Temps de lecture : 8 minutes
Qu’est-ce que la norme ISO 13849 (sûreté des machines) ?
Dans notre monde moderne et industrialisé, des tâches les plus lourdes aux plus minutieuses, les robots et autres systèmes automatisés sont devenus indispensables pour réduire la charge ou la pénibilité des employés tout en assurant une rapidité et une qualité de travail.
Aussi puissants soient ces outils, ils peuvent également présenter un danger non négligeable pour les opérateurs, d’où l’édiction des principes de sureté/sécurité des machines, afin d’assurer une sécurité juridique du fabricant et de l’utilisateur, ce dernier souhaitant recevoir une machine sure et efficace.
Dans ce cadre, tout fabricant de machine doit réaliser une analyse des risques que va générer celle-ci, pour ensuite les éliminer ou les réduire selon les besoins. Cette démarche est d’autant plus importante quand on parle d’éléments intervenant dans la sécurité elle-même. L’objectif n’est donc pas seulement de concevoir un équipement exempt de défaillances, mais de conduire une analyse de risque sur leurs conséquences.
Cette mise en œuvre de la sureté de fonctionnement s’appuie sur des normes, en l’occurrence ici la norme ISO 13849, intitulée « Sécurité des machines - Parties des systèmes de commande relatives à la sécurité » pour la robotique et autres équipements automatisés, qui s’inscrit dans le prolongement de la EN954.
Cet article vous propose un résumé des principales notions importantes pour la réalisation d’une commande de sécurité et des moyens à même de vous aider dans cette tâche.
Aussi puissants soient ces outils, ils peuvent également présenter un danger non négligeable pour les opérateurs, d’où l’édiction des principes de sureté/sécurité des machines, afin d’assurer une sécurité juridique du fabricant et de l’utilisateur, ce dernier souhaitant recevoir une machine sure et efficace.
Dans ce cadre, tout fabricant de machine doit réaliser une analyse des risques que va générer celle-ci, pour ensuite les éliminer ou les réduire selon les besoins. Cette démarche est d’autant plus importante quand on parle d’éléments intervenant dans la sécurité elle-même. L’objectif n’est donc pas seulement de concevoir un équipement exempt de défaillances, mais de conduire une analyse de risque sur leurs conséquences.
Cette mise en œuvre de la sureté de fonctionnement s’appuie sur des normes, en l’occurrence ici la norme ISO 13849, intitulée « Sécurité des machines - Parties des systèmes de commande relatives à la sécurité » pour la robotique et autres équipements automatisés, qui s’inscrit dans le prolongement de la EN954.
Cet article vous propose un résumé des principales notions importantes pour la réalisation d’une commande de sécurité et des moyens à même de vous aider dans cette tâche.
ISO 13849 : « PL »/ Niveau de performance requis
La norme ISO 13849 prévoit différents niveaux de sécurisation des machines, appelés niveaux de performance (PL – Performance Level) et représentés par une lettre, allant de « a » à « e », « PLa » étant le plus bas et « PLe » le plus haut niveau de sureté.
Les besoins pour la réalisation de systèmes de différents niveaux peuvent varier fortement en termes de coûts. Il est donc primordial de bien choisir le niveau PL dont votre installation a besoin.
La détermination du niveau de PL requis est fonction de 3 variables : la gravité des blessures, la fréquence d’exposition au danger et la probabilité d’éviter le danger ou de limiter les dégâts. On va ainsi définir des critère pour ces variables, afin de définir précisément un niveau de PL à atteindre.
Les besoins pour la réalisation de systèmes de différents niveaux peuvent varier fortement en termes de coûts. Il est donc primordial de bien choisir le niveau PL dont votre installation a besoin.
La détermination du niveau de PL requis est fonction de 3 variables : la gravité des blessures, la fréquence d’exposition au danger et la probabilité d’éviter le danger ou de limiter les dégâts. On va ainsi définir des critère pour ces variables, afin de définir précisément un niveau de PL à atteindre.
S (gravité)
S1 = blessures légères (normalement réversibles)
S2 = blessures graves (irréversibles, incluant la mort)
F (fréquence d’exposition au danger)
F1 = rare exposition ou exposition de courte durée
F2 = exposition fréquente ou continue
P (probabilité d’éviter le danger ou limiter les dégâts)
P1 = possible sous certaines conditions
P2 = rarement possible ou impossible
S1 = blessures légères (normalement réversibles)
S2 = blessures graves (irréversibles, incluant la mort)
F (fréquence d’exposition au danger)
F1 = rare exposition ou exposition de courte durée
F2 = exposition fréquente ou continue
P (probabilité d’éviter le danger ou limiter les dégâts)
P1 = possible sous certaines conditions
P2 = rarement possible ou impossible
ISO 13849 : Déterminer si le Niveau PL est atteint
La création d’un système assurant une fonction de sureté demande l’estimation de plusieurs facteurs :
- L’architecture des différents hardware et software (catégories)
- La couverture de diagnostic possible
- La fiabilité des composants (MTTFd)
- Et les causes communes de défaillances
Les MTTFd au-dessus de 100 ans sont automatiquement considérés comme 100 ans du point de vue normatif.
ISO 13849 : Utilisation d’outils logiciels
La réponse aux normes de sureté de fonctionnement est grandement facilitée par l’utilisation d’outils logiciels. Comme il existe des passerelles entre les normes IEC 61508 et ISO 13849, il est possible d’utiliser des outils qualifiés IEC 61508, en établissant l’équivalence entre PL et SIL pour déterminer le niveau de mise en œuvre des outils.
Dans le cadre de l’utilisation d’outils logiciels pour une ou plusieurs tâches de développement ou vérification, la norme IEC 61508 introduit la notion d’outil support logiciel direct (susceptible d’avoir une influence directe sur le système de sûreté pendant son exécution) et d’outil de support logiciel autonome (prenant en charge une partie du cycle de vie, et n’ayant pas une influence directe sur le système pendant son exécution).
Les premiers doivent suivre le standard IEC 61508 comme tout composant logiciel de sûreté, les seconds sont dissociés en trois niveaux :
Alors qu’un outil T1 ne nécessite aucune méthode de qualification, un outil T2 doit disposer d’une spécification produit et faire l’objet d’une évaluation pour documenter le niveau de confiance pouvant lui être accordé, ainsi que les défaillances potentielles. Un outil T3 doit en addition démontrer qu’il est conforme à sa spécification et documenter les résultats de sa validation.
La suite d’outils LDRA (Analyse statique et dynamique, tests unitaires et d’intégration) et CodeSonar de GrammaTech (Analyse statique avancée) disposent d’un pack de qualification IEC 61508 jusqu’à SIL 4.
De plus, les outils LDRA (LDRA TBvision Static) et l’outil d’analyse statique avancée GrammaTech CodeSonar ont obtenu une certification IEC 61508 (outils T2) permettant leur utilisation jusqu’à SIL 4.
Dans le cadre de l’utilisation d’outils logiciels pour une ou plusieurs tâches de développement ou vérification, la norme IEC 61508 introduit la notion d’outil support logiciel direct (susceptible d’avoir une influence directe sur le système de sûreté pendant son exécution) et d’outil de support logiciel autonome (prenant en charge une partie du cycle de vie, et n’ayant pas une influence directe sur le système pendant son exécution).
Les premiers doivent suivre le standard IEC 61508 comme tout composant logiciel de sûreté, les seconds sont dissociés en trois niveaux :
• T1 : Ne génère aucune sortie susceptible de contribuer, directement ou indirectement, au code exécutable
• T2 : Ne peuvent pas directement créer des erreurs dans le code exécutable, mais peuvent empêcher de détecter des défauts (outils de tests)
• T3 : Génèrent des sorties susceptibles de contribuer, directement ou indirectement, au code exécutable
Alors qu’un outil T1 ne nécessite aucune méthode de qualification, un outil T2 doit disposer d’une spécification produit et faire l’objet d’une évaluation pour documenter le niveau de confiance pouvant lui être accordé, ainsi que les défaillances potentielles. Un outil T3 doit en addition démontrer qu’il est conforme à sa spécification et documenter les résultats de sa validation.
La suite d’outils LDRA (Analyse statique et dynamique, tests unitaires et d’intégration) et CodeSonar de GrammaTech (Analyse statique avancée) disposent d’un pack de qualification IEC 61508 jusqu’à SIL 4.
De plus, les outils LDRA (LDRA TBvision Static) et l’outil d’analyse statique avancée GrammaTech CodeSonar ont obtenu une certification IEC 61508 (outils T2) permettant leur utilisation jusqu’à SIL 4.
ISO 13849 : Comment automatiser la réponse aux exigences logicielles ?
Une mise en œuvre professionnelle de la norme ISO 13849 implique la mise en place d’un Plan d’Assurance Qualité Logiciel, pouvant contenir les éléments suivants :
Nous reprenons ici la caractérisation des exigences de test et de validation pour les niveaux de SIL, à appliquer en fonction du niveau de PL attendu et de son équivalence IEC61508.
- Gestion de la configuration et des versions
- Suivi de la traçabilité des exigences (fonctionnelles, méthodologiques, normatives)
- Mise en place et vérification de règles de codage et de métriques de qualité de code
- Tests unitaires, d’intégration et système liés aux exigences
- Mesure de la couverture structurelle
Nous reprenons ici la caractérisation des exigences de test et de validation pour les niveaux de SIL, à appliquer en fonction du niveau de PL attendu et de son équivalence IEC61508.
L’application des techniques et mesures définies dans la norme est graduée selon le niveau d’intégrité du logiciel, de la manière suivante :
- HR : Hautement Recommandé (obligatoire sauf justification et accord de l’évaluateur)
- R : Recommandé mais non obligatoire
- - : L’utilisation de la technique n’est ni recommandée, ni déconseillée
- NR : Non Recommandé (interdit sauf justification et accord de l’évaluateur)
ISIT propose aussi un ensemble de solutions produits et services, allant de la sensibilisation à l’automatisation des réponses aux exigences logicielles de la norme ISO 13849, en passant par l’accompagnement projet :
- Formation ISO 13849
- Formation associée IEC 61508
- Accompagnement à la certification d’un projet, rédaction du Plan d’Assurance Qualité Logiciel
- Suivi de la traçabilité des exigences au travers de l’outil de Gestion des Exigences Polarion ALM - Siemens Digital Industries Software ou du module de la suite LDRA TBmanager
- Vérification de règles de codage et de métriques de qualité de code par l’Analyse Statique Syntaxique de LDRA TBvision Static / LDRArules
- Détection de bugs et d’erreurs « Runtime » grâce à l’Analyse Statique Avancée de GrammaTech CodeSonar
- Automatisation des tests unitaires et d’Intégration avec LDRA TBrun / LDRAunit
- Mesure de la couverture structurelle avec LDRA TBvision Dynamic / LDRAcover
- Audits de code source et binaire
- Stacks Safety pré-certifiées pour les réseaux industriels : CANopen développée par ISIT pour les réseaux CAN ou solution Safety over EtherCAT ou Ethernet