Ns 302

Aborder la norme
NF EN ISO 13849-1 via

la conception d’une fonction
de sécurité basique
NS 302 NOTE SCIENTIFIQUE ET TECHNIQUE
Aborder la norme
NF EN ISO 13849-1 via
la conception d’une fonction
de sécurité basique
James BAUDOIN
Jean-Paul BELLO
INRS, Département Ingénierie des Equipements de Travail
Laboratoire Sûreté des Systèmes Automatisés
NS 302
février 2013
Institut national de recherche et de sécurité pour la prévention des accidents du travail et des maladies professionnelles
Siège social : 65 boulevard Richard Lenoir 75011 Paris • Tél. 01 40 44 30 00 • Fax 01 40 44 30 99
Centre de Lorraine : 1, rue du Morvan CS 60027 54519 Vandœuvre-les-Nancy cedex • Tél. 03 83 50 20 00 • Fax 03 83 50 20 97
Résumé :
Le présent document a pour objectif de guider les concepteurs devant réaliser le circuit de commande de
machines intégrant seulement une ou quelques fonctions de sécurité « basiques », telles qu’un arrêt d’urgence
ou un protecteur mobile.
Parmi les référentiels disponibles pour la conception des machines, la norme NF EN ISO 13849-1 permet de
traiter les systèmes de commande mettant en œuvre différents types d’énergie tels que l’électrique,
l’hydraulique ou le pneumatique. Cette norme décrit les principes généraux de conception des parties des
systèmes de commande relatives à la sécurité (SRP/CS).
Ce document est basé sur la mise en œuvre de la méthode simplifiée de la norme NF EN ISO 13849-1 et
permet d’appréhender les notions nouvelles qu’elle introduit.
La première partie du document intitulée : Guide de conception d’une SRP/CS, apporte des éclairages sur
certaines parties de la norme et propose également des outils (graphes, tableaux,…) destinés à en faciliter la
compréhension et l’utilisation mais également les choix que les concepteurs seront amenés à faire.
La deuxième partie est constituée d’un cas pratique d’une fonction de sécurité traité par l’INRS sur la base de
la norme et des outils présentés dans le guide. L'ensemble des phases de conception est abordé, en faisant
ressortir les détails et commentaires jugés nécessaires pour assimiler les principes préconisés par la norme.
Bien que nouvelle, la norme NF EN ISO 13849-1 n’apporte pas de grands changements dans la conception
des systèmes de commande relatifs à la sécurité. Elle conserve en grande partie les principes de conception
préconisés dans la norme NF EN 954-1 qu’elle remplace désormais. La principale nouveauté de ce référentiel
réside dans la quantification d’un certain nombre de paramètres.
Abstract:
This document is intended to guide designers to perform machinery control systems with only one or a few
"basic" safety functions such as emergency stop or movable guard.
Among the available standards for machine design, NF EN ISO 13849-1 is the one providing recommendations
to design safety related parts of control systems (SRP / CS) implementing different types of energy such as
electric, hydraulic or pneumatic.
This document is based on the implementation of the simplified method of NF EN ISO 13849-1 and helps to
understand the new concepts introduced by this standard.
The first part of the document entitled: Design guide for a SRP/CS, sheds light on some parts of the standard
and also provides tools (graphs, tables ...) to facilitate the understanding and use but also choices that
designers will have to do.
The second part consists of a practical case of a safety function designed by INRS using the standard and the
tools shown in the guide. All phases of design are discussed, highlighting details and comments deemed
necessary to assimilate the principles advocated by the standard.
Although new, the standard NF EN ISO 13849-1 does not bring major changes in the design of control systems
related to safety. It retains much of the design principles recommended in the standard NF EN 954-1 that it
replaces. The main new of this framework lies in the quantification of a number of parameters.
page 4 sur 58
SOMMAIRE
PREAMBULE ............................................................................................................................................................ 5
GUIDE DE CONCEPTION D’UNE SRP/CS ............................................................................................................. 6
1 INTRODUCTION ............................................................................................................................................................. 6
2 SPECIFICATION D’UNE FONCTION DE SECURITE ..................................................................................................................... 6
3 DETERMINATION D’UN NIVEAU DE PERFORMANCE REQUIS ..................................................................................................... 6
4 PROCESSUS GENERAL DE CONCEPTION D’UN SC/FS .............................................................................................................. 7
4.1 Modèle général de structure logique pour un SC/FS ............................................................................................ 7
4.2 Graphe du processus général de conception d’un SC/FS en vue d'atteindre un PL requis ................................... 8
4.3 Spécification d’une SRP/CS ................................................................................................................................. 12
5 ASSOCIATION DE SRP/CS DE PL CONNU .......................................................................................................................... 12
6 DETAILS DE LA CONCEPTION D’UNE SRP/CS ..................................................................................................................... 12
6.1 Principe .............................................................................................................................................................. 12
6.2 Aide aux choix des préconisations minimales les mieux appropriées pour la conception d’une SRP/CS ........... 12
6.3 Etapes de conception d’une SRP/CS ................................................................................................................... 14
6.4 Exigences pour la prise en compte des défaillances systématiques ................................................................... 16
6.5 Exigences pour l'évaluation des mesures contre les défaillances de cause commune (CCF) ............................. 16
6.6 Application de la « méthode bloc » .................................................................................................................... 17
6.7 Couverture de diagnostic (DC) des défaillances dangereuses ............................................................................ 17
6.8 Calcul du MTTFd pour les composants pneumatiques, mécaniques et électromécaniques (Annexe C de la
norme) ......................................................................................................................................................................... 19
7 COMBINAISON DE PLUSIEURS FONCTIONS AGISSANT SUR UN MEME ACTIONNEUR ..................................................................... 20
8 REMARQUES SUR L’UTILISATION DU LOGICIEL SISTEMA ...................................................................................................... 21
ANNEXE 1 : TABLEAUX DES PRECONISATIONS MINIMALES POUR UN PL DONNE ................................................................................ 23
EXEMPLE DE CONCEPTION D’UN SC/FS DE PLR « D » - CATEGORIE 3 ...................................................... 28

A1. PRESENTATION DE LA FONCTION ................................................................................................................................ 28
A2. SPECIFICATION DE LA FONCTION DE SECURITE ............................................................................................................... 29
A3. STRUCTURE LOGIQUE DE BASE ................................................................................................................................... 30
A4. DEFINITION DES SRP/CS NECESSAIRES POUR LA REALISATION DU SC/FS « ARRET DU MOTEUR HYDRAULIQUE PAR PROTECTEUR » 31
A5. CONCEPTION DES SRP/CS ........................................................................................................................................ 32
A5.1 Conception de la SRP/CSa ............................................................................................................................. 32
A5.2 Conception de la SRP/CSb ............................................................................................................................. 40
A5.3 Conception de la SRP/CSc .............................................................................................................................. 43
A6. RESULTATS FINAUX POUR LE SC/FS ............................................................................................................................ 52
A6.1 Détermination du PL du SC/FS ....................................................................................................................... 52
A6.2 Temps de réaction du SC/FS .......................................................................................................................... 52
A6.3 Schéma final du SC/FS ................................................................................................................................... 53
ANNEXE A ‐ DEFAILLANCES SYSTEMATIQUES DE TOUTES LES SRP/CS DU SC/FS « ARRET DU MOTEUR HYDRAULIQUE PAR PROTECTEUR » 54
page 5 sur 58
Préambule
Lors de la conception d’un équipement de travail, tel qu’une machine, il est nécessaire de prendre en compte
sa partie « système de commande ». Cette dernière est destinée à assurer les fonctionnalités attendues de
l’équipement. Lorsque des fonctions de sécurité sont nécessaires, le système de commande doit également les
traiter afin de contribuer à la réduction des risques générés par l’équipement de travail, vis-à-vis des opérateurs
et tierces personnes exposés.
Parmi les référentiels disponibles pour la conception des machines, la norme NF EN ISO 13849-11 permet de
traiter les systèmes de commande mettant en œuvre différents types d’énergie tels que l’électrique,
l’hydraulique ou le pneumatique. Elle décrit les principes généraux de conception des parties des systèmes de
commande relatives à la sécurité (SRP/CS2).
Cette norme remplace la norme NF EN 954-13 qui était largement connue des industriels mais qui n’est
désormais plus en vigueur.
Bien que nouvelle, la NF EN ISO 13849-1 n’apporte pas de grands changements dans la conception des
systèmes de commande relatifs à la sécurité. Elle conserve en grande partie les principes de conception
préconisés dans la NF EN 954-1. Le concepteur doit continuer à mettre en œuvre :
- des composants aptes à la fonction pour laquelle ils sont destinés,
- des composants conçus selon des principes de sécurité éprouvés,
- des architectures simple ou double canal (redondance),
- en cas de besoin, des diagnostics destinés à tester les composants (autocontrôle),
- des mesures contre les défaillances systématiques,
La principale nouveauté de ce référentiel réside dans la quantification d’un certain nombre de paramètres
nécessitant :
- le calcul du MTTFd4 (temps moyen avant défaillance dangereuse) à partir des données de fiabilité et de
sollicitation des composants mis en œuvre,
- la quantification des mesures prises pour assurer la couverture de diagnostic des composants,
- la quantification des mesures prises contre des défaillances de cause communes.
Contrairement à certaines idées reçues, ces calculs sont abordables et limités, si on utilise la procédure
simplifiée de la norme, et surtout lorsque les fonctions de sécurité sont simples et mettent en œuvre peu de
composants ou lorsque les composants choisis ont des niveaux de performance connus.
Pour les cas d’application plus complexes, un outil logiciel est disponible gratuitement : SISTEMA. Il permet
d’assister le concepteur dans l’application de la norme NF EN ISO 13849-1 en imposant de passer par les
phases de conception préconisées par cette norme et en calculant les données nécessaires sans avoir à
utiliser les formules de calcul.
Le présent document a pour objectif de guider les concepteurs de SRP/CS dans l’utilisation de la norme et de
les aider à appréhender les notions nouvelles qu’elle introduit. Il est basé sur un cas pratique traité par l’INRS.
Avertissement 1
Ce document ne se substitue en aucun cas à la norme dont la lecture préalable et l’utilisation en cours
de conception restent indispensables. En effet, il n’intègre pas et ne rappelle pas l’ensemble de ses
préconisations.
Note : Dans la suite du document, tous les renvois (paragraphe, tableau,…) non spécifiés renvoient au
présent document.
1
NF EN ISO 13849-1 : 2008 : Sécurité des machines – Parties des systèmes de commande relatives à la sécurité –
Partie 1 : Principes généraux de conception (appelée « la norme » dans le document)
2
SRP/CS : Safety Related Part/ Control System
3
NF EN 954-1 : 1997 : Sécurité des machines – Parties des systèmes de commande relatives à la sécurité – Partie 1 :
Principes généraux de conception
4
MTTFd : Mean Time To dangerous Failure
page 6 sur 58
Guide de conception d’une SRP/CS
1 Introduction
Ce document propose de guider les concepteurs dans la réalisation de SRP/CS, en prenant pour base la
méthode simplifiée de la norme NF EN ISO 13849-1 (dont les conditions sont listées au § 4.5.4 de cette
norme), mais sans aborder la partie logicielle (§ 4.6 et annexe J de cette norme), ni la phase de validation (§ 8
de cette norme qui renvoie notamment à la norme NF EN ISO 13849-25).
Le système de commande de sécurité d’une machine est constitué d’une ou plusieurs fonctions de sécurité.
Chaque fonction de sécurité est réalisée par sa propre partie de système de commande qui, pour faciliter la
lecture de ce guide, porte l’abréviation (SC/FS6).
Chaque SC/FS intègre au moins une partie matérielle (SRP/CS) et comprend éventuellement une partie
logicielle. Un SC/FS doit respecter un niveau de performance de sécurité défini et adapté à l’importance des
risques que la fonction de sécurité qu'il traite doit réduire.
SC/FS1
SRP/CSa SRP/CSb SRP/CSc
SC/FS2
Schéma de principe
SRP/CSd SRP/CSe
d'un système de commande
de sécurité d’une machine
Figure 1 : Exemple de structure d'un système de commande de sécurité d’une machine
2 Spécification d’une fonction de sécurité
La première étape préalable à la conception d’un SC/FS est de spécifier précisément la fonction de sécurité
qu’il contribuera à réaliser, en décrivant notamment :
- son niveau de performance de sécurité requis PLr (voir § 3),
- ses conditions d’activation, comme par exemple les modes de marche dans lesquels la fonction est
active/inactive,
- son fonctionnement, en décrivant l’action attendue, en fonction des informations d’entrée,
- sa priorité par rapport à d’autres fonctions simultanées,
- son temps de réaction maximal,
- sa fréquence de sollicitation,
- les conditions environnementales,
- …
3 Détermination d’un niveau de performance requis
Un SC/FS doit posséder un certain niveau de performance de sécurité pour pouvoir assurer la fonction de
sécurité qui lui est confiée. Dans la norme NF EN ISO 13849-1, la capacité d’un SC/FS à réaliser une fonction
5
NF EN ISO 13849-2 : 2008 : Sécurité des machines – Parties des systèmes de commande relatives à la sécurité –
Partie 2 : Validation
6
SC/FS : Système de Commande de la Fonction de Sécurité (cette abréviation n’est pas normalisée).

page 7 sur 58
de sécurité est exprimée au travers de la détermination du niveau de performance (PL7). La norme définit
5 niveaux de performance possibles pour un système de commande, qui s’échelonnent de PL « a » à PL « e »
(voir Figure 2). Avant de concevoir un SC/FS, il est indispensable de déterminer un niveau de performance
requis (PLr) pour la fonction de sécurité qu'il devra réaliser. Le PL atteint par le SC/FS devra être au moins égal
au PLr de cette fonction de sécurité. Le PLr est fonction de l’importance de la contribution de la fonction de
sécurité à la réduction du risque, déterminée suite à une estimation de ce risque. L’annexe A de la norme décrit
une méthode pour la détermination du PLr.
La valeur de PLr déterminée pour le SC/FS doit au minimum être requise pour la ou les SRP/CS qui le
constituent.
Pour chaque niveau de performance, la norme a fait correspondre une valeur de probabilité moyenne d’une
8
défaillance dangereuse par heure (PFHd ) du système de commande (tableau 3 de la norme). Une défaillance
est qualifiée de dangereuse lorsqu’elle peut conduire à une situation potentiellement dangereuse.
Risque faible Risque important
PLa PLb PLc PLd PLe

-4 -5 -5 -6 -6 -6 -6 -7
10 > PFHd ≥ 10-8
-7
10 > PFHd ≥ 10 10 > PFHd ≥ 3x10 3x10 > PFHd ≥10 10 > PFHd ≥ 10
Figure 2
4 Processus général de conception d’un SC/FS
4.1 Modèle général de structure logique pour un SC/FS
Chaque SC/FS comprend généralement plusieurs entités logiques pour traiter les ordres d’entrée et
commander des pré-actionneurs via une unité de traitement. La Figure 3 représente le cas le plus fréquent
constitué de trois entités.
Entrée Traitement Sortie
Acquisition de l’information Traitement requis afin de Commande des pré-

des différents capteurs de réaliser la fonction de actionneurs
sécurité sécurité
Figure 3
Le concepteur a le choix de décliner ces entités logiques en une ou plusieurs SRP/CS suivant le matériel qu’il
envisage de mettre en œuvre. Cette déclinaison peut s’effectuer de différentes manières illustrées dans le
paragraphe 4.2.
7
PL : Performance Level
8
PFHd : average Probability of dangerous Failure per Hour

page 8 sur 58
4.2 Graphe du processus général de conception d’un SC/FS en vue d'atteindre un PL requis
Le Graphe 1 illustre :
- différentes voies de conception proposées par la norme NF EN ISO 13849. Le choix du concepteur
est déterminé par les composants existant sur le marché, par les pratiques de conception propres
à chaque entreprise, par la complexité du SC/FS à réaliser, par la technologie des composants
utilisés,…
- différentes façons de déterminer le niveau de performance « PL » obtenu pour un SC/FS en vue de
le comparer au PL requis.

page 9 sur 58
Prendre pour cible le PL requis à atteindre pour le SC/FS
Réaliser une structure logique de base du SC/FS – Exemple : Entrée Traitement Sortie
Spécifier en détail chaque partie logique et les attribuer à

une ou des SRP/CS de PL connu (par exemple un/des modules de sécurité du commerce) et/ou à une/des SRP/CS à concevoir
Exemples de combinaisons de SRP/CS, pour réaliser le SC/FS (§ 4.4 de la norme)
Association de SRP/CS de PL connus (et ≥ PLr) et de SRP/CS à concevoir, exemples ci-dessous SRP/CS à concevoir
SRP/CS de PL connus (et ≥ PLr)
Entrée Entrée/Traitement Entrée/traitement Entrée Entrée Entrée
OU OU OU
PLx ≥ PLrTraitement PL ?? PLx ≥ PLr PLx ≥ PLr PL ?? Traitement Traitement
PLy ≥ PLr Sortie Sortie Sortie Traitement/Sortie
PLy ≥ PLrSortie Sortie
PLz ≥ PLr PLx ≥ PLr PL ?? PL ?? PL??
PL ??
Concevoir les SRP/CS de PL non connu en utilisant la

procédure simplifiée – Voir Graphe 2
SRP/CS Concevoir la SRP/CS en utilisant la
PLx ≥ PLr procédure simplifiée
Déterminer le PL de chacune des SRP/CS conçues Voir Graphe 2
SRP/CS
PLx ≥ PLr
Pour chaque SRP/CS Non Déterminer le PL de la SRP/CS et en

PL ≥ PLr déduire celui du SC/FS
Déterminer le PL du SC/FS par le Tableau 11 de la Norme
Non
PL SC/FS ≥ PLr
Conception du SC/FS terminée
Graphe 1 : Processus général de conception d’un SC/FS en vue d'atteindre un PL requis

page 10 sur 58
Le Graphe 1 montre que le concepteur du système de commande a le choix entre trois possibilités :
- Dans la branche de gauche, il associe uniquement des SRP/CS de PL connu (données fournies
par le constructeur) et supérieur ou égal au PL requis pour la SC/FS (représentées en couleur
bleue), telles qu’un module de sécurité du commerce, un barrage immatériel,... (exemple Figure 4).
Le PL du SC/FS est déterminé en appliquant le paragraphe 6.3 de la norme et notamment son
tableau 11 (Prendre en compte l’Avertissement 2 de ce document).
SRP/CS de PL connu
SRP/CS de PL connu
Electrovanne double
corps à sécurité Vers actionneur
intrinsèque
SRP/CS de PL connu
Figure 4 : Exemple de SC/FS constituée de 3 SRP/CS de PL connus
- Dans la branche centrale, c’est une solution mixte qui est illustrée. Le concepteur associe une ou
des SRP/CS de PL connu et supérieur ou égal au PL requis pour le SC/FS (représentées en
couleur bleue) et une ou des SRP/CS de sa propre conception (représentées en couleur verte),
exemple Figure 5. Les étapes de la conception d’une SRP/CS sont présentées dans le Graphe 2 :
Détail de la conception d’une SRP/CS en vue d'atteindre un PL requis.
Le PL du SC/FS est déterminé en appliquant le paragraphe 6.3 de la norme et notamment son
tableau 11 (Prendre en compte l’Avertissement 2 de ce document).
SRP/CS à concevoir
SRP/CS
de PL
connu
SRP/CS de PL connu
Figure 5 : Exemple de SC/FS constituée d’une combinaison de

SRP/CS de PL connus et d’une à concevoir
- Dans la branche de droite, le concepteur met en œuvre une seule SRP/CS de sa propre
conception (représentée en couleur verte), exemple Figure 6.

page 11 sur 58
Il s’agit par exemple d’assembler des composants le plus souvent basiques, tels que des
interrupteurs de position, des détecteurs de proximité, des relais électromécaniques.
Les étapes de la conception d’une SRP/CS sont présentées dans le Graphe 2 : Détail de la
conception d’une SRP/CS en vue d'atteindre un PL requis.
SRP/CS à concevoir
Figure 6 : Exemple de SC/FS constituée d’une SRP/CS à concevoir
Avertissement 2
Combinaison de plusieurs SRP/CS au sein d’une même SC/FS
Lors de la combinaison de plusieurs SRP/CS en alignement série9, il est nécessaire que le PL de chacune
d’elles soit déterminé. Ensuite, le PL de la SC/FS va dépendre de celui de ces SRP/CS. Il sera alors :
- Egal au PL le plus bas parmi les SRP/CS, si une seule SRP/CS est de ce PL.
Exemple
SC/FS de PLa
SRP/Cs1 SRP/Cs2 SRP/Cs3
PLa PLb PLe
- Inférieur ou égal au PL le plus bas, suivant le nombre de SRP/CS qui sont de ce PL. Le tableau
11 de la norme indique le PL global en fonction du nombre de SRP/CS de PL le plus bas.
Dans l’exemple suivant, le PL le plus bas est « PLe ». Pour un nombre SRP/CS de PLe supérieur
à 3, le tableau 11 impose de réduire le PL de cette SC/FS à « PLd ».
SC/FS de PLd
SRP/Cs1 SRP/Cs2 SRP/Cs3 SRP/Cs4

PLe PLe PLe PLe
9
Alignement série : mise en œuvre de plusieurs SRP/CS de telle manière que la défaillance de chacune des SRP/CS
entraîne une défaillance du SC/FS

page 12 sur 58
4.3 Spécification d’une SRP/CS
En fonction de la voie de conception retenue, chacune des SRP/CS composant la SC/FS sera soit choisie "sur
étagère", soit conçue spécifiquement. Pour l’une comme pour l'autre, il est nécessaire de spécifier, à partir de
la spécification du SC/FS dans lequel elle va s’intégrer (cf. paragraphe 2), la fonction qu’elle devra réaliser, en
précisant notamment :
- son PL requis, qui sera au moins égal au PLr du SC/FS,
- ses conditions d’activation, comme par exemple les modes de marche dans lesquels la SRP/CS
est active/inactive,
- son fonctionnement, en décrivant l’action attendue, en fonction des informations d’entrée,
- son interface avec les autres SRP/CS,
- sa priorité par rapport à d’autres fonctions simultanées,
- son temps de réaction maximal,
- sa fréquence de sollicitation (qui peut être différente de celle du SC/FS),
- les conditions environnementales,
- …
Note : lorsqu’un SC/FS est constitué d’une seule SRP/CS, la spécification de la SRP/CS est identique à celle
de la fonction de sécurité et il n’y a pas nécessité d’une nouvelle spécification.
5 Association de SRP/CS de PL connu
Dans le cas d’un assemblage (ex : Figure 4 ) ou de l’intégration (ex : Figure 5 ) de SPR/CS de PL connu au
sein d’un SC/FS, il est également nécessaire de mettre en œuvre des mesures contre les défaillances
systématiques. Ces mesures concernent principalement le respect des notices de mise en œuvre des
différents composants ainsi que les raccordements inter-composants (voir exemple, Figure 17 au paragraphe
A5.2).
6 Détails de la conception d’une SRP/CS
6.1 Principe
Pour chacune des SRP/CS qu'il devra concevoir spécifiquement, l’objectif du concepteur sera de mettre en
œuvre les mesures nécessaires pour atteindre un niveau de performance au moins égal au PLr pour le SC/FS.
Pour cela, il est indispensable de considérer l’ensemble des critères suivants, listés dans le § 4.5.1 de la norme
:
- la structure (voir Article 6 de la norme),
- le comportement de la fonction de sécurité en cas de défaillance (voir Article 6 de la norme),
- l’aptitude à exécuter une fonction de sécurité dans des conditions environnementales prévues,
- les défaillances de cause commune « CCF » (voir Annexe F de la norme),
- les défaillances systématiques (voir Annexe G de la norme),
- la valeur de MTTFd (temps moyen avant défaillance dangereuse) pour des composants uniques
(voir Annexes C et D de la norme),
- la Couverture de diagnostics « DC » (voir § 4.5.3 et Annexe E de la norme),
- le logiciel relatif à la sécurité (voir § 4.6 et Annexe J de la norme).
6.2 Aide aux choix des préconisations minimales les mieux appropriées pour la conception d’une
SRP/CS
La présentation de la norme est telle qu'il est difficile, au moment d’engager les travaux de conception d’une
SRP/CS, d’avoir une vue globale des différentes possibilités d'atteindre le PLr ainsi que les critères minimaux à
respecter. Quelles sont par exemple les catégories autorisées ou encore les valeurs de MTTFd cible à viser ?

page 13 sur 58
C’est pourquoi des tableaux, fournis en annexe 1 de ce document, ont été créés pour faciliter ce choix. Ils sont
notamment basés sur le tableau 7 de la norme et sont prévus pour appliquer la procédure simplifiée proposée
pour atteindre le PL requis.
Cinq tableaux sont fournis correspondant aux cinq niveaux de PLr (a, b, c, d et e) auxquels peut prétendre une
SRP/CS. Chacun des tableaux est composé de colonnes correspondant aux catégories pouvant être mises en
œuvre pour satisfaire le PLr. Pour chaque colonne, on retrouve les préconisations minimales (architecture
désignée, MTTFd, DCavg, CCF,…) nécessaires pour atteindre le PLr.
Ces tableaux permettent d’avoir une vue globale des préconisations nécessaires pour la conception d’une
SRP/CS pour un PLr donné et ainsi de pouvoir anticiper des choix matériels (ex : MTTFd) répondant aux
critères minimaux requis.
Lors de la conception d’une SRP/CS, il est donc nécessaire de sélectionner le tableau correspondant au PLr
défini pour cette SRP/CS et de choisir une colonne correspondant à une catégorie. Le choix de la colonne peut
être guidé par l’expérience du concepteur ou par les caractéristiques des composants disponibles susceptibles
de satisfaire les critères de la colonne. Si le résultat de la conception ne peut aboutir, il peut être nécessaire de
procéder par itération et de choisir une autre colonne du même tableau.
Note : Les plages de MTTFd par canal et de DC annoncées dans ces tableaux sont extraites de la norme et
exprimées de manière à en faciliter l’exploitation. En effet, la norme annonce des valeurs minimales à
respecter. Si les résultats des calculs de MTTFd ou de DCavg sont supérieurs à ces valeurs préconisées, ils
conviennent également, ce qui apparaît clairement dans les tableaux.
Rappel des plages de valeurs définies dans la norme : MTTFd par canal (Tableau 5) et DC (Tableau 6)
MTTFd (par canal) DC

MTTFd faible : 3 ans ≤ MTTFd < 10 ans Nulle : DC < 60 %
MTTFd moyen : 10 ans ≤ MTTFd < 30 ans Faible : 60 % ≤ DC < 90 %
MTTFd élevé : 30 ans ≤ MTTFd ≤ 100 ans Moyenne : 90 % ≤ DC < 99 %
Elevée : 99 % ≤ DC
Réflexions sur les critères de respect de la catégorie 2

(Si utilisation de la procédure simplifiée de calcul du MTTFd)
Pour le respect de la catégorie 2, la norme exige notamment que le taux d’essais de la partie considérée soit
au moins 100 fois supérieur à son taux de demande (§ 3.1.30 de la norme - fréquence de sollicitation d'une
action relative à la sécurité d'une SRP/CS).
En pratique, cette exigence élimine de manière quasi systématique la possibilité d’utiliser des composants
électromécaniques, pneumatiques ou hydrauliques. En effet, pour que le diagnostic de ces composants
puisse être effectué, il est nécessaire qu’ils commutent. Ceci a pour effet de rendre leur taux d’essais
équivalent à leur taux de demande, sauf dans des cas très rares où il serait possible :
- de commander « artificiellement » (autrement que par la sollicitation de la fonction de sécurité par
son élément d’entrée) une commutation des composants électromécaniques du SC/FS à un taux
100 fois supérieur à son taux de demande,
- que cette commutation, à des fins d’essais, ne perturbe pas le fonctionnement normal de la
machine.
Dans le cas d’un interrupteur de position à contacts électromécaniques actionné par un protecteur, il n’y a pas
de moyen de solliciter « artificiellement » l’interrupteur pour pouvoir le tester. Il n’existe donc pas de moyen
pour obtenir un taux d’essais supérieur au taux de demande.

page 14 sur 58
L’usage de la catégorie 2 est donc réservé principalement aux systèmes électroniques, qui peuvent tolérer
des micro-impulsions de tests suffisantes pour effectuer un diagnostic fréquent, mais sans effet sur les sorties
du système concerné vis-à-vis des éléments commandés.
En conséquence, lorsque l’on veut développer une SRP/CS en utilisant des composants électromécaniques,
pneumatiques ou hydrauliques, il est fortement déconseillé d'utiliser une architecture de catégorie 2. Il faut
alors s’orienter vers une autre catégorie adaptée au PLr.
6.3 Etapes de conception d’une SRP/CS
Afin de faciliter la conception d’une SRP/CS (hors partie logicielle) en utilisant la méthode simplifiée de la
norme, le Graphe 2 a été conçu.
Rappel : la méthode simplifiée se base sur des architectures désignées pour lesquelles des "pré-calculs" ont
été réalisés, facilitant d'autant l'application des exigences quantitatives requises par la norme.
Le graphe proposé liste, en les classant, les étapes à suivre et indique les différents paragraphes ou annexes
de la norme NF EN ISO 13849-1 auxquels il faut se référer.

page 15 sur 58
Conception d’une SRP/CS et estimation du PL obtenu par la procédure simplifiée (§ 4.5.4)
Choisir les préconisations minimales pour atteindre le PLr

(§ 6.2) d’après les tableaux de l’annexe 1 de ce document
Spécifier les blocs diagramme (I, L, O) de l’architecture désignée correspondante
Choisir des composants de MTTFd/B10d connu ou permettant une

exclusion de défaillance suivant annexes A, B, C ou D de l’EN 13849-2
Concevoir le schéma de
Pour les catégories de 2 à 4, commande (pour chaque canal Maîtriser et prévenir les
appliquer les mesures contre fonctionnel et hors diagnostic) défaillances systématiques
les CCF (annexe F) suivant l’architecture désignée (annexe G)
retenue
Pour les catégories de 2 à 4- application de l’annexe E - § E.1)

- Déterminer les défaillances dangereuses des composants (ex. en annexes A, B, C ou D de
l’EN 13849-2).
- Spécifier les fonctions de diagnostics (rôle, fréquence, réaction,…) pour chaque composant concerné –
l’annexe E définit des mécanismes de diagnostics utiles à la réflexion.
- Déterminer la DC pour chaque composant (§ 4.5.3 et Annexe E).
- Concevoir les parties dédiées aux diagnostics (ex. TE, OTE, surveillance croisée ou non,…).
Si un B10d est fourni, calculer (suivant Annexe C-§C4) le MTTFd de chaque composant
Application de la méthode bloc (Annexe B de la norme)
- Calculer le MTTFd par canal du SRP/CS (Annexe D - § D.1). Si MTTFd < 3ans, reprendre la conception.
- Limiter le MTTFd de chaque canal à 100 ans (Note1 du tableau 5) puis si les MTTFd des canaux sont
différents  Pour la SRP/CS, soit retenir le MTTFd le plus faible ou soit définir une valeur de substitution
par symétrisation (§D.2).
- Si Catégorie 2 : calculer et s’assurer que MTTFd,TE >(MTTFd,L)/2 (ou voir note du § 4.5.4 si les blocs du
canal fonctionnel ne peuvent pas être séparés).
Non MTTFd de SRP/CS en accord avec

PLr ?
Calculer la DC moyenne pour la SRP/CS (annexe E - § E2)
Non DCavg de SRP/CS en accord avec

PLr ?
PLr est atteint
Graphe 2 : Détail de la conception d’une SRP/CS en vue d'atteindre un PL requis

page 16 sur 58
6.4 Exigences pour la prise en compte des défaillances systématiques
Rappel : défaillance systématique (§ 3.1.7 de la norme)

Défaillance associée de façon déterministe à une certaine cause, ne pouvant être éliminée que par une
modification de la conception ou du processus de fabrication, des procédures d’exploitation, de la
documentation ou d’autres facteurs appropriés.
Beaucoup de concepteurs négligent la prise en compte des défaillances systématiques au profit des autres
paramètres plus facilement chiffrables, tels que les MTTFd. Or, sans mesures adaptées pour pallier ces
défaillances, un système de commande ne pourra pas atteindre un niveau de sûreté de fonctionnement
correct. Que penser en effet d’un système de commande relatif à la sécurité dont le comportement serait
affecté par une simple mise à la masse accidentelle d’une de ses parties ?
Ces exigences s’adressent principalement aux circuits de commande électriques, mais lorsque des énergies
hydrauliques ou pneumatiques sont utilisées, les mêmes objectifs de conception, maintien ou mise en état sûr
d’une machine, doivent être atteints en mettant en œuvre des mesures appropriées.
Dans le cadre de l’exemple de conception d’une SC/FS traité dans ce document, les mesures à mettre en
œuvre pour cet exemple ainsi qu’un rappel des préconisations de la norme sont fournies sous forme d’un
tableau (voir Tableau 20). Ces mesures sont basées :
- soit sur les « principes de sécurité de base » et les « principes de sécurité éprouvés » des tableaux
A1 et A2, B1 et B2, C1 et C2 ou D1 et D2 des annexes A, B, C et D de la norme ISO 13849-2,
suivant les technologies mises en œuvre,
- soit sur l’état de l’art couramment rencontré dans l’industrie.
Lorsqu’une SRP/CS est constituée de plusieurs parties (par exemple, une entrée « I », une logique « L » et une
sortie « O »), il faut considérer les exigences pour chacune des parties.
6.5 Exigences pour l'évaluation des mesures contre les défaillances de cause commune (CCF)
Rappel : défaillance de cause commune CCF (§ 3.1.6 de la norme)

Défaillances qui affectent plusieurs entités à partir d’un même événement et qui ne résultent pas les unes des
autres.
Note : Comme indiqué dans les § 6.2.5 à 6.2.7 de la norme, la prise en compte des défaillances de cause
communes CCF doit être effective lors de la conception des SRP/CS répondant aux prescriptions des
catégories 2 à 4.
Pour les catégories 3 et 4, les mesures mises en œuvre sont destinées à éviter qu’une défaillance affecte
simultanément les deux canaux fonctionnels.
Pour la catégorie 2, ces mesures sont destinées à éviter qu’une défaillance affecte simultanément le canal
fonctionnel et le canal d’essai.
Les mesures à appliquer, préconisées dans l’annexe F de la norme NF EN ISO 13849-1 sont directement
exploitables. Lorsqu’une SRP/CS est constituée de plusieurs parties (par exemple, une entrée « I », une
logique « L » et une sortie « O »), il faut allouer un score global prenant en compte les mesures appliquées à
chacune des parties.
Note : Il n’y a pas de calcul du score au prorata de l’application des exigences. Pour chaque exigence, le
score maximal pouvant être revendiqué est appliqué si l’exigence est couverte en totalité pour l'ensemble
des parties constituant la SRP/CS. Dans le cas contraire, le score appliqué est nul.

page 17 sur 58
Dans l’exemple illustré au Tableau 1 (SRP/CS comportant une entrée, une logique et une sortie), on peut noter
que :
- pour l’exigence n° 3.1, les mesures préconisées sont satisfaites pour les trois parties (I, L et O)
constituant la SRP/CS. Le score alloué à cette exigence (15) est atteint,
- pour l’exigence n° 3.2, les mesures préconisées sont satisfaites uniquement pour deux (I et L) des
trois parties constituant la SRP/CS. Le score alloué à cette exigence (5) n’est pas atteint.
Tableau 1 : Exemple de notation des mesures contre les CCF

N° Notation des mesures contre les CCF (annexe F – Informative - de la norme)
Entrée (Input « I ») – Logique (« L ») – Sortie (Output « O ») => I L O
3 Conception/application/expérience
Protection contre surtension, surpression, surintensité, etc – Score atteint 15
Fusible pour la partie électrique X
3.1
Fusible pour la partie électrique X
Limiteur de pression pour la partie hydraulique X
Utilisation de composants éprouvés – Score non atteint 0
Composant éprouvé car usage de manœuvre positive d’ouverture X
3.2
Composant éprouvé (contacteurs choisis et installés en respect du tableau D3 - EN13849-2) X
Composant hydraulique non éprouvé (pas défini dans l’annexe C - EN13849-2) N
Extrait 1 : Extrait du tableau F.1 de la norme NF EN ISO 13849-1 (ancien Tableau F.2)
En application du Tableau F1 de la norme (voir Extrait 1), les mesures mises en œuvre pour éviter les CCF
sont satisfaisantes lorsqu’un score global minimum de 65 est atteint pour une SRP/CS donnée.
6.6 Application de la « méthode bloc »
L’approche simplifiée de la norme nécessite une représentation par bloc de la SRP/CS. Cette « méthode bloc »
est décrite dans l’annexe B de la norme.
La finalité de cette méthode est de permettre le calcul du MTTFd par canal et de la DCavg avec les formules de
la méthode simplifiée. Pour pouvoir appliquer la méthode bloc à une SRP/CS, le concepteur doit disposer du
schéma de commande final prévu. Il devra identifier tous les composants dont la défaillance est potentiellement
dangereuse. Chacun de ces composants constituera un bloc. La représentation sous forme de bloc doit faire
apparaître clairement la séparation entre les deux canaux fonctionnels (en cas de redondance) et le canal
d’essai (le cas échéant).
6.7 Couverture de diagnostic (DC) des défaillances dangereuses
Rappel : Couverture de diagnostic DC (§ 3.1.26 de la norme)

Mesure de l’efficacité du diagnostic, peut être définie comme la fraction de la probabilité de défaillances
dangereuses détectées sur la probabilité de toutes les défaillances dangereuses

page 18 sur 58
La DC est classée en quatre niveaux de pourcentage définis dans le tableau 6 de la norme. Une estimation de
la DC est proposée en annexe E de la norme en fonction du type de mesures mises en œuvre pour assurer le
diagnostic.
Dans la plupart des cas, cette estimation est parfaitement adaptée. Par contre, il existe des situations pour
lesquelles le concepteur doit impérativement s’appuyer sur les informations du fabricant du composant mis en
œuvre. C’est le cas par exemple pour l’utilisation de blocs logiques de sécurité, ou de certaines cartes d’entrée
de composants de sécurité pour lesquels plusieurs modes d’utilisation sont possibles, mais avec une DC qui
doit alors être déterminée pour chaque cas possible.
Avertissement 3
Mise en série de plusieurs entrées sur un bloc logique de sécurité
Il est important, lors de l’utilisation d’un bloc logique de sécurité, de respecter les consignes de câblage
préconisées par son fabricant et de tenir compte des spécificités de l’application, notamment au niveau des
possibilités de commutation simultanée des éléments raccordés en série sur les entrées.
BP1.1 BP1.2
Exemple d’évolution de la DC pour une mise en série de boutons-
poussoirs sur un bloc logique de sécurité d’arrêt d’urgence
pouvant atteindre un PLe : BP2.1 BP2.2
- lorsqu’un seul bouton poussoir peut être actionné à la
fois, la DC est généralement supérieure ou égale à 99
%(DC élevée), Entrée B
Entrée A
- si plusieurs boutons d’arrêt d’urgence peuvent être
actionnés simultanément, la DC se dégrade et
Bloc logique
l’atteinte d’un PLe devient alors impossible. Certains d’arrêt d’urgence
fabricants annoncent une DC de 60 % (DC faible) lors
du raccordement de deux arrêts d’urgence.
Lorsque le fabricant du bloc logique prévoit la possibilité de raccorder plusieurs organes d’entrées câblés en
série, il doit préciser la valeur correspondante de la DC en fonction du nombre de composants prévus en
entrée.
Au-delà de deux éléments raccordés en série, il est conseillé de considérer une DC inférieure à 60 %, donc
d’indice « nul ».
L’exemple 8.2.34 du document BGIA Report 2/2008e10 stipule également en remarque qu’il n’est pas possible
d’atteindre la catégorie 4 lorsque plusieurs entrées sont connectées en cascade sur un même module.
Par ailleurs, le projet de norme ISO/DIS 1411911 aborde ce problème dans son annexe J (Evaluation d’une
connexion en série masquant les défauts de dispositifs de verrouillage avec contacts libres de potentiel) et
donne, pour le cas de câblage en série de dispositifs de verrouillage de protecteur sur un module de sécurité,
un tableau récapitulatif fixant la règle à appliquer pour déterminer le DC.
10
BGIA Report 2/2008e : Functional safety of machine controls – Application of EN ISO 13849
11
ISO/DIS 14119 : Sécurité des machines - Dispositifs de verrouillage associés à des protecteurs - Principes de conception
et de choix

page 19 sur 58
Extrait 2 : Tableau J.1 de la norme ISO/DIS 14119
6.8 Calcul du MTTFd pour les composants pneumatiques, mécaniques et électromécaniques (Annexe
C de la norme)
Pour chaque canal de l’architecture désignée d’une SRP/CS, la valeur de MTTFd correspondante doit être
calculée, à partir des valeurs de MTTFd des composants simples (unitaires) mis en œuvre. Pour les
composants, pneumatiques, mécaniques et électromécaniques, les fabricants fournissent une caractéristique
« B10d » qui est nécessaire pour calculer le MTTFd de ces composants. En effet, ces derniers mettant en
œuvre des parties sujettes à usure mécanique, il est nécessaire de prendre en compte leurs conditions réelles
d’utilisation pour l’application prévue. La méthode de calcul du MTTFd d’un tel composant est résumée dans la
Figure 7.
hop
nombre moyen d'heures
d'utilisation par jour
nop
dop nombre d'opérations par an
nombre moyen de jours
d'utilisation par an
MTTFd
tcycle
temps moyen entre le B10d
démarrage de 2 cycles
Donnée du fabricant du
successsifs du composant en
composant
secondes par cycle
Figure 7 : Calcul du MTTFd d’un composant simple à partir de son B10d
Note : tcycle doit tenir compte du nombre réel de sollicitations du composant, qui peut être supérieur à la
sollicitation de la fonction de sécurité. C’est le cas lorsqu’un composant est commun à plusieurs fonctions de
fréquences de sollicitations différentes.

page 20 sur 58
7 Combinaison de plusieurs fonctions agissant sur un même actionneur
Lorsque plusieurs fonctions de sécurité ou une (des) fonction(s) de sécurité et une (des) fonction(s)
« standard » doivent intervenir sur un même actionneur pour commander son arrêt, il est nécessaire de réaliser
une logique entre ces fonctions afin que chacune d’elles puisse jouer son rôle indépendamment ou
simultanément en préservant, le cas échéant, la priorité des fonctions de sécurité sur les fonctions
« standard ».
Dans la mise en œuvre pratique, une ou des parties d’une fonction de sécurité ou d’une fonction « standard »
vont être utilisées pour faire transiter les ordres d’arrêt issus d’une ou d’autres fonctions de sécurité vers
l’actionneur. Un exemple est illustré Figure 8.
+
SC/FSa
SRP/CSa1 SRP/CSa2 SRP/CSa3
SRP/CSb1 SRP/CSb2 SRP/CSb3
SC/FSb
Actionneur
Figure 8 : Le signal de SC/FSa vers l’actionneur transite par SRP/CSb3 qui

est un élément de SC/FSb
Dans cet exemple, l’ordre d’arrêt de la fonction de sécurité FSa vers l’actionneur transite par la SRP/CSb3 qui
est une partie constitutive de SC/FSb. La SRP/CSb3 n’a pas de rôle fonctionnel pour la fonction FSa.
Questions :
- La fonction de sécurité FSa pourrait-elle être affectée par une défaillance de SRP/CSb3 ?
- Si oui, quelle est sa conséquence sur l’évaluation du PL de SC/FSa ?
Pour répondre à ces interrogations, il faut procéder à une analyse des modes de défaillance de la SRP/CSb3
afin de vérifier l’influence de ces défaillances par rapport au comportement de la fonction de sécurité FSa.
Etude sur deux exemples de réalisations :
1er cas – SRP/CSb3 est dotée de sorties à contact libres de potentiel
Dans ce cas, la défaillance de SRP/CSb3 n’a aucune influence sur le comportement de SC/FSa qui
reste pleinement opérationnelle.
L’estimation du PL de la fonction FSa s’effectuera en prenant en compte uniquement SRP/Csa1,
SRP/Csa2 et SRP/Csa3.
2ème cas – SRP/CSb3 est dotée de sorties électroniques
La Figure 9 représente le cas d’utilisation de sorties à contacts libres de potentiel pour la fonction FSa
et de sorties électroniques pour FSb. La sortie de FSb (SRP/CSb3) est supposée défaillante en
réinjectant de l’énergie (représentée par un trait de couleur rouge) suffisante pour maintenir alimenté
l’actionneur.

page 21 sur 58
+
SC/FSa
SRP/CSa1 SRP/CSa2 SRP/CSa3
SRP/CSb1 SRP/CSb2 SRP/CSb3

+
SC/FSb
Actionneur
Figure 9 : Exemple de défaillance d’une sortie électronique
Cette défaillance est potentiellement dangereuse pour la fonction FSb, car sa sortie défaillante ne peut
plus ordonner d’arrêt à l’actionneur. De plus, cette défaillance est potentiellement dangereuse pour la
fonction FSa. L’ouverture des contacts de sortie de cette fonction devient inopérante et n’ordonne pas
l’arrêt de l’actionneur.
L’estimation du PL de la fonction FSa doit alors s’effectuer en prenant en compte SRP/Csa1,
SRP/Csa2, SRP/Csa3 et également SRP/CSb3.
Conclusions
Lorsque des éléments matériels (élément d’une autre fonction de sécurité ou élément d’une fonction standard)
sont insérés entre un SC/FS et l’actionneur sur lequel il doit agir (ex. Figure 8), il est nécessaire d’analyser
l’influence de la défaillance de ces éléments sur le SC/FS considéré.
Lorsque la défaillance de ces éléments n’a aucune influence sur le SC/FS considéré (ex : contacts libres de
potentiel), ils ne seront pas pris en compte.
Lorsque la défaillance de ces éléments influe la fonction considérée, il peut être nécessaire de revoir la
conception de la ou des fonctions et/ou de modifier leur emplacement au niveau de l’interconnexion. Si l’on
maintient ces éléments, ils doivent être pris en compte pour l’évaluation du PL du SC/FS considéré.
Avertissement : Aucun élément d’une fonction standard dont la défaillance peut influer sur le SC/FS
considéré ne doit être inséré entre ce SC/FS et son actionneur.
8 Remarques sur l’utilisation du logiciel SISTEMA
Le logiciel SISTEMA permet d’assister le concepteur dans l’application de la norme NF EN ISO 13849-1 en lui
imposant de passer par les phases de conception préconisées par cette norme et en calculant les données de
fiabilité demandées sans avoir à utiliser les formules de calcul.
Il offre la possibilité d’utiliser des bases de données de fiabilité des composants fournies par certains
constructeurs.
Il ne traite pas explicitement des mesures à mettre en œuvre pour la prise en compte des défaillances
systématiques, ce qui nécessite au concepteur de les traiter séparément en appliquant l’annexe G de la norme.
Il ne permet pas de s’affranchir de la connaissance précise de la norme, car les choix de conception restent à
la charge du concepteur. Comment par exemple choisir d’utiliser une catégorie de sécurité et une architecture
désignée, sans en connaître les caractéristiques ?
Par ailleurs, il ne traite pas de la partie logicielle des systèmes de commande relatifs à la sécurité.
Il nécessite une période d’adaptation, car la terminologie du logiciel est différente de celle de la norme NF EN
ISO 13849-1 concernant les SRP/CS qui sont appelés SB, pour « Subsystem » et il introduit la notion

page 22 sur 58
d’éléments (en tant que « sous-partie » d’un bloc) qui n’apparaît explicitement pas dans cette norme. Le
découpage proposé est très proche de celui de la norme NF EN 62061.
L’utilisation du logiciel nécessite les mêmes préparations que lorsque la conception est réalisée sans l’utiliser,
comme par exemples :
- spécification de la fonction de sécurité (appelée « SF »),
- spécification des SRP/CS (appelées « SB »), des composants (appelés « BL » et/ou « EL »)
- réflexion et choix de l’architecture désignée prévue,
- détermination des données de fiabilité des composants (B10d, MTTFd) ou choix d’exclusion de
défaillances – SISTEMA prévoit toutefois d’accéder à certaines bibliothèques de caractéristiques
« constructeur » ou aux valeurs par défaut de la norme,
- spécification des mesures contre les CCF - SISTEMA affiche les mesures de l’annexe F de la
norme et propose un choix parmi elles ou l’adoption d’autres mesures.
- analyse des défaillances possibles pour déterminer les parties à prendre en compte,
- spécifications des fonctions de diagnostics.
Enfin, avec ou sans SISTEMA, il reste à concevoir les schémas de commande des parties fonctionnelles et de
diagnostics en respectant strictement les spécifications établies et les choix de conceptions annoncés.
Le logiciel SISTEMA facilite les itérations de conception et permet de constituer un rapport final et comme tout
outil informatique, permettra alors une traçabilité et une évolutivité des projets. Il constitue donc un outil
appréciable dès lors qu’il est utilisé en complément de la norme, comme support et guide d’application de ses
préconisations, et par du personnel ayant une connaissance de cette norme.
Note : Pour l’exemple de conception d’un SC/FS traité dans ce document, le résultat de PL obtenu avec
SISTEMA est le même que celui obtenu en mettant en œuvre la méthode simplifiée de la norme.

page 23 sur 58
Annexe 1 : Tableaux des préconisations minimales pour un PL donné
Préconisations minimales pour atteindre un PL « a » – Suivant tableau 7 et pour utilisation de la procédure simplifiée
Catégories Cat B Cat 2

autorisées § 6.2.3 § 6.2.5
Dans les tableaux suivants, les
Respect autre Respect exigences de Cat B
références (tableau, §,
catégorie
annexe) citées renvoient à la
norme EN ISO 13849-1 MTTFd 3 ans ≤ MTTFd ≤ 100 ans 3 ans ≤ MTTFd ≤ 100 ans
par canal fonct. (donc MTTFd ≥ « Faible ») (donc MTTFd ≥ « Faible »)
§ 4.5.2
DCavg mini DCavg ≥ 0 DCavg ≥ 60%

§ 4.5.3 et (DCavg ≥ « Nulle ») (donc DCavg ≥ « Faible »)
Annexe E
CCF Sans objet Score ≥ 65
Annexe F
Spécificités Composants aptes à la fonction - Composants et principes de
sécurité éprouvés (§ 6.2.4)
- MTTFd,TE à considérer (§ 4.5.4)
Contrôle des Sans objet Démarrage machine,
fonctions - et périodiquement (automatique
périodicité ou manuel),
et taux de demande ≤ 1/100 du
taux d’essais
Contrôle des Sans objet Si défaut détecté :
fonctions - Conduire à état sûr (arrêt)
réaction ou avertissement de danger
Architecture
désignée
Fautes Annexe G Annexe G

systématiques
Guide de conception d’une SRP/CS - Annexe

page 24 sur 58
Préconisations minimales pour atteindre un PL « b » – Suivant tableau 7 et pour utilisation de la procédure simplifiée
Catégories Cat B Cat 2 Cat 2 Cat 3

autorisées § 6.2.3 § 6.2.5 § 6.2.5 § 6.2.6
Respect autre Respect exigences de Cat B Respect exigences de Cat B Respect exigences de Cat B
catégorie
MTTFd 10 ans ≤ MTTFd ≤ 100 ans 10 ans ≤ MTTFd ≤ 100 ans 3 ans ≤ MTTFd ≤ 100 ans 3 ans ≤ MTTFd ≤ 100 ans
par canal fonct. (donc MTTFd ≥ « Moyen ») (donc MTTFd ≥ « Moyen ») (donc MTTFd ≥ « Faible ») (donc MTTFd ≥ « Faible »)
§ 4.5.2
DCavg mini DCavg ≥ 0 DCavg ≥ 60 % DCavg ≥ 90 % DCavg ≥ 60 %

§ 4.5.3 et (DCavg ≥ « Nulle ») (donc DCavg ≥ « Faible ») (donc DCavg ≥ « Moyenne ») (donc DCavg ≥ « Faible »)
Annexe E
CCF Sans objet Score ≥ 65 Score ≥ 65 Score ≥ 65
Annexe F
Spécificités Composants aptes à la - Composants et principes de - Composants et principes de - Composant et principes de
fonction sécurité éprouvés (§ 6.2.4) sécurité éprouvés (§ 6.2.4) sécurité éprouvés (§ 6.2.4)
- MTTFd,TE à considérer - MTTFd,TE à considérer - Défaut unique = état sûr
(§ 4.5.4) (§ 4.5.4)
Contrôle des Sans objet Démarrage machine, Démarrage machine, Si possible, dès ou avant
fonctions - et périodiquement et périodiquement prochaine sollicitation
périodicité (automatique ou manuel), (automatique ou manuel),
et taux de demande ≤ 1/100 et taux de demande ≤ 1/100
du taux d’essais du taux d’essais
Contrôle des Si défaut détecté : Si défaut détecté : Si défaut détecté :
fonctions - Conduire à état sûr (arrêt) Conduire à état sûr (arrêt) Conduire à état sûr (arrêt)
réaction
ou avertissement de danger ou avertissement de danger
Architecture
désignée
Fautes Annexe G Annexe G Annexe G Annexe G

systématiques

page 25 sur 58
Préconisations minimales pour atteindre un PL « c » – Suivant tableau 7 et pour utilisation de la procédure simplifiée
Catégories Cat 1 Cat 2 Cat 2 Cat 3 Cat 3

autorisées § 6.2.4 § 6.2.5 § 6.2.5 § 6.2.6 § 6.2.6
Respect autre Respect exigences de Respect exigences de Cat B Respect exigences de Cat B Respect exigences de Cat B Respect exigences de Cat B
catégorie Cat B
MTTFd 30 ans ≤ MTTFd ≤ 100 ans 30 ans ≤ MTTFd ≤ 100 ans 10 ans ≤ MTTFd ≤ 100 ans 10 ans ≤ MTTFd ≤ 100 ans 3 ans ≤ MTTFd ≤ 100 ans
par canal d
(donc MTTFd = « Elevé ») (donc MTTFd = « Elevé ») (donc MTTFd ≥ « Moyen ») (donc MTTFd ≥ « Moyen ») (donc MTTF ≥ « Faible »)
fonct.
§ 4.5.2
DCavg mini DCavg ≥ 0 DCavg ≥ 60 % DCavg ≥ 90 % DCavg ≥ 60 % DCavg ≥ 90 %

§ 4.5.3 et (DCavg ≥ « Nulle ») (donc DCavg ≥ « Faible ») (donc DCavg ≥ « Moyenne ») (donc DCavg ≥ « Faible ») (donc DCavg ≥ « Moyenne »)
Annexe E
CCF Sans objet Score ≥ 65 Score ≥ 65 Score ≥ 65 Score ≥ 65
Annexe F
Spécificités Composant et principes de - Composants et principes de - Composants et principes de - Composant et principes de - Composant et principes de
sécurité éprouvés sécurité éprouvés (§ 6.2.4) sécurité éprouvés (§ 6.2.4) sécurité éprouvés (§ 6.2.4) sécurité éprouvés (§ 6.2.4)
- MTTFd,TE à considérer - MTTFd,TE à considérer - Défaut unique = état sûr - Défaut unique = état sûr
(§ 4.5.4) (§ 4.5.4)
Contrôle des Sans objet Démarrage machine, Démarrage machine, Si possible, dès ou avant Si possible, dès ou avant
fonctions - et périodiquement et périodiquement prochaine sollicitation prochaine sollicitation
périodicité (automatique ou manuel), (automatique ou manuel),
et taux de demande ≤ 1/100 et taux de demande ≤ 1/100
du taux d’essais du taux d’essais
Contrôle des Si défaut détecté : Si défaut détecté : Si défaut détecté : Si défaut détecté :
fonctions - Conduire à état sûr (arrêt) Conduire à état sûr (arrêt) Conduire à état sûr (arrêt) Conduire à état sûr (arrêt)
réaction ou avertissement de danger ou avertissement de danger
Architecture
désignée
Fautes Annexe G Annexe G Annexe G Annexe G Annexe G

systématiques

page 26 sur 58
Préconisations minimales pour atteindre un PL « d » – Suivant tableau 7 et pour utilisation de la procédure simplifiée
Catégories Cat 2 Cat 3 Cat 3

autorisées § 6.2.5 § 6.2.6 § 6.2.6
Respect autre Respect exigences de Cat B Respect exigences de Cat B Respect exigences de Cat B
catégorie
MTTFd 30 ans ≤ MTTFd ≤ 100 ans 30 ans ≤ MTTFd ≤ 100 ans 10 ans ≤ MTTFd ≤ 100 ans
par canal fonct. (donc MTTFd = « Elevé ») (donc MTTFd = « Elevé ») (donc MTTFd ≥ « Moyen »)
§ 4.5.2
DCavg mini DCavg ≥ 90% DCavg ≥ 60 % DCavg ≥ 90 %

§ 4.5.3 et (donc DCavg ≥ « Moyenne ») (donc DCavg ≥ « Faible ») (donc DCavg ≥ « Moyenne »)
Annexe E
CCF Score ≥ 65 Score ≥ 65 Score ≥ 65
Annexe F
Spécificités - Composants et principes de - Composant et principes de - Composant et principes de
sécurité éprouvés (§ 6.2.4) sécurité éprouvés (§ 6.2.4) sécurité éprouvés (§ 6.2.4)
- MTTFd,TE à considérer - Défaut unique = état sûr - Défaut unique = état sûr
(§ 4.5.4)
Contrôle des Démarrage machine, Si possible, dès ou avant Si possible, dès ou avant
fonctions - et périodiquement prochaine sollicitation prochaine sollicitation
périodicité (automatique ou manuel),
et taux de demande ≤ 1/100
du taux d’essais
Contrôle des Si défaut détecté : Si défaut détecté : Si défaut détecté :
fonctions - Conduire à état sûr (arrêt) Conduire à état sûr (arrêt) Conduire à état sûr (arrêt)
réaction ou avertissement de danger
Architecture
désignée
Fautes Annexe G Annexe G Annexe G

systématiques

page 27 sur 58
Préconisations minimales pour atteindre un PL « e » – Suivant tableau 7 et pour utilisation de la procédure simplifiée
Catégories Cat 4
autorisées § 6.2.7
Respect autre Respect exigences de Cat B
catégorie
MTTFd 30 ans ≤ MTTFd ≤ 100 ans

par canal fonct. (donc MTTFd = « Elevé »)
§ 4.5.2
DCavg mini DCavg ≥ 99 %

§ 4.5.3 et (donc DCavg = « Elevée »)
Annexe E
CCF Annexe F (CCF ≥ 65)
Annexe F
Spécificités - Composant et principes de
sécurité éprouvés (§ 6.2.4)
- Défaut unique = état sûr
Contrôle des Dès ou avant prochaine
fonctions - sollicitation
périodicité
Contrôle des Défaut détecté :
fonctions - Conduire à état sûr (arrêt)
réaction
Architecture
désignée
Fautes Annexe G
systématiques

page 28 sur 58
Exemple de conception d’un SC/FS de PLr « d » -

Catégorie 3
Cet exemple illustre la conception d’un SC/FS constitué de trois SRP/CS dont une de PL connu (branche
centrale du Graphe 1 : Processus général de conception d’un SC/FS en vue d'atteindre un PL requis.
Toutes les phases de conception ont été abordées et rappelées en faisant ressortir les détails et les
commentaires jugés nécessaires pour assimiler les principes préconisés par la norme et en utilisant les
graphes, tableaux et conseils décrits dans la partie précédente de ce document.
Les deux SRP/CS de PL non connu sont développées en appliquant le paragraphe 6 de ce document. Pour
faciliter la correspondance avec le Graphe 2 : Détail de la conception d’une SRP/CS en vue d'atteindre un PL
requis, des extraits de ce dernier sont rappelés à chaque étape de la conception.
Les itérations successives nécessaires au traitement de l’exemple ne sont pas rappelées dans ce document
qui présente la version finale des phases de conception.
A1. Présentation de la fonction
Une machine comprend un élément mobile de travail dont le mouvement est animé en rotation par un moteur
hydraulique. Le risque est lié au mouvement de rotation (horaire et anti horaire) de l’outil. Un protecteur mobile
a été choisi pour couvrir les accès à l’élément mobile de travail.
La fonction de sécurité consiste à arrêter ce mouvement de rotation lorsque le protecteur mobile est
ouvert.
Dans cet exemple, la détermination du niveau de performance requis (PLr) n’est pas abordé (voir Annexe A de
la norme). Les hypothèses de départ sont : PLr « d » et utilisation de la catégorie « 3 »
Le choix est fait d’utiliser un module de sécurité pour assurer la partie traitement de la fonction de sécurité.
Dans un souci de simplification des exemples, le système d’actionnement du dispositif de verrouillage du
protecteur mobile et le moteur hydraulique n’ont pas été considérés.
Mhyd
EVD
Alimentation
Filtration
Régulation pression
Hydraulique
Figure 10 : Schéma hydraulique de base
Exemple de conception d’un SC/FS de PLr « d » - Catégorie 3

page 29 sur 58
A2. Spécification de la fonction de sécurité
Spécification des exigences fonctionnelles de la fonction de sécurité
N° Nom de la fonction
Arrêt du moteur hydraulique par protecteur
Niveau de performance PL « d »
requis (suite à
l’estimation des risques)
Conditions d’activation Cette fonction est active en permanence

de la fonction
Interface du SC/FS Entrée :

- Actionneur du dispositif de verrouillage du protecteur (ex. came
d’actionnement).
Sortie :
- Les 2 orifices de commande du moteur hydraulique.
Description de la fonction Cette fonction consiste à arrêter et empêcher le mouvement de

rotation si le protecteur est ouvert et, si le protecteur est fermé, à
autoriser le mouvement de rotation par la logique de commande
de la machine.
Priorité par rapport à Cette fonction de sécurité doit être prioritaire sur le mouvement
d’autres fonctions de rotation (horaire et anti horaire) issu de la logique de
simultanées commande de la machine (EVD).
Autres SC/FS agissant Sans objet

sur le même actionneur
Temps de réaction Le temps de réaction maximal compris entre l’information

maximal du SC/FS d’entrée et la sortie ne doit pas dépasser 80 ms.
Taux de demande de la La fréquence d’ouverture du protecteur est estimée à 10 fois par

fonction heure par période de 8 h à raison de 220 j/an.
Réaction aux La réaction en cas de défaut doit conduire à arrêter et empêcher

fautes/Conditions de le mouvement de rotation de l’outil.
redémarrage L’autorisation de redémarrage peut avoir lieu après disparition
du défaut.
Conditions d’ambiance Degré de protection minimal compte tenu de l’environnement

prévisible : IP 65
Tableau 2 : Spécification des exigences fonctionnelles de la fonction de sécurité

page 30 sur 58
A3. Structure logique de base
A partir de la spécification des exigences fonctionnelles de la fonction « Arrêt du moteur hydraulique par
protecteur » Tableau 2, le concepteur prévoit une structure logique représentée Figure 11, en s’appuyant sur
sa culture en conception de machines identiques et sur sa connaissance des composants couramment utilisés
dans ce domaine. Cette tâche peut s'effectuer sans a priori sur le matériel envisagé, mais souvent, le
concepteur a déjà, par expérience, une idée sur le type de matériel qu’il compte utiliser. Par exemple, dans le
cas de cette fonction d’arrêt, l’état de l’art est d’utiliser au moins un module de sécurité du commerce pour
faciliter la phase de conception et de mise en œuvre.
Pour cette fonction, le concepteur prévoit :
- Une partie « entrée » qui sera constituée d’un dispositif de verrouillage composé d’interrupteur(s)
de position.
- Une partie « traitement », qui sera constituée d’un « module de sécurité ». Ce type de composant
permettra de réaliser l’interface entre le dispositif de verrouillage d’entrée et la partie hydraulique
de sortie. L’offre du marché étant large en matière de modules de sécurité, il est souvent
intéressant de choisir cette option pour s’affranchir du développement d’une SRP/CS. Ce type de
composant facilitera la tâche du concepteur pour effectuer les éventuels diagnostics et/ou
redondances à réaliser.
- Une partie « sortie », de technologie forcément hydraulique pour servir d’interface avec le moteur
hydraulique, qui sera constituée de distributeur(s) hydraulique(s) à commande électrique pour être
compatible avec la logique de commande de la machine. Cette partie sera utilisée pour assurer la
priorité du SC/FS par rapport à la logique standard de commande du moteur constituée par EVD.
En intercalant physiquement cette partie entre la partie standard et le moteur hydraulique, on est
assuré que le SC/FS assurera toujours sa fonction quels que soient les ordres induits ou les
défaillances de la partie standard (EVD).
Partie standard
Logique hydraulique de
Moyen
commande du moteur
d’activation :
Protecteur EVD
Sortie
Entrée Traitement Logique hydraulique et priorité
Dispositif de verrouillage Logique électrique d’interface par rapport aux ordres
standards
Actionneur :
moteur
hydraulique
Figure 11 : Structure logique de base pour le SC/FS

page 31 sur 58
A4. Définition des SRP/CS nécessaires pour la réalisation du SC/FS « arrêt du moteur
hydraulique par protecteur »
Compte tenu de la structure logique envisagée pour le SC/FS dans le § A3, le concepteur applique la
branche centrale du Graphe 1 : Processus général de conception d’un SC/FS en vue d'atteindre un PL
requis, qui consiste à réaliser le SC/FS en associant une partie logique de PL connu, ici un module de
sécurité du commerce pour la partie « traitement », avec des parties de sa propre conception pour l’entrée
et la sortie. Il envisagera donc de travailler sur la base d'une SRP/CS pour chaque entité de la structure
logique de base du SC/FS.
Le choix de conception pour ce SC/FS est représenté Figure 12
Partie standard
Moyen Logique hydraulique de
d’activation : commande du moteur
Protecteur
EVD
Sortie « O »
Entrée « I » Traitement « L »
SRP/CSc
SRP/CSa SRP/CSb Logique hydraulique et priorité
Dispositif de verrouillage Logique électrique d’interface par rapport aux ordres
standards
Actionneur :
moteur
hydraulique
Figure 12 : Choix de conception pour le SC/FS
Note : Compte tenu du fait que le SC/FS compte 3 SRP/CS, chaque SRP/CS devra atteindre un PL supérieur
ou égal au PLd requis pour le SC/FS (cf. Avertissement 2).

page 32 sur 58
A5. Conception des SRP/CS
A5.1 Conception de la SRP/CSa
Extrait du Graphe 2 : Détail de la conception d’une SRP/CS en vue d'atteindre un PL requis
La SRP/CSa doit être conçue pour atteindre au moins un PL « d » en respectant les critères correspondants,
synthétisés dans le Tableau 3 (extrait de l’annexe 1 de ce document). Le concepteur choisit de débuter son
processus en retenant la catégorie 3.
Tableau 3 : Préconisations minimales pour atteindre un PL « d »

page 33 sur 58
La spécification de la SRP/CSa est déduite de celle de la SC/FS (Tableau 2).
Spécification de la SRP/CS Entrée
Nom : SRP/CSa
Conditions d’activation Active en permanence
Interface Entrée :
- Actionneur du dispositif de verrouillage du protecteur (ex. came
d’actionnement).
Sortie :
- 2 signaux électriques, chacun représentatif de l’état du
protecteur fermé ou non fermé, fournis aux bornes du dispositif
de verrouillage.
Moyens Entre SPR/CSa et SPR/CSb : câbles électriques soumis aux

d’interconnexion (iab) contraintes environnementales extérieures au coffret électrique.
Description Cette SRP/CS est conçue en deux canaux compte tenu du fait
que la catégorie 3 est visée. Chaque canal génère en sortie un
état logique « 0 » lorsque le protecteur est non fermé, et un état
logique « 1 » lorsque le protecteur est fermé.
Priorités Sans objet
Temps de réaction La somme des temps des SPR/CS ne doit pas dépasser le
maximal temps de réaction maximal spécifié pour le SC/FS (80 ms).
Taux de demande La fréquence d’ouverture du protecteur est estimée à 10 fois par

heure par période de 8 h à raison de 220 j/an.
Conditions d’ambiance Degré de protection minimal IP 65
Tableau 4 : Spécification de la SRP/CSa
L’architecture retenue comme base de conception est celle de la figure 11 de la norme (voir Extrait 3)
Extrait 3 : Figure 11 de la norme NF EN ISO 13849-1

page 34 sur 58
Mise en œuvre de l’architecture retenue.
Canal 1 Bloc diagramme 1

« Entrée »
Diagnostic des
défaillances par
surveillance croisée
Canal 2
Bloc diagramme 2
« Entrée »
Figure 13 : Découpage de la SRP/CSa en blocs diagramme
Chaque bloc assure unitairement l’intégralité de la fonction de chacun des canaux décrits dans la spécification
de la SRP/CSa. Il n’y a donc pas lieu de re-spécifier à nouveau chacun des blocs, il suffit de reprendre les
éléments de la spécification de la SRP/CSa.
Choix du matériel pour le bloc diagramme 1

Le choix suivant est effectué (voir Figure 14) :
Interrupteur de position électromécanique « S1 » à galet avec
1 contact de type « O » à action directe d’ouverture (conforme à
l’EN60947-5-1). S1
Il sera actionné suivant le mode positif et monté suivant les
préconisations de son fabricant.
Pour le composant choisi, le temps de réponse est nul. Figure 14 : Interrupteur S1

(représentation protecteur fermé)
Choix du matériel pour le bloc diagramme 2

Interrupteur de position électromécanique « S2 » à galet avec
1 contact de type « F ». S2
Il sera monté suivant les préconisations de son fabricant.

Figure 15 : Interrupteur S2
Pour le composant choisi, le temps de réponse est nul. (représentation protecteur fermé)

page 35 sur 58
Conception du canal fonctionnel suivant l’architecture désignée de catégorie 3 retenue pour la SRP/CS
Les canaux 1 et 2 sont respectivement constitués de « S1 » et « S2 ».
Défaillances systématiques (Voir annexe A de ce document)
Mesures prévues contre les CCF et notation (voir Tableau 5)
Tableau 5 : Notation des mesures contre les CCF pour la SRP/CSa

1 Séparation/Isolement
Séparation physique entre les voies de signaux – Score atteint 15
Séparation par mise en œuvre d’un câble propre à chacun des interrupteurs de position x
2 Diversité
Différents principes de conception/technologies ou physiques sont utilisés – Score atteint 20
Principe d’actionnement différent pour les interrupteurs x
Protection contre surtension, surpression, surintensité, etc. – Score atteint 15
3.1
Défaut des entrées pris en compte par le module x
Utilisation de composants éprouvés – Score non atteint 0
3.2
Pas de mise en œuvre de composant éprouvé N
4 Appréciation /analyse
Analyse et prise en compte des modes de défaillance et de leurs effets pour prévenir les CCF à la
5
conception – Score atteint

page 36 sur 58

Pour les interrupteurs : cause commune mécanique inexistante (principes d’actionnement différents
x
par des cames inverses) – composants séparés
5 Compétence/formation
Score atteint 5
6 Environnement
Prévention de la contamination et de la CEM contre les CCF – Score atteint 25
6.1
Electromécanique non sensible à CEM x
Autres influences – Score atteint 10
6.2 Exigences environnementales prise en compte dans les choix des interrupteurs (vibrations, humidité,
x
température, choc) suivant les contraintes de l’application
Score total 95
Le score total est ≥ 65 : Les mesures mises en œuvre satisfont les exigences
Analyse des modes de défaillance de chacun des canaux et de leurs conséquences
Composant Type de défaillance retenu Conséquence Conclusion sur la potentialité du

danger résultant (pour la SRP/CS)
mouvement dangereux : D
mouvement non dangereux : ND
Interrupteur Soudure du contact de type Contact ne
D
S1 «O» s’ouvre pas
Rupture du contact de type Contact ouvert
ND
«O»
Système d’actionnement Contact ouvert
ND
bloqué « actionné »
Système d’actionnement Contact ne
bloqué « non actionné » ou s’ouvre pas D
rupture
Interrupteur Soudure du contact de type Contact ne
D
S2 «F» s’ouvre pas
Rupture du contact de type Contact ouvert
ND
«F»
Système d’actionnement Contact ne
D
bloqué « actionné » s’ouvre pas
Système d’actionnement Contact ouvert
bloqué « non actionné » ou ND
rupture
Tableau 6 : Analyse des modes de défaillance des composants de la SRP/CSa

page 37 sur 58
Spécification des diagnostics et détermination du DC
Composant DC de chaque composant

Diagnostic prévu (en se basant sur l'annexe
et rappel des défauts (d’après annexe E de la
E de la norme)
potentiellement dangereux norme)
Interrupteur « S1 » ou « S2 » Entrée - Surveillance croisée des entrées

Défaillance prise en compte : 99 % (voir note)
sans test dynamique
Contact ne s’ouvre pas
Note : Valeur retenue compte tenu que tous les défauts potentiellement dangereux sont détectés et que la
fréquence de diagnostic est jugée importante (essais effectués systématiquement à chaque ouverture du
protecteur, soit 10 fois par heure par période de 8 h à raison de 220 j/an)
Tableau 7 : Mesures mises en œuvre pour les diagnostics et estimation de la DC
Composant Spécification et taux d’essais
La surveillance croisée des 2 interrupteurs est effectuée

Interrupteur « S1 » et « S2 » systématiquement à chaque ouverture du protecteur, par la
SRP/CSb (module).
Tableau 8 : Spécification de la fonction de diagnostic de la SRP/CSa
Détermination du MTTFd des composants uniques

Le calcul du MTTFd de chaque composant est effectué en appliquant la formule de la Figure 7 page 19
Rappel : La fréquence d’ouverture du protecteur est estimée à 10 fois par heure par période de 8 h à raison de
220 j/an - fréquence de sollicitation = 10 fois par heure (3 600sec), d’où tcycle = 3 600/10 = 360 s
MTTFd par
B10d par
MTTFd MTTFd défaut
hop nop t cycle B10d défaut
Composant dop calculé constructeur (annexe C de
(h) calculé (s) constructeur (annexe C de
(ans) (ans) la norme)
la norme)
(ans)
S1 8 220 17600 360 50 000 000 / 28409
S2 8 220 17600 360 50 000 000 / 28409
Tableau 9 : Détermination du MTTFd de chaque composant de la SRP/CSa

page 38 sur 58
Application de la « méthode bloc »
Dans le cas présent (Figure 16), chaque canal est constitué d’un composant unique
Canal fonctionnel 1
S1
Canal fonctionnel 2
S2
Figure 16 : Schéma identifiant les parties relatives à la sécurité de la SRP/CSa
Pour chaque canal : le calcul donne MTTFd = 28409 ans, limité à 100 ans (Note 1 tableau 5 de la norme).
Pour la SRP/CSa, les deux canaux étant symétriques, le MTTFd par canal est égal à 100 ans.
MTTFd élevé qui répond au PLd requis.
Les DC de S1 et S2 sont de 99 %, les MTTFd de S1 et S2 sont de 100 ans, donc le calcul donne :
DCavg = = 99 % soit DCavg élevée qui répond au PLd requis.

page 39 sur 58
Tableau récapitulatif SRP/CSa
Données Exigences requises Résultats obtenus
Respect exigences de Cat B OK
30 ans ≤ MTTFd ≤ 100 ans 10 ans ≤ MTTFd ≤ 100 ans MTTFd canal = 100 ans
(donc MTTFd = « Elevé ») (donc MTTFd ≥ « moyen ») MTTFd Elevé
DCavg ≥ 60 % DCavg ≥ 90 % DCavg = 99 %

(donc DCavg ≥ « Faible ») (donc DCavg ≥ « Moyenne ») DCavg Elevée
CCF : score ≥ 65 Score = 95
Composant et principes de sécurité éprouvés OK

Exigences pour un Défaut unique = état sûr OK
PLd avec usage de
la catégorie 3
Essais : à chaque
Essais : si possible, dès ou avant prochaine sollicitation
sollicitation
Si défaut détecté :
Si défaut détecté : conduire à état sûr (arrêt)
Etat sûr = arrêt
Catégorie 3
Prise en compte
des fautes Annexe G OK
systématiques
Logiciel § 4.6 et annexe J Sans objet
Conclusion : PL « d » obtenu ? OUI
Tableau 10 : Récapitulatif des résultats obtenus pour la SRP/CSa
Note : Compte tenu de l’ensemble des résultats obtenus, la SRP/CSa satisfait les préconisations minimales
requises pour revendiquer un PL « e ». Cette revendication d’un PL supérieur à celui nécessaire pour
satisfaire le PLr du SC/FS peut être utile dans le cas de combinaison de SRP/CS (voir tableau 11 de la
norme).

page 40 sur 58
A5.2 Conception de la SRP/CSb

Pour la SRP/CSb, un module de sécurité apte à atteindre un PL « e » sera mis en œuvre, car c’est le niveau de
performance le plus couramment disponible sur le marché pour ce type de composant (les modules de
PL « d » sont rares). L’étude consistera à intégrer ce module pour assurer que le PL « e » est atteint pour cette
SRP/CS.
Spécification de la SRP/CS Traitement
Nom : SRP/CSb
Interface Entrée :
- 2 signaux électriques de sortie de la SRP/CSa
Sortie :
- 2 signaux électriques
Moyens Entre SPR/CSa et SPR/CSb : traité dans la SPR/CSa.

d’interconnexion (iab,ibc) Entre SPR/CSb et SPR/CSc : traité dans la SPR/CSc.
Description Cette partie consiste à traiter la redondance du dispositif de

verrouillage.
Chaque signal de sortie est à l’état logique « 0 » lorsque l’une
des deux entrées est à l’état « 0 » et à l’état logique « 1 »
lorsque les deux entrées sont à l’état « 1 ».
Priorités Sans objet
Taux de demande Le module commute à chaque sollicitation du protecteur.

La fréquence de commutation du module est estimée à 10 fois
par heure par période de 8 h à raison de 220 j/an.
Tableau 11 : Spécification de la SRP/CSb

page 41 sur 58
Le choix se porte sur un module du commerce revendiquant un niveau de performance « jusqu’à PLe », dont la
description du fonctionnement répond aux spécifications fonctionnelles exprimées dans le Tableau 11.
Pour que la SRP/CSb, et donc le module, atteigne effectivement un PLe, les prescriptions du constructeur
rappelées dans les Figure 17 et Figure 18 sont respectées.
Déf systématiques
Figure 17 : Extrait de la notice constructeur du module de sécurité

page 42 sur 58
Le schéma de raccordement recommandé, prenant en compte les éventuels courts-circuits des entrées
(exigence de comportement en présence de défaut exprimée au niveau de la SRP/CSa) et retenu pour
respecter un PLe est le suivant :
Type de raccordement
retenu pour l’entrée dans la
notice du fabricant
Type de raccordement
retenu pour le réarmement
dans la notice du fabricant
Figure 18 : Extrait de la notice constructeur du module de sécurité

La prévention et la maîtrise des défaillances systématiques est obtenue par le respect de la notice de mise en
œuvre du module de sécurité et notamment par :
- la mise en place de fusibles correctement calibrés sur l’alimentation des contacts de sorties,
- le respect de la charge admissible sur les contacts de sortie (pouvoir de coupure),
- le respect de la longueur et de la nature des câbles d’acquisition des signaux d’entrée du module,
- le positionnement du module dans un coffret électrique d’IP > 65.

page 43 sur 58
A5.3 Conception de la SRP/CSc
La SRP/CSc doit être conçue pour atteindre au moins un PL « d » en respectant les critères correspondants,
synthétisés dans le Tableau 12 extrait de l’annexe 1 de ce document. La catégorie 3 est retenue.
Tableau 12 : Préconisations minimales pour atteindre un PL « d »

page 44 sur 58
Spécification de la SRP/CS Sortie
Nom : SRP/CSc
Interface Entrée :
- 2 signaux électriques de sortie de la SRP/CSb
Sortie :
- orifices de commande du moteur hydraulique.
Moyens Entre SRP/CSb et SRP/CSc : câbles électriques soumis aux

d’interconnexion (ibc) contraintes environnementales extérieures au coffret électrique.
Description Cette partie consiste à arrêter et empêcher l’alimentation en

fluide hydraulique du moteur si l’une des entrées est à l’état
« 0 » et à autoriser l’alimentation en fluide hydraulique du
moteur si les deux entrées sont à l’état « 1 ».
Priorités Par rapport aux ordres hydrauliques de commande standards.
Taux de demande Les composants mis en œuvre commutent à chaque sollicitation

du protecteur.
La fréquence de commutation des composants est estimée à 10
fois par heure par période de 8 h à raison de 220 j/an.
Tableau 13 : Spécification de la SRP/CSc
L’architecture retenue comme base de conception est fixée par la norme (cf. figure 11), voir Extrait 4.
Extrait 4 : Figure 11 de la norme NF EN ISO 13849-1

page 45 sur 58
Mise en œuvre de l’architecture retenue.
Canal 1
Bloc diagramme 3
« Sortie »
Diagnostic des Moyens de liaison aux orifices

défaillances de commande du moteur
(tuyauterie, raccords,…)
Canal 2
Bloc diagramme 4
« Sortie »
Figure 19 : Découpage de la SRP/CSc en blocs diagramme
Chaque bloc assure unitairement l’intégralité de la fonction de chacun des canaux décrits dans la spécification
de la SRP/CSc. Il n’y a donc pas lieu de spécifier à nouveau chacun des blocs, il suffit de reprendre les
éléments de la spécification de la SRP/CSc.
Choix du matériel identique pour les blocs diagramme 3 et 4

M
Deux distributeurs hydrauliques 4/2 (4 orifices/2 positions).
Figure 20 : Distributeur
Lorsque leurs bobines sont alimentées électriquement, ils commutent hydraulique 4/2
l’alimentation hydraulique depuis EVD vers le moteur.
Lorsque leurs bobines ne sont plus alimentées, ils arrêtent les mouvements de rotation du moteur quelle que
soit la position du distributeur de commande directionnel du moteur hydraulique EVD et ils dérivent
l’alimentation hydraulique vers le réservoir.
Pour les composants choisis, le temps de réponse est 30 ms.

page 46 sur 58
Conception du canal fonctionnel suivant l’architecture désignée de catégorie 3 retenue pour la SRP/CS
Les canaux 1 et 2 sont respectivement constitués de « EVS1 » et « EVS2 ».
Mhyd
EVS1
EVS2
EVD
Alimentation, filtration,
régulation pression
hydraulique
Figure 21 : Schéma hydraulique envisagé
Les éléments pris en compte doivent inclure également les moyens de liaison aux orifices de commande du
moteur (tuyauterie, raccords,…).

page 47 sur 58
Mesures prévues contre les CCF et notation (voir Tableau 14)
Tableau 14 : Notation des mesures contre les CCF pour la SRP/CSc

1 Séparation/Isolement
Séparation physique entre les voies de signaux – Score atteint 15
Séparation par mise en œuvre d’un câble d’alimentation propre à chacun des distributeurs
x
hydrauliques
2 Diversité
Différents principes de conception/technologies ou physiques sont utilisés – Score non atteint 0
/ N
Protection contre surtension, surpression, surintensité, etc. – Score atteint 15
3.1 Protection électrique (surintensité) assurée au niveau de l’alimentation des sorties du module
(SRP/CSb) x
Protection hydraulique (surpression) assurée au niveau de l’alimentation hydraulique
Utilisation de composants éprouvés – Score atteint 5
3.2
Utilisation de composants hydrauliques conçus selon des principes de sécurités éprouvés x
4 Appréciation/analyse
Analyse et prise en compte des modes de défaillance et de leurs effets pour prévenir les CCF à la
5
conception – Score atteint
La principale possibilité de CCF des distributeurs hydrauliques est liée à la qualité du fluide
hydraulique. Elle est prise en compte par une prévention de la contamination du fluide hydraulique x
(voir 6.1)
5 Compétence/formation
Score atteint 5
6 Environnement
Prévention de la contamination et de la CEM contre les CCF – Score atteint 25
6.1 Commande électromécanique, des distributeurs hydrauliques, non sensible à CEM
x
Alimentation hydraulique filtrée au niveau du médium sous pression
Autres influences – Score atteint 10
6.2 Exigences environnementales prise en compte dans les choix des distributeurs hydrauliques
x
(vibrations, humidité, température, choc) suivant les contraintes de l’application.
Score total 80
Le score total est ≥ 65 : Les mesures mises en œuvre satisfont les exigences

page 48 sur 58
Analyse des modes de défaillance de chacun des canaux et de leurs conséquences :
Conclusion sur la potentialité du

Type de défaillance danger résultant (pour la SRP/CS)
Composant Conséquence
retenu mouvement dangereux : D
mouvement non dangereux : ND
Blocage mécanique, Distributeur reste

D
Distributeur rupture ressort actionné
hydraulique EVS1 Blocage mécanique Distributeur au
ND
ou coupure bobine repos
Blocage mécanique, Distributeur reste

D
Distributeur rupture ressort actionné
hydraulique EVS2 Blocage mécanique Distributeur au
ND
ou coupure bobine repos
Tableau 15 : Analyse des modes de défaillance des composants de la SRP/CSc
Spécification des diagnostics et détermination du DC :
Composant DC de chaque composant

Diagnostic prévu (en se basant sur annexe
et rappel des défauts (d’après annexe E de la
E de la norme)
potentiellement dangereux norme)
Distributeur hydraulique EVS1 Dispositif de sortie - Surveillance directe

ou EVS2
de la position électrique des distributeurs de 99 %
Défaillance prise en compte :
commande
Distributeur reste actionné
Tableau 16 : Mesures mises en œuvre pour les diagnostics et estimation de la DC
Composant Spécification et taux d’essais
La surveillance directe de la position électrique des distributeurs de

Distributeur hydraulique EVS1 ou commande est effectuée systématiquement à chaque sollicitation des
EVS2 distributeurs hydrauliques et donc à chaque ouverture du protecteur, par
la SRP/CSb (module).
Tableau 17 : Spécification de la fonction de diagnostic de la SRP/CSc

page 49 sur 58
Détermination du MTTFd des composants uniques

Dans le cas présent, en l’absence de données « constructeur », le MTTFd pour chaque composant est
déterminé d’après les valeurs typiques du tableau C.1 de la norme soit 150 ans pour EVS1 et EVS2.
Application de la « méthode bloc »
Dans le cas présent (Figure 22), chaque canal est constitué d’un composant unique
Canal fonctionnel 1
EVS1
Canal fonctionnel 2
EVS2
Figure 22 : Schéma identifiant les parties relatives à la sécurité de la SRP/CSc
Pour chaque canal : MTTFd = 150 ans, limité à 100 ans (Note 1 tableau 5 de la norme)
Pour la SRP/CSc, les deux canaux étant symétriques le MTTFd par canal est égal à 100 ans.
MTTFd élevé qui répond au PLd requis.

page 50 sur 58
Les DC de EVS1 et EVS2 sont de 99 %, les MTTFd de EVS1 et EVS2 sont de 100 ans, donc le calcul donne :
DCavg = = 99 % soit DCavg élevée qui répond au PLd requis.

page 51 sur 58
Tableau récapitulatif SRP/CSc
Données Exigences requises Résultats obtenus
Respect exigences de Cat B OK
30 ans ≤ MTTFd ≤ 100 ans 10 ans ≤ MTTFd ≤ 100 ans MTTFd canal = 100 ans
(donc MTTFd = « Elevé ») (donc MTTFd ≥ « Moyen ») MTTFd Elevé
DCavg ≥ 60 % DCavg ≥ 90 % DCavg = 99 %

(donc DCavg ≥ « Faible ») (donc DCavg ≥ « Moyenne ») DCavg Elevée
CCF : score ≥ 65 Score = 80
Composant et principes de sécurité éprouvés OK

Exigences pour un Défaut unique = état sûr OK
PLd avec usage de
la catégorie 3
Essais : à chaque
Essais : Si possible, dès ou avant prochaine sollicitation
sollicitation
Si défaut détecté :
Si défaut détecté : Conduire à état sûr (arrêt)
Etat sûr = arrêt
Catégorie 3
Prise en compte
des fautes Annexe G OK
systématiques
Logiciel § 4.6 et annexe J Sans objet
Conclusion : PL « d » obtenu ? OUI
Tableau 18 : Récapitulatif des résultats obtenus pour la SRP/CSc
Note : Compte tenu de l’ensemble des résultats obtenus, la SRP/CSc satisfait les préconisations minimales
requises pour revendiquer un PL « e ». Cette revendication d’un PL supérieur à celui nécessaire pour
satisfaire le PLr du SC/FS peut être utile dans le cas de combinaison de SRP/CS (voir tableau 11 de la
norme).

page 52 sur 58
A6. Résultats finaux pour le SC/FS
A6.1 Détermination du PL du SC/FS

Le PL de chacune des SRP/CS ayant été déterminé dans les paragraphes A5.1, A5.2 et A5.3, le PL global du
SC/FS est déterminé en utilisant le tableau 11 de la norme.
Pour le SC/FS considéré, la combinaison des SRP/CS est représentée Figure 23
SRP/CSa SRP/CSb SRP/CSc

PL d PL e PL d
Figure 23 : Combinaison des SRP/CS pour atteindre le PL global
Le PLlow parmi les SRP/CS est PL d, ce qui concerne 2 SRP/CS.
Figure 24 : Exploitation du tableau 11 de la norme NF EN ISO 13849-1
D’après le tableau 11 de la norme, le PL du SC/FS est : PL d
A6.2 Temps de réaction du SC/FS

Le temps de réaction est déterminé en prenant en compte le temps de réponse des différentes SRP/CS
constituant le SC/FS.
SRP/Csa SRP/CSb SRP/CSc SC/FS

Temps de réponse
0 30 ms 30 ms 60 ms
Tableau 19 : Temps de réaction du SC/FS
Le temps de réaction de 60 ms est acceptable car il est inférieur à 80 ms, temps de réaction spécifié pour le
SC/FS dans le Tableau 2.

page 53 sur 58
A6.3 Schéma final du SC/FS
Mhyd
M1
B1 13 23 S11 S12
S31 EVS1
S13
SRP/CSc M2
S1
S32 M1
EVS2
Module de sécurité
S21 PLe
M2
S2 EVD
S14
S22
SRP/CSb
SRP/CSa B2 14 24
Alimentation, filtration,
EVS1 EVS2 régulation pression
hydraulique
-
Figure 25 : Schéma final du SC/FS

page 54 sur 58
Annexe A - Défaillances systématiques de toutes les SRP/CS du SC/FS

« Arrêt du moteur hydraulique par protecteur »
Le Tableau 20 décrit les mesures mises en œuvre pour couvrir les défaillances systématiques propres à cet
exemple de SRP/CS. Toutes les exigences de la norme NF EN ISO 13849-1 sont rappelées dans l’encadré de
couleur. Certains principes de sécurité listés dans l’ISO 13849-2 ainsi que la référence aux tableaux des
annexes applicables à cet exemple sont rappelés.
Les mesures mises en œuvre sont notées en vert.
Les défaillances systématiques sont prises en compte comme décrit ci-après, en considérant chaque SRP/CS
(« a », « b », « c »).
Tableau 20 : Prise en compte des défaillances systématiques
N° Défaillances systématiques (annexe G – Informative - de la norme)
SRP/CSa « a » – SRP/CSb « b »– SRP/CSc « c » => a b c
G.1 Généralités
L'ISO 13849-2 fournit une liste complète de mesures qu'il convient d'appliquer contre les défaillances
systématiques telles que les principes de sécurité de base et les principes de sécurité éprouvés.
G.2 Exigences pour la maîtrise des défaillances systématiques
Il convient d’appliquer les mesures suivantes
- Utilisation de la désactivation énergétique (voir l'ISO 13849-2)
Il convient de concevoir les parties des systèmes de commande relatives à la x x x
sécurité (SRP/CS) de sorte qu’il soit possible d’atteindre ou de maintenir un état sûr
de la machine en cas de perte de puissance du système.
Ex. « Principes de sécurité de base » électriques (cf. Tableau D.1 de l’ISO 13849-2) et
hydrauliques (cf. Tableau C.1 de l’ISO 13849-2)
L’ouverture du protecteur provoque l’ouverture des contacts des
G2.1
interrupteurs de position S1 et S2 qui se traduit par l’ouverture des
x x /
contacts (de type F) du module de sécurité qui désexcite les bobines
Utilisation du EVS1 et EVS2
principe de
désactivation Les distributeurs hydrauliques EVS1 et EVS2 sont à rappel par ressort.
énergétique Leur désexcitation provoque une coupure ou mise à la bâche du fluide.
Une perte de puissance de l’alimentation hydraulique (sous-pression) / / x
n’est pas dangereuse. Une coupure de pression mène à un état sûr
(arrêt du mouvement dangereux)
- Mesures visant à maîtriser les effets des coupures de tension, variations de tension,
surtensions, sous-tensions
Il convient de prédéterminer le comportement des SRP/CS en cas de coupure de x x x
G2.2 tension, de variations de tension, de surtension et de sous-tension de sorte que les
SRP/CS puissent réaliser ou maintenir un état sûr de la machine (voir également la
CEI 60204-1 et la CEI 61508-7:2000, A.8).
Ex. « Principes de sécurité de base » électriques (cf. Tableau D.1 de l’ISO 13849-2)
Exemple de conception d’un SC/FS de PLr « d » - Catégorie 3 – Annexe A

page 55 sur 58
Utilisation du
Les variations de tension sont contrôlées par le module de sécurité et
principe de la
conduisent à une ouverture des sorties de sécurité en cas de x x x
désactivation
dépassement des limites
énergétique
Protection
En cas de rétablissement de l’alimentation, la fermeture des sorties de
contre un
sécurité du module impose la fermeture préalable du protecteur. Donc x x x
redémarrage
pas de risque
intempestif
- Mesures visant à maîtriser ou à éviter les effets de l'environnement physique (par
exemple la température, l'humidité, l'eau, les vibrations, les poussières, les
substances corrosives, les interférences électromagnétiques et leurs effets)
Il convient de prédéterminer le comportement des SRP/CS en réponse aux effets x x x
de l'environnement physique de sorte que les SRP/CS puissent réaliser ou maintenir
un état sûr de la machine (voir également, par exemple, la CEI 60529, la CEI 60204-
1).
Ex. « Principes de sécurité de base » électriques (cf. Tableau D.1 de l’ISO 13849-2) et
hydrauliques (cf. Tableau C.1 de l’ISO 13849-2)
Matériels électromécaniques utilisés non sensibles
G2.3 Pour les x / x
à ces rayonnements
interférences
électromagnétiques Module de sécurité – respect des exigences par
et leurs effets son fabricant et par le respect de la notice pour sa / x /
mise en œuvre.
Résistance aux
contraintes de IP 65 pour l’interrupteur de position et le
l’environnement Pour l'humidité, distributeur hydraulique. x / x
l'eau, les Matériel prévu pour un usage industriel
poussières
Le module de sécurité IP 40 est placé dans un
/ x /
coffret électrique qui respecte un IP 65
Vibrations et chocs Non significatifs pour cette machine / / /
- Une surveillance de la séquence de programme doit être utilisée pour les SRP/CS
contenant un logiciel pour détecter une séquence de programme défectueuse.
Une séquence de programme défectueuse existe si les éléments individuels d'un / / /
G2.4 programme (par exemple : modules logiciels, sous-programmes ou ordres) sont
traités selon une séquence erronée ou pendant un laps de temps incorrect ou si
l'horloge du processeur est défaillante (voir la CEI 61508-7:2001, A.9)
Sans objet : aucune SRP/CS ne comporte de logiciel / / /
- Mesures visant à maîtriser les effets des erreurs et d'autres effets résultant de tout
processus de communication de données (voir la CEI 61508-2:2000, 7.4.8) / / /
G2.5
Sans objet : Toutes les informations des SRP/CS sont traitées en logique câblée. / / /
En outre, il convient d’appliquer une ou plusieurs des mesures suivantes en tenant compte de la
complexité de la SRP/CS et de son PL
G2.6.1 - détection de défaillance par surveillance en ligne / / x

page 56 sur 58
Détection de défaillance des distributeurs hydrauliques EVS1 et EVS2 par monitoring M1 et

/ / x
M2
- essais de matériel redondant x x x
Contrôle de discordance des entrées S1 et S2 (SRP/CSa) via le module (SRP/CSb)

G2.6.2
Contrôle interne des deux voies du module (SRP/CSb)
x x x
Contrôle de l’état des distributeurs hydrauliques EVS1 et EVS2 (SRP/CSc) via le module
(SRP/CSb)
- diversité du matériel / / /
G2.6.3
Mesure non mise en œuvre
- fonctionnement en mode positif x / /

G2.6.4
Interrupteur S1 actionné suivant le mode positif x / /
- contacts liés à action mécanique / / /
G2.6.5
- action d'ouverture directe x / /

G2.6.6
Contact de l’interrupteur S1 à action directe d’ouverture x / /
- mode de défaillance orienté / / /
G2.6.7
- surdimensionnement par un coefficient adapté, lorsque le fabricant peut démontrer

que le déclassement améliorera la fiabilité — lorsque le surdimensionnement est / / /
G2.6.8 adapté, il convient d’utiliser un coefficient de surdimensionnement d’au moins 1,5.
G2.7 (Voir aussi l’ISO 13849-2:2003, D.3) x x x

G.3 Exigences de prévention des défaillances systématiques
Il convient d’appliquer les mesures suivantes
- Utilisation de matériaux appropriés et de fabrication adéquate
Sélection du matériau, des méthodes de fabrication et du traitement en tenant
compte par exemple des contraintes, de la durabilité, de l'élasticité, des frottements, x / x
G3.1 de l'usure, de la corrosion, de la température, de la conductivité et de la rigidité
diélectrique.
Matériel électromécanique (composants et conducteurs) et hydraulique adapté à un usage
x / x
industriel et à l’usage prévu pour cette application.
- Dimensionnement et forme appropriés
G3.2 Tenir compte par exemple des contraintes, de la déformation, de la fatigue, de la x / /
température, de l'état de surface, des tolérances et de la fabrication.

page 57 sur 58
Caractéristiques du système d’actionnement des interrupteurs adaptées aux mouvements

x / /
du protecteur (angle d’attaque des galets des interrupteurs, alignement,…)
- Sélection, combinaison, dispositions, assemblage et installation corrects des
composants, y compris le câblage, les branchements et toutes les interconnexions
Appliquer les normes appropriées et les notes d'application du fabricant, par x x x
exemple fiches catalogues, instructions d'installation, spécifications et utilisation des
bonnes pratiques d'ingénierie.
Respect des règles de l’art de la norme EN60204-1
Respect de la notice du module x x x
Respect de la norme EN ISO 4413 :2010 pour le montage des composants hydrauliques
Ex. « Principes de sécurité de base » électriques (cf. Tableau D.1 de l’ISO 13849-2)
Circuit de
Une borne de chaque bobine d’électrovanne EVS1 et EVS2 ainsi qu’une
protection / x x
borne d’alimentation du module sont reliées au circuit de protection.
adéquat
Un fusible est installé sur le conducteur qui n’est pas relié à la terre afin
/ x x
Surveillance de de couper automatiquement le circuit après un défaut de terre.
l’isolation Le module de sécurité prend en compte les défauts de mise à la terre
x / /
des entrées.
G3.3 Protection
Dans cette application, le rétablissement de l’alimentation du circuit de
contre un
commande ne crée pas de danger car le protecteur doit être fermé pour / x x
redémarrage
autoriser un redémarrage et tout risque est alors écarté.
intempestif
Protection du
Le circuit de commande électrique est protégé par la mise en place de
circuit de x x x
fusibles adaptés et calibrés.
commande
Ex. « Principes de sécurité éprouvés » électriques (cf. Tableau D.2 de l’ISO 13849-2)
Distance de Séparation physique des bornes des conducteurs pouvant présenter des
x x x
séparation risques en cas de connexions imprévues.
Ex. « Principes de sécurité de base » hydraulique (cf. Tableau C.1 de l’ISO 13849-2)
Limitation de la Le circuit de commande hydraulique est protégé contre les surpressions
/ / x
pression par des moyens adaptés et calibrés.
Evitement de
manière
Le système d’alimentation hydraulique est équipé d’une filtration adaptée
suffisante de la / / x
et contrôlée régulièrement.
contamination
du fluide
- Compatibilité
x x x
Utiliser des composants à caractéristiques de fonctionnement compatibles.
G3.4
Ex. « Principes de sécurité de base » électriques (cf. Tableau D.1 de l’ISO 13849-2) /
Mesure basée sur l’état de l’art

page 58 sur 58
Composants électriques compatibles avec les tensions et les courants

Compatibilité utilisés. x x x
Composant hydraulique adapté aux pressions, débits de l’application.
- Résistance aux conditions d’environnement spécifiées
Concevoir la SRP/CS de sorte qu'elle puisse fonctionner dans tous les
environnements prévus et toutes les conditions défavorables prévisibles, par x x x
G3.5
exemple température, humidité, vibration et interférence électromagnétique (EMI)
(voir l'ISO 13849-2:2003, D.2).
Voir mesures prévues en G2.3 x x x
- Utilisation de composants conçus selon une norme appropriée et dont les modes de
défaillance sont bien définis
x / x
G3.6 Pour réduire le risque de non-détection de défauts par l'utilisation de composants
ayant des caractéristiques spécifiques (voir la CEI 61508-7:2000, B.3.3).
Contacts électromécaniques et distributeur hydraulique aux modes de défaillances connus x / x
En outre, il convient d’appliquer une ou plusieurs des mesures suivantes en tenant compte de la
complexité de la SRP/CS et de son PL.
- Revue de conception du matériel (par exemple par inspection ou par sondage)
Pour que les revues et l'analyse révèlent les divergences entre la spécification et la
x x x
mise en œuvre (voir la CEI 61508-7:2000, B.3.7 et B.3.8).
G3.7.1
- Outils de conception assistée par ordinateur capables de réaliser des simulations ou
des analyses
/ / /
Exécuter la procédure de conception de façon systématique et inclure des éléments
G3.7.2
de construction automatiques appropriés qui sont déjà disponibles et vérifiés (voir la
CEI 61508-7:2000, B.3.5).
- Simulation
Réaliser une inspection systématique et complète de la conception d'une SRP/CS / / /
en termes de performance fonctionnelle et de dimensionnement correct des
G3.7.3
composants (voir la CEI 61508-7:2000, B.3.6).
Compte tenu de la faible complexité de cette application, les analyses ont été effectuées
/ / /
sans outil de conception ou de simulation
G.4 Mesures pour éviter les défaillances systématiques lors de l’intégration de SRP/CS
Il convient d’appliquer les mesures suivantes lors de l’intégration de SRP/CS :
- essais fonctionnels
- gestion de projet
- documentation
En outre, il convient d'appliquer l’essai «boîte noire», en tenant compte de la complexité de la
SRP/CS et de son PL.
*non traité dans ce document * * *

Ns 302

Transféré par

Droits d'auteur :

Formats disponibles

Ns 302

Transféré par

Informations du document

Description originale:

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Ns 302

Transféré par

Droits d'auteur :

Formats disponibles

Aborder la norme

NF EN ISO 13849-1 via

EXEMPLE DE CONCEPTION D’UN SC/FS DE PLR « D » - CATEGORIE 3 ...................................................... 28

Guide de conception d’une SRP/CS

2 Spécification d’une fonction de sécurité

3 Détermination d’un niveau de performance requis

Guide de conception d’une SRP/CS

Risque faible Risque important

PLa PLb PLc PLd PLe

4 Processus général de conception d’un SC/FS

4.1 Modèle général de structure logique pour un SC/FS

Entrée Traitement Sortie

Acquisition de l’information Traitement requis afin de Commande des pré-

Guide de conception d’une SRP/CS

Guide de conception d’une SRP/CS

Prendre pour cible le PL requis à atteindre pour le SC/FS

Spécifier en détail chaque partie logique et les attribuer à

Concevoir les SRP/CS de PL non connu en utilisant la

Pour chaque SRP/CS Non Déterminer le PL de la SRP/CS et en

Déterminer le PL du SC/FS par le Tableau 11 de la Norme

Conception du SC/FS terminée

Graphe 1 : Processus général de conception d’un SC/FS en vue d'atteindre un PL requis

Guide de conception d’une SRP/CS

Figure 4 : Exemple de SC/FS constituée de 3 SRP/CS de PL connus

Figure 5 : Exemple de SC/FS constituée d’une combinaison de

Guide de conception d’une SRP/CS

Figure 6 : Exemple de SC/FS constituée d’une SRP/CS à concevoir

Combinaison de plusieurs SRP/CS au sein d’une même SC/FS

SRP/Cs1 SRP/Cs2 SRP/Cs3 SRP/Cs4

Guide de conception d’une SRP/CS

4.3 Spécification d’une SRP/CS

5 Association de SRP/CS de PL connu

6 Détails de la conception d’une SRP/CS

Guide de conception d’une SRP/CS

MTTFd (par canal) DC

Réflexions sur les critères de respect de la catégorie 2

Guide de conception d’une SRP/CS

6.3 Etapes de conception d’une SRP/CS

Guide de conception d’une SRP/CS

Conception d’une SRP/CS et estimation du PL obtenu par la procédure simplifiée (§ 4.5.4)

Choisir les préconisations minimales pour atteindre le PLr

Spécifier les blocs diagramme (I, L, O) de l’architecture désignée correspondante

Choisir des composants de MTTFd/B10d connu ou permettant une

Pour les catégories de 2 à 4- application de l’annexe E - § E.1)

Application de la méthode bloc (Annexe B de la norme)

Non MTTFd de SRP/CS en accord avec

Calculer la DC moyenne pour la SRP/CS (annexe E - § E2)

Non DCavg de SRP/CS en accord avec

PLr est atteint

Graphe 2 : Détail de la conception d’une SRP/CS en vue d'atteindre un PL requis

Guide de conception d’une SRP/CS

6.4 Exigences pour la prise en compte des défaillances systématiques

Rappel : défaillance systématique (§ 3.1.7 de la norme)

Rappel : défaillance de cause commune CCF (§ 3.1.6 de la norme)

Guide de conception d’une SRP/CS

Tableau 1 : Exemple de notation des mesures contre les CCF

6.6 Application de la « méthode bloc »

6.7 Couverture de diagnostic (DC) des défaillances dangereuses