FAQ

Comment déterminer le niveau de performance requis (PLr) au sens de l’ISO 13849-1

Date: 08/06/2026

📋 ISO 13849-1 ⏱ Durée de lecture : 8 min

Sommaire :

Assurer la sécurité des machines va bien au-delà de la sélection d’un dispositif de protection. Organismes de normalisation et de réglementation imposent en effet aux ingénieurs de démontrer, quantitativement, que chaque fonction relative à la sécurité d’un système de commande réduit le risque à un niveau acceptable. Le fait de se soustraire à une telle obligation peut se traduire par une non-conformité réglementaire, un engagement de la responsabilité, mais aussi et surtout, des préjudices corporels pour les opérateurs.

Deux cadres reconnus à l’échelle internationale sont couramment employés à cette fin :

  • Le Niveau de performance (PL), défini dans l’ISO 13849-1

  • Le Niveau d’intégrité de sécurité (SIL), défini dans les IEC 62061 et IEC 61508.

Ces cadres visent tous deux à réduire la probabilité d’une défaillance dangereuse dans les systèmes de commande relatifs à la sécurité, mais se distinguent par une approche et une terminologie différentes.

Cet article est spécialement consacré au niveau de performance (PL) et à la façon dont les concepteurs de machines déterminent le niveau requis pour une fonction de sécurité donnée.

Qu’est-ce qu’une fonction de sécurité ?

Définition : l’ISO 13849-1

Une fonction de sécurité est destinée à maintenir la machine dans un état sûr ou à l’amener dans un tel état en présence d’un phénomène dangereux particulier. Sa défaillance est susceptible de conduire à une aggravation des risques. Chaque fonction de sécurité doit être déterminée et évaluée individuellement.

Une fonction de sécurité est réputée convenablement définie lorsqu’elle précise :

- La condition dangereuse qu’elle est censée éliminer,

- L’événement déclencheur ou le signal d’amorce,

- L’état sûr requis que doit atteindre la machine à son activation.

image
Exemple

Si le joystick est relâché ou rencontre une défaillance (signal d’entrée), la machine doit immédiatement arrêter tout mouvement du bras/godet (état sûr), prévenant ainsi le risque de collision ou de lésions par écrasement (phénomène dangereux).

👍Bon à savoir

Chaque fonction de sécurité doit être définie par rapport à un phénomène dangereux spécifique, et évaluée indépendamment avant d’entreprendre toute évaluation de la conformité du niveau de performance. Le regroupement de plusieurs scénarios de phénomènes dangereux dans une même fonction de sécurité constitue une erreur courante qui est souvent lourde de conséquences.

L’évaluation des risques selon l’ISO 13849-1

La détermination du Niveau de performance requis (PLr) débute toujours par une évaluation des risques.
D’après l’ISO 13849-1, une estimation des risques repose sur trois paramètres :

Paramètre

Signification

Évaluation

S

Gravitéseverity » en anglais) des lésions

S1 : lésions réversibles (coupures, contusions) S2 : lésions irréversibles ou décès

F

Fréquence et/ou durée d’exposition

F1 : exposition rare à peu fréquente F2 : exposition fréquente à continue

P

Possibilité d’éviter ou de limiter le phénomène dangereux

P1 : possible dans des conditions particulières P2 : presque impossible

Comment calculer le Niveau de performance (PLr)

Le processus correspondant obéit aux étapes suivantes :

  1. Identification de toutes les situations dangereuses associées à la machine tout au long de son cycle de vie.

  2. Définition précise de chaque fonction de sécurité : déclenchement, résultat, et le phénomène dangereux particulier qu’elle est censée prévenir.

  3. Évaluation des paramètres S, F et P pour chaque fonction de sécurité sur la base des conditions d’utilisation les plus défavorables réalistes.

  4. Lecture du PLr sur le graphique d’estimation des risques établi selon l’ISO 13849-1.

  5. Conception des SRP/CS (Parties du système de commande relatives à la sécurité) dans l’objectif d’atteindre un PL ≥ PLr.

AdobeStock 589276570

👍Bon à savoir

Chaque fonction de sécurité est évaluée indépendamment.
Une même machine peut cumuler plusieurs fonctions de sécurité caractérisées chacune par un Plr différent.

image

👉 L’indicateur en résultant est le Niveau de performance requis (PLr) de la fonction de sécurité individuelle.

Exemple

Commande par joystick sur machine mobile

Imaginez la fonction de sécurité suivante sur un engin de chantier mobile : Si le joystick est relâché ou rencontre une défaillance, tout mouvement du bras/godet de la machine doit immédiatement prendre fin.

Le calcul du PLr s’effectue alors comme suit :

  • Gravité : un mouvement inattendu du bras/godet peut occasionner des lésions par écrasement ou collision, voire entraîner une issue fatale.
    → S2 (graves/irréversibles)

  • Fréquence : l’opérateur se sert du joystick en continu tout au long de sa journée de travail. L’exposition au phénomène dangereux est par conséquent fréquente et prolongée.
    → F2 (fréquente/continue)

  • Prévention : un mouvement intempestif est visuellement détectable ; l’opérateur peut donc, dans la plupart des scénarios, réagir et arrêter la machine avant qu’un impact ne se produise.
    → P1 (prévention possible dans des conditions particulières)

Résultat : S2 / F2 / P1 → PLr = d

Comment les composants contribuent au Niveau de performance global

En sécurité fonctionnelle, le Niveau de performance requis (PLr) est attribué à la fonction de sécurité tout entière. Par leur fiabilité et leurs capacités de diagnostic, les composants et sous-systèmes individuels contribuent ainsi à atteindre ce niveau. Une décomposition en composants se révèle donc nécessaire dans la mesure où les exigences de sécurité d’un système peuvent varier en fonction des composants en jeu et de la manière dont ces derniers interagissent au sein de l’application.

Dans certaines applications, il suffit d’informer l’opérateur qu’une maintenance s’impose ; dans d’autres, une stratégie d’urgence peut être mise en œuvre en parallèle Dans les situations plus critiques, une réponse automatique doit par ailleurs pouvoir se déclencher : à titre d’exemple, le système peut limiter la vitesse à laquelle un véhicule lourd ou spécialisé doit être manœuvré.

AdobeStock 2037783208

Vérification et validation : ce que dit l’ISO 13849

Une fois le PLr requis défini, la fonction de sécurité doit être conçue en conséquence. La déclaration d’un Niveau de performance donné n’est pas suffisante : en effet, l’ISO 13849-1 en exige à la fois la vérification (démonstration que la conception satisfait analytiquement au PLr) et la validation (confirmation d’un comportement adapté en conditions réelles).

Cela suppose de réaliser des calculs analytiques faisant intervenir les MTTFd, DCavg et CCF (et la PFHd en découlant), mais également d’effectuer des essais de validation fonctionnelle sur les sous-systèmes et la machine. À ce titre, des outils comme SISTEMA peuvent être employés à l’appui de la démonstration de la sécurité et des preuves.

  • Calculez le MTTFd (Temps moyen avant défaillance dangereuse)

  • Évaluez la Couverture de diagnostic (DCavg)

  • Appréciez les Défaillances de cause commune (CCF) et la PFHd (Probabilité de défaillance dangereuse par heure) en résultant

AdobeStock 551606081

Le rôle d’APEM dans la sécurité fonctionnelle

APEM apporte son soutien aux fabricants de machines en procurant des composants IHM de grande fiabilité et les données techniques requises pour mener à bien l’analyse de la sécurité fonctionnelle.

Sont ici prises en compte :

  • Les valeurs MTTFd

  • Les informations sur la fiabilité

  • Des architectures produit axées sur la sécurité

  • Des solutions IHM robustes pour environnements sévères.

Ces éléments permettent aux ingénieurs de concevoir des systèmes capables d’atteindre le Niveau de performance requis pour leurs applications.

Calcul du niveau de performance requis : récapitulatif

La détermination du Niveau de performance requis (PLr) ou du Niveau d’intégrité de sécurité consiste en un processus structuré et régi par des normes, et non en une simple estimation. Pour les applications de machines soumises à l’ISO 13849-1, la démarche se déroule selon une séquence systématique : définition de chaque fonction de sécurité, évaluation de son risque au moyen des paramètres S/F/P, lecture du PLr sur le graphique des risques, puis conception et vérification d’une architecture SRP/CS atteignant un PL ≥ PLr.

Dans ce calcul, chaque composant de la chaîne de sécurité possède en outre une pondération particulière. Les joysticks, boutons-poussoirs et dispositifs de validation dont la valeur MTTFd est déclarée par le fabricant ne sauraient être interchangeables avec des produits pour lesquels aucun indicateur équivalent n’est communiqué : ce sont en effet les données qui permettent le calcul, et le calcul qui appuie par la suite la démonstration de l’obtention du niveau requis.

🔔 La leçon à retenir :

La détermination du niveau de sécurité commence au niveau du phénomène dangereux, et non du composant. Elle n’en demeure pas moins influencée (et limitée) en fin de compte par les composants choisis. La sélection de composants dont les données de sécurité sont traçables et conformes aux normes applicables s’avère tout aussi importante que les décisions architecturales dont ils font l’objet.

Que recherchez-vous ?

Obtenez rapidement l'aide et les ressources dont vous avez besoin avec APEM

Contactez-nous

Nous répondons à vos questions.

Support

Nous sommes là pour vous aider et vous guider.

Ressources

Trouvez rapidement ce dont vous avez beoin.