappuient sur les concepts
cls suivants :
gestion de la scurit fonctionnelle ( 3.3.1) ; 3.3.2 Cycle de vie de scurit
cycle de vie de scurit ( 3.3.2) ;
spcification des prescriptions de scurit en termes de La notion de cycle de vie de scurit global propose par la
niveau dintgrit de scurit ( 3.3.3) ; norme CEI 61508 est rapprocher des principes dicts par la
processus de conception traitant les dfaillances matrielles norme EN ISO 12100. Elle correspond une dmarche gnrale de
alatoires, ainsi que les dfaillances systmatiques, du matriel conception destine systmatiser toutes les activits ncessaires
comme du logiciel ( 3.3.4). pour assurer finalement le niveau dintgrit de scurit prescrit
pour une application et les systmes E/ E/ PE relatifs la scurit
La suite de ce paragraphe dcrit ces diffrents concepts. quelle ncessite. Partant du principe quil est ncessaire de
construire la scurit chacune des tapes de la vie dun systme,
3.3.1 Gestion de la scurit fonctionnelle elle structure les prescriptions pour couvrir lensemble des activi-
ts allant de la phase de spcification jusqu la phase de mise
La gestion de la scurit fonctionnelle est un aspect novateur hors service.
de la norme CEI 61508, rendu ncessaire par la complexit des Lobjectif vis, qui tient compte de la complexit des techno-
technologies abordes. Ses objectifs sont doubles : logies utilises, est de planifier la ralisation de chaque phase et de
spcifier les activits techniques et de gestion quil sera dfinir pour chacune delles les entres et les sorties. Cette plani-
ncessaire de raliser pendant les phases du cycle de vie global fication permet de mener un processus de vrification des sorties
des systmes E/ E/ PE (matriel et logiciel) pour garantir la scurit de chaque phase dans le but de sassurer quelles correspondent
fonctionnelle prescrite pour ces systmes. Lexprience montre en bien ce qui tait attendu. Elle est rendue ncessaire par la
effet quil nest pas suffisant de spcifier des objectifs de scurit complexit des technologies mises en uvre, qui ne permet plus
et de vrifier lissue du dveloppement que ces spcifications ont de valider la scurit fonctionnelle dune application la seule
t respectes. Il faut aussi sassurer tout au long du cycle de vie analyse du produit final.
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur S 8 270 13
QUIPEMENTS DE TRAVAIL : SCURIT DES SYSTMES PROGRAMMS __________________________________________________________________________
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
S 8 270 14 Techniques de lIngnieur
__________________________________________________________________________ QUIPEMENTS DE TRAVAIL : SCURIT DES SYSTMES PROGRAMMS
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur S 8 270 15
QUIPEMENTS DE TRAVAIL : SCURIT DES SYSTMES PROGRAMMS __________________________________________________________________________
Vue virtuelle :
description fonctionnelle Dcomposer les fonctions de Dcomposition
(F = Fb1 'ET' Fb2 'ET' Fb3 commande relatives la scurit fonctionnelle
en blocs fonctionnels
Bloc Bloc Bloc
fonctionnel B1 fonctionnel B2 fonctionnel B3
Dtailler les prescriptions de
Bloc Bloc Bloc scurit de chaque bloc fonctionnel
fonctionnel A1 fonctionnel A2 fonctionnel A3
Dcomposition
Concevoir structurelle
Vue relle : Choisir un
et dvelopper
architecturale sous-systme un sous-systme
SRECS
Dterminer le SIL atteint pour chaque
fonction de commande relative la
scurit
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
S 8 270 16 Techniques de lIngnieur
__________________________________________________________________________ QUIPEMENTS DE TRAVAIL : SCURIT DES SYSTMES PROGRAMMS
Cet tat de fait conduit au constat suivant : lorsquil sagit de la ncessit de quantifier les effets des dfaillances mat-
concevoir tout ou partie dun systme de commande dune rielles alatoires. Ce problme ne pourra tre rsolu quen dis-
machine traitant une fonction de scurit, les concepteurs se posant de banques de donnes de taux de dfaillance de
trouvent devant un choix qui peut savrer difficile, du fait des composants adaptes aux machines ;
champs dapplication qui prsentent des zones de recouvrement, la compatibilit entre prescriptions relatives aux objectifs de
difficult qui se trouve encore augmente par les volutions en scurit fixs par ces rfrentiels, lintroduction de niveaux de per-
cours des diffrents textes. formance PL chiffrs dans la rvision de la norme EN 954-1 permet
Une proposition de lINRS pour faciliter lexploitation des dtablir les liens ncessaires une utilisation conjointe des
normes applicables la conception du systme de commande diffrentes normes (tableau 4) ;
dune machine, en particulier lorsque celui-ci intgre des la complexit des dmarches proposes, directement lie
composants lectroniques complexes et/ou programmables, est la complexit des technologies mises en uvre. La rvision de la
expose dans lencadr. Elle a pour objectif essentiel de tirer le norme EN 954-1 tente de conserver la simplicit de la dmarche
meilleur parti de lexistant actuel en utilisant les caractristiques propose initialement. La norme CEI 62061 tente de rduire la
les plus intressantes de chacune des normes applicables. lave- complexit de la norme CEI 61508 en ne retenant que les pres-
nir, le problme mritera dtre nouveau abord pour tenir criptions adaptes au domaine de la scurit des machines. Seule
compte des volutions ventuelles de ces diffrents rfrentiels. lapplication concrte de ces normes des cas industriels rels per-
Cette proposition fait abstraction des difficults dapplication des mettra de juger de leur adaptation tre utilises pour la
diffrents rfrentiels, par exemple : conception des systmes relatifs la scurit dune machine.
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur S 8 270 17
QUIPEMENTS DE TRAVAIL : SCURIT DES SYSTMES PROGRAMMS __________________________________________________________________________
(0)
Choix de conception
pour le traitement de la
fonction de scurit
Exclusivement
par mise en uvre et/ou oui Utilisation de la norme
intgration de composants EN 954-1
de technologies non comme rfrentiel
lectriques
non
non
Si en plus, mise
en uvre de composants oui + EN 954-1
lectriques logiques simples pour la partie
non et/ou de composants considre
non lectriques
non
Par mise en uvre oui Utilisation de la norme Si en plus, mise oui + EN 954-1
de composants lectriques CEI 61508 en uvre de composants lectriques pour la partie
logiques complexes comme rfrentiel logiques simples* considre
non
non
Essentiellement
par mise en uvre de oui Utilisation de la norme
composants lectriques EN 954-1
logiques simples* comme rfrentiel
* en n'excluant pas la possibilit de mettre en uvre quelques composants de scurit mis sur le march
et de composants non lectriques Conception
Figure 17 Position de lINRS pour la dtermination du rfrentiel utiliser en fonction des choix de conception pour la ralisation
de la fonction de scurit (daprs [13])
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
S 8 270 18 Techniques de lIngnieur