ISO 13849

Sécurité des machines / Parties relatives à la sécurité des systèmes de commande

ISO 13849 est la norme internationale pour la conception des parties relatives à la sécurité des systèmes de commande (SRP/CS) pour les machines. Elle définit le cadre Performance Level (PL a-e), alternative à l'approche SIL de IEC 62061 pour le secteur des machines.

Organisme: ISO
Family: Sécurité fonctionnelle
Première publication: 1999
Dernière révision: 2023 (Édition 4 pour la Partie 1 ; Partie 2 révisée 2012)
Prochaine révision: Stable — révisions mineures en maintenance active
Statut: current
Accès: Payant (boutique ISO — ~200 CHF pour les 2 parties)

Structure du document

ISO 13849-1

Parties relatives à la sécurité des systèmes de commande — Partie 1 : Principes généraux de conception

Définit la méthode de détermination du PL (risk graph), les architectures Catégorie 1-4, la quantification MTTFD et DCavg, le score de défaillance de cause commune CCF. L'Annexe A est le fameux risk graph. L'Annexe K (informative) mappe PL ↔ SIL.

ISO 13849-2

Parties relatives à la sécurité des systèmes de commande — Partie 2 : Validation

Processus de validation : plans de test, listes de défauts par technologie (électrique, électronique, programmable, pneumatique/hydraulique, mécanique), vérification des exclusions de défauts.

Concepts clés

Partie relative à la sécurité du système de commande(SRP/CS): La partie du système de commande machine qui réalise les fonctions de sécurité — ex. : interrupteur de porte d'interverrouillage + relais de sécurité + contacteur + bouton d'arrêt d'urgence. Même périmètre qu'un SIS dans l'industrie de procédé, vocabulaire différent.
Performance Level(PL): Métrique phare de la norme. PL a (le plus bas) à PL e (le plus haut). Chaque PL correspond à une plage de PFHD : PL a : 10⁻⁵ ≤ PFHD < 10⁻⁴ ; PL b : 3·10⁻⁶ ≤ PFHD < 10⁻⁵ ; PL c : 10⁻⁶ ≤ PFHD < 3·10⁻⁶ ; PL d : 10⁻⁷ ≤ PFHD < 10⁻⁶ ; PL e : 10⁻⁸ ≤ PFHD < 10⁻⁷.
Catégorie(Cat): Classification architecturale (5 niveaux) définie dans ISO 13849-1 clause 6 : Cat B (basique — aucune tolérance aux fautes), Cat 1 (composants éprouvés), Cat 2 (tests périodiques), Cat 3 (tolérance simple faute), Cat 4 (tolérance simple faute avec haute couverture de diagnostic).
Performance Level requis(PLr): Le PL que la SRP/CS doit atteindre pour fournir une réduction de risque suffisante. Déterminé via le **risk graph en Annexe A** basé sur sévérité (S1/S2), fréquence d'exposition (F1/F2) et possibilité d'évitement (P1/P2).
Mean Time To Dangerous Failure(MTTFD): Par canal, pas par système. Catégorisé Low (3-10 ans), Medium (10-30 ans) ou High (30-100 ans). 100 ans est le plafond — les revendications au-delà ne sont pas créditées.
Diagnostic Coverage moyen(DCavg): Fraction des défaillances dangereuses détectées par les diagnostics, moyennée sur les canaux. Catégorisé None (< 60 %), Low (60-90 %), Medium (90-99 %), ou High (≥ 99 %).
Score de Défaillance de Cause Commune(CCF): Checklist tabulée dans l'Annexe F (15 questions, chacune valant 5-25 points). Score ≥ 65/100 requis pour créditer la redondance. Si CCF < 65, l'architecture est traitée comme non-redondante.
Mapping PL ↔ SIL: Correspondance informative (Annexe K de ISO 13849-1). Cat 4 + DC ≥ 99 % ↔ PL e ↔ SIL 3. Cat 3 + DC 90-99 % ↔ PL d ↔ SIL 2. Cat 3 + DC 60-90 % ↔ PL c ↔ SIL 1. Utilisé pour interfacer des conceptions ISO 13849 avec des composants certifiés IEC 61508.
Exclusion de défaut: Argumentaire qu'un mode de défaillance spécifique est implausible en raison de la conception, des matériaux ou des conditions opérationnelles. Documenté selon les tableaux de l'Annexe ISO 13849-2. Doit être techniquement justifié — pas un blanc-seing pour ignorer les défaillances.

Notes & guidance

L’autre norme de sécurité fonctionnelle

Si IEC 61508 est le grand-père et IEC 61511 l’adaptation industrie de procédé, ISO 13849 est le cousin machines — même famille, philosophie différente.

Dans les machines (robots de soudage, lignes de conditionnement, machines-outils, presses), les fonctions de sécurité typiquement :

Opèrent en mode high demand (porte ouverte plusieurs fois par poste, e-stop testé souvent)
Utilisent plus souvent des composants électromécaniques (relais de sécurité, contacteurs, interrupteurs de position)
Sont soumises à la Directive Machines 2006/42/CE (UE) qui rend ISO 13849 ou IEC 62061 obligatoires comme normes harmonisées

ISO 13849 a choisi d’exprimer l’intégrité comme Performance Level (PL a-e) plutôt que réutiliser SIL 1-4 d’IEC 61508. La métrique est PFHD uniquement (Probability of dangerous Failure per Hour) — pas d’équivalent PFDavg low-demand. C’est parce que les fonctions de sécurité machines sont typiquement demandées en continu ou à haut taux.

Le flow de détermination du PL (Annexe A)

                Sévérité
              S1 (légère) ─── PL a
              S2 (grave)
                 │
        ┌────────┴───────┐
   F1 (rare)         F2 (fréquent)
        │                 │
   P1 : évitable    P1 : évitable
        ↓               ↓
      PL b            PL c
   P2 : difficile   P2 : difficile
        ↓               ↓
      PL c            PL d
                      F2 + P2 + irréversible
                      ↓
                    PL e

C’est un arbre de décision plus simple que la LOPA d’IEC 61511. Il fonctionne car les risques de sécurité machines sont généralement plus standardisés (une pièce mobile coupante, une presse, une zone de choc électrique) que les risques d’usine de procédé.

Cat + DCavg + MTTFD → PL

Le PL atteint est déterminé par une matrice 3D (clause 4.5.4 de la Partie 1) :

MTTFD par canal	Cat B / 1, DC=none	Cat 2, DC=low	Cat 2, DC=medium	Cat 3, DC=low	Cat 3, DC=medium	Cat 4, DC=high
Low (3-10 ans)	PL a	PL b	PL c	PL c	PL d	–
Medium (10-30 ans)	PL b	PL c	PL d	PL d	PL d	–
High (30-100 ans)	PL c	PL d	PL d	PL d	PL e	PL e

En pratique, une porte de sécurité Cat 3 typique (contacts à ouverture forcée + entrées redondantes + relais de sécurité bicanal) atteint facilement PL d avec des composants certifiés du commerce. Atteindre PL e demande une architecture Cat 4 (diversité complète dans certaines implémentations) et un DC haut > 99 % constant.

La question facteur β / CCF

ISO 13849 gère le CCF différemment d’IEC 61508 :

IEC 61508 / 61511 : facteur β explicite (typique 2-10 %) multiplié dans l’équation PFD
ISO 13849 : check binaire via checklist Annexe F (65/100 minimum). Si passé, la redondance est créditée pleinement. Sinon, la redondance est ignorée.

La checklist note des items comme : séparation physique, technologie diverse, qualification CEM, procédures de maintenance identiques, etc. La plupart des systèmes Cat 3 / Cat 4 bien conçus passent facilement.

SISTEMA — l’outil standard non-officiel

L’IFA (DGUV, Allemagne) publie SISTEMA, un outil bureau gratuit qui implémente le flux complet de calcul ISO 13849-1. C’est l’outil industriel de facto, supporté par tous les vendeurs sécurité majeurs (Pilz, Sick, Schmersal, Siemens) qui fournissent des bibliothèques de données composants directement importables dans SISTEMA.

Notre calculateur PFD ↔ SIL couvre le côté IEC 61511. Pour la conception pure machines en termes de PL, le workflow SISTEMA est difficile à battre — et nous ne le dupliquerons pas ; nous y lierons probablement et compléterons par de l’éducation conceptuelle.

Pourquoi deux normes machines (ISO 13849 + IEC 62061) ?

Accident historique. Les deux sont harmonisées sous la Directive Machines 2006/42/CE :

ISO 13849 vient de la tradition ingénierie mécanique / DIN
IEC 62061 est l’adaptation machines d’IEC 61508 (utilise le langage SIL)

Les deux sont valides. En pratique, ISO 13849 domine l’Europe pour les machines typiques (ses outils et certifications de composants sont répandus). IEC 62061 est plus souvent vue dans les machines complexes avec contenu électronique programmable significatif (CNC multi-axes, grandes lignes de conditionnement).

Un travail de convergence est en cours dans une future révision conjointe — IEC/ISO 17305 était le document fusionné proposé, mais il est en pause. Pour l’instant, les concepteurs en choisissent une et s’y tiennent.

Relation avec les autres normes

IEC 61508 : parent. ISO 13849 emprunte la structure de métrique PFH mais réorganise l’équivalent SIL en PL.
IEC 62061 : frère. Même portée qu’ISO 13849, langage basé SIL. Souvent utilisés ensemble (niveau système en 62061, composants en 13849).
ISO 12100 : prérequis. Définit le processus d’évaluation du risque pour les machines. La décision PLr (Annexe A d’ISO 13849) est en aval d’une évaluation ISO 12100.
IEC 60204-1 : équipement électrique des machines. Les règles de la “couche physique” câblage/protection qui complètent ISO 13849.

Industries concernées

Machines industrielles (assemblage, conditionnement, machines-outils)
Robotique et cobotique
Convoyeurs et manutention
Machines de transformation bois et métal
Machines de transformation agroalimentaire
Injection / soufflage plastique
Ascenseurs et engins de levage (parfois ISO 13849, parfois normes spécifiques)