Changement des exigences techniques de la norme EN 13849-1 édition 2015

 

Changements entre l'ISO 13849-1:2008 – ISO 13849-1:2015

Cette troisième édition annule et remplace la deuxième édition (ISO 13849-1:2006), dont elle constitue une révision technique. Elle comprend également le Rectificatif Technique ISO 13849-1:1/Cor 1:2009. Les modifications par rapport à l'édition précédentes incluent

  • suppression de l'ancien Tableau 1 contenu dans l'Introduction,
  • mise à jour et ajout de références normatives,
  • modification de la définition des termes situation dangereuse et mode de demande élevée ou mode continu,
  • ajout d'un nouveau terme et définition, utilisation éprouvée,
  • modification éditoriale, mais pas technique, de la Figure 1,
  • un nouveau paragraphe, 4.5.5, mais également des modifications aux sections existantes dont les annexes, notamment des modifications substantielles de l'Annexe C et une nouvelle Annexe I.

 

 

édition de 2008 + ADD 2012 

édition de 2015 

Supprimé et remplacé

Information sur l’utilisation recommandée de la CEI 62061 et la présente partie de l’ISO 13849

La CEI 62061 et la présente partie de l’ISO 13849 spécifient les exigences pour la conception et la mise en œuvre des systèmes de commande électriques relatifs à la sécurité des machines. L’utiliser de l’une de ces deux Normes internationales, en accord avec leurs domaines d’application, peut présumer de satisfaire aux exigences essentielles de sécurité appropriées. Le Tableau 1 résume les domaines d’application de la CEI 62061 et de la présente partie de l’ISO 13849.

 

 

Information sur l'utilisation recommandée de la IEC 62061 et la présente partie de l'ISO 13849
L'IEC 62061 et la présente partie de l'ISO 13849 spécifient les exigences pour la conception et la mise en œuvre des systèmes de commande relatifs à la sécurité des machines. L'utilisation de l'une de ces deux Normes internationales, en accord avec leurs domaines d'application, peut présumer de satisfaire aux exigences essentielles de sécurité appropriées.
 
L'ISO/TR 23849 donne les lignes directrices relatives à l'application de l'ISO 13849-1 et de l'IEC 62061 pour la conception des systèmes de commande des machines relatifs à la sécurité.

 

partie suivante présente dans la version anglaise de la norme mais non pas dans la version francaise.

As with ISO/TR 23849, ISO/TR 22100‑2 has been added to the list of normative references given in Clause 2 — the latter owing to its importance for an understanding of the relationship between this part of ISO 13849 and ISO 12100.

 

Ajout au chapitre 2 : Références normatives de 

  • IEC 62061:2012, Safety of machinery — Functional safety of safety–related electrical, electronic and programmable electronic control systems
  • ISO/TR 22100-2:2013, Safety of machinery — Relationship with ISO 12100 — Part 2: How ISO 12100 relates to ISO 13849‑1
  • ISO/TR 23849, Guidance on the application of ISO 13849-1 and IEC 62061 in the design of safety-related control systems for machinery

Supprimé du chapitre 4.5.4

NOTE : Lorsque les blocs de chaque canal ne peuvent pas être séparés, ce qui suit peut être appliqué: MTTFd du canal d'essai résumé (TE, OTE) plus grand que la moitié du MTTFd du canal fonctionnel résumé (I, L, O). 

 

Ajout dans la figure 3 du terme systematic failures et renvoi en annexe G

Ajout au chapitre 4.5.2

Conformément au Tableau 4, pour chaque SRP/CS (sous-système), la valeur maximale du MTTFD pour chaque canal est de 100 années. Pour les SRP/CS (sous-systèmes) de catégorie 4, la valeur maximale du MTTFD pour chaque canal est augmentée à 2500 années.

NOTE : Cette valeur plus élevée est justifiée car dans la catégorie 4, les autres aspects quantifiables, la structure et la DC, ont atteint leur valeur maximale, ce qui permet de combiner en série plus de trois sous-systèmes (SRP/CS) avec la catégorie 4 et d'obtenir le niveau de performance «e» conformément au paragraphe 6.3.

Ajout au chapitre 4.5.4

  • pour la catégorie 2: taux de demande ≤ 1/100 du taux d'essais (voir également la Note en Annexe K); ou bien les essais sont effectués dès la sollicitation de la fonction de sécurité, et le temps total avant détection du défaut et mise en condition non dangereuse de la machine (en général, sa mise à l'arrêt) est inférieur au temps nécessaire pour atteindre le phénomène dangereux (voir aussi l'ISO 13855);
  • pour la catégorie 2: le MTTFD du canal d'essai est supérieur à la moitié du MTTFD du canal fonctionnel.

Ajout du chapitre 4.5.5 Description du dispositif de sortie du SRP/CS par catégorie 

Si, pour des composants mécaniques, hydrauliques ou pneumatiques (ou des composants constitués d'un mélange de technologies), aucune application spécifique de données de fiabilité n'est disponible, le fabricant de la machine peut évaluer les aspects quantifiables du PL sans aucun calcul du MTTFD.
Dans de tels cas, le niveau de performance relatif à la sécurité (PL) est implémenté par l'architecture, le diagnostic et les mesures contre les CCF.
Le Tableau 7 montre la relation entre le PL pouvant être atteint (correspondant à la Figure 5) et les catégories. PL a et PL b peuvent être implémentés avec la catégorie B. PL c peut être implémenté avec la catégorie 1 ou la catégorie 2, si des composants et des principes de sécurités éprouvés sont utilisés.
Lors de l'implantation d'une fonction de sécurité PL c avec une catégorie 1, les valeurs T10D des composants relatifs à la sécurité qui ne sont pas sous surveillance lors du procédé, sont déterminés.
Ces valeurs T10D peuvent être déterminées sur la base de données résultant d'une utilisation éprouvée fournies par le fabricant de machine.
En catégorie 2, le MTTFD du canal d'essai doit au moins durer 10 ans.
Le PL d peut être implémenté avec une catégorie 3, si des composants et des principes de sécurités éprouvés sont utilisés.
Le PL e peut être implémenté avec une catégorie 4, si des composants et des principes de sécurités éprouvés sont utilisés.
 
En principe: lors de l'implémentation de la fonction de sécurité avec une catégorie 2, catégorie 3 ou catégorie 4, les défaillances de cause commune (CCF) et une couverture de diagnostic (DC) suffisante doivent être prises en compte (faible, moyen pour les catégories 2 et 3, élevé pour la catégorie 4).
Dans ce cas, le calcul du DCavg est réduit à une valeur moyenne arithmétique de tous les DC individuels des composants dans le canal d'essai.

 

4.6.2 Logiciel intégré relatif à la sécurité (SRESW) 

Erreur de la norme. L'édition 2010 de la norme IEC 61508 n'a pas été intégrée

Le SRESW d'un composant avec un PLr = e doit être conforme à la IEC 61508-3:1998, Article 7, approprié pour un SIL de 3. Dans le cas de l'utilisation de la diversité dans la spécification, la conception et la programmation, pour les deux canaux définis dans une SRP/CS de catégorie 3 ou 4, un PLr = e peut être obtenu avec les mesures précédentes pour un PLr de c ou d.

Pour une description détaillée de telles mesures, voir par exemple la IEC 61508-7:2000.

 

Ajout de

Les composants qui ne satisfont pas aux exigences de SRESW, par exemple les PLC n'ayant pas faits l'objet de critères de sécurités par le fabricant, peuvent être utilisés sous l'une des conditions suivantes:

  • la SRP/CS est limitée à un PL de « a » ou « b » et utilise la catégorie B, 2 ou 3;
  • la SRP/C est limitée à un PL de « c » ou « d » et peut utiliser de multiples composants pour deux canaux dans la catégorie 2 ou 3. Les composants de ces deux canaux utilisent des technologies diverses.

 

Ajout de 

5.1 - Spécification des fonctions de sécurité 

f. le comportement de la machine en cas de coupure d'alimentation (voir aussi 5.2.8);

NOTE : Dans certains cas, il peut être nécessaire de tenir compte du comportement de la machine en cas de coupure d'alimentation, par exemple s'il est nécessaire de maintenir un axe vertical afin d'éviter une chute sous l'effet de la pesanteur. Cela peut exiger deux fonctions de sécurité distinctes: avec alimentation disponible et sans alimentation disponible.

Supprimé du chapitre:

6.2.2 - Architectures désignées

NOTE : Dans certains cas, comme suite à une solution technique spécifique ou déterminée par une norme de type C, une performance relative à la sécurité d'une SRP/CS peut être exigée uniquement par une catégorie sans PLr supplémentaire. Pour de tels cas spécifiques, la sécurité est fournie particulièrement par l'architecture et les exigences pour le MTTF, la DC et la CCF ne s'appliquent pas. 

 

6.2.5 Categorie 2

Lorsqu'il n'est pas possible de parvenir à un état sûr (par exemple soudure du contact du commutateur de sortie), le signal doit donner un avertissement de danger.

Changement en chapitre 6.2.5 pour la Categorie 2

NOTE 4 Pour l’application de l’approche simplifiée reposant sur les architectures désignées, voir les hypothèses formulées en 4.5.4.

Remplacé en chapitre 6.2.6 Categorie 3

NOTE 3

Le comportement d'un système de catégorie 3 permet que

  • la fonction de sécurité soit toujours assurée en cas de défaut unique;
  • certains défauts soient détectés mais pas tous;
  • l'accumulation de défauts non détectés puisse conduire à la perte de la fonction de sécurité.

 

Changement

en chapitre 6.2.6 Categorie 3

NOTE 3 Le comportement du système de catégorie 3 se caractérise par
— la performance continue de la fonction de sécurité en présence d’un défaut unique,
— la détection de quelques défauts, mais pas de tous,
— la perte possible de la fonction de sécurité en raison d’une accumulation de défauts non détectés.

Modification du chapitre

6.3 Combinaison des SRP/CS pour atteindre un PL global

Selon 6.2, les parties relatives à la sécurité combinées d'un système de commande commencent dès lors que les signaux en relation avec la sécurité sont initiés et se terminent en sortie des actionneurs. Mais la combinaison de SRP/CS peut consister à connecter différentes parties d'une façon linéaire (alignement série) ou redondante (alignement parallèle). Afin d'éviter une nouvelle estimation du niveau de performance (PL) obtenu par la combinaison de SRP/CS lorsque les PL séparés de toutes les parties sont déjà calculés, les estimations suivantes sont présentées pour un alignement en série de SRP/CS.

 

Chapitre  6.3 Combinaison des SRP/CS pour atteindre un PL global

Selon 6.2, les parties relatives à la sécurité combinées d’un système de commande commencent dès lors que les signaux en relation avec la sécurité sont initiés et se terminent en sortie des actionneurs. Mais la combinaison de SRP/CS peut consister à connecter différentes parties d’une façon linéaire (alignement série) ou redondante (alignement parallèle). Afin d’éviter une nouvelle estimation du niveau de
performance (PL) obtenu par la combinaison de SRP/CS lorsque les PL séparés de toutes les parties sont déjà calculés, les estimations suivantes sont présentées pour une combinaison en série de SRP/CS.

Ajout de :

Si les valeurs de PFHD de toutes les SRP/CSi sont connues, la PFHD de la SRP/CS combinée est égale à la somme de toutes les valeurs de PFHD des N SRP/CSi individuelles. Le PL de la SRP/CS combinée est limité par:
— le PL le plus faible des SRP/CSi individuelles impliquées dans l’exécution de la fonction de sécurité, puisque le PL est également déterminé par des aspects non quantifiables, et
— le PL correspondant à la PFHD de la SRP/CS combinée selon le Tableau 2.

NOTE Voir l’Annexe H et l’ISO/TR 23849, 8.2.6 pour obtenir un exemple de cette méthode.

Ajout de :

Si les valeurs de PFHD de toutes les SRP/CSi individuelles ne sont pas connues, on peut appliquer une autre solution moins favorable que la méthode ci-dessus et calculer le PL de l’ensemble de la SRP/CS combinée exécutant la fonction de sécurité à l’aide du Tableau 10 (la version anglaise mentionne le tableau 11 - erreur de retranscription dans la version française), ...
— Identifier le PLi le plus faible, appelé PLlow.
— Identifier le nombre Nlow ≤ N du SRP/CSi avec PLi = PLlow.
— Déterminer le PL dans le Tableau 11.

 

Ajout au chapitre 7.3 Exclusion de défauts

L’exclusion de défauts est un compromis entre les exigences techniques de sécurité et les possibilités théoriques d’occurrence d’un défaut.

 

Les autres modifications dans les annexes sont informatives et ne sont pas normatives donc les modifications des exigences ne sont pas d'application obligatoire.

 

French