1.11 CEI/EN 62061 Sécurité des machines – Sécurité fonctionnelle des systèmes de commande électriques, électroniques et électroniques programmables relatifs à la sécurité
Cette norme énonce des exigences et des recommandations concernant la conception, l'intégration et la validation de systèmes de commande électriques, électroniques et électroniques programmables relatifs à la sécurité (SRECS) destinés aux machines qui ne peuvent être portées à la main durant le travail. Contrairement à la norme EN ISO 13849-1, elle ne fixe aucune exigence concernant la capacité de performance d'éléments de systèmes de commande relatifs à la sécurité non électriques (hydrauliques, pneumatiques, électromécaniques par exemple). Elle sert, dans le cadre de la norme EN ISO 12100-1 et parallèlement à la norme EN ISO 13849-1, à spécifier la capacité de performance en matière de sécurité nécessaire à la réduction des risques des systèmes de commande électriques relatifs à la sécurité. En tant que norme spécifique au secteur issue de CEI 61508, CEI/EN 62061 prend en considération, pour le domaine d'utilisation des machines, l'ensemble du cycle de vie SRECS de la phase de conception à la mise hors service. La capacité de performance de sécurité est décrite par le niveau d'intégrité de sécurité (Safety Integrity Level (SIL)).
Niveau d'intégrité de sécurité (SILCL) selon la norme CEI/EN 62061
| Niveau d'intégrité de sécurité |
Probabilité moyenne de défaillance dangereuse par heure (PFHd) |
| 3 |
≥ 10-8 à < 10-7
|
| 2 |
≥ 10-7 à < 10-6 |
| 1 |
≥ 10-6 à < 10-5 |
La norme CEI/EN 62061 sert à spécifier la capacité de performance en matière de sécurité (SIL) des systèmes de commande électriques relatifs à la sécurité parallèlement à EN ISO 13849 :
(source : brochure ZVEI Sécurité des machines)
Évaluation des risques et détermination du SIL
Un processus d'évaluation qualitative des risques et de détermination du SILCL est décrit dans l'annexe A instructive de la norme CEI/EN 62061. Ce processus doit être exécuté pour chaque danger spécial qui doit être réduit au moyen d'un SRECS. Il repose sur la méthode présentée par la norme EN ISO 14121 et utilise les paramètres de risques pour l'évaluation.
- S gravité des dégâts ou de la blessure éventuels
- F fréquence et durée de l'exposition
- W probabilité de survenue d'un événement dangereux
- P possibilité de prévention ou de limitation des dégâts
Pour chaque danger spécial, les paramètres de risques individuels sont pris en considération et évalués au moyen d'un nombre correspondant en fonction de la manifestation (gravité, fréquence, probabilité par exemple).
Classification des paramètres de risques selon la norme CEI/EN 62061 :
| Gravité |
S |
Fréquence de l'exposition |
F |
Probabilité de survenue |
W |
Possibilité de prévention |
P |
| Irréversible : décès, perte d'un oeil ou d'un bras |
4
|
≤ 1h |
5 |
très élevée |
5 |
impossible |
5 |
| Irréversible : membres inférieurs cassés, perte d'un doigt |
3 |
> 1h à ≤ 1 jour |
5 |
probable |
4 |
rare |
3 |
| Réversible : traitement médical nécessaire |
2 |
> 1 jour à ≤ 2 semaines |
4 |
possible |
3 |
probable |
1 |
| Réversible : premiers soins nécessaires |
1 |
> 2 semaines à ≤ 1 an |
3 |
rare |
2 |
|
|
|
|
> 1 an |
2 |
négligeable |
1 |
|
|
L'addition de ces chiffres permet de déterminer la classe de probabilité de dégât K. Les deux paramètres S et K permettent d'obtenir une matrice destinée à déterminer le SILCL. Le point de croisement entre la ligne S et la colonne K correspondante indique si une intervention est nécessaire et à quel type de traitement il doit être fait appel.
Matrice destinée à déterminer le SIL :
| Gravité (S) |
Classe de probabilité de dégât (K) |
| 3 à 4 |
5 à 7 |
8 à 10 |
11 à 13 |
14 à 15 |
| 4 |
SIL 2 |
SIL 2 |
SIL 2 |
SIL 3 |
SIL 3 |
| 3 |
|
(AM) |
SIL 1 |
SIL 2 |
SIL 3 |
| 2 |
|
|
(AM) |
SIL 1 |
SIL 2 |
| 1 |
|
|
|
(AM) |
SIL 1 |
| Légende |
 |
Valeur exigée du SIL pour la fonction de commande relative à la sécurité |
 |
Recommandation de l'utilisation d'autres mesures (AM) |
|
Intervention non nécessaire |
|
(source : CEI/EN 62061, annexe A)
Conception et intégration d'un SRECS selon la norme CEI/EN 62061
L'analyse et l'évaluation des risques réalisées selon la norme EN ISO 12100-1 ont révélé que les fonctions de sécurité étaient des mesures indispensables à la réduction des risques. Les fonctions de sécurité réalisées au moyen de SRECS sont réparties en fonctions de sécurité partielles pour la conception de l'architecture de système. Ces fonctions de sécurité partielles virtuelles sont associées aux éléments de systèmes partiels réels.
Il s'agit soit d'appareils déjà développés tels que des capteurs, des systèmes de commande ou des acteurs par exemple, soit de composants complexes à concevoir selon les spécifications existantes conformément à CEI/EN 61508 et composés de matériel avec logiciel incorporé ou logiciel d'application. Une fois le système conçu, le niveau d'intégrité de sécurité (SILCL) est déterminé et l'on vérifie si le SIL exigé est atteint.
Détermination de l'intégrité de sécurité (SILCL) atteinte par un SRECS
Le SIL atteint est toujours inférieur ou identique à la valeur la plus basse des SILCL de l'un des systèmes partiels.
Architecture SRECS composée de systèmes et d'éléments partiels :
(source : brochure ZVEI Sécurité des machines)
Les systèmes partiels sont décrits en matière de sécurité par les caractéristiques SILCL, PFHd et T1.
| Caractéristiques de la CEI 62061 |
Signification |
| SILCL |
limite d'exigence SIL (valeur SIL maximale) d'un système partiel (en : SIL claim limit)
|
| PFHd |
probabilité de défaillances dangereuses par heure (en : probability of dangerous failure per hour) |
| T1 |
durée d'utilisation du système partiel (en : lifetime) ou intervalle Proof-Test lorsque cette valeur est inférieure à la durée d'utilisation (durée de vie). Commentaire : le Proof-Test sert à détecter les défauts dans le SRECS et ses systèmes partiels. |
Les systèmes partiels peuvent se composer d'éléments de systèmes partiels (appareils) connectés de différentes manières présentant les caractéristiques suivantes.
| Caractéristiques de la CEI 62061 |
Signification |
|
taux de défaillance (en : failure rate) ; pour les appareils électromécaniques, le taux de défaillance du fabricant est indiqué par rapport à un nombre de cycles de commutations comme la valeur B10. Le taux de défaillance lié au temps et la durée de vie doit être déterminé au moyen de la fréquence de commutation pour chaque application.
|
| SFF |
part de défaillances sûres (en : Safe Failure Fraction) |
| T2 |
intervalle de contrôle de diagnostic (en : diagnostic test interval) |
| ß |
réceptivité par rapport aux défaillances en raison d'une cause commune |
| DC |
degré de couverture du diagnostic (en : diagnostic coverage) |
Un chapitre de la norme décrit une approche simplifiée pour l'évaluation de la probabilité de défaillances dangereuses de matériel des systèmes partiels. Il existe 4 architectures de systèmes partiels de base (A, B, C, D). Les formules de calcul correspondantes qui permettent de déterminer la probabilité d'une défaillance dangereuse du système partiel (PFHd) pour chacune de ces architectures sont indiquées. La valeur PFHd de la commande relative à la sécurité est déterminée en additionnant les valeurs PFHd individuelles des systèmes partiels.
Validation
Le chapitre 8 énonce les exigences liées à la validation du système de commande électrique relatif à la sécurité. Lors de la validation, on s'assure, par le biais d'une inspection et d'un contrôle, que la conception de chaque fonction de sécurité répond aux exigences correspondantes des spécifications.
Validité de la norme CEI/EN 62061
La norme CEI 62061 a été adoptée fin 2004 et acceptée sans modification en tant que norme européenne. La norme EN 62061 est reprise, depuis le 31.12.2005, dans le Journal officiel de l'Union européenne en tant que norme avec effet de supposition pour répondre à la directive relative aux machines 2006/42/CE.
|
