après en 954-1… iec/en 62061, iso/en 13849-1 · in machine’2009 j. p. buchweiller : après en...

IN MACHINE’2009 J. P. BUCHWEILLER : Après EN 954-1 : IEC/EN 62061/ISO et EN 13849-1 1

Après EN 954-1

Jean-Pierre BUCHWEILLER – INRS

Dans la pratique, ce qui va changer pourla conception des circuits de commanderelatifs à la sécurité

IEC/EN 62061, ISO/EN 13849-1Après EN 954-1…


Après EN 954-1

Le contexte…La célébrissime norme EN 954-1, publiée en 1997, devaitdisparaitre à la fin de l’année 2009 !

Elle restera (?) applicable pour une durée de trois ans etpourrait (?) donner présomption de conformité à ladirective 2006/42/CE.

Quelles vont être les conséquences de cettedisparition ou de ce sursis pour les concepteurset les utilisateurs de machines ?

Quelles vont être les conséquences de cettedisparition ou de ce sursis pour les concepteurset les utilisateurs de machines ?


Après EN 954-1

EN 954-1 : les limites

Mais avec EN 954-1 il est impossible de répondre àcertaines questions…

A quelle performance de sécurité peut répondre une fonction de sécuritétraitée de la sorte ?

EN 954-1 se voulait déterministe,• bien adaptée aux problèmes simples,• si les modes de défaillance des composants sont

correctement appréhendés.

Peut-on, sans affecter la sécurité des personnes, faire l’impasse surla fiabilité des composants mis en œuvre ?Sur le nombre de composants d’une chaîne de sécurité ?

Peut-on, sans affecter la sécurité des personnes, faire l’impasse surla fiabilité des composants mis en œuvre ?Sur le nombre de composants d’une chaîne de sécurité ?


Après EN 954-1

Les composants disponibles deviennent de plus en plus� puissants,� performants,� polyvalents,� complexes à mettre en œuvre.

dont l’offre se multiplie et se complexifie…

Pour réaliser leurs circuits de commande, les concepteursdisposent des composants du marché

La problématique à résoudre par les concepteurs n’estdonc pas en voie de simplification…

Et qu’en est-il pour la validation des circuits réalisés ?Et qu’en est-il pour la validation des circuits réalisés ?

EN 954-1 : les limites


Après EN 954-1

EN 954-1 : les limitesQuelques points particuliers appuyant la caducité deEN 954-1• la notion de catégorie se limite à décrire le comportement

attendu des parties d'un système de commande en présencede défauts ;

• les aspects logiciels ne sont pas abordés ;• les aspects développement et intégrité de sécurité

systématique, nécessaires pour garantir l’objectif desécurité spécifié, ne sont pas abordés ;

• la stratégie de validation de l’objectif de sécurité,également abordée par EN 954-2, esto relativement vague,o voire très délicate à mettre en œuvre lorsqu’il s’agit des

essais devant démontrer, en cas de défaut(s), le respectdes prescriptions de catégorie.


Après EN 954-1

EN 954-1 : les limitesDans ce contexte évolutif, la norme EN 954-1 n’est plusappropriée pour garantir que la performance de sécuritéspécifiée pour les machines est assurée.Les concepteurs auront beaucoup de difficultés à s’appuyersur EN 954-1 pour assurer que les évolutions techniquessont conduites sans incidence pour la sécurité despersonnes.Si elle venait à être adoptée, cette nouvelle période transitoire detrois ans n’aura donc, à notre sens, pas que des effets bénéfiques…•en prolongeant la validité d’un texte techniquement dépassé,•en renforçant la confusion actuelle inhérente à l’abondance desnormes abordant le même sujet : la sécurité des systèmes decommande•en n’incitant pas les concepteurs à adopter rapidement des méthodesadaptées à la problématique actuelle !

Si elle venait à être adoptée, cette nouvelle période transitoire detrois ans n’aura donc, à notre sens, pas que des effets bénéfiques…•en prolongeant la validité d’un texte techniquement dépassé,•en renforçant la confusion actuelle inhérente à l’abondance desnormes abordant le même sujet : la sécurité des systèmes decommande•en n’incitant pas les concepteurs à adopter rapidement des méthodesadaptées à la problématique actuelle !


Après EN 954-1

Pour pallier les carences de la norme EN 954-1 et s’adapteraux évolutions technologiques, les instances normatives ontmis en chantier deux nouveaux textes

Ces deux normes sont et seront harmonisées dans lecadre de la directive 98/37/CE et 2006/42/CE

• NF EN ISO 13849-1: Sécurité des machines - Parties dessystèmes de commande relatives à la sécurité - Partie 1 :principes généraux de conception

• NF EN CEI 62061: Sécurité des machines - Sécuritéfonctionnelle des systèmes de commande électriques,électroniques et électroniques programmables relatifs à lasécurité

Une révolution culturelle inévitable ?


Après EN 954-1

� Elles sont beaucoup plus complètes que EN 954-1� Mais elles ont radicalement changé les règles du jeu

pour les concepteurs

Les normes CEI 62061 et ISO 13849-1 ont été écrites pourcorriger les lacunes de EN 954-1

Le principal écueil à éviter par les concepteurs :Reconduire systématiquement les règles du jeu établies surla base de l’ancienne EN 954-1

� les habitudes de travail� les solutions techniques



Après EN 954-1

Ces normes énoncent en effet, certes plus ou moinsprécisément•les bonnes pratiques pour la conduite du développement d’un circuitde commande relatif à la sécurité,•comment établir la spécification de sécurité pour les fonctions desécurité,•comment établir la spécification de sécurité pour le matériel quiaura à traiter ces fonctions de sécurité,•comment concevoir un circuit de commande qui respecte lesspécifications édictées,•comment valider que sa performance de sécurité est en adéquationavec les spécifications,•comment établir la documentation nécessaire à son utilisation ensécurité.



Après EN 954-1

• accepter l’augure que des solutions techniquesacceptables avec EN 954-1 ne le seront peut-êtreplus avec ces nouveaux référentiels ;

• être convaincu que négliger une des phases dudéveloppement aura des incidences sur la faisabilitédu projet, sur le coût de la réalisation, etc. ;

• être convaincu que la conduite d’un développementdans le cadre proposé, permettra plus facilement àson concepteur d’apporter la preuve desperformances de sécurité qu’il revendique.

• accepter l’augure que des solutions techniquesacceptables avec EN 954-1 ne le seront peut-êtreplus avec ces nouveaux référentiels ;

• être convaincu que négliger une des phases dudéveloppement aura des incidences sur la faisabilitédu projet, sur le coût de la réalisation, etc. ;

• être convaincu que la conduite d’un développementdans le cadre proposé, permettra plus facilement àson concepteur d’apporter la preuve desperformances de sécurité qu’il revendique.

Une révolution culturelle inévitable certes, mais quiconsistera d’abord pour les concepteurs, à…



Après EN 954-1

Les nouvelles normes proposent• une démarche globale de conception,• incluant des méthodes simplifiées,• prenant aussi en compte la fiabilité des composants,• dans la perspective de satisfaire un objectif de sécurité qu’elles

permettent de spécifier.Elles ont été écrites pour corriger les lacunes de EN 954-1et permettre d’aborder

• la mise en œuvre de plus en plus de composants,• de plus en plus complexes,• faisant souvent appel à l’électronique programmée,• dans des applications de plus en plus complexes, etc.

Mais le prix à payer sera la prise en main et la pratique denouveaux outils, de nouvelles méthodes de travail.Mais le prix à payer sera la prise en main et la pratique denouveaux outils, de nouvelles méthodes de travail.

Une révolution culturelle inévitable ?En résumé…


Après EN 954-1

� un champ d’application très vaste� des exigences essentielles de sécurité

� mais n’abordant pas le détail des solutions techniquespermettant de les satisfaire.

la Directive Machines� 98/37CE - la future ancienne,� 2006/42/CE - à compter de fin décembre 2009,

� fixant des objectifs d’ordre très général, enparticulier pour les circuits de commande,

Pour les concepteurs, l’objectif de sécurité pour lescircuits de commande est fixé par

qui se caractérisent par

Opportunité ou menace pour la conception descircuits de commande ?


Après EN 954-1

Disposer de normes comme CEI 62061 ouISO 13849-1 est une opportunité pour les concepteurs !Disposer de normes comme CEI 62061 ouISO 13849-1 est une opportunité pour les concepteurs !

Sans référentiel technique adapté, le résultat de la mise enœuvre de composants complexes pour satisfaire les exigencesde la réglementation nous semble aléatoire !Donc, à notre sens :

Par contre, nous ne tenterons pas de convaincre quel’utilisation de ces textes sera aisée, mais que…

Malgré leur complexité, leurs lacunes, leursimprécisions, ces textes sont incontournables !Malgré leur complexité, leurs lacunes, leursimprécisions, ces textes sont incontournables !

Opportunité ou menace pour la conception descircuits de commande ?


Après EN 954-1

Normes concurrentes ? Complémentaires ?Ces textes se veulent d’abord compatibles.

• pour les technologies autres qu’électriques, la seulenorme qui s’applique est ISO 13849-1 ;

• pour les technologies électriques… , la compréhensionde la complémentarité des champs d’application est unpeu plus délicate, malgré le Tableau 1* des deux textes.

Dans les faits

* qui d’ailleurs devrait être supprimé !


Après EN 954-1

Quel que soit le texte retenu ne pas négliger les phases� de spécification des fonctions de sécurité� d’estimation des risques liés aux fonctions de sécurité

Ce préalable trop souvent négligé a un rôle essentiel dansla prise en charge de la sécurité des personnes et permet :

• de spécifier précisément et complètement• les fonctions à réaliser• les limites de ces fonctions• les dysfonctionnements dangereux

Sans ce travail, le circuit réalisé ne pourra pas répondre aux attentes.Toute imprécision entraînera des reprises a posteriori, pouvant êtredommageables pour la sécurité des personnes.

Sans ce travail, le circuit réalisé ne pourra pas répondre aux attentes.Toute imprécision entraînera des reprises a posteriori, pouvant êtredommageables pour la sécurité des personnes.

Normes concurrentes ? Complémentaires ?


Après EN 954-1

Cette phase d’analyse qui doit être conduite de manièreconcertée, a comme objectif essentiel :

Sans un travail d’estimation des risques concerté et raisonnable, laconception du circuit de commande pourra aboutir

• si les risques sont sous-évalués : à des solutions insuffisantespour garantir la sécurité des personnes ;

• si les risques sont surévalués : à des impasses techniques, à dessurcoûts très importants des installations, etc.

Sans un travail d’estimation des risques concerté et raisonnable, laconception du circuit de commande pourra aboutir

• si les risques sont sous-évalués : à des solutions insuffisantespour garantir la sécurité des personnes ;

• si les risques sont surévalués : à des impasses techniques, à dessurcoûts très importants des installations, etc.

Quel que soit le texte retenu ne pas négliger les phases� de spécification des fonctions de sécurité� d’estimation des risques liés aux fonctions de sécurité

• de spécifier raisonnablement les exigences desécurité des fonctions à réaliser



Après EN 954-1

Normes concurrentes ? Complémentaires ?Estimation préalable du risque – Une référence communeLes exigences de sécurité des fonctions de sécurité sont exprimées dansdes termes propres à chacun des textes :•Niveau de performance requis – PLr – ISO 13849-1•Niveau d’intégrité de sécurité – SIL – CEI 62061Mais les normes seréfèrent à une grandeurcommune pour lesspécifier : Probabilitéde défaillancedangereuse parheure de la fonctionde sécurité - PFHD.

ISO 13849-1 CEI 62061

PL PFHD SIL

a ≥ 10-5 à < 10-4 -

b ≥ 3x10-6 à < 10-5

1c ≥ 10-6 à < 3x10-6

d ≥ 10-7 à < 10-6 2

e ≥ 10-8 à < 10-7 3


Après EN 954-1

Normes concurrentes ? Complémentaires ?Estimation préalable du risque - Une comparaison


Après EN 954-1


Les textes sont concurrents, voire contradictoires.Les textes sont concurrents, voire contradictoires.

Cette difficulté est LE point noir lié à l’existence de cesdeux nouvelles normes !

L’ensemble des situations à risque envisageables par lesdeux textes a été analysé à l’aide des deux référentiels.Globalement, les résultats des analyses

• convergent dans une moitié des cas• divergent de plus ou moins un niveau de SIL dans une

moitié des cas : facteur 10 à 100 sur la PFHD• divergent de plus ou moins deux niveaux de SIL dans

quelques cas : facteur 100 à 1000 sur la PFHD

Estimation préalable du risque – Un point délicat


Après EN 954-1

Normes concurrentes ? Complémentaires ?Estimation préalable du risque - En guise de conclusion

Les résultats de l’estimation du risque, selon qu’elle auraété conduite avec l’une ou l’autre norme, peuvent divergernotoirement et, au final, entraîner des conséquencesdommageables sur la sécurité des personnes.

Les résultats de l’estimation du risque, selon qu’elle auraété conduite avec l’une ou l’autre norme, peuvent divergernotoirement et, au final, entraîner des conséquencesdommageables sur la sécurité des personnes.

Le statut informatif des annexes ne change rien au problème,et compte tenu

• de la simplicité de mise en œuvre et d’estimation des critères d’entrées,• de son accessibilité• qu’elle ne fait pas intervenir le paramètre Pr et ses complications• des résultats des différentes analyses que nous avons effectuées

Il nous semble que la méthode présentée par ISO/EN 13849-1 puisse, sansinconvénient, être préférée.


Après EN 954-1

Normes concurrentes ? Complémentaires ?Réalisation des circuits - Architectures• Pour les deux textes, le choix de l’architecture, ne

peut s’opérer que parmi les architectures spécifiées.D’autres architectures ne sont pas proscrites, mais il faudras’appuyer sur un autre texte pour les traiter et les valider.

• Les architecturesdéfinies pour lescircuits decommande sont trèsvoisines, voireéquivalentes.


Après EN 954-1

Normes concurrentes ? Complémentaires ?Réalisation des circuits - Probabilités…

Les approches des deux normes sont différentes pour lescalculs de probabilité de défaillances dangereuses

• CEI 62061 considère le système complet,

• ISO 13849-1 considère chaque canal individuellement.

Mais les approches• convergent vers les mêmes valeurs cibles de défaillances

dangereuses du système de commande - PFHd,• utilisent les mêmes données d’entrée,• font appel à la même notion de DC - couverture des

fonctions de diagnostic.


Après EN 954-1


Leurs causes peuvent être multiples• les modèles «fiabilistes» utilisés pour ces calculs ;• les fonctionnements pris en compte ;• les dysfonctionnements dangereux pris en compte ;• les valeurs pour les données d’entrées ;• etc.

Les divergences entre les deux textes pouvant découlerdes calculs de fiabilité ne doivent pas nécessairementremettre en cause les méthodes de calcul proposées.

Réalisation des circuits - Probabilités…


Après EN 954-1


Nous n’avons pas de bonne réponse, mais avec quelques bonnespratiques…

• Préférer les données relatives aux composants réellement utilisésà des valeurs par défaut, même… avantageuses ;

• Prendre les valeurs par défaut si il n’y a pas d’autre alternative ;• Préférer un composant pour lequel des données sont fournies à un

autre pour lequel son constructeur reste évasif ;• Si on fournit un MTTFd pour un composant électromécanique, il

faut alors… recouper les informations ;• etc.

Quelles données d’entrée retenir pour ces calculs ?

Toutes les données utilisées dans les calculs doiventêtre tracées !Toutes les données utilisées dans les calculs doiventêtre tracées !



Après EN 954-1


Bien avoir à l’esprit que les textes décrivent• des méthodes simplifiées,• s’appliquant à des modèles d’architecture,• pour l’évaluation probabiliste d’un comportement

envisageable.Au final, le jeu consistera donc surtout

• à appliquer les règles de la norme retenue,• à être capable de justifier tous les éléments de

cette mise en application de la norme,• en les ayant bien entendu tracés !

Quelle est la meilleure méthode pour ces calculs ?



Après EN 954-1

En guise de conclusion et en attendant le texte parfait…

Actuellement, beaucoup de nos interlocuteurs…• ne tarissent pas d’éloges sur EN 954-1,• ne tarissent pas de critiques sur le caractère abstrus

des nouveaux référentiels.

Sans référentiel normatif pertinent, les concepteurs decircuits de commande relatifs à la sécurité auront de trèsgrandes difficultés à justifier la conformité de leursmachines aux exigences de la Directive.

Sans référentiel normatif pertinent, les concepteurs decircuits de commande relatifs à la sécurité auront de trèsgrandes difficultés à justifier la conformité de leursmachines aux exigences de la Directive.

Mais il faut savoir que…


Après EN 954-1

Donc, notre message…• d’abord, accepter la fin de la regrettée EN 954-1,• choisir le texte adapté à la situation,• se l’approprier,• et ensuite seulement, se concentrer sur les difficultés

de son application.

Donc, notre message…• d’abord, accepter la fin de la regrettée EN 954-1,• choisir le texte adapté à la situation,• se l’approprier,• et ensuite seulement, se concentrer sur les difficultés

de son application.


Certes les normes sont relativement délicates à mettre enœuvre !Mais la complexité de la problématique des circuits decommande relatifs à la sécurité n’est pas liée uniquementà celle des textes…


Après EN 954-1

• Exclusivement électrique• soit ISO 13849-1,• soit CEI 62061.

Après avoir rappelé la prudence qui doit prévaloir lorsd’une estimation du risque sur la base de CEI 62061Après avoir rappelé la prudence qui doit prévaloir lorsd’une estimation du risque sur la base de CEI 62061

En fonction de la technologie pressentie pour le circuit decommande les textes peuvent être utilisés ainsi

• Non électrique : ISO 13849-1,• Mixte (électro-…)

• soit ISO 13849-1,• soit CEI 62061 pour les parties électriques

et ISO 13849-1 pour les autres parties.



Après EN 954-1

Choix de l’architecture du circuit de commanderelatif à la sécuritéChoix de l’architecture du circuit de commanderelatif à la sécurité

Détermination et vérification de la performancede sécurité réalisée par le circuit de commandeen prenant en compte :• Architecture•Taux de défaillances dangereuses•DC•Intégrité de sécurité systématique

Détermination et vérification de la performancede sécurité réalisée par le circuit de commandeen prenant en compte :• Architecture•Taux de défaillances dangereuses•DC•Intégrité de sécurité systématique

Spécification des fonctions de diagnosticSpécification des fonctions de diagnostic

Spécification et choix des parties matérielles, descomposants ; recueil des données de fiabilité.Spécification et choix des parties matérielles, descomposants ; recueil des données de fiabilité.

Spécification des parties logiciellesSpécification des parties logicielles

Vérif OK ?

OUI

NON

Spécification desfonctions de sécurité• fonctionnelles•de sécurité

Prescriptions pour l’intégrité de sécurité systématiquePrescriptions pour l’intégrité de sécurité systématique

DocumentationDocumentation

Validation du circuit conçuValidation du circuit conçu

Intégration du circuit de commandeIntégration du circuit de commande

Conception des parties matérielles et logiciellesConception des parties matérielles et logicielles

Mais quel quesoit leréférentielretenula démarchepréconiséesera toujoursla même…

Mais quel quesoit leréférentielretenula démarchepréconiséesera toujoursla même…

Seuls les détails demise en applicationde la démarchedépendront de lanorme retenue !



Après EN 954-1

Merci pour votre patience !

après en 954-1… iec/en 62061, iso/en 13849-1 · in machine’2009 j. p. buchweiller : après en...

Documents