ISO 13849 et IEC 62061 : sécurité des machines
Guide, sécurité des machines
Concevoir une fonction de sécurité sur une machine, arrêt d'urgence, protecteur mobile interverrouillé, barrière immatérielle, commande bimanuelle, suppose de quantifier la fiabilité de la partie commande qui la réalise. Deux normes harmonisées encadrent cet exercice dans l'Union européenne : ISO 13849-1 et sa partie validation ISO 13849-2, qui raisonnent en Performance Level (PL de a a e), et IEC 62061, qui raisonne en SIL CL (1 a 3) selon l'héritage d'IEC 61508. Cette page expose les métriques de chaque norme, la table de correspondance PL vers SIL, les critères de choix, la procédure de calcul, la validation, et l'articulation avec la directive 2006/42/CE et le règlement (UE) 2023/1230.
Deux normes, un même objectif
Section intitulée « Deux normes, un même objectif »ISO 13849-1 et IEC 62061 traitent toutes deux les parties des systèmes de commande relatives a la sécurité. ISO 13849 les nomme SRP/CS (Safety-Related Parts of Control Systems) ; IEC 62061 emploie SCS (Safety-related Control System). Le but est identique : démontrer que la fonction de sécurité a une probabilité de défaillance dangereuse suffisamment basse au regard du risque qu'elle réduit.
ISO 13849-1 est issue de la tradition machine européenne (ancienne EN 954-1) et raisonne par catégories d'architecture combinées a des grandeurs de fiabilité. IEC 62061 est la déclinaison machine d'IEC 61508, la norme générique de sécurité fonctionnelle des systèmes électriques, électroniques et électroniques programmables ; elle reprend la logique SIL et le vocabulaire 61508.
Historiquement, ISO 13849 couvrait toutes les technologies tandis qu'IEC 62061 (édition 2005) se limitait a l'électrique, l'électronique et l'électronique programmable. L'édition 2021 d'IEC 62061 a levé cette restriction : les deux normes couvrent désormais l'ensemble des technologies de commande, y compris hydraulique et pneumatique. Le choix entre les deux relève donc surtout de la culture d'équipe et du poids de l'électronique programmable complexe dans la fonction.
Genealogie normative
Section intitulée « Genealogie normative »| Norme | Origine | Metrique | Perimetre |
|---|---|---|---|
| ISO 13849-1 | Monde machine (ex EN 954-1) | Performance Level (PL a a e) | Toutes technologies |
| ISO 13849-2 | Partie validation associée | Revue de conception et essais | Toutes technologies |
| IEC 62061 | Derivation machine d'IEC 61508 | SIL CL (1 a 3) | Toutes technologies (depuis 2021) |
| IEC 61508 | Norme générique parente | SIL (1 a 4) | Systemes E/E/PE génériques |
ISO 13849-1 : Performance Level
Section intitulée « ISO 13849-1 : Performance Level »Le Performance Level (PL) est le coeur de la quantification ISO 13849-1. C'est un niveau discret de a a e qui exprime la capacité d'un SRP/CS a assurer une fonction de sécurité dans des conditions previsibles. Chaque PL est associe a une plage de PFHd, probabilité de défaillance dangereuse par heure.
| PL | PFHd (par heure) |
|---|---|
| a | 1e-5 a moins de 1e-4 |
| b | 3e-6 a moins de 1e-5 |
| c | 1e-6 a moins de 3e-6 |
| d | 1e-7 a moins de 1e-6 |
| e | 1e-8 a moins de 1e-7 |
Déterminer le PL requis (PLr)
Section intitulée « Déterminer le PL requis (PLr) »L'objectif à atteindre est le PLr (PL required), dérive d'un graphe de risque à trois paramètres appliqué à chaque fonction de sécurité avant mesure de réduction :
- S (sévérité) : S1 blessure légère et réversible, S2 blessure grave ou irréversible ou décès.
- F (fréquence et durée d'exposition) : F1 rare ou courte, F2 fréquente ou continue.
- P (possibilité d'éviter le danger) : P1 possible sous certaines conditions, P2 a peine possible.
La combinaison S, F et P conduit a un PLr de a a e. La conception doit ensuite atteindre un PL supérieur ou égal au PLr. Le graphe est décrit a l'annexe A de la norme.
Les cinq catégories d'architecture
Section intitulée « Les cinq catégories d'architecture »Le PL atteint dépend d'abord de la catégorie, qui décrit la structure du SRP/CS et son comportement en cas de défaut.
| Catégorie | Principe | Comportement sur défaut |
|---|---|---|
| B | Composants de base, conformes a l'état de l'art | Un défaut peut entraîner la perte de la fonction |
| 1 | Comme B avec composants et principes éprouvés | Meilleure fiabilité, mais un défaut peut encore perdre la fonction |
| 2 | Fonction testée périodiquement par le système de commande | Un défaut détecté au test suivant ; perte possible entre deux tests |
| 3 | Architecture mono-défaut tolérante (souvent deux canaux) | Un défaut unique ne provoque pas la perte de la fonction |
| 4 | Deux canaux avec diagnostic élevé, accumulation de défauts maîtrisée | Ni un défaut unique ni une accumulation raisonnable ne perdent la fonction |
MTTFd, DC et CCF
Section intitulée « MTTFd, DC et CCF »Trois grandeurs supplémentaires affinent le PL au sein d'une catégorie.
- MTTFd (Mean Time To dangerous Failure) : durée moyenne avant défaillance dangereuse d'un canal, classée faible (3 à moins de 10 ans), moyen (10 à moins de 30 ans), élevé (30 à 100 ans). Le MTTFd canal est plafonné à 100 ans dans le calcul.
- DC (Diagnostic Coverage) : part des défaillances dangereuses détectées par le diagnostic, classée nulle (moins de 60 pour cent), faible (60 à moins de 90), moyen (90 à moins de 99), élevé (au moins 99). On utilise le DC moyen (DCavg) sur l'ensemble du SRP/CS.
- CCF (Common Cause Failure) : maîtrise des défaillances de cause commune, évaluée par la grille de points de l'annexe F. Un total d'au moins 65 points sur 100 est exigé pour les catégories 2, 3 et 4.
Le PL atteint se lit dans le tableau 7 (croisement catégorie, MTTFd, DCavg), confirmé par les courbes de l'annexe K. L'outil SISTEMA de l'IFA (Institut fur Arbeitsschutz) automatise ce calcul et est largement reconnu par les organismes notifiés.
IEC 62061 : SIL CL pour les machines
Section intitulée « IEC 62061 : SIL CL pour les machines »IEC 62061 quantifie un SIL CL (SIL Claim Limit), de 1 a 3, attribuable a un sous-système. Le SIL CL est la borne supérieure de SIL qu'un sous-système peut revendiquer compte tenu de son architecture, de sa tolérance aux défauts (HFT) et de sa fraction de défaillances en sécurité (SFF), exactement dans la logique d'IEC 61508.
La norme décrit une procédure complète : estimation et attribution d'un SIL à chaque fonction de sécurité, décomposition en sous-systèmes (capteur, logique, actionneur), affectation d'un SIL CL à chaque sous-système, puis combinaison pour vérifier la cible. La PFHd du système est la somme des PFHd des sous-systèmes en série, comparée à la plage SIL visée.
Plages SIL et PFHd
Section intitulée « Plages SIL et PFHd »| SIL | PFHd (par heure) |
|---|---|
| 1 | 1e-6 a moins de 1e-5 |
| 2 | 1e-7 a moins de 1e-6 |
| 3 | 1e-8 a moins de 1e-7 |
IEC 62061 ne va pas au-dela de SIL 3 : SIL 4 d'IEC 61508 n'a pas d'usage réaliste sur machine. Les architectures de sous-système (notées A et B, ou les structures de base D selon l'édition) déterminent le SIL CL atteignable selon HFT et SFF, avec les mêmes tables que la partie 2 d'IEC 61508.
Correspondance PL vers SIL
Section intitulée « Correspondance PL vers SIL »Comme les deux normes dérivent d'IEC 61508 et partagent la PFHd, la correspondance est fiable pour communiquer entre équipes ou choisir une norme. Elle n'est pas une équivalence formelle (les voies de calcul diffèrent), mais un alignement par plage de PFHd.
| Performance Level | PFHd (par heure) | SIL équivalent |
|---|---|---|
| a | 1e-5 a moins de 1e-4 | aucun équivalent SIL |
| b | 3e-6 a moins de 1e-5 | SIL 1 |
| c | 1e-6 a moins de 3e-6 | SIL 1 |
| d | 1e-7 a moins de 1e-6 | SIL 2 |
| e | 1e-8 a moins de 1e-7 | SIL 3 |
PL a est le seul niveau sans équivalent SIL : sa plage de PFHd se situe au-dessus du domaine SIL 1. A l'inverse, IEC 62061 ne descend pas sous SIL 1, donc une fonction visant PL a ne se traite que par ISO 13849.
Quand utiliser quelle norme
Section intitulée « Quand utiliser quelle norme »| Situation | Norme conseillée | Raison |
|---|---|---|
| Architecture simple, technologies mixtes, équipe machine | ISO 13849-1 | Approche par catégories, outil SISTEMA, culture machine |
| Fonction PL a (risque faible) | ISO 13849-1 | IEC 62061 ne descend pas sous SIL 1 |
| Électronique programmable complexe, logiciel important | IEC 62061 | Héritage 61508, exigences logicielles détaillées |
| Continuité avec un parc déjà certifié SIL | IEC 62061 | Cohérence du vocabulaire et des dossiers SIL |
| Intégration dans une chaîne procédé sous IEC 61511 | IEC 62061 | Même racine 61508, transfert facilité |
Les deux normes restant harmonisées au titre de la directive machines, le choix est libre. Mixer les deux sur une même fonction est déconseillé : on suit une norme par fonction de sécurité, et on documente le choix dans le dossier technique.
Procédure pas à pas
Section intitulée « Procédure pas à pas »La démarche est commune aux deux normes, avec des métriques propres à chacune.
- Analyse de risque selon EN ISO 12100 : identifier les phénomènes dangereux, estimer le risque, définir les mesures de réduction et les fonctions de sécurité necessaires.
- Definir chaque fonction de sécurité : entrée (capteur), traitement (logique), sortie (actionneur), comportement attendu, temps de réponse, état de sécurité.
- Determiner l'objectif : PLr (ISO 13849) ou SIL cible (IEC 62061) par le graphe de risque ou la matrice.
- Concevoir l'architecture : choisir la catégorie (B, 1, 2, 3, 4) ou la structure de sous-système, intégrer la redondance et le diagnostic selon le niveau vise.
- Quantifier : MTTFd, DCavg, CCF et tableau 7 pour ISO 13849 ; HFT, SFF, PFHd des sous-systèmes pour IEC 62061. SISTEMA aide pour ISO 13849.
- Vérifier : PL atteint supérieur ou égal au PLr, ou PFHd système dans la plage SIL visée.
- Valider selon ISO 13849-2 (ou la clause de validation d'IEC 62061) : revue de conception, analyse de défauts, essais fonctionnels et essais en défaut.
- Documenter : dossier technique, déclaration UE de conformité, notice d'utilisation, maintenance et conditions de validité du PL ou SIL.
Validation selon ISO 13849-2
Section intitulée « Validation selon ISO 13849-2 »La validation n'est pas accessoire : la partie 1 l'exige et renvoie à la partie 2 pour la méthode. ISO 13849-2 combine deux moyens complémentaires.
- Analyse (revue de conception) : vérification que chaque fonction de sécurité, chaque catégorie, chaque hypothèse de calcul est cohérente avec la conception réelle. La norme fournit des fault lists (listes de défauts à considérer ou exclure) par technologie en annexes, pour cadrer l'analyse de défauts.
- Essais : essais fonctionnels (la fonction réalise bien l'état de sécurité), essais en défaut (injection de défauts pour vérifier le comportement attendu de la catégorie), essais aux limites environnementales si pertinent.
Le plan de validation, la liste des fonctions de sécurité, l'analyse de défauts et le compte rendu d'essais entrent dans le dossier technique. L'exclusion d'un défaut (fault exclusion) doit être justifiée par écrit et reste sous la responsabilité du fabricant ; un assesseur ou un organisme notifié vérifie la solidité de chaque exclusion.
Articulation avec la directive machines
Section intitulée « Articulation avec la directive machines »EN ISO 13849-1 et EN IEC 62061 sont citées au Journal officiel de l'Union européenne comme normes harmonisées de la directive 2006/42/CE. Leur application volontaire donne présomption de conformité aux exigences essentielles de santé et de sécurité de l'annexe I, en particulier le point 1.2.1 sur la sécurité et la fiabilité des systèmes de commande.
La présomption ne porte que sur le périmètre couvert et sur la version exactement citée au JOUE : ISO 13849-1 a connu plusieurs éditions (2006, 2015, 2023) et la version citée n'est pas toujours la plus récente. Le fabricant vérifie la référence et la date avant de revendiquer la présomption.
Le règlement (UE) 2023/1230 remplace la directive 2006/42/CE avec pleine application au 20 janvier 2027. Le mécanisme de présomption par normes harmonisées est conservé, et EN ISO 13849-1 et EN IEC 62061 demeurent les références attendues pour la sécurité des systèmes de commande. Le règlement durcit les exigences sur les machines intégrant des composants de sécurité logiciels et l'intelligence artificielle, encadre les modifications substantielles et autorise la documentation sous forme numérique. Les fabricants suivent la republication des références harmonisées sous le règlement.
Voie d'évaluation de la conformité
Section intitulée « Voie d'évaluation de la conformité »La norme de sécurité fonctionnelle ne détermine pas à elle seule le module d'évaluation. Pour la plupart des machines, le fabricant procède par auto-évaluation (contrôle interne de fabrication) et établit lui-même la déclaration UE de conformité. Les machines de l'annexe IV (certaines presses, scies, dispositifs de protection) requièrent un organisme notifié, par examen UE de type ou assurance qualité complète, lorsque les normes harmonisées ne sont pas appliquées intégralement. ISO 13849 et IEC 62061 servent, dans tous les cas, à justifier la fiabilité du système de commande.
Pièges classiques
Section intitulée « Pièges classiques »| Piège | Conséquence | Mesure |
|---|---|---|
| Confondre PL atteint et PLr | PL insuffisant non détecté | Toujours comparer PL atteint au PLr issu du graphe de risque |
| CCF sous 65 points en catégorie 3 ou 4 | Quantification rejetée | Renseigner la grille annexe F dès la conception |
| MTTFd canal au-delà de 100 ans dans le calcul | Surestimation du PL | Plafonner le MTTFd canal à 100 ans |
| Validation 13849-2 absente ou non documentée | Présomption de conformité non tenable | Plan de validation, analyse de défauts et essais tracés |
| Fault exclusion non justifiée | Exclusion rejetée en revue | Justifier chaque exclusion par écrit selon les fault lists |
| Version de norme non citée au JOUE | Pas de présomption | Vérifier la référence et la date citées au Journal officiel |
| Mixer ISO 13849 et IEC 62061 sur une même fonction | Dossier incohérent | Une norme par fonction de sécurité, choix documenté |
| Ignorer la transition 2023/1230 | Dossier obsolète au 20 janvier 2027 | Suivre la republication des références harmonisées |
Pour aller plus loin
Section intitulée « Pour aller plus loin »- Directive machines 2006/42/CE et règlement 2023/1230
- IEC 61508 : sécurité fonctionnelle et niveaux SIL
- Gestion du risque : ISO 14971, IEC 31010, FMEA, FTA
- ISO 26262 : sécurité fonctionnelle automobile
- Contenu du dossier technique
- Glossaire des termes de certification
Sources et références
Section intitulée « Sources et références »Sources & références
- ISO 13849-1:2023, Safety of machinery, Safety-related parts of control systems, Part 1: General principles for design , ISO www.iso.org/standard/73481.html
- ISO 13849-2:2012, Safety of machinery, Safety-related parts of control systems, Part 2: Validation , ISO www.iso.org/standard/53640.html
- IEC 62061:2021, Safety of machinery, Functional safety of safety-related control systems , IEC webstore.iec.ch/publication/59927
- Directive 2006/42/CE relative aux machines , EUR-Lex eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32006L0042
- Règlement (UE) 2023/1230 relatif aux machines , EUR-Lex eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32023R1230
- IEC 61508:2010, Functional safety of electrical/electronic/programmable electronic safety-related systems , IEC www.iec.ch/functional-safety
- ISO 12100:2010, Safety of machinery, General principles for design, Risk assessment and risk réduction , ISO www.iso.org/standard/51528.html