Sécurité des machines – Parties des systèmes de commande relatives à la sécurité

La norme EN 954-1:1996 qui traite des parties des systèmes de commande relatives à la sécurité est en cours de révision à l’ISO/TC 199 " Sécurité des machines ", sous la référence EN ISO 13849-1.

L’enquête probatoire française, menée dans le cadre de la commission UNM 45 "Sécurité des machines", parallèlement à l’enquête CEN et au stade DIS à l’ISO, vient de se terminer par un vote négatif de la France.

A l’origine, la norme européenne visait à détailler des principes de conception pour les parties des systèmes de commande relatives à la sécurité. La méthodologie retenue à l’époque consistait à déterminer des catégories, par le biais d’une analyse déterministe.

Le concepteur devait évaluer, pour un phénomène dangereux donné, le positionnement des paramètres suivants :

  • gravité de la blessure (légère, normalement réversible ou grave, normalement irréversible, y compris le décès) ;

  • fréquence et/ou durée d'exposition au phénomène dangereux (rare à assez fréquente et/ou courte durée d’exposition ou fréquente à continue et/ou longue durée d’exposition) ;

  • possibilité d’éviter le phénomène dangereux ou de limiter le dommage.

    		•   

    Les utilisateurs de cette norme pouvaient donc spécifier, pour un type de machine particulier, la catégorie à laquelle le système de commande devait répondre.

    Dans le texte proposé, certains principes probabilistes ont été introduits, en provenance du monde de l’électronique : l'aptitude d'un système de commande à exécuter une fonction de sécurité dans des conditions prévisibles a été classée en cinq niveaux appelés niveaux de performance (PL).
     

    Ces niveaux de performance ont été définis, en tant que grandeurs discrètes, en termes de probabilité de défaillance dangereuse du système. Celle-ci dépend de plusieurs facteurs, tels que la structure du système, l'étendue de la détection des défauts (la couverture du diagnostic (DC)), la fiabilité des composants (le temps moyen avant défaillance dangereuse (MTTFd) et la défaillance de cause commune (CCF)), le processus de conception, la contrainte de fonctionnement, les conditions d’environnement et les méthodes de fonctionnement.

     

    Cette approche aboutit à valider un système sur la base de données contestables. En effet, les MTTFd tels que décrits dans le projet sont des valeurs déterminées dans des conditions bien spécifiées s’adaptant mal aux conditions d’utilisation variables du domaine machines, et par ailleurs extrapolées. Dans le domaine de la sécurité des machines, ce qui fait la différence entre la fiabilité de deux solutions ce n’est pas le taux MTTFd théorique mais la bonne prise en compte des influences extérieures et la bonne intégration de composants dans le circuit.

    Ces raisons ont conduit la commission UNM 45 à voter négativement sur le projet et à fournir des justifications argumentées, consolidant les contributions apportées par le CETIM et l'INRS. La suite donnée à cette désapprobation devrait être connue en fin d'année 2004.

    Pour plus d'informations, vous pouvez vous adresser à info@unm.fr