ISO 10218 et ISO/TS 15066: securite robotique et cobots
Guide, securite robotique
Les robots industriels et collaboratifs mis sur le marche UE sont des machines au sens de la Directive 2006/42/CE, puis du Reglement (UE) 2023/1230 a partir du 20 janvier 2027. La reference harmonisee pour la securite est la serie ISO 10218: la partie 1 traite du robot lui-meme, la partie 2 traite de l'integration du robot dans une cellule ou une ligne. Les revisions 2025 d'ISO 10218-1 et -2 ont remplace les editions 2011 et ont commence a absorber le contenu collaboratif precedemment porte par ISO/TS 15066:2016. Ce guide parcourt le perimetre (robot industriel, systeme robotise, cobot), les quatre modes collaboratifs (Safety-rated Monitored Stop, Hand Guiding, Speed and Separation Monitoring, Power and Force Limiting), les limites biomecaniques par region du corps, la chaine de securite fonctionnelle via ISO 13849-1 PLr a-e ou IEC 62061 SIL CL, l'articulation avec la Directive Machines, la voie US sous ANSI/RIA R15.06 et R15.08, les robots mobiles sous ISO 3691-4, la CEM et la cybersecurite (IEC 62443), et les pieges recurrents observes en validation de cellule.
Perimetre: robot, systeme robotise, application robotisee
Section intitulée « Perimetre: robot, systeme robotise, application robotisee »Trois notions doivent etre distinguees d'entree, car elles conditionnent qui porte le marquage CE et quelle partie d'ISO 10218 s'applique.
| Objet | Definition (ISO 10218) | Norme | Qui declare la conformite |
|---|---|---|---|
| Robot industriel | Manipulateur polyvalent multi-axes et son controleur | ISO 10218-1 | Fabricant du robot |
| Systeme robotise | Robot plus organe terminal, piece, equipements auxiliaires, dispositifs peripheriques | ISO 10218-2 | Integrateur |
| Application robotisee | Systeme robotise plus tache de production, implantation, procedures d'exploitation | ISO 10218-2 | Integrateur ou exploitant |
Un robot nu vendu sans organe terminal et sans application est typiquement livre comme quasi-machine au sens de l'Annexe II 1 B de la Directive 2006/42/CE, avec declaration d'incorporation et notice d'assemblage. L'integrateur qui construit la cellule devient le fabricant de la machine finale et porte le marquage CE. L'articulation avec le cadre UE est detaillee dans le guide Directive Machines.
ISO 10218-1: le robot lui-meme
Section intitulée « ISO 10218-1: le robot lui-meme »ISO 10218-1 enonce les exigences de securite que le fabricant du robot integre dans le produit. L'edition 2025 a restructure le document autour de fonctions de securite explicites et a integre plusieurs concepts auparavant portes par ISO/TS 15066.
Fonctions de securite obligatoires
Section intitulée « Fonctions de securite obligatoires »| Fonction | Objet | PLr typique |
|---|---|---|
| Arret de protection | Mettre le robot a l'arret sur signal d'arret externe, energie maintenue disponible | PLd Cat 3 |
| Arret d'urgence | Arret independant avec coupure de l'energie, selon EN ISO 13850 | PLe Cat 3 ou 4 |
| Safety-rated monitored stop | Arret du mouvement avec maintien des variateurs sous tension, pour operation collaborative | PLd Cat 3 |
| Limite de vitesse en securite | Limiter la vitesse TCP ou d'axe sous un seuil valide en securite | PLd Cat 3 |
| Limite d'axe logicielle en securite | Limiter la course d'axe sous la butee mecanique, logicielle avec qualification securite | PLd Cat 3 |
| E/S de securite | Entrees et sorties dediees pour barrieres, rideaux lumineux, tapis, en double canal | PLd Cat 3 |
La console d'apprentissage fait l'objet d'exigences specifiques: elle doit comporter un organe de validation a trois positions (legerement enfonce pour autoriser le mouvement, relache ou enfonce a fond pour stopper), un arret d'urgence et une commande de mouvement a action maintenue pour le mode manuel a grande vitesse. L'edition 2025 renforce egalement les exigences d'indication du mode actif (automatique, manuel, manuel grande vitesse).
Modes d'exploitation
Section intitulée « Modes d'exploitation »Trois modes sont reconnus:
- T1, manuel a vitesse reduite: vitesse TCP limitee a une valeur validee en securite (souvent citee a 250 mm/s, valeur a reconfirmer par evaluation des risques) pour l'apprentissage et la programmation, operateur a l'interieur de l'espace protege.
- T2, manuel a vitesse elevee: pleine vitesse en commande manuelle, reserve a du personnel qualifie, requiert une evaluation des risques explicite et des protections complementaires.
- Automatique: pleine vitesse sous controle programme, operateur hors espace protege, protection peripherique active.
La transition d'un mode a l'autre est elle-meme une fonction de securite. Un commutateur a cle ou equivalent reserve la selection au personnel autorise.
ISO 10218-2: le systeme robotise et l'integration
Section intitulée « ISO 10218-2: le systeme robotise et l'integration »ISO 10218-2 traite de la cellule. L'integrateur combine le robot, l'organe terminal, la piece, les dispositifs de protection et l'implantation en une seule machine, puis conduit une evaluation des risques au niveau de l'integration selon ISO 12100.
Hierarchie de protection
Section intitulée « Hierarchie de protection »La norme reformule la hierarchie de conception d'ISO 12100 dans le contexte robotique:
- Conception intrinseque: implantation qui place le mouvement dangereux hors de portee de l'operateur, protecteurs fixes, enveloppe logicielle (evitement de collision par conception).
- Mesures de protection technique: protecteurs fixes et mobiles a interverrouillage selon EN ISO 14120 et EN ISO 14119, rideaux lumineux selon IEC 61496, scrutateurs laser selon IEC 61496-3, tapis et bordures sensibles a la pression.
- Mesures organisationnelles: procedures, formation, signalisation, permis de travaux.
- Equipements de protection individuelle.
Une cellule sans cloture n'est possible que si le risque residuel a ete suffisamment reduit par conception intrinseque et mesures techniques (typiquement SSM ou PFL); les mesures organisationnelles seules ne s'y substituent pas.
Distances de securite et portee
Section intitulée « Distances de securite et portee »Quand des rideaux lumineux, scrutateurs ou tapis sensibles definissent le declenchement de l'arret de protection, EN ISO 13855 regit la distance minimale entre le plan de detection et le danger, calculee a partir de la vitesse d'approche du corps ou de la main et du temps d'arret au pire cas. Un piege frequent: sous-estimer le temps d'arret apres ajout d'un EOAT lourd, ce qui rapproche le rideau du danger plus que la securite ne l'autorise.
Les dispositifs d'arret d'urgence doivent etre accessibles depuis toute position ou un operateur peut etre expose. EN ISO 13850 fixe un critere d'accessibilite frequemment formule comme l'absence de plus d'un pas pour atteindre un arret d'urgence; la regle des 600 mm est largement employee mais non normative. L'integrateur confirme l'accessibilite via l'evaluation des risques au niveau cellule.
Validation de la cellule
Section intitulée « Validation de la cellule »L'integrateur valide la cellule avant mise sur le marche. Le dossier de validation contient:
- Plan de la cellule avec zones de danger et implantation des protections.
- Evaluation des risques selon ISO 12100 avec liste des phenomenes dangereux, gravite, frequence, probabilite, mesures retenues.
- Liste des fonctions de securite avec PL requis, PL atteint, methode de validation ISO 13849-2 (ou verification IEC 62061).
- Tests fonctionnels de chaque fonction de securite (arret d'urgence, arret de protection, declenchement rideau lumineux, commutation de zones scrutateur, selection de mode).
- Mesure du temps d'arret et de la distance d'arret au pire cas (charge utile et vitesse maximales).
- En operation PFL, mesure de force et de pression selon Annexe A d'ISO/TS 15066.
Operation collaborative: les quatre modes
Section intitulée « Operation collaborative: les quatre modes »ISO 10218-2 et ISO/TS 15066 definissent quatre modes collaboratifs. Ils peuvent etre combines dans le temps et l'espace au sein d'une meme application.
| Mode | Principe | Cas d'usage typique |
|---|---|---|
| Safety-rated Monitored Stop (SMS) | Le robot s'arrete a l'entree de l'operateur dans l'espace collaboratif, le mouvement reprend automatiquement a sa sortie | Chargement manuel d'une station, le robot attend puis reprend le cycle |
| Hand Guiding (HG) | L'operateur deplace le robot via un dispositif de guidage avec organe de validation a trois positions, variateurs sous limitation de vitesse en securite | Apprentissage, programmation lead-through, manutention assistee |
| Speed and Separation Monitoring (SSM) | Le robot maintient une distance de separation de protection avec l'operateur, vitesse reduite en securite quand la distance diminue | Espace partage avec presence operateur sporadique, zonage par scrutateur de securite |
| Power and Force Limiting (PFL) | Le robot est concu et exploite pour que tout contact reste sous les limites biomecaniques d'ISO/TS 15066 | Operation cobot stricte, sans cloture, contact intentionnel ou accidentel tolere |
La plupart des "cobots" du marche grand public (UR, Doosan, Techman, Franka Emika, Yaskawa HC, Kuka iiwa, Fanuc CR / CRX) sont concus pour le PFL et peuvent egalement etre configures en SSM. Le mode est une propriete de l'application, pas du robot: un robot capable de PFL exploite a pleine vitesse avec un EOAT lourd n'est plus en operation PFL.
Limites biomecaniques PFL
Section intitulée « Limites biomecaniques PFL »L'Annexe A d'ISO/TS 15066 fournit des tableaux de limites de force et de pression par region du corps (crane, face, cou, epaule, bras, avant-bras, main, doigt, thorax, abdomen, bassin, cuisse, genou, jambe, pied). Deux types de contact sont distingues:
- Contact quasi-statique (serrage): la partie du corps est piegee entre le robot et une surface fixe, l'energie est absorbee sur une duree longue.
- Contact transitoire (impact): la partie du corps peut s'ecarter apres l'impact, l'energie est dissipee rapidement.
Les limites sont plus basses en quasi-statique qu'en transitoire pour une meme region. La conception PFL doit demontrer qu'au pire cas (charge utile, vitesse, geometrie de l'outil) ni les limites quasi-statiques ni les limites transitoires ne sont depassees. Les mesures sont realisees avec capteurs de force et de pression calibres, typiquement avec un coussin a couches simulant la region du corps testee.
Les valeurs Annexe A sont presentees dans ISO/TS 15066 comme provisoires, derivees d'une recherche biomecanique qui continue d'evoluer. Certains utilisateurs les adoptent comme limites strictes, d'autres y ajoutent des marges. Dans les deux cas, la tracabilite a la methode Annexe A est attendue par la surveillance.
Chaine de securite fonctionnelle
Section intitulée « Chaine de securite fonctionnelle »Les fonctions de securite robot sont concues et verifiees selon l'un des deux cadres de securite fonctionnelle principaux.
Voie ISO 13849-1
Section intitulée « Voie ISO 13849-1 »ISO 13849-1 structure les parties relatives a la securite des systemes de commande par Performance Level (PL) de PLa (le plus bas) a PLe (le plus haut), derive de la categorie (B, 1, 2, 3, 4), du MTTFd, de la couverture de diagnostic et de la protection contre les modes communs. Le PL requis (PLr) est determine par gravite, frequence et evitabilite via le graphe de risque en Annexe A.
Pour les robots industriels, la cartographie typique:
| Fonction de securite | PLr typique |
|---|---|
| Arret d'urgence | PLe |
| Arret de protection | PLd |
| Limite de vitesse en securite | PLd |
| Limite d'axe logicielle en securite | PLd |
| Safety-rated monitored stop | PLd |
| Organe de validation | PLd |
L'architecture standard est double canal categorie 3 avec couverture de diagnostic superieure a 90 pour cent, typiquement via un controleur de securite Pilz, Sick, Siemens, Schmersal ou B&R associe a des modules E/S de securite.
Voie IEC 62061
Section intitulée « Voie IEC 62061 »IEC 62061 couvre les memes fonctions de securite via le Safety Integrity Level Claim Limit (SIL CL) de SIL CL 1 a SIL CL 3, aligne sur IEC 61508. La revision 2021 a etendu le perimetre de la norme du seul electrique a l'ensemble des systemes de commande relatifs a la securite, ce qui rend les deux voies (13849 et 62061) effectivement interchangeables pour la plupart des applications machines. La correspondance est approximative: PLd correspond grossierement a SIL CL 2, PLe a SIL CL 3.
Pour le cadre fondateur IEC 61508 derriere les deux voies, voir le guide IEC 61508 et SIL. Pour l'application automobile specifique de la securite fonctionnelle, voir le guide ISO 26262.
Voir aussi
Section intitulée « Voir aussi »- Modules PV : IEC 61730 securite, IEC 61215 perf
- RPC (305/2011) et EN 50575 reaction au feu des cables
- HAC : aides auditives (FCC 20.19, ANSI C63.19)
- EN 50332: securite acoustique des baladeurs et casque audio
EN ISO 10218 sous Machines: harmonisation et presomption
Section intitulée « EN ISO 10218 sous Machines: harmonisation et presomption »EN ISO 10218-1 et EN ISO 10218-2 sont listees au Journal officiel de l'Union europeenne sous la Directive 2006/42/CE. La conformite aux editions citees confere la presomption de conformite aux EESS d'Annexe I applicables. La citation au JOUE est mise a jour au fur et a mesure des nouvelles editions; l'integrateur verifie l'edition citee a la date de mise sur le marche.
Les normes jouent le role de type C dans la typologie ISO 12100: elles couvrent une categorie machine definie (robots industriels) et renvoient aux normes de type A (ISO 12100) pour l'evaluation des risques et de type B (ISO 13849-1, IEC 62061, IEC 61496, EN ISO 13855, EN ISO 14119, EN ISO 14120, EN ISO 13850) pour les concepts transversaux et les dispositifs.
Sous le Reglement (UE) 2023/1230 applicable a partir du 20 janvier 2027, EN ISO 10218 devrait etre recitee dans la nouvelle liste JOUE. Le reglement redistribue la liste des machines a risque eleve: les robots industriels comportant une fonction de securite assuree par une IA pourraient basculer dans la nouvelle Annexe I haut risque, ce qui declenche l'intervention d'un organisme notifie.
Voie US: ANSI/RIA R15.06 et R15.08
Section intitulée « Voie US: ANSI/RIA R15.06 et R15.08 »Aux Etats-Unis, la reference est la norme ANSI/RIA R15.06-2012, adoption de l'ISO 10218-1 et -2 avec des deviations US. R15.06 n'est pas federalement obligatoire au sens ou le marquage CE l'est dans l'UE, mais elle constitue la base industrielle de fait citee par l'OSHA, les assureurs et les exploitants.
| Aspect | UE (EN ISO 10218) | US (ANSI/RIA R15.06) |
|---|---|---|
| Statut juridique | Harmonisee sous Machines, presomption de conformite | Norme volontaire de consensus, general duty clause OSHA |
| Edition | 2025 (adoption EN de l'ISO 10218 2025 attendue) | 2012 (adoption de l'ISO 10218 2011) |
| Robots mobiles | ISO 3691-4 | ANSI/RIA R15.08 |
| Operation collaborative | ISO/TS 15066 absorbee dans ISO 10218 2025 | TR R15.606 (adaptation US d'ISO/TS 15066) |
Une cellule pour le marche US est typiquement validee contre R15.06, avec en complement une homologation UL pour les aspects electriques de l'armoire (UL 508A ou listing NRTL equivalent).
Robots mobiles et AMR
Section intitulée « Robots mobiles et AMR »Les robots mobiles autonomes et les manipulateurs mobiles sortent du perimetre strict d'ISO 10218. Trois normes de reference couvrent la partie mobile:
| Norme | Perimetre | Statut |
|---|---|---|
| ISO 3691-4:2023 | Chariots industriels sans conducteur (AGV, AMR pour le transport de charges) | En vigueur, a remplace EN 1525 dans l'UE |
| ANSI/RIA R15.08 | Robots mobiles industriels, US | En vigueur, trois parties (R15.08-1 le robot, R15.08-2 le systeme, R15.08-3 l'utilisateur) |
| EN 1525 | Chariots industriels sans conducteur | Retiree, remplacee par ISO 3691-4 |
Pour un manipulateur mobile (bras monte sur un AMR), l'integrateur applique ISO 10218 pour la partie bras et ISO 3691-4 (ou R15.08 aux US) pour la plateforme, avec une evaluation des risques unifiee selon ISO 12100. L'interaction entre le mouvement du bras et celui de la plateforme est le point de defaillance typique: un bras en mouvement pendant que la plateforme bouge peut neutraliser les fonctions de securite individuelles si le comportement combine n'a pas ete evalue.
CEM et cybersecurite
Section intitulée « CEM et cybersecurite »Les robots industriels sont soumis a la Directive CEM 2014/30/UE. Les normes generiques en environnement industriel sont EN IEC 61000-6-2 (immunite) et EN IEC 61000-6-4 (emission). Pour l'electronique relative a la securite, EN 61326-3-1 fixe des exigences d'immunite specifiques aux fonctions de securite, avec une tolerance aux perturbations reduite par rapport a l'immunite industrielle generique. Les defaillances CEM des E/S de securite peuvent passer inapercues dans un test 61000-6-2 generique qui ignore les implications securite; la famille 61326-3 comble ce manque.
Pour le cadre CEM general, voir le guide CE versus FCC CEM.
Cybersecurite
Section intitulée « Cybersecurite »ISO 10218-1:2025 commence a exiger que les fonctions de securite ne puissent etre modifiees via le reseau. La reference horizontale pour la cybersecurite des automatismes industriels est la serie IEC 62443, qui structure les exigences sur trois niveaux d'acteurs:
- IEC 62443-2-1 et -2-4: programmes de securite de l'exploitant et de l'integrateur,
- IEC 62443-3-3: exigences de securite systeme et niveaux de securite (SL 1 a SL 4),
- IEC 62443-4-1 et -4-2: cycle de developpement securise et exigences de securite composant (pour le fabricant du robot et du PLC).
Le Reglement (UE) 2023/1230 imposera a partir du 20 janvier 2027 que les machines connectees ne puissent voir leur securite alteree par une cyberattaque (Annexe III section 1.1.9). Le Cyber Resilience Act, Reglement (UE) 2024/2847, ajoute une base horizontale pour les produits a elements numeriques a partir du 11 decembre 2027. Les trois textes (ISO 10218 / 62443, Machines 2023/1230, CRA) coexistent pour un robot connecte.
Pour les robots integrant des fonctions radio (Wi-Fi, Bluetooth, modem 5G embarque), la Directive Equipements Radio 2014/53/UE s'applique egalement, avec les articles 3(3)(d), (e) et (f) cybersecurite effectifs depuis le 1er aout 2025.
Evaluation des risques selon ISO 12100
Section intitulée « Evaluation des risques selon ISO 12100 »L'integrateur suit la methode en trois temps d'ISO 12100 deja exposee dans le guide Directive Machines:
- Identification des phenomenes dangereux par phase de vie (mise en service, exploitation normale, apprentissage, intervention sur defaut, nettoyage, maintenance, demantelement).
- Estimation du risque avec gravite (S1 leger, S2 grave), frequence et duree d'exposition (F1 rare, F2 frequente) et possibilite d'evitement (P1 possible, P2 difficilement possible).
- Evaluation du risque et reduction par la hierarchie de conception, puis re-estimation jusqu'a l'atteinte du tolerable.
Pour chaque fonction de securite, le graphe de risque en Annexe A d'ISO 13849-1 mappe (S, F, P) sur un PLr de PLa a PLe. L'integrateur consigne le PLr, concoit la fonction pour l'atteindre, puis valide le PL atteint par l'analyse de defaillances ISO 13849-2.
EOAT: un angle mort recurrent
Section intitulée « EOAT: un angle mort recurrent »L'EOAT (pince, distributeur, torche de soudage, tete de vision) est fourni separement du robot et integre par le constructeur du systeme. Les changements d'EOAT apres mise en service sont frequents et rarement reevalues completement. La liste d'impact:
- Masse et inertie: modifient le temps d'arret donc la distance de securite pour rideaux lumineux et scrutateurs.
- Geometrie: modifie la surface de contact donc la pression pour une force donnee en operation PFL.
- Surfaces coupantes ou chaudes: introduisent des phenomenes dangereux non couverts par l'evaluation force et pression initiale.
- Outils energises (electrique, pneumatique, hydraulique): introduisent des dangers supplementaires dans l'espace collaboratif (pincement, ejection, chaleur).
Une procedure de gestion des modifications doit declencher une revalidation partielle a chaque changement d'EOAT. Documenter les versions d'EOAT dans le dossier technique de la cellule est la mitigation operationnelle.
Pieges frequents
Section intitulée « Pieges frequents »| Piege | Consequence | Mitigation |
|---|---|---|
| Force et pression PFL non mesurees au pire cas | Limites Annexe A depassees en conditions de production | Mesurer avec capteur calibre sous charge utile et vitesse maximales |
| Changement d'EOAT apres mise en service, sans reevaluation | Cellule auparavant conforme devenue non conforme en PFL | Declencher une revalidation partielle a chaque changement d'EOAT |
| Distance de securite SSM calculee sans temps d'arret au pire cas | L'operateur atteint le danger avant l'arret du robot | Mesurer le temps d'arret avec EOAT charge, recalculer la distance selon EN ISO 13855 |
| Accessibilite de l'arret d'urgence non validee pour toute position operateur | L'operateur ne peut atteindre l'arret a temps | Cartographier les positions operateur, installer suffisamment de dispositifs selon EN ISO 13850 |
| Firmware du controleur de securite mis a jour sans revalidation | PL atteint non demontre, certificat invalide | Verrouiller la configuration du controleur, versionner les changements, refaire les tests |
| Cellule sans cloture reposant sur des mesures organisationnelles seules | Hierarchie de reduction des risques violee, non-conformite | Ajouter mesure technique (SSM, PFL, rideau lumineux), refaire l'evaluation |
| Interaction convoyeur non couverte (EN 619 ignoree) | Phenomene de piegeage ou de cisaillement a la frontiere de cellule | Appliquer EN 619 cote convoyeur, l'integrer a l'evaluation des risques |
| Mouvement combine d'un manipulateur mobile non evalue | Fonctions de securite individuelles bras et plateforme neutralisees par leur interaction | Traiter le systeme combine dans une evaluation unique ISO 12100 |
| Edition ISO 10218 2011 citee apres mise a jour JOUE 2025 | Perte de la presomption de conformite | Verifier la citation JOUE a la date de mise sur le marche |
| Cybersecurite du reseau de securite ignoree | Annexe III 1.1.9 du Reglement 2023/1230 non satisfaite a partir de 2027 | Appliquer la segmentation et l'authentification IEC 62443 sur les E/S de securite |
Le glossaire spilma definit les termes cles (cobot, PFL, SSM, SMS, hand guiding, EOAT, PLr, SIL CL, quasi-machine, declaration d'incorporation).
Pour aller plus loin
Section intitulée « Pour aller plus loin »- Directive Machines 2006/42/CE et Reglement (UE) 2023/1230: le cadre UE de marquage CE dans lequel s'inscrit ISO 10218.
- IEC 61508 et SIL: le cadre fondateur de securite fonctionnelle derriere ISO 13849-1 et IEC 62061.
- ISO 26262 securite fonctionnelle automobile: l'application sectorielle voisine.
- IEC 61010 securite des equipements de laboratoire et de mesure: la norme securite des equipements de laboratoire et de mesure qui entourent souvent une cellule robotisee.
- Cyber Resilience Act: base horizontale de cybersecurite applicable aux robots connectes a partir de 2027.
- CE versus FCC CEM: cartographie CEM pour un robot vise UE et US.
Sources & références
- ISO 10218-1:2025, Robotique, exigences de securite, partie 1, robots industriels , ISO www.iso.org/standard/73933.html
- ISO 10218-2:2025, Robotique, exigences de securite, partie 2, systemes robotises et integration , ISO www.iso.org/standard/73934.html
- ISO/TS 15066:2016, Robots et dispositifs robotiques, robots collaboratifs , ISO www.iso.org/standard/62996.html
- ISO 12100:2010, Securite des machines, principes generaux de conception , ISO www.iso.org/standard/51528.html
- ISO 13849-1:2023, Parties des systemes de commande relatives a la securite , ISO www.iso.org/standard/73481.html
- IEC 62061:2021, Securite fonctionnelle des systemes de commande relatifs a la securite , IEC webstore.iec.ch/publication/59927
- ISO 3691-4:2023, Chariots industriels, chariots sans conducteur , ISO www.iso.org/standard/82235.html