Sécurité fonctionnelle : ce qui justifie le choix entre ISO 13849 et IEC 62061

Il existe deux normes différentes pour évaluer le niveau de sécurité requis et atteint d’un système de commande relatif à la sécurité : ISO 13849 et IEC 62061.

Le choix d’utiliser l’une ou l’autre est un choix du concepteur. Cela est confirmé par le fait que la norme de sécurité de type A pour l’évaluation et la réduction des risques, ISO 12100:2010, qui est la norme supérieure, spécifie dans la section 6.2.11.1 que :

Les mesures de conception du système de commande doivent être choisies de sorte que leurs performances liées à la sécurité fournissent une quantité suffisante de réduction des risques (voir ISO 13849-1 ou IEC 62061).

Cette formulation est clairement un choix inconditionnel, il est donc justifié de choisir l’une ou l’autre des deux normes sans justification spécifique.

Il est également possible de choisir des normes différentes pour différentes fonctions de sécurité et même pour différents sous-systèmes d’une fonction de sécurité. Il n’y a aucune exigence stricte d’utiliser une justification pour expliquer pourquoi une norme spécifique est utilisée. Cependant, l’auteur de cet article recommande d’utiliser une justification nominale pour les choix alternatifs.

Les justifications suivantes sont des exemples (informatifs - non listés dans aucune des normes pertinentes) :

• Adéquation : La norme choisie est plus adaptée à la fonction de sécurité ou au sous-système spécifique, par exemple parce qu’elle permet d’évaluer le niveau de performance ou le SIL requis selon des critères plus définis ou avec un degré de précision plus élevé (c’est une bonne justification pour utiliser IEC 62061 car elle dispose de critères plus définis, notamment pour la gravité de la blessure et la fréquence d’exposition).
• Un exemple courant de cela est que la gravité S2 dans ISO 13849 inclut la mort, mais doit généralement être utilisée pour toute blessure permanente, tandis que IEC 62061 fournit 4 niveaux de gravité différents au lieu de 2, permettant au concepteur de choisir une approche précise ajustée au risque plutôt que de simplement présumer que presque tout incident nécessitant une attention médicale est équivalent en gravité à la mort.
• Support logiciel : La norme choisie est mieux prise en charge par un outil logiciel utilisé pour l’évaluation. L’exemple typique à citer ici est que SISTEMA ne prend en charge que ISO 13849 (IEC 62061 n’est pris en charge que lorsque vous la calculez en externe).
• Familiarité : La personne effectuant l’évaluation est plus familière avec la norme choisie (cela ne justifie généralement pas l’utilisation mixte des deux normes, sauf s’il y a plusieurs auteurs avec des préférences différentes)
• Précédent : Pour un ensemble donné de fonctions de sécurité ou de sous-systèmes, l’évaluation est (approximativement ou strictement) basée sur des évaluations précédentes de fonctions ou sous-systèmes similaires (soit dans la même entreprise, soit effectuées par l’auteur dans le passé)
• Gestion de la qualité : Le système de gestion de la qualité de l’entreprise exige, ou recommande, l’utilisation d’une norme spécifique pour l’évaluation (ceci n’est généralement pas une justification pour l’utilisation mixte des deux normes, mais peut être combiné avec une justification d’adéquation ou de précédent)
• Exigence du client : Le client exige l’utilisation d’une norme spécifique pour l’évaluation (c’est généralement une justification limitée pour l’utilisation mixte des deux normes, mais peut être combinée avec une justification d’adéquation, de précédent ou de gestion de la qualité)

Les justifications suivantes sont non recommandées par l’auteur :

• Disponibilité de composants pré-certifiés : Certains composants sont pré-certifiés selon l’une des deux normes mais pas l’autre - non recommandé car vous pouvez, et devez, simplement utiliser le tableau de correspondance dans les deux sens.

Les justifications suivantes doivent être considérées comme des justifications interdites en toutes circonstances car les utiliser impliquerait que la spécification des exigences de sécurité est générée a posteriori et peut être interprétée comme un manque négligent de diligence raisonnable dans le processus de conception :

• Il est moins coûteux de mettre en œuvre l’une des deux normes plutôt que l’autre
• Un ensemble donné de composants remplit les critères d’évaluation de l’une des deux normes mais pas l’autre.

Source : ISO 12100:2010, Section 6.2.11.1, premier paragraphe.

Qualification de l’auteur : Uli Köhler est ingénieur et consultant en sécurité fonctionnelle et est certifié CMSE® – Certified Machinery Safety Expert (TÜV NORD)