Processus d’appréciation du risque

Début

Détermination / Considération
des limites du système
Déterminer les Limites
• Limites d’utilisations
de la Machine • Méthode d’analyse des risque
• Limites spatiales
Source EN ISO 12100 – 3.14

Source: (PHA)
• Limites Temporelles
EN 1050, section 5 • Méthode « WHAT IF»
Analyse des risques

ISO 14121 Source: EN ISO 12100; 5.2

• Analyse des modes de défaillance,
Déterminer / Définir de leurs effets et de leurs criticité
Déterminer une situation
Etats et changement (AMDEC)
à risque
Source:
d’états • Simulation des défaillances des
EN 1050, section 6 commandes
ISO 14121
• Méthode MOSAR
Intervention du personnel • Analyse par arbre de défaillance
Estimation des risques Etats de fonctionnement (AAD)
Agissement involontaires ou Source: EN I1050 annexe B
Source:
EN 1050, section 7 mauvaise utilisation prévisible
ISO 14121 Source: EN ISO 12100; 5.3
Source EN ISO 1050 / 14121
Appréciation du risque

Evaluation
des risques liés à la NON Mesures liées à la conception
conception Par ex. sécurité intrinsèque
Source: EN ISO 12100-2; section 4

OUI
Source EN ISO 12100-1,5.3

Mesures techniques de protection

Evaluation des risques

et mesures complémentaires

Evaluation
NON Sélectionner les fonctions de sécurité
des risques mesures
Pour chaque fonction de sécurité sélectionnée

indispensables
techniques
DIN EN ISO 13849-1, 4.2 figure 3

Spécifier les caractéristiques requises

de la fonction de sécurité

Source EN ISO 12100-1, 5.4

OUI

Réduction des risques

Déterminer le niveau de performance
requis PLr

Mesures NON Conception et réalisation technique de

la fonction de sécurité
instructives épuisées

Déterminer le niveau de performance

PL

OUI
Catégorie MTTFd DC CCF

OUI
PL >= PLr

NON

Fin Informations utilisateurs sur la machine et

dans le manuel d’utilisation
Source: Directive 2006/42/CE annexe I, 1
Source: EN ISO 12100-2; section 6
Graphique d’estimation du risque

S = Sévérité de la blessure
Risque faible S1: blessure légère / réversible
a
P1 S2: blessure grave / irréversible (y compris le
F1 décès)
P2
S1 b
P1 F = Fréquence et/ou durée d’exposition au risque
F2
P2 F1: rare à assez rare et/ou courte durée
c d’exposition
P1
F1 F2: fréquente à continue et/ou longue durée
P2
S2 d d’exposition
P1
F2
P2 P = Possibilité d’éviter le phénomène dangereux
e
P1: possible sous certaines conditions
Risque important P2: rarement possible

Relation PL, Catégorie, MTTFd, DC & CCF

Détermination SIL = Niveau d’intégrité de sécurité

Détermination PL = Niveau de Performance

a 10-5 ≤ PFH < 10-4

b 3 x 10-6 ≤ PFH < 10-5

1
c 10-6 ≤ PFH < 3 x 10-6

d 2 10-7 ≤ PFH < 10-6

e 3 10-8 ≤ PFH < 3 x 10-7

DC < 60 % DC < 60 % 60 % ≤ DC < 90 % 90 % ≤ DC < 99 % 60 % ≤ DC < 90 % 90 % ≤ DC < 99 % 99 % ≤ DC

aucun aucun faible moyen faible moyen élevé

Catégorie B Catégorie 1 Catégorie 2 Catégorie 3 Catégorie 4

CCF sans importance CCF ≥ 65 %
Sous réserve de modifications

Cat. B Cat. 1 Cat. 2 Cat. 3 Cat. 4

DC Nulle DC Nulle DC Faible DC Moyen DC Faible DC Moyen DC Elevée

MTTFd Faible a Non Couvert a b b c Non Couvert

MTTFd Moyen b Non Couvert b c c d Non Couvert

MTTFd Elevé Non Couvert c c d d d e

Indice DC Gamme pour chaque canal Indice MTTFd Gamme pour chaque canal

Nulle DC < 60% Non couvert MTTFd < 3 ans

12252252 fr 2011/12

Faible 60% =< DC < 90% Faible 3 ans =< MTTFd < 10 ans

Moyen 90% =< DC < 99% Moyen 10 ans =< MTTFd < 30 ans

Elevé 99% =< DC Elevé 30 ans =< MTTFd =< 100 ans
Catégories

Catégorie Spécifications Comportement du système

B • Les éléments de commande touchant à la sécurité doivent être conformes • Tolérance aux pannes : nulle. La survenance
aux normes correspondantes. d’une défaillance peut conduire à la perte des
• La conception, l’agencement, le choix, la construction et l’association des fonctions de sécurité.
commandes doivent leur permettre de résister aux influences externes. • Caractérisé essentiellement par le choix des
composants

I = dispositif d’entrée L = logique O = dispositif de sortie Im = moyens de connexion

Catégorie Spécifications Comportement du système

1 • Les conditions de B doivent être remplies. • Tolérance aux pannes : nulle. En revanche la
• Les éléments de commande touchant à la sécurité doivent être conçus, probabilité de défaillance est plus faible que
construits et validés par l’utilisation de composants éprouvés et respectant dans la catégorie B grâce à la meilleure
des principes fondamentaux éprouvés. fiabilité des composants.
•Composant éprouve: • La survenance d’une défaillance peut
a) Très répandu dans le passé, avec d’excellents résultats dans des conduire à la disparition de la fonction de
applications similaires, ou sécurité.
b) Fabriqué et contrôlé par application de principes démontrant sa • Caractérisé essentiellement par le choix des
compatibilité et sa fiabilité dans les applications touchant à la sécurité composants

I = dispositif d’entrée L = logique O = dispositif de sortie Im = moyens de connexion

Catégorie Spécifications Comportement du système

2 • Les conditions de B doivent être remplies et des principes de sécurité • Tolérance aux pannes : nulle. En revanche la
éprouvé mis en œuvre. perte de la fonction de sécurité est détectée.
• La commande de la machine doit vérifier à intervalle approprié les éléments • La survenance d’une défaillance entre les
des commandes touchant à la sécurité : tests peut conduire à la perte de la fonction de
Au démarrage de la machine et avant l’exécution d’une situation à risque, par sécurité.
ex. le lancement d’un nouveau cycle, celui d’un nouveau déplacement ou, • Contrôle à intervalle approprié (la fréquence
périodiquement, durant la marche lorsque l’appréciation des risques et le des tests doit correspondre à 100 fois le taux
mode de fonctionnement rendent ce contrôle nécessaire. de défaillance de la fonction de sécurité).
• Caractérisé essentiellement par la structure.

I = dispositif d’entrée L = logique O = dispositif de sortie Im = moyens de connexion

m = surveillance TE = dispositif d’essai OTE = sortie de TE
Catégories

Catégorie Spécifications Comportement du système

3 • Les conditions de B doivent être remplies et des principes de sécurité • Tolérance aux pannes : nulle . En cas de
éprouvé mis en œuvre. défaillance unique la fonction de sécurité est
• Les éléments des commandes touchant à la sécurité doivent être conçus de maintenue.
sorte qu’une défaillance isolé s’y produisant ne conduise pas à la perte de la • Quelques défaillances mais pas toutes sont
fonction de sécurité et détectées
• lorsque le fonctionnement reste convenable, la défaillance unique est • L’accumulation de défaillances non détectées
détectée. peut conduire à la disparition de la fonction de
sécurité.
• Caractérisé essentiellement par la structure

I1, I2 = dispositifs d’entrée L1, L2 = logiques O1, O2 = dispositifs de sortie

Im = moyens de connexion c = surveillance croisée m = surveillance

Catégorie Spécifications Comportement du système

4 • Les conditions de B doivent être remplies et des principes de sécurité • Tolérance aux pannes : nulle. En cas de
éprouvé mis en œuvre. défaillance isolée, la fonction de sécurité est
• Les éléments de commandes touchant à la sécurité doivent être conçus de maintenue.
sorte qu’une défaillance unique s’y produisant ne conduise pas à la perte de • Toutes les défaillances sont détectées, ou
la fonction de sécurité, et • L’accumulation de défaillance ne doit pas
• La défaillance unique avant ou lors de l’appel de la fonction de sécurité doit conduire à la disparition de la fonction de
être détectée. Si la détection n’est pas possible, l’accumulation de sécurité..
défaillance ne doit pas conduire à la perte de la fonction de sécurité. • Caractérisé essentiellement par la structure.

I1, I2 = dispositifs d’entrée L1, L2 = logiques O1, O2 = dispositifs de sortie

Im = moyens de connexion c = surveillance croisée m = surveillance

Catégorie MTTFd DC moyen CCF

B Valeur Faible à Moyenne Valeur Nulle Non pertinent

1 Valeur Elevée Valeur Nulle Non pertinent

2 Valeur Faible à Elevée Valeur Faible à Moyenne CCF ≥ 65 %

3 Valeur Faible à Elevée Valeur Faible à Moyenne CCF ≥ 65 %

4 Valeur Elevée Valeur Elevée CCF ≥ 65 %
Détermination du CCF

N° Entité Score max.

possible
1 Séparation/Isolement
Séparation physique entre les voies de signaux 15
2 Diversité
Utilisation de différentes technologies/différents principes de conception ou 20
principes physiques
3 Conception/Application/Expérience
3.1 Protection contre les surtension, la surpression, etc 15
3.2 Les composants utilisés sont éprouvés 5
4 Appréciation/Analyse
Les résultats d’une analyse des modes de défaillance et de leurs effets sont-ils 5
pris en compte pour prévenir les défaillance de cause communes à la
conception?
5 Les Compétence/Formation
Les concepteurs sont-ils formés pour comprendre les causes et les 5
conséquences des défaillances de cause commune?
6 Environnemental
6.1 Prévention de la contamination et de l’immunité électromagnétique (CEM) 25
contre le CCF selon les normes applicables?
6.2 Autres influences 10
Les exigences relatives à l’immunité du système aux influence
environnementales pertinentes telles que la température, les chocs, les
vibrations, l’humidité sont-elles prises en compte (par exemple: comme
spécifié dans les normes applicables)
Total Max: 100

Formules pour la valeur du MTTFd

1 1 1 1 Relation permettant de calculer

= + +....+
MTTFd (Canal) MTTFd1 MTTFd2 MTTFdn la valeur MTTFd d’un canal

2 1
MTTFd = MTTFdC1 + MTTFdC2 - Calcul du MTTFd total de deux
3 1 1 voies distinctes
+
MTTFdC1 MTTFdC2
Formules liées aux valeurs du B10d - MTTFd

B10d B10d = nombre moyen de cycles jusqu’à ce que 10% des

MTTFd = composants deviennent dangereux
0,1 x nop B10d = 2 x B10
n op = Fréquence moyenne d’actionnement par an.

T10d T10d = Durée d'utilisation d'un composant, le temps moyen jusqu'à

MTTFd = ce que 10 % des composants défaillent de façon dangereuse.
0,1

hop = nombre moyen d’heures d’utilisation par jour

nop = dop x hop x 3600 dop = nombre moyen de jours d’utilisation par an
tcycle tcycle = temps de cycle

B10d T10d = Temps moyen d’utilisation d'un composant, le temps moyen

T10d = jusqu'à ce que 10 % des composants défaillent de façon dangereuse.
nop

Formules pour la valeur du DCmoyen

DC 1 DC 2 DC n
+ +. .. +
MTTFd1 MTTFd2 MTTFdn
DC moyen =
1 1 1
+ +. .. +
MTTFd1 MTTFd2 MTTFdn

∑ défaillances dangereuses détectées

DC 1 =
∑ défaillances totales
Glossaire

GLOSSAIRE

Analyse des risques Procédure résultant de l’analyse des risques en 3 étapes: déterminations des limites, détermination des dangers et estimation
du risque.

Appréciation du risque Ensemble de la procédure englobant l’analyse des risques et l’évaluation du risque.

B10d Nombre de cycles nécessaires pour que 10% des composants d’usure de l’échantillon rencontrent une défaillance
dangereuse(pneumatique & hydraulique).

ß Facteur béta ou facteur de cause commune; mesure pour le CCF; part des défaillances ayant une cause commune.

Catégorie (Cat.) Classification des parties d’un système de commande relatives à la sécurité liée à leur résistance aux défauts et à leur
comportement subséquent sous défauts. Un tel comportement est obtenu par la structure du classement de parties et/ou leur
fiabilité.

CCF Common Causes Failure (défaillance de causes commune).

DC Diagnostic Coverage (Couverture du diagnostic): Mesure de l’efficacité du diagnostic pouvant être déterminée comme un
rapport du taux de défaillances des défaillances dangereuses reconnues et du taux de défaillances de l’ensemble des
défaillances dangereuses.

DCmoyen Degré moyen de couverture du diagnostic.

Diversité Moyen différent pour l’exécution d’une fonction demandée.

dop Durée moyenne de fonctionnement en jour par an.

Durée de mission Durée couvrant l’utilisation prédéfinie de la SRP/CS.

Erreur Etat d’une unité caractérisé par l’incapacité à exécuter une fonction demandée, à l’exception de l’incapacité durant une
maintenance préventive ou d’autres opérations planifiées, ou du fait de l’absence d’un moyen externe.

Estimation des Procédure permettant d’estimer un risque en 3 critères: sévérité, fréquence et possibilité de prévoyance.
Risques

Evaluation des risques Evaluation fondée sur l’analyse des risques déterminant si les objectifs de la réduction des risques ont été atteints.

hop Durée moyenne de fonctionnement en heures par jour.

Mesure de sécurité Moyen qui élimine un phénomène dangereux ou réduit un risque

MTTFd Mean Time To dangerous Failure (durée moyenne de fonctionnement avant défaillance dangereuse).

nop Fréquence moyenne d’actionnement par an.

PL Performance Level (niveau de performance: niveau discret spécifiant la capacité des parties de commande relatives à la sécurité
à exécuter une fonction de sécurité sous des conditions prévisibles.

PLr Niveau de performance (PL) appliqué pour atteindre la réduction nécessaire des risques pour chaque fonction de sécurité.

Redondance Utilisation de moyensplus larges que nécessaire pour qu’un système exécute une fonction demandée ou que des données
transmettent une information.
Sous réserve de modifications

Risque Le risque est le résultat de l’exposition à un phénomène dangereux, à un danger. Combinaison de la probabilité d’un dommage
et de la gravité de ce dommage.

Sécurité La réduction des accidents du travail en protégeant les personnes, les animaux et les biens tout en préservant l’objectif de
productivité.

SRP/CS Safety Related Part of the Control System (partie relative à la sécurité du système de contrôle: partie d’un système de
commande réagissant à des signaux d’entrées et générant des signaux de sorties relatifs à la sécurité).

t cycle Durée moyenne entre le début de 2 cycles successifs du composant en seconde par cycle
2011/12 fr 12252252

T10d Durée d’utilisation d’un composant

λ, λd, λs Taux de défaillances,taux de défaillances dangereuses, taux de défaillances non dangereuses