ISO 13849 : Une norme essentielle pour la sécurité des machines
trait de séparation
Temps de lecture : 8 minutes
Dans le domaine de l’automatisation industrielle, la sécurité des machines est un enjeu majeur. La norme ISO 13849 s’impose comme un cadre de référence pour garantir que les systèmes de commande liés à la sécurité soient conçus et utilisés de manière fiable. Applicable à tous les types de machines, elle définit des exigences fonctionnelles visant à réduire les risques à un niveau acceptable, en s'appuyant sur une évaluation structurée des fonctions de sécurité.
Cette norme est aujourd’hui incontournable dans les démarches de conception sécuritaire, et son respect est un gage de conformité réglementaire et de protection des opérateurs. Dans cet article, nous présentons la norme ISO13849 dans les grandes lignes et la manière d'automatiser la mise en conformité.
Au sommaire :
Généralités de la norme
La norme ISO 13849-1, intitulée « Sécurité des machines – Parties des systèmes de commande relatives à la sécurité – Partie 1 : principes généraux de conception », définit les exigences fonctionnelles applicables aux fonctions de sécurité des machines. Elle s’adresse principalement aux concepteurs de systèmes de commande et aux intégrateurs, en les guidant dans l’élaboration de solutions garantissant la sécurité des opérateurs et la fiabilité des équipements.
Cette norme couvre l’ensemble du cycle de vie de la fonction de sécurité, de la définition des besoins jusqu’à la validation finale, en passant par l’analyse de risques, la conception, l’implémentation et les tests. Elle introduit une méthode structurée pour déterminer le niveau de performance (PL – Performance Level) requis pour chaque fonction de sécurité, sur la base de plusieurs facteurs : gravité du dommage potentiel, fréquence d’exposition au danger, possibilité d’évitement, etc.
En tant que norme harmonisée au Règlement Machines (2006/42/CE), elle est largement reconnue par les autorités et constitue un outil incontournable pour démontrer la conformité CE des machines neuves.
Elle est également compatible avec la norme ISO 12100 sur l’analyse de risques, et peut être utilisée en complément de la norme ISO 62061, qui cible davantage les architectures logicielles complexes.
Cette norme couvre l’ensemble du cycle de vie de la fonction de sécurité, de la définition des besoins jusqu’à la validation finale, en passant par l’analyse de risques, la conception, l’implémentation et les tests. Elle introduit une méthode structurée pour déterminer le niveau de performance (PL – Performance Level) requis pour chaque fonction de sécurité, sur la base de plusieurs facteurs : gravité du dommage potentiel, fréquence d’exposition au danger, possibilité d’évitement, etc.
En tant que norme harmonisée au Règlement Machines (2006/42/CE), elle est largement reconnue par les autorités et constitue un outil incontournable pour démontrer la conformité CE des machines neuves.
Elle est également compatible avec la norme ISO 12100 sur l’analyse de risques, et peut être utilisée en complément de la norme ISO 62061, qui cible davantage les architectures logicielles complexes.
Niveaux de Performance (PL)
Dans la norme ISO 13849-1, la fiabilité des fonctions de sécurité repose sur la notion de Performance Level (PL).
Cette échelle, composée de cinq niveaux allant de PLa (le plus faible) à PLe (le plus élevé), permet de quantifier la capacité d’une fonction de sécurité à réduire un risque identifié. Contrairement aux SIL, réservés aux systèmes plus complexes traités par la norme IEC 61508, les PL sont spécifiquement conçus pour les machines industrielles. Cependant, il existe des équivalences entre les deux normes pour faciliter les re-certifications.
La détermination du PL requis (PLr) pour chaque fonction de sécurité s’appuie sur trois critères :
Cette échelle, composée de cinq niveaux allant de PLa (le plus faible) à PLe (le plus élevé), permet de quantifier la capacité d’une fonction de sécurité à réduire un risque identifié. Contrairement aux SIL, réservés aux systèmes plus complexes traités par la norme IEC 61508, les PL sont spécifiquement conçus pour les machines industrielles. Cependant, il existe des équivalences entre les deux normes pour faciliter les re-certifications.
La détermination du PL requis (PLr) pour chaque fonction de sécurité s’appuie sur trois critères :
- Gravité des blessures potentielles (S)
- Fréquence et durée d’exposition au danger (F)
- Possibilité d’évitement (P)
Exigences de la norme
La norme ISO 13849-1 définit un ensemble d’exigences méthodologiques visant à garantir que les fonctions de sécurité d’une machine sont conçues, validées et maintenues de manière fiable. Contrairement à l’IEC 61508, qui propose un cycle de vie logiciel structuré, l’ISO 13849-1 adopte une approche plus globale, centrée sur l’architecture des systèmes de commande liés à la sécurité, quelle que soit la technologie (électromécanique, pneumatique, programmable…).
La norme impose une démarche de conception rigoureuse, structurée autour des étapes suivantes :
La norme impose une démarche de conception rigoureuse, structurée autour des étapes suivantes :
- Analyse des risques : Avant toute conception, une analyse de risques selon ISO 12100 est indispensable pour identifier les dangers, estimer les risques et définir les fonctions de sécurité nécessaires. Cette étape permet de fixer le PL requis (PLr) pour chaque fonction.
- Spécification des fonctions de sécurité : Décrire précisément ce que la fonction doit faire, dans quelles conditions, et avec quels éléments.
- Détermination de l’architecture (catégories B, 1 à 4) : La norme définit cinq catégories d’architectures, chacune correspondant à un niveau de tolérance aux défaillances :
- Catégorie B : structure de base, sans détection de défauts
- Catégorie 1 : composants fiables + principes de sécurité fondamentaux
- Catégorie 2 : auto-tests à intervalles réguliers
- Catégorie 3 : redondance partielle + détection de défauts
- Catégorie 4 : redondance complète + diagnostic continu
Le choix de la catégorie influe directement sur le PL pouvant être atteint.
- Calcul de la fiabilité des composants : La norme exige d’évaluer la probabilité moyenne de défaillance dangereuse (PFHd), en s’appuyant sur des données telles que :
- MTTFd (temps moyen avant défaillance dangereuse),
- DC (couverture du diagnostic),
- CCF (causes communes de défaillance),
- β (facteur de partage de défauts).
Ces paramètres sont utilisés pour démontrer que le PL atteint (PLa) est supérieur ou égal au PL requis.
- Validation des fonctions de sécurité : Chaque fonction doit faire l’objet d’une validation documentée par des essais, simulations ou démonstrations analytiques. Le concepteur doit s’assurer que :
- les fonctions ont été bien implémentées,
- les niveaux de performance sont effectivement atteints,
- les défaillances ont été prises en compte de façon réaliste.
- Documentation technique : L’ensemble du processus doit être documenté et traçable, afin de constituer un dossier technique permettant de démontrer la conformité en cas de contrôle (CE, audits clients, etc.).
Comment automatiser la réponse aux exigences logicielles ?
La norme ISO 13849-1 implique une approche structurée pour la conception et la validation des fonctions de sécurité, y compris lorsqu’elles reposent sur des systèmes programmables. Ainsi, dans le cadre de projets intégrant une partie logicielle, il devient indispensable de mettre en place un plan de vérification et de validation permettant de répondre aux exigences de la norme. Ce plan devra contenir à minima les éléments suivants :
- Gestion de la configuration et des versions : pour assurer la maîtrise des évolutions logicielles et la reproductibilité des résultats.
- Suivi de la traçabilité fonctionnelle et normative : pour démontrer que chaque exigence de sécurité est correctement implémentée et validée.
- Application de règles de codage sécurisées : même si non imposées directement par la norme, des pratiques comme MISRA C sont souvent utilisées dans les systèmes embarqués conformes à ISO 13849.
- Vérification par tests : la norme attend que les fonctions de sécurité soient validées par des essais, incluant des tests unitaires, d’intégration et finaux, associés à la logique de commande sécuritaire.
- Justification des taux de diagnostic (DC) et de la couverture des tests : pour atteindre les niveaux de performance visés, il est nécessaire de démontrer que la fonction logicielle bénéficie d’un niveau de test et de détection d’erreur proportionné.
ISIT propose un ensemble de solutions produits et services, allant de la sensibilisation à l’automatisation des réponses aux exigences logicielles de la norme ISO 13849, en passant par l’accompagnement projet :
- Formation ISO 13849
- Accompagnement à la certification IEC 61508 d’un projet, relecture / assistance à la rédaction rédaction des documents nécessaires à la certification (ex. Plan de développement, d’Assurance Qualité Logiciel, vérific ation et validation, etc.)
- Suivi de la traçabilité des exigences au travers de l’outil de Gestion des Exigences Polarion ALM - Siemens Digital Industries Software ou du module de la suite LDRA TBmanager
- Vérification de règles de codage et de métriques de qualité de code par l’Analyse Statique Syntaxique de LDRA TBvision Static / LDRArules
- Détection de bugs et d’erreurs « Runtime » grâce à l’Analyse Statique Avancée de CodeSecure CodeSonar et CodeSentry
- Automatisation des tests unitaires et d’Intégration avec LDRA TBrun / LDRAunit
- Mesure de la couverture structurelle avec LDRA TBvision Dynamic / LDRAcover
- Audits de code source et binaire
