Ouvrir le menu Fermer le menu

ISO 13849 : Répondre aux exigences de la norme de Sûreté des machines industrielles

trait de séparation
Temps de lecture : 8 minutes

Qu’est-ce que la norme ISO 13849 (sureté des machines) ?

Dans notre monde moderne et industrialisé, des tâches les plus lourdes aux plus minutieuses, les robots et autres systèmes automatisés sont devenus indispensables pour réduire la charge ou la pénibilité des employés tout en assurant une rapidité et une qualité de travail.

Aussi puissants soient ces outils, ils peuvent également présenter un danger non négligeable pour les opérateurs, d’où l’édiction des principes de sureté/sécurité des machines, afin d’assurer une sécurité juridique du fabricant et de l’utilisateur, ce dernier souhaitant recevoir une machine sure et efficace.

Dans ce cadre, tout fabricant de machine doit réaliser une analyse des risques que va générer celle-ci, pour ensuite les éliminer ou les réduire selon les besoins. Cette démarche est d’autant plus importante quand on parle d’éléments intervenant dans la sécurité elle-même. L’objectif n’est donc pas seulement de concevoir un équipement exempt de défaillances, mais de conduire une analyse de risque sur leurs conséquences.

Cette mise en œuvre de la sureté de fonctionnement s’appuie sur des normes, en l’occurrence ici la norme ISO 13849, intitulée « Sécurité des machines - Parties des systèmes de commande relatives à la sécurité » pour la robotique et autres équipements automatisés, qui s’inscrit dans le prolongement de la EN954.

Cet article vous propose un résumé des principales notions importantes pour la réalisation d’une commande de sécurité et des moyens à même de vous aider dans cette tâche.

ISO 13849 : « PL »/ Niveau de performance requis

La norme ISO 13849 prévoit différents niveaux de sécurisation des machines, appelés niveaux de performance (PL – Performance Level) et représentés par une lettre, allant de « a » à « e », « PLa » étant le plus bas et « PLe » le plus haut niveau de sureté.

Les besoins pour la réalisation de systèmes de différents niveaux peuvent varier fortement en termes de coûts. Il est donc primordial de bien choisir le niveau PL dont votre installation a besoin.

La détermination du niveau de PL requis est fonction de 3 variables : la gravité des blessures, la fréquence d’exposition au danger et la probabilité d’éviter le danger ou de limiter les dégâts. On va ainsi définir des critère pour ces variables, afin de définir précisément un niveau de PL à atteindre.
S (gravité)

S1 = blessures légères (normalement réversibles)
S2 = blessures graves (irréversibles, incluant la mort)
F (fréquence d’exposition au danger)

F1 = rare exposition ou exposition de courte durée
F2 = exposition fréquente ou continue
P (probabilité d’éviter le danger ou limiter les dégâts)

P1 = possible sous certaines conditions
P2 = rarement possible ou impossible
ISO13849_Evaluation-niveau-performance-requis_ISIT

ISO 13849 : Déterminer si le Niveau PL est atteint

La création d’un système assurant une fonction de sureté demande l’estimation de plusieurs facteurs :
  • L’architecture des différents hardware et software (catégories)
  • La couverture de diagnostic possible
  • La fiabilité des composants (MTTFd)
  • Et les causes communes de défaillances
Ces différents facteurs vont permettre la vérification du niveau atteint. Un rapide coup d’œil au tableau ci-dessous permet de se rendre compte de l’influence de ces facteurs.
ISO 13849 -Déterminer si le Niveau PL est atteint_ISIT

Les MTTFd au-dessus de 100 ans sont automatiquement considérés comme 100 ans du point de vue normatif.

ISO 13849 : Utilisation d’outils logiciels

La réponse aux normes de sureté de fonctionnement est grandement facilitée par l’utilisation d’outils logiciels. Comme il existe des passerelles entre les normes IEC 61508 et ISO 13849, il est possible d’utiliser des outils qualifiés IEC 61508, en établissant l’équivalence entre PL et SIL pour déterminer le niveau de mise en œuvre des outils.

Dans le cadre de l’utilisation d’outils logiciels pour une ou plusieurs tâches de développement ou vérification, la norme IEC 61508 introduit la notion d’outil support logiciel direct (susceptible d’avoir une influence directe sur le système de sûreté pendant son exécution) et d’outil de support logiciel autonome (prenant en charge une partie du cycle de vie, et n’ayant pas une influence directe sur le système pendant son exécution).

Les premiers doivent suivre le standard IEC 61508 comme tout composant logiciel de sûreté, les seconds sont dissociés en trois niveaux :
• T1 : Ne génère aucune sortie susceptible de contribuer, directement ou indirectement, au code exécutable
• T2 : Ne peuvent pas directement créer des erreurs dans le code exécutable, mais peuvent empêcher de détecter des défauts (outils de tests)
• T3 : Génèrent des sorties susceptibles de contribuer, directement ou indirectement, au code exécutable

Alors qu’un outil T1 ne nécessite aucune méthode de qualification, un outil T2 doit disposer d’une spécification produit et faire l’objet d’une évaluation pour documenter le niveau de confiance pouvant lui être accordé, ainsi que les défaillances potentielles. Un outil T3 doit en addition démontrer qu’il est conforme à sa spécification et documenter les résultats de sa validation.

La suite d’outils LDRA (Analyse statique et dynamique, tests unitaires et d’intégration) et CodeSonar de GrammaTech (Analyse statique avancée) disposent d’un pack de qualification IEC 61508 jusqu’à SIL 4.

De plus, les outils LDRA (LDRA TBvision Static) et l’outil d’analyse statique avancée GrammaTech CodeSonar ont obtenu une certification IEC 61508 (outils T2) permettant leur utilisation jusqu’à SIL 4.

ISO 13849 : Comment automatiser la réponse aux exigences logicielles ?

Une mise en œuvre professionnelle de la norme ISO 13849 implique la mise en place d’un Plan d’Assurance Qualité Logiciel, pouvant contenir les éléments suivants :
  • Gestion de la configuration et des versions
  • Suivi de la traçabilité des exigences (fonctionnelles, méthodologiques, normatives)
  • Mise en place et vérification de règles de codage et de métriques de qualité de code
  • Tests unitaires, d’intégration et système liés aux exigences
  • Mesure de la couverture structurelle
De plus, l’analyse statique avancée et la détection de bugs et erreurs « Runtime » au plus tôt dans le cycle de développement a pour but, comme la norme ISO 13849, la diminution de la probabilité d’occurrence de défaillance du système, et incite à la programmation défensive.

Nous reprenons ici la caractérisation des exigences de test et de validation pour les niveaux de SIL, à appliquer en fonction du niveau de PL attendu et de son équivalence 61508.
61508-exigences_ISIT

L’application des techniques et mesures définies dans la norme est graduée selon le niveau d’intégrité du logiciel, de la manière suivante :
  • HR : Hautement Recommandé (obligatoire sauf justification et accord de l’évaluateur)
  • R : Recommandé mais non obligatoire
  • - : L’utilisation de la technique n’est ni recommandée, ni déconseillée
  • NR : Non Recommandé (interdit sauf justification et accord de l’évaluateur)
ISIT propose aussi un ensemble de solutions produits et services, allant de la sensibilisation à l’automatisation des réponses aux exigences logicielles de la norme ISO 13849, en passant par l’accompagnement projet :
1