safebook allen bradley

R

SAFE

BOO

K 4

Systèmes de commande desécurité pour machinesPrincipes, normes et mise en œuvre

Publication : SAFEBK-RM002B-FR-P – Mars 2011 © 2011 Rockwell Automation, Inc. Tous droits réservés. Remplace la publication : SAFEBK-RM002A-FR-P

SAFE

BOO

K 4

– Sy

stèm

es d

e co

mm

ande

de

sécu

rité

pour

mac

hine

s/Pr

inci

pes,

norm

es e

t mise

en

œuv

re

SAFEBOOK 4

Systèmes de commande de sécurité pour machines

1

Table des matièresChapitre 1 Réglementations ............................................................................................ 2

Directives et Législation de l’UE, directive Machines, directive relative à l’utilisation deséquipements de travail, réglementations des États-Unis, Occupational Safety and HealthAdministration des États-Unis et réglementations canadiennes

Chapitre 2 Normes .......................................................................................................... 18ISO (Organisation internationale de normalisation), CEI (Commission ÉlectrotechniqueInternationale), normes européennes harmonisées (EN), normes des États-Unis, normesOSHA, normes ANSI, normes canadiennes et normes australiennes

Chapitre 3 Stratégie de sécurité .................................................................................... 23Évaluation des risques, détermination des limites de la machine, identification des tâcheset des dangers, estimation du niveau et réduction du risque, sécurité inhérente à laconception, systèmes et mesures de protection, évaluation, formation, équipements deprotection individuelle et normes

Chapitre 4 Mesures de protection et équipement complémentaire ........................... 36Interdictions d’accès, protections fermées fixes, détection d’accès, produits et systèmesde sécurité

Chapitre 5 Calculs de distance de sécurité .................................................................. 59Formules, recommandations et application de solutions utilisant des calculs de distancede sécurité à la commande de sécurité de composants en mouvement potentiellementdangereux

Chapitre 6 Prévention des remises sous tension accidentelles ................................ 63Systèmes de condamnation/signalisation, d’isolation de sécurité, de déconnexion decharge, à clé captive et procédures alternatives à la condamnation

Chapitre 7 Systèmes de commande de sécurité et sécurité fonctionnelle ............... 65Introduction : en quoi consiste la sécurité fonctionnelle ?. Normes CEI/EN 62061 etEN ISO 13849-1:2008, SIL et CEI/EN 62061, PL et EN ISO 13849-1:2008, comparaisondes niveaux PL et SIL

Chapitre 8 Conception de système selon la norme EN ISO 13849-1:2008 ............... 71Architectures pour systèmes de sécurité (structures), temps de mission, durée moyenne defonctionnement avant défaillance dangereuse (MTTFd), taux de couverture des tests dediagnostic (DC), défaillance de cause commune (CCF), défaillance systématique, niveaude performance (PL), conception et combinaisons de sous-systèmes, validation, mise enservice de machine et exclusion de défauts

Chapitre 9 Conception de système selon la norme CEI/EN 62061 ............................ 94Conception de sous-système – CEI/EN 62061, effets de l’intervalle entre les tests devalidité, analyse de l’effet des défaillances de cause commune, méthodologie de transitiondepuis les Catégories, contraintes architecturales, paramètres B10 et B10d, défaillancede cause commune (CCF), taux de couverture des tests de diagnostic (DC), toléranceaux défauts matériels, gestion de la sécurité fonctionnelle, probabilité de défaillancedangereuse (PFHd), intervalle entre tests de validité, proportion de défaillances nondangereuses (SFF) et défaillance systématique

Chapitre 10 Systèmes de commande de sécurité, considérations relatives à la structure .............................................................................................. 106Présentation, catégories de systèmes de commande, défauts non détectés, classificationdes composants et des systèmes, considérations relatives aux défauts, exclusion dedéfauts, catégories d’arrêt selon les normes CEI/EN 60204-1 et NFPA 79, exigencesrelatives aux système de commande de sécurité aux USA, normes relatives aux robots :États-Unis et Canada

Chapitre 11 Exemple d’application utilisant SISTEMA ............................................... 130Exemple d’utilisation de l’outil de calcul du niveau de performance SISTEMA avec labibliothèque de produits Rockwell Automation pour SISTEMA

2

SAFEBOOK 4


Directives et Législation de l’UE

Le but de ce chapitre est de servir de guide de référence à toutes les personnes concernéespar la sécurité des machines, notamment par les systèmes de protection physique et desécurité utilisés dans l’Union Européenne. Il s’adresse aussi bien aux concepteurs qu’auxutilisateurs d’équipements industriels.

Afin de promouvoir le concept de marché ouvert au sein de l’EEE (l’espace économiqueeuropéen qui comprend tous les états membres de l’UE plus trois autres pays), tous les étatsmembres ont l’obligation de promulguer des lois définissant des exigences de sécuritéessentielles concernant les machines et leur utilisation.

Des machines ne se conformant pas à ces exigences ne peuvent être fournies ou importéesdans les pays de l’EEE.

Il existe plusieurs directives européennes concernant la sécurité des machines et deséquipements industriels. Mais les deux qui sont les plus directement applicables sont :

1 La Directive Machines

2 La directive relative à l’utilisation des équipements de travail

Ces deux directives sont étroitement liées par le fait que les exigences essentielles de santéet de sécurité (EESS) définies par la Directive Machines peuvent également être utiliséespour apprécier la sécurité des équipements dans le cadre de la directive sur l’utilisation deséquipements de travail.

Ce chapitre présente les différents aspects de ces deux directives. Il est fortement conseilléà toute personne concernée par la conception, la fourniture, l’achat ou l’utilisation d’unéquipement industriel dans un pays de l’EEE (et également dans certains autres pays), d’êtrefamiliarisée avec leurs critères. Tous les fournisseurs ou utilisateurs de machines dans lespays concernés risquent en effet de se voir refuser la livraison ou l’utilisation de leurséquipements s’ils ne se conforment pas ces directives.

Il existe également d’autres directives européennes ayant rapport aux machines. La plupartd’entre elles concernent en général un domaine d’application particulier. Elles ne sont doncpas prises en considération dans le cadre de ce chapitre. Mais il est important de noter queleurs exigences doivent également être respectées lorsqu’elles sont applicables. C’est le cas,par exemple : de la directive CEM 2004/108/CE et de la directive ATEX 94/9/CE.

SAFEBOOK 4

Réglementations

3

La Directive Machines

La Directive Machines réglemente la fourniture de nouvelles machines et autres équipementsincorporant des composants de sécurité. La livraison de machines non conformes auxexigences de cette directive sur le territoire de l’union européenne constitue une infraction.

Une définition extrêmement large du terme « machines » est fournie par la directive :« ensemble, équipé ou destiné à être équipé d’un système d’entraînement autre que la forcehumaine ou animale appliquée directement, composé de pièces ou d’organes reliés entre euxet dont au moins un est mobile, et qui sont assemblés solidairement en vue d’une applicationspécifique ».

La Directive Machines actuelle (2006/42/CE)a remplacé la version précédente (98/37/CE)fin 2009. Elle apporte des clarifications etdes amendements, mais n’introduit pasde modifications radicales des exigencesessentielles de santé et de sécurité (EESS)d’origine. Elle introduit quelques modificationsdestinées à tenir compte des évolutionstechnologiques et méthodologiques. Elleélargit son champ d’application à un plusgrand nombre de familles d’équipements (parexemple, les engins de levage destinés aux

chantiers de construction). Elle introduit par ailleurs explicitement l’exigence d’une évaluationdes risques afin de déterminer les EESS applicables. De même, elle apporte des modificationsaux procédures d’évaluation de conformité pour les équipements de l’Annexe IV.

Les dispositions clés de la directive originale (98/37/CE) étaient entrées en vigueur le1er janvier 1995 pour les machines et le 1er janvier 1997 pour les composants de sécurité.

Les dispositions de la directive actuelle (2006/42/CE) sont en vigueur depuis le 29 décembre2009. Le fabricant ou son représentant agréé a la responsabilité de s’assurer que l’équipementfourni est conforme à la directive. Cela inclut :

• la vérification que les exigences essentielles de santé et de sécurité (EESS)applicables, telles que figurant dans l’Annexe I de la directive, sont remplies ;

• l’établissement d’un dossier technique ;• la réalisation d’une évaluation de conformité appropriée ;• la fourniture d’une « déclaration de conformité CE » ;• l’apposition du marquage CE, le cas échéant ;• la fourniture d’instructions d’utilisation de sécurité.

Marquage CE de la machine

4

SAFEBOOK 4


Exigences essentielles de santé et de sécurité

L’Annexe 1 de la directive fournit une listed’exigences essentielles de santé et de sécurité(désignées par EESS) auxquelles les machinesdoivent se conformer lorsque concernées.L’objectif de cette liste est de s’assurer que lesmachines présentent les caractéristiques desécurité requises ; notamment qu’elles sontconçues et fabriquées de façon à garantirdurant toutes les phases de leur existence unfonctionnement et la réalisation d’interventionsde réglage et de maintenance qui ne risquentpas de porter atteinte à la sécurité des

personnes. Les paragraphes qui suivent donnent un bref aperçu des exigences les plustypiques. Mais il est important de considérer l’ensemble des EESS listées à l’Annexe 1.

Une évaluation des risques doit être réalisée afin de déterminer lesquelles de ces EESS sontapplicables à l’équipement concerné.

Les EESS de l’Annexe 1 fournissent une hiérarchie des mesures destinées à éliminer lesrisques :

(1) Sécurité inhérente à la conception. Chaque fois que c’est possible, la prévention desrisques devra être incluse dans la conception de la machine.

Lorsque c’est impossible, des (2) dispositifs de protection complémentaires devront êtreutilisés ; par exemple, des grilles de protection avec points d’accès interverrouillés, desbarrières immatérielles de sécurité, des tapis de détection, etc.

Tout risque résiduel ne pouvant être géré par l’une des méthodes ci-dessus devra être limitépar des (3) équipement de protection individuelle et/ou une formation appropriée.Le fournisseur de la machine doit alors spécifier ce qui est approprié.

Des matériaux adaptés à l’utilisation doivent être utilisés pour la fabrication. Un éclairageadéquat et des accessoires de manutention doivent être fournis. Les commandes et systèmesde commande doivent présenter les caractéristiques de sécurité et de fiabilité requises. Lesmachines ne doivent pas avoir la possibilité de redémarrer intempestivement et doivent êtremunies d’un ou plusieurs dispositif(s) d’arrêt d’urgence. Les installations complexes danslesquelles des processus amont ou aval sont susceptibles d’interférer sur la sécurité d’unemachine, doivent être prises en compte. La défaillance d’une alimentation ou d’un circuit decommande ne doit pas entraîner de situation dangereuse. Les machines doivent être stableset capables de supporter les efforts prévisibles. Elles ne doivent pas comporter de rebords oude surfaces non protégés, susceptibles de causer des blessures corporelles.

La machine doit respecter les EESS

SAFEBOOK 4

Réglementations

5

Des grilles ou des équipement de protection doivent être utilisés pour prévenir les dangers liésaux pièces en mouvement. Ces dispositifs doivent être de construction robuste et difficiles àneutraliser. Les dispositifs de protection fixes doivent être montés de telle manière qu’ils nepuissent être démontés qu’avec des outils. Les dispositifs de protection amovibles doiventêtre équipés d’un système de verrouillage électrique de sécurité. Les dispositifs de protectionréglables doivent pouvoir être facilement ajustés, sans nécessiter d’outils.

Les risques liés aux alimentations électriques et à d’autres sources d’énergie doiventégalement être prévenus. Les risques de blessures corporelles dus à la température, à uneexplosion, au bruit, aux vibrations, aux poussières, aux gaz ou aux radiations, doivent êtreminimisés au maximum. Des dispositions adaptées doivent être prises pour la maintenance etles interventions courantes. Une signalisation suffisante et des dispositifs d’alarme doivent êtreprévus. Les machines doivent être livrées avec des instructions d’installation, d’exploitation, deréglages, etc., garantissant la sécurité.

Évaluation de conformité

Le concepteur ou tout autre organisme spécialisé doit être en mesure d’apporter la preuve dela conformité de la machine aux EESS. Ce dossier doit contenir toutes les informations utiles :résultats d’essais, plans, caractéristiques, etc.

Une norme européenne (EN) harmonisée, publiée au Journal Officiel (JO) de l’Union Euro-péenne sous la rubrique Directive Machines etdont la date de présomption de conformité n’estpas expirée, peut conférer une telle présomptionde conformité à certaines EESS (de nombreusesnormes publiées récemment au JO incluent eneffet des tableaux d’équivalence indiquant lesEESS couvertes.)

En conséquence, lorsque l’équipement estconforme à des normes européennes harmoni-sées en vigueur de ce type, la démonstration

de conformité aux EESS se trouve grandement simplifiée. Le fabricant bénéficie égalementd’une meilleure présomption de légalité. La conformité à ces normes n’est cependant pas uneexigence légale. Toutefois, il est vivement conseillé de s’en servir car il peut s’avérer extrême-ment complexe de démontrer la conformité par d’autres moyens. Ces normes, émises par leCEN (Comité européen de normalisation) en collaboration avec l’ISO et le CENELEC (Comitéeuropéen de normalisation électrotechnique) en collaboration avec la CEI, viennent compléterla Directive Machines.

Une évaluation approfondie et documentée des risques doit être effectuée pour s’assurerque tous les risques potentiels de la machine ont bien été identifiés. Par ailleurs, il est dela responsabilité du fabricant de la machine de s’assurer que toutes les EESS sont biensatisfaites, même celles qui ne sont pas concernées par les normes EN harmonisées.

RESULTATS DES TESTS------------------------------------------------------------

NORMES

La machine doit respecter les EESS

6

SAFEBOOK 4


Dossier technique

Le fabricant ou son représentant doit préparer un dossier technique démontrant la conformitéde la machine aux EESS. Ce dossier doit contenir toutes les informations utiles : résultatsd’essais, plans, caractéristiques, etc.

Il n’est pas essentiel que toutes ces informations soient imprimées de façon systématique.Mais ce dossier technique doit pouvoir être présenté en cas d’inspection par une autoritécompétente (un organisme mandaté par un pays de l’UE pour vérifier la conformité desmachines).

Un dossier technique doit comporter au moins les documents suivants :

1. Les plans d’ensemble de l’équipement, comprenant les schémas des circuits decommande.

2. Les plans de détail, les notes de calcul, etc., nécessaires à la vérification de la conformitéde la machine aux EESS.

3. Le document d’évaluation des risques, notamment la liste des exigences essentielles desanté et de sécurité auxquelles est soumise la machine et une description des mesures deprotection mises en place.

4. La liste des normes et autres spécifications techniques utilisées en référence, mentionnantles exigences essentielles de santé et de sécurité concernées.

5. Un descriptif des méthodes adoptées pour supprimer les risques présentés par lamachine.

6. Le cas échéant, tout rapport technique ou certificat délivré par un laboratoire de test outout autre organisme d’homologation.

7. Si la conformité à une norme européenne harmonisée est déclarée, tout rapport techniqueattestant le résultat des essais.

8. Un exemplaire des instructions d’utilisation de la machine.

9. Le cas échéant, la déclaration d’incorporation concernant les éléments de la machinepartiellement montés inclus dans la livraison et les notices de montage de ces éléments.

10. Le cas échéant, les copies des déclarations de conformité CE des éléments ouaccessoires externes intégrés à la machine.

11. Une copie de la déclaration de conformité CE.

SAFEBOOK 4

Réglementations

7

Pour les machines fabriquées en série, le détail des mesures internes (système d’assurancequalité, par exemple) mises en œuvre pour s’assurer que chaque équipement produit estconforme aux spécifications :

• Le constructeur devra notamment effectuer sur les composants, les assemblages ousur la machine terminée, toutes les analyses ou essais nécessaires afin de vérifier quela conception et la construction de cette machine lui permettent d’être installée et miseen service avec toutes les garanties de sécurité.

• Le dossier technique ne doit pas nécessairement être conservé de façon permanenteen un seul tenant. Mais tous ses éléments doivent pouvoir être réunis facilement pourêtre présentés dans un délai raisonnable. Il doit rester consultable pendant dix ansaprès la production du dernier exemplaire de la machine.

Concernant les sous-ensembles utilisés dans la fabrication de la machine, il n’est pasnécessaire d’inclure dans le dossier technique leurs plans détaillés ou autres informationsspécifiques, à moins qu’ils soient essentiels pour le contrôle de la conformité aux EESS.

Évaluation de conformité pour les machines relevant de l’Annexe IV

Certains types d’équipements sont sujets àdes dispositions particulières. C’est le cas deséquipements listés à l’Annexe IV de la directive,dont font partie des machines dangereuses tellesque certaines machines à bois, les presses, lesmachines de moulage par injection, les équipe-ments souterrains, les ponts élévateurs pour lesvéhicules, etc.

L’Annexe IV inclut également certainscomposants de sécurité tels les dispositifs deprotection basés sur la détection de présencedes personnes (ex. : barrières immatérielles)et les unités logiques assurant des fonctionsde sécurité.

Dans le cas où une machine relevant de l’Annexe IV ne serait pas en totale conformité avecles normes européennes harmonisées applicables, son fabricant ou le représentant agréé decelui-ci doit effectuer l’une des procédures suivantes :

1. Contrôle de conformité type CE. Un dossier technique doit être préparé et un exemplairede la machine doit être soumis à un organisme agréé (laboratoire de test) pour subir uncontrôle de conformité CE. Si la machine est jugée conforme, l’organisme lui attribuera uncertificat de conformité CE. La validité de ce certificat est de cinq ans et la machine devraêtre réévaluée selon cette périodicité par l’organisme agréé.

RESULTATS DES TESTS -----

--------

----------

-----

NORMES

Dossier

Technique

Évaluations de la conformité

8

SAFEBOOK 4


2. Assurance qualité totale. Un dossier technique doit être monté et le constructeur doit utiliserun système d’assurance qualité certifié pour la conception, la fabrication, l’inspection finaleet les tests. Le système de contrôle qualité doit garantir la conformité de la machine auxdispositions de cette directive. Ce système de contrôle qualité doit être réévalué périodique-ment par un organisme agréé.

Pour les machines ne relevant pas de l’AnnexeIV, ou pour celles qui sont concernées par cetteannexe mais sont totalement conformes auxnormes européennes harmonisées applicables,le fabricant ou son représentant agréé acependant la possibilité de monter son dossiertechnique et de réaliser l’évaluation par lui-même. Il auto-certifiera alors son équipement. Il doit exister un système de contrôle internedestiné à s’assurer que les équipementsfabriqués en série restent conformes.

Organismes agréés

Un réseau d’organismes agréés communiquant entre eux et travaillant sur des basescommunes est présent dans toute l’UE. Ces organismes agréés sont mandatés par lesgouvernements (et non par les industriels). Des renseignements sur les organismesbénéficiant de l’agrément peuvent être obtenus à l’adresse :

http://ec.europa.eu/enterprise/sectors/mechanical/machinery/index_ en.htm

Procédure de déclaration de conformité CE

Le marquage CE doit être apposé sur toutes les machines fournies.Ces machines doivent également être fournies avec une Déclarationde conformité CE.

Le marquage CE indique que la machine est conforme à tous les directives européennesapplicables et que les procédures d’évaluation de conformité ont été réalisées. L’apposition dumarquage CE en référence à la Directive Machines sur des machines qui ne satisferaient pasaux EESS applicables constitue une infraction.

Examen par un organisme agréé

SAFEBOOK 4

Réglementations

9

La Déclaration de conformité CE doit contenir les informations suivantes :

• nom et adresse professionnelle complète du fabricant et, le cas échéant, de sonreprésentant agréé ;

• nom et coordonnées de la personne habilitée à établir le dossier technique. Celle-cidoit résider dans la Communauté (dans le cas d’un constructeur se trouvant hors UE,il pourra s’agir de son « représentant agréé ») ;

• description et identification des machines, notamment : dénomination générique,fonction, modèle, type, numéro de série et nom commercial ;

• une déclaration spécifiant expressément que la machine remplit toutes les conditionsapplicables de cette directive et, lorsque nécessaire, une déclaration de même typespécifiant la conformité aux autres directives et/ou dispositions applicables à lamachine ;

• le cas échéant, la mention des normes harmonisées utilisées en référence ;• le cas échéant, la mention des autres normes et spécifications techniques utilisées

en référence ;• (pour les machines relevant de l’Annexe IV) le cas échéant, le nom, l’adresse et le

numéro d’identification de l’organisme agréé qui a réalisé le contrôle de conformitéCE selon l’Annexe IX, ainsi que le numéro du certificat de conformité CE ;

• (pour les machines relevant de l’Annexe IV) le cas échéant, le nom, l’adresse et lenuméro d’identification de l’organisme agréé qui a certifié le système d’assurancequalité selon l’Annexe X ;

• le lieu et la date d’établissement de la déclaration ;• l’identité et la signature de la personne habilitée à établir la déclaration au nom du

fabricant ou de son représentant agréé.

Déclaration d’incorporation CE pour les machines partiellementterminées

Lorsque l’équipement fourni est destiné à être assemblé à d’autres composants afin de formerultérieurement une machine complète, une DÉCLARATION D’INCORPORATION doitl’accompagner. Le marquage CE ne doit PAS alors y être apposé. La déclaration doit spécifierque l’équipement ne doit pas être mis en service tant que la machine à laquelle il doit êtreincorporé n’a pas été déclarée conforme. Un dossier technique doit être établi et la machinepartiellement terminée doit être fournie avec une documentation contenant la description desconditions à respecter pour que son incorporation dans la machine finale ne soit pas de natureà compromettre la sécurité.

Cette option n’est pas applicable aux équipements pouvant fonctionner de façon indépendanteou à ceux qui modifient la finalité d’une machine.

10

SAFEBOOK 4


La Déclaration d’incorporation doit contenir les informations suivantes :

• nom et coordonnées professionnelles complètes du fabricant de la machinepartiellement terminée et, si applicable, de son représentant agréé ;

• nom et coordonnées de la personne habilitée à établir le dossier technique. Celle-cidoit résider dans la Communauté (dans le cas d’un constructeur se trouvant hors UE,il pourra s’agir de son « représentant agréé ») ;

• description et identification de la machine partiellement terminée, notamment :dénomination générique, fonction, modèle, type, numéro de série et nom commercial ;

• déclaration spécifiant quelles exigences essentielles de la directive sont remplies.Cette déclaration devra mentionner également que la documentation technique jointea été établie conformément aux réquisitions de la partie B de l’annexe VII. Le caséchéant, une déclaration de la conformité de la machine partiellement terminée àtoutes les autres directives applicables devra également être incluse ;

• engagement à transmettre toutes informations pertinentes concernant la machinepartiellement terminée sur demande motivée des autorités nationales. La méthode detransmission de ces informations devra être mentionnée, ainsi que les réserves depropriété intellectuelle du fabricant de la machine partiellement terminée ;

• déclaration stipulant que la machine partiellement terminée ne doit pas être miseen service tant que la machine finale à laquelle elle doit être intégrée n’a pas étédéclarée conforme aux dispositions de la directive, si c’est le cas ;

• le lieu et la date d’établissement de la déclaration ;• l’identité et la signature de la personne habilitée à établir la déclaration au nom du

fabricant ou de son représentant agréé.

Machines provenant de l’extérieur de l’UE – Représentants agréés

Si un fabricant situé en dehors de l’UE (ou de l’EEE) exporte des machines dans l’UE, il doitmandater un représentant agréé.

Un représentant agréé est une personne physique ou morale établie dans la Communautéeuropéenne, ayant reçu un mandat écrit de la part du fabricant pour remplir en son nom toutou partie des obligations et formalités liées à la Directive Machines.

SAFEBOOK 4

Réglementations

11

Directive européenne relative à l’utilisation d’équipements de travail

Alors que la Directive Machines est destinée aux fournisseurs, cette directive (89/655/CEEet amendements 95/63/CE, 2001/45/CE et 2007/30/CE) est destinée aux utilisateurs desmachines. Elle couvre tous les secteurs industriels et impose aux employeurs des obligationsgénérales ainsi que des exigences minimales de sécurité concernant les équipements detravail. Tous les pays de l’UE promulguent leurs propres lois pour l’application de cettedirective.

Toutes les machines doivent satisfaire auxexigences essentielles de santé et de sécurité

La plupart des machines etcomposants de sécurité (autresque ceux portés à l’Annexe IV)

Machines et composants desécurité (autres que ceux

portés à l’Annexe IV)

Conformité obligatoire aux

normes européennes harmonisées en vigueur

Conformité obligatoire

directe aux EESS

Si la machine EST CONFORME

aux normes européennes harmonisées

Si la machine N’EST PAS

CONFORME aux normes

européennes harmonisées

OU

OU OU

Transmettre le DOSSIER

TECHNIQUE à un organisme

notifié qui accusera

RECEPTION du dossier

Transmettre le DOSSIER

TECHNIQUE à un organisme notifié qui l’examinera et émettra un

CERTIFICAT DE CONFORMITE pour ce dossier

Envoyer l’équipement

à un organisme notifié pour

EXAMEN CE DE TYPE

Il faut être en mesure de présenter

le DOSSIER TECHNIQUE sur demande

Soumission OBLIGATOIRE à un organisme

notifié pour examen CE de type

POUR LES MACHINES – Obligation d’établir une déclaration de conformité et d’apposer le marquage CE ou d’établir une déclaration d’incorporation.

POUR LES COMPOSANTS DE SECURITE – Obligation d’établir une déclaration de conformité.

Vue d’ensemble de la procédure de la Directive Machines

12

SAFEBOOK 4


Par exemple, elle est appliquée au Royaume-Uni sous le nom de « Provision and Use ofWork Equipment Regulations » (souvent abrégé en P.U.W.E.R.). Les modalités de mise enapplication peuvent varier d’un pays à l’autre, mais toutes les dispositions prévues par ladirective seront toujours reprises.

Les articles de la directive décrivent en détail les types d’équipements et de postes de travailconcernés.

Ils définissent également des obligations d’ordre général pour les employeurs ; par exemple,la mise en place de méthodes de travail de sécurité et la fourniture d’équipements de sécuritéadaptés et correctement entretenus. Les opérateurs sur machine doivent recevoir uneformation et un entraînement appropriés de façon à utiliser leur machine en toute sécurité.

Les machines neuves (et les machines d’occasion provenant de l’extérieur de l’UE) livréesaprès le 1er janvier 1993 doivent satisfaire à toutes les directives produits applicables, commepar exemple la Directive Machines (sous réserve d’aménagements transitoires). Les équipe-ments d’occasion provenant de l’extérieur de l’UE installés pour la première fois sur un postede travail doivent être directement conformes aux exigences minimales mentionnées en annexe de la directive relative à l’utilisation des équipements de travail.

Remarque : une machine d’origine ou d’occasion ayant fait l’objet d’un reconditionnementou d’une modification majeure sera considérée comme un équipement neuf. Ceci a pour butde s’assurer que les tâches effectuées par cette machines seront conformes à la DirectiveMachines (même si elle est uniquement utilisée en s’interne par l’entreprise).

La conformité de l’équipement de travail est une exigence importante de la directive. Ellesouligne l’obligation faite à l’employeur de réaliser une évaluation des risques appropriée.

L’une des exigences est que les machines soient entretenues de façon adéquate. Celaimplique en principe l’existence d’un programme de maintenance de routine et préventifdûment planifié. Il est recommandé d’établir un registre des opérations de maintenance etde le tenir à jour. Ceci est particulièrement important dans les cas où l’entretien et le contrôlede l’équipement sont les garants de l’efficacité permanente des dispositifs ou systèmes deprotection.

L’annexe de la directive relative à l’utilisation des équipements de travail définit des exigencesgénérales minimum pour ces équipements.

Si l’équipement est conforme aux directives produits applicables, par exemple la DirectiveMachines, il sera automatiquement conforme aux exigences de conception machinecorrespondantes stipulées dans les exigences minimales de l’annexe.

Les pays membres sont autorisés à promulguer des lois portant sur l’utilisation deséquipements de travail allant au-delà des exigences minimales de la directive officielle.

SAFEBOOK 4

Réglementations

13

De plus amples informations sur la directive relative à l’utilisation d’équipements de travailpeuvent être obtenues sur le site Internet officiel de l’UE :

http://europa.eu/legislation_summaries/employment_and_social_policy/health_hygiene_safety_at_work/c11116_en.htm

Réglementation des États-Unis

Ce paragraphe présente certaines des réglementations relatives à la protection de sécuritédes machines industrielles en vigueur aux États-Unis. Cette présentation se limite auxprincipes de base. Les lecteurs sont encouragés à approfondir plus en détail les exigencesapplicables à leur application spécifique et à prendre toutes dispositions pour s’assurer que laconception, l’utilisation et les procédures de maintenance de leurs machines répondent nonseulement à leurs besoins spécifiques, mais aussi aux codes et règlements nationaux etlocaux.

Nombreux sont les organismes attachés à la promotion de mesures de sécurité industriellesaux États-Unis. On trouve parmi eux :

1. des entreprises qui appliquent les réquisitions générales en vigueur aussi bien que desrègles spécifiques à leur activité propre ;

2. l’OSHA (Occupational Safety and Health Administration) ;

3. des organisations industrielles comme la National Fire Protection Association (NFPA), laRobotics Industries Association (RIA) et l’Association of Manufacturing Technology (AMT) ;auxquelles il convient d’ajouter des fournisseurs de produits et de solutions de sécuritécomme Rockwell Automation.

L’OSHA (Occupational Safety and Health Administration)

Aux États-Unis, l’OSHA compte parmi les protagonistes les plus actifs de la sécuritéindustrielle. Cette administration a été créée en 1970 par une décision du Congrès américain.Cette loi fixe le cadre réglementaire des conditions d’hygiène et de sécurité du travail dansl’industrie, avec l’objectif de préserver les ressources humaines. La loi autorise le Secrétaired’état au travail à édicter des normes obligatoires d’hygiène et de sécurité du travail, applicablesaux entreprises effectuant des transactions commerciales inter-états sur le marché intérieur.Cette loi s’applique à toutes les entreprises employant de la main d’œuvre dans n’importequel état des États-Unis, dans le district de Columbia, dans l’état libre de Puerto Rico, auxîles Vierges, aux Samoa américaines, à Guam, dans le Territoire sous tutelle des îles duPacifique, à l’île de Wake, sur les terres du plateau continental extérieur définies dans la loiOuter Continental Shelf Lands Act, sur l’île Johnston et dans la zone du canal de Panama.

14

SAFEBOOK 4


L’article 5 de la loi en définit les exigences minimales. Tout employeur a pour obligation defournir à l’ensemble de ses employés des conditions et un cadre de travail exempts de tousles dangers connus susceptibles d’entraîner la mort ou des blessures physiques graves. Il doitpar ailleurs se conformer aux normes d’hygiène et de sécurité du travail définies par la loi.

L’article 5 stipule également que tout employé doit se conformer aux normes d’hygiène etde sécurité du travail ainsi qu’à toutes les règles, réglementations et décrets promulgués enapplication de cette loi et définissant sa conduite et ses agissements personnels.

La loi instituant l’OSHA a fixé les responsabilités attachées à l’employeur et à l’employé.C’est une approche totalement différente de celle de la Directive Machines qui impose auxfournisseurs de mettre sur le marché des machines exemptes de risques. Aux États-Unis, unfournisseur peut très bien vendre une machine sans aucun équipement de protection. C’est àl’utilisateur qu’il revient d’ajouter cet équipement de protection destiné à sécuriser la machine.Bien que cette pratique ait été courante à l’époque de l’adoption de la loi, la tendance estplutôt maintenant à l’incorporation des équipements de protection sur les machines par leconstructeur. Il est en effet beaucoup plus économique de concevoir le système de sécuritéen même temps que la machine, que de l’ajouter ensuite. Les normes actuelles incitent lesconstructeurs et les utilisateurs à définir les exigences de sécurité en commun de façon à ceque les machines soient à la fois plus sécurisées et plus productives.

Le Secrétaire d’état au travail a toute autorité pour entériner comme norme d’hygiène et desécurité au travail toute norme de consensus national, ainsi que toute norme fédérale établie,sauf si cette ratification entraînait l’absence d’amélioration des conditions d’hygiène et desécurité pour certaines catégories particulières de travailleurs.

L’OSHA est chargée de la mise en application par le biais de la publication de règlements sousle Titre 29 du Code of Federal Regulation (29 CFR). Les normes concernant les machinesindustrielles sont publiées par l’OSHA dans la Partie 1910 de ce Titre 29 CFR. Elles sontlibrement accessibles sur le site de l’OSHA : www.osha.gov. Contrairement à la plupart desautres normes qui présentent un caractère d’application volontaire, les normes OSHA ont forcede loi.

Certaines des rubriques importantes pour la sécurité des machines sont listées à la suite :

A – GénéralitésB – Adoption et prolongement des normes fédérales établiesC – Recommandations générales d’hygiène et de sécuritéH – Matériaux dangereuxI – Équipements de protection individuelleJ – Dispositions de protection générales vis à vis de l’environnement –

inclus les systèmes de condamnation/signalisationO – Protection par rapport aux composants en mouvement et aux machinesR – Industries particulièresS – Électricité

SAFEBOOK 4

Réglementations

15

Certaines normes OSHA peuvent faire référence à d’autres normes de type volontaire.L’effet légal d’une telle incorporation par référence est que la totalité du corpus normatif estconsidérée comme ayant été publiée au Federal Register. Lorsqu’une norme de consensusnational est incorporée par référence dans l’une des sous-parties, cette norme acquière forcede loi. Par exemple, la NFPA 70, qui est une norme à caractère volontaire connue sous le nomde Code national électrique des États-Unis, est mise en référence dans la sous-partie S. Lesexigences de cette norme NFPA 70 prennent ainsi un caractère obligatoire.

La sous-partie J de la norme 29 CFR 1910.147 concerne le contrôle des sources d’alimenta-tion présentant un danger. Elle est couramment désignée par « norme Lockout/Tagout »(condamnation/signalisation). La norme volontaire correspondante est l’ANSI Z244.1. Essen-tiellement, cette norme impose que l’alimentation de la machine soit condamnée lorsque desopérations de service ou de maintenance y sont effectuées. L’objectif est d’empêcher toute remise sous tension ou démarrage intempestifs de la machine qui pourraient entraîner desdommages corporels au personnel d’intervention.

Les employeurs ont la responsabilité de mettre en place un programme et des procéduresdestinées à appliquer des moyens de condamnation ou de signalisation sur les dispositifs decoupure d’alimentation. En tout état de cause, la désactivation de la machine ou de l’équipementdevra interdire toute remise sous tension, tout redémarrage ou toute libération d’énergie stockéeintempestifs, afin de prévenir tout accident corporel.

Les changements d’outil, les réglages mineurs et autres interventions de maintenance légèreeffectuées dans le cadre des opérations de production normales, ne sont pas concernés parcette norme s’ils ont un caractère routinier, répétitif et font partie intégrante de l’utilisation del’équipement en production ; sous réserve que ces interventions soient effectuées en utilisantdes mesures alternatives de protection suffisamment efficaces. Ces mesures alternativesincluent l’utilisation de systèmes de protection tels que les barrières immatérielles, les tapis desécurité, les grilles à verrouillage de sécurité et autres dispositifs de même type connectés à unsystème de sécurité. La question pour le concepteur de la machine ainsi que pour son utilisateurest d’apprécier ce qui est « mineur » et ce qui a un caractère « routinier, répétitif et inhérent ».

La sous-partie O concerne les machines et leur protection. Cette sous-partie regroupe lesexigences générales applicables à tous types de machines, ainsi que les exigences concernantcertaines machines spécifiques. Lors de sa création en 1970, l’OSHA a repris de nombreusesnormes ANSI existantes. Par exemple, la B11.1 concernant les presses de type mécanique aété incorporée sous le numéro 1910.217.

La 1910.212 est la norme OSHA générale pour toute les machines. Cette norme stipule qu’unou plusieurs dispositifs de sécurité doivent être prévus sur les machines afin de protégerl’opérateur, ainsi que les autres employés se trouvant autour, des sources de danger. Sontnotamment visés les dangers liés à la zone de travail de la machine, aux points de pincement,aux parties rotatives, à la projection de copeaux et d’étincelles. Des protections doivent êtrefixées sur la machine lorsque c’est possible ou sur un support externe ferme lorsque c’estimpossible. La protection ne doit pas constituer en elle-même une source de danger.

16

SAFEBOOK 4


La « zone de travail » est la partie de la machine où l’opération est effectivement réaliséesur le matériau à transformer. Lorsque les opérations réalisées sur la zone de travail d’unemachine exposent le personnel à des risques de blessures, cette zone doit être protégée. Ledispositif de protection doit être conforme aux normes applicables. En l’absence de normesparticulières, il doit être conçu et réalisé de façon à empêcher l’opérateur d’engager unequelconque partie de son corps dans la zone à risque pendant le cycle de fonctionnement.

La sous-partie S (1910.399) définit les exigences électriques de l’OSHA. Aux yeux du Sous-secrétariat d’état au travail, des installations ou des équipement seront recevables et homolo-gables selon les termes de cette sous-partie S s’ils sont approuvés, certifiés, étiquetés ou, plusgénéralement, jugés comme présentant les caractéristiques de sécurité requises par un labo-ratoire d’essai agréé au niveau national (« nationally recognized testing laboratory » ou NRTL).

Qu’est-ce qu’un équipement ? Il s’agit d’un terme générique regroupant le matériel en lui-même, ses accessoires, ses dispositifs de contrôle, ses auxiliaires, ses supports de montage,son appareillage divers et tout ce qui entre dans le cadre d’une installation électrique ou estraccordé à une telle installation.

Qu’est-ce qui est « listé » ? L’équipement est « listé » s’il est enregistré dans une liste (a)éditée par un laboratoire NRTL réalisant des contrôles périodiques de sa fabrication et (b)spécifiant que cet équipement est conforme aux normes nationales ou qu’il a été testé etjugé comme présentant toute sécurité dans des conditions d’utilisation définies.

Depuis août 2009, les organismes suivants sont reconnus par l’OSHA comme laboratoiresNRTL :

• CSA (association canadienne de normalisation)• Communication Certification Laboratory, Inc. (CCL)• Curtis-Straus LLC (CSL)• FM Approvals LLC (FM)• Intertek Testing Services NA, Inc. (ITSNA)• MET Laboratories, Inc. (MET)• NSF International (NSF)• National Technical Systems, Inc. (NTS)• SGS U.S. Testing Company, Inc. (SGSUS)• Southwest Research Institute (SWRI)• TÜV America, Inc. (TUVAM)• TÜV Product Services GmbH (TUVPSG)• TÜV Rheinland of North America, Inc. (TUV)• Underwriters Laboratories Inc. (UL)• Wyle Laboratories, Inc. (WL)

Certains états ont adopté localement les normes OSHA. Vingt-quatre des états ainsi quePuerto Rico et les îles Vierges possèdent un programme de normalisation propre à leur terri-toire et approuvé par l’OSHA. Ils ont en conséquence défini leurs propres normes et leurs

SAFEBOOK 4

Réglementations

17

propres règles d’application. Pour la plupart, ces états utilisent des normes identiques à cellesdéfinies par l’OSHA au niveau fédéral. Néanmoins, certains états ont adopté des normes diffé-rant sur des points particuliers ou encore des règles d’application différentes. Les employeursdoivent établir un rapport d’incidents pour l’OSHA. L’OSHA analyse statistiquement la fré-quence d’incidents et transmet ces informations à ses bureaux locaux. Elles seront utiliséespour définir les priorités d’inspection. Les principaux critères de déclenchement d’une inspec-tion sont les suivants :

• Danger imminent• Catastrophes et décès• Plaintes des employés• Industries à risque élevé• Inspections périodiques locales• Inspections de suivi• Programmes thématiques nationaux et locaux

Le non-respect des normes OSHA peut entraîner des amendes. Le barème de ces amendespour infraction est le suivant :

• Infraction grave : jusqu’à 7 000 USD par infraction• Infractions autres que grave : à l’appréciation, mais ne peut excéder 7 000 USD• Récidive : jusqu’à 70 000 USD par infraction• Infraction intentionnelle : jusqu’à 70 000 USD par infraction• Infractions entraînant la mort : sanctions pénales• Refus de se conformer : 7 000 USD/jour

Le tableau suivant présente à titre d’exemple 14 procès verbaux établis par l’OSHA entreoctobre 2004 et septembre 2005.

Norme Description1910.147 Contrôle des sources d’alimentation présentant un danger

(condamnation/signalisation)1910.1200 Information sur les risques1910.212 Prescriptions générales applicables à toutes les machines1910.134 Protection respiratoire1910.305 Méthodes, composants et équipements de câblage à usage général1910.178 Chariots électriques industriels1910.219 Transmission de puissance mécanique1910.303 Critères généraux1910.213 Machines pour le travail du bois19102.215 Meules abrasives19102.132 Critères généraux1910.217 Presses mécaniques1910.095 Exposition au bruit dans le cadre du travail1910.023 Protection des ouvertures et des trous dans le sol et les murs

18

SAFEBOOK 4

Sécurité fonctionnelle des systèmes de commande

Réglementation canadienne

Au Canada, la sécurité industrielle est gérée au niveau de la Province. Chaque provincepossède et applique sa propre réglementation. Par exemple, l’Ontario a promulgué sa Loi surla santé et la sécurité au travail, qui définit les droits et obligations de tous les intervenantssur le lieu de travail. Son objectif principal est de protéger les travailleurs contre les risquesprofessionnels ayant des implication sur leur santé et leur sécurité. Cette loi définit desprocédures de gestion des risques professionnels, ainsi que des pénalités en cas de non-conformité délibérée.

On trouve par ailleurs dans cette loi le Règlement 851, dont l’Article 7 impose une inspectiond’hygiène et de sécurité préalable à la mise en service d’une machine. Cette inspection estobligatoire dans la Province de l’Ontario pour tout équipement neuf, reconditionné ou modifié.Elle doit être confirmée par un rapport établi par un ingénieur professionnel.

Normes

Ce chapitre fournit une liste des normes internationales et nationales les plus courantesconcernant la sécurité des machines. Cette liste n’a pas l’ambition d’être exhaustive mais demettre en lumière les points de sécurité des machines faisant habituellement l’objet d’unenormalisation.

Il est souhaitable de lire ce chapitre conjointement à celui concernant la réglementation.

Les différents pays du monde travaillent dans le sens d’une harmonisation mondiale desnormes. Ceci est particulièrement évident dans le domaine de la sécurité des machines. Lesnormes de sécurité concernées sont régies au niveau international par deux organismesmajeurs : l’ISO et la CEI. Des normes particulières existent toujours au niveau régional etnational. Elles continuent de faire valoir des exigences d’application locales. Mais, dans denombreux pays, la tendance est à la transposition des normes internationales produites parl’ISO et la CEI.

Par exemple, les normes EN (normes européennes) sont appliquées dans tous les pays del’EEE. Or, toutes les nouvelles normes EN sont alignées sur les normes ISO et CEI et, dansla plupart des cas, elles utilisent la même formulation.

Les normes CEI traitent principalement des questions électrotechniques. L’ISO s’attache auxautres aspects. La plupart des pays industrialisés adhèrent à la CEI et de l’ISO. Les normesrelatives à la sécurité des machines sont écrites par des groupes de travail comprenant desexperts provenant d’un grand nombre de pays industrialisés du monde.

Dans la plupart des pays, ces normes présentent un caractère d’application volontaire, alorsque les réglementations constituent une obligation légale. Cependant, les normes sontgénéralement utilisées comme référence pratique pour les réglementations. C’est la raisonpour laquelle le domaine de la normalisation est étroitement lié à celui de la réglementation.

SAFEBOOK 4

Normes

19

Pour la liste complète des normes concernées, on se reportera au catalogue Sécuritédisponible à l’adresse : www.ab.com/safety.

ISO (Organisation internationale de normalisation)

L’ISO est une organisation non gouvernementale regroupant des organismes de normalisationnationaux de la plupart des pays du monde (157 à la date de publication de ce document).Son secrétariat central, situé à Genève en Suisse, coordonne le réseau. L’ISO produit desnormes ayant pour but de rendre la conception, la fabrication et l’utilisation des machinesplus efficace, plus sûre et plus écologique. Ces normes contribuent également à rendre leséchanges internationaux plus simples et plus équitables. Les normes ISO sont identifiablespar les trois lettres ISO.

Les normes ISO destinées aux machines sont réparties en trois catégories, de la même façonque les normes EN : A, B et C (voir la section relative aux normes européennes harmoniséesEN, à la suite).

Pour plus d’informations, il est possible de visiter le site de l’ISO à l’adresse : www.iso.org.

CEI (Commission électrotechnique internationale)

La CEI établit et édite des normes internationales dont les domaines d’application sontl’électricité, l’électronique et les technologies connexes. Par l’intermédiaire de ses membres,la CEI encourage la coopération internationale sur toutes les questions de normalisation liéesà l’électrotechnique ; de même que sur des sujets connexes, comme l’évaluation de laconformité aux normes électrotechniques.

Pour plus d’informations, on visitera le site de la CEI : www.iec/ch

Normes européennes harmonisées (EN)

Il s’agit de normes communes à tous les pays membres de l’EEE. Elles sont émises par lesorganismes de normalisation européens : le CEN et le CENELEC. Leur application procèded’une démarche volontaire. Néanmoins, leur utilisation pour la conception et la fabrication d’unéquipement constitue le moyen le plus direct de démontrer la conformité de cet équipementaux EESS de la Directive Machines.

Elles sont structurées en 3 catégories : A, B et C.

NORMES Type A : couvrent des aspects généraux applicables à tous types de machines.

NORMES Type B : se subdivisent en 2 groupes.NORMES du Groupe B1 : concernent certains aspects particuliers de la sécurité et del’ergonomie des machines.NORMES du Groupe B2 : concernent les composants de sécurité et les dispositifs deprotection.

NORMES Type C : concernent des types ou groupes particuliers de machines.

20

SAFEBOOK 4


Il est important de noter que la conformité à une norme de la catégorie C confère automatique-ment une présomption de conformité aux EESS. En l’absence d’une norme de catégorie Cadaptée, on pourra recourir aux normes de catégories A et B pour démontrer partiellement outotalement la conformité aux EESS en mettant en évidence la conformité à certains chapitresde ces normes.

Des accords de collaboration ont été conclus entre le CEN/CENELEC et d’autres organismescomme l’ISO et la CEI. Ceci devrait entraîner à terme une harmonisation des normes àl’échelle mondiale. Dans la plupart des cas, on trouve une équivalence des normes EN dansles systèmes CEI ou ISO. En général les deux textes sont identiques et les différencesrégionales sont mentionnées dans l’avant-propos de la norme.

Pour consulter la liste complète des normes EN relatives à la sécurité des machines,se reporter au site :

http://ec.europa.eu/enterprise/sectors/mechanical/machinery/index_ en.htm.

Normes des États-Unis

Normes OSHA

Chaque fois que possible, l’OSHA entérine en tant que normes de sécurité des normes dites« de consensus national » ou des normes fédérales établies. Le caractère contraignant affectéaux normes incorporées par référence (par exemple, par l’utilisation du verbe « devoir » quiimplique une obligation légale), leur confère la même force légale que les normes classéesen Partie 1910. C’est par exemple le cas de la norme de consensus national NFPA 70 qui est enregistrée comme document de référence dans l’Annexe A de la sous-partie S (« électricité »)de la Partie 1910 du Titre 29 CFR. La NFPA 70 est à l’origine une norme volontaire dévelop-pée par la NFPA (National Fire Protection Association). Elle est également désignée par l’acro-nyme NEC (National Electric Code). En conséquence, toutes les dispositions obligatoires duNEC prennent force de loi sous l’effet de l’OSHA.

Normes ANSI

L’ANSI (American National Standards Institute) est l’organisme de normalisation des États-Unis. Il a pour mission d’administrer et de coordonner le système de normalisation volontairedu secteur privé aux États-Unis. C’est un organisme associatif privé, à but non-lucratif,regroupant diverses composantes des secteurs privé et public.

L’ANSI n’élabore pas lui-même les normes. Il facilite cette élaboration en favorisant leconsensus entre des groupes d’experts. Il veille entre autres à ce que ces groupes d’expertsrespectent les principes de base du consensus ainsi qu’une méthodologie appropriée, etqu’ils fassent preuve de l’esprit d’ouverture nécessaire. La liste suivante recense une partiedes normes de sécurité industrielle qu’il est possible de se procurer auprès de l’ANSI.

SAFEBOOK 4

Normes

21

Ces normes sont classées en deux catégories : les normes d’application et les normes deconstruction. Les normes d’application définissent la façon de mettre en œuvre un systèmede protection sur une machine. On en trouvera des exemples dans la norme ANSI B11.1, quiapporte des informations sur l’utilisation de protections sur les presses mécaniques, ainsi quedans la norme ANSI/RIA R15.06, qui décrit les dispositifs de sécurité applicables aux robots.

NFPA (National Fire Protection Association)

La NFPA (association nationale de protection contre les incendies) a été créée en 1896. Samission est de réduire la menace que font peser les incendies sur la qualité de vie. Pour celaelle encourage l’élaboration de codes et de normes basés sur un consensus scientifique, larecherche et la formation sur les incendies ainsi que sur les questions de sécurité connexes.La NFPA est le promoteur d’un grand nombre de normes visant à l’accomplissement de cettemission. Deux d’entre elles sont particulièrement importantes pour la sécurité industrielle : leNational Electric Code (NEC) et l’Electrical Standard for Industrial Machinery (ESIM).

La NFPA a soutenu le développement du NEC depuis 1911. Le document fondateur du codedate de 1897. Il est le résultat des efforts combinés de diverses parties prenantes comme lescompagnies d’assurance, le secteur électrique, celui de l’architecture et d’autres encore qui s’yrattachent. Le NEC a été actualisé un grand nombre de fois depuis. En pratique, il est remis àjour environ tous les trois ans. L’Article 670 du NEC reprend quelques aspects concernant lesmachines industrielles. Il renvoie notamment le lecteur à la norme NFPA 79 (ou « ESIM »)définissant les normes électriques pour les machines industrielles.

Cette norme NFPA 79 s’applique aux équipements électriques et électroniques, aux appareil-lages ou aux systèmes montés sur des machines industrielles fonctionnant sous des tensionsnominales inférieures ou égales à 600 volts. Elle a pour objet de définir des recommandationsdétaillées destinées à garantir la sécurité des personnes et des biens, concernant la mise enœuvre des équipements électriques et électroniques, des appareillages ou systèmes faisantpartie intégrante des machines industrielles. Officiellement approuvée par l’ANSI en 1962, laNFPA 79 est tout à fait comparable dans son contenu à la norme CEI 60204-1.

Les machines qui ne sont pas spécifiquement concernées par les normes OSHA sont néan-moins tenues d’être exemptes de tous les risques connus susceptibles de causer la mort oudes blessures graves. Ces machines doivent être conçues et entretenues de façon à satisfaireou surpasser les exigences des diverses normes industrielles applicables. C’est normalementla norme NFPA 79 qui s’applique à ces machines non spécifiquement concernées par lesnormes OSHA.

22

SAFEBOOK 4


Normes canadiennes

Les normes CSA sont le reflet d’un consensus national entre les fabricants et les utilisateurs ;c’est à dire, entre les constructeurs, les consommateurs, les revendeurs, les syndicats, les organisations professionnelles et les agences gouvernementales. Ces normes sont largementutilisées dans l’industrie et le commerce. Elles sont souvent reprises par les administrationsmunicipales, provinciales et fédérales dans leurs réglementations propres. C’est particulière-ment le cas dans les domaines de la santé, de la sécurité, du bâtiment et de la construction,ainsi que dans celui de l’environnement.

Des particuliers, des entreprises et des associations de tout le Canada apportent leurparticipation à l’élaboration des normes CSA. Ils fournissent leur temps bénévolement auComité du CSA et soutiennent les objectifs de l’association en tant que membres donateurs.Les plus de 7 000 bénévoles du Comité et les 2 000 membres donateurs constituentl’ensemble des membres du CSA.

Le Conseil canadien des normes est l’organisme coordonnateur du système de normes auniveau national. Il est constitué par une fédération d’organismes indépendants et autonomestravaillant en commun pour définir et améliorer un système de normalisation volontaire dansl’intérêt national.

Normes australiennes

La plupart de ces normes sont très proches des normes ISO/CEI/EN correspondantes

Standards Australia Limited286 Sussex Street, Sydney, NSW 2001Téléphone : +61 2 8206 6000E-mail : [email protected] Internet : www.standards.org.au

Pour se procurer des exemplaires des normes :SAI Global Limited286 Sussex Street, Sydney, NSW 2001Téléphone : +61 2 8206 6000Fax : +61 2 8206 6001E-mail : [email protected] Internet : www.saiglobal.com/shop

Pour la liste complète des normes concernées, veuillez vous reporter au catalogueSécurité disponible à l’adresse : www.ab.com/safety.

SAFEBOOK 4

Stratégie de sécurité

23


D’un point de vue purement fonctionnel, plus une machine est performante dans l’exécutionde ses tâches de transformation, meilleure elle est. Pourtant, pour qu’elle soit viable, elle doitégalement être sûre. La sécurité doit en effet être prise en compte de façon prioritaire.

Pour définir une stratégie de sécurité efficace, deux étapes clés et interactives sontnécessaires, comme schématisé ci-dessous.

Repérer toutes les machines de la zone de travail – Puis identifier

chacune d’elles Consultation pour

information et expertise

LIMITES DE LA MACHINEEst-il possible de définir clairement

tous les fonctionnements et utilisations de la machine ?

IDENTIFICATION DU DANGERIdentifier chaque situation dangereuse –

Puis, pour chaque danger

OUI

NON

ESTIMATION DU RISQUEApprécier le niveau de risque pour

chaque situation dangereuse

EVALUATION DES RISQUESLe niveau du risque est-il acceptable ?

Traiter le danger en modifiant le concept ou en prenant des

mesures supplémentaires

Déterminer si les performances et les

caractéristiques fonctionnelles des mesures de sécurité sont

adaptées à la machine et à son type d’exploitation

EVALUATION DES RISQUES

REDUCTION DES RISQUES

L’analyse est-elle faite et toutes les mesures de sécurité adéquates sont-elles prises ?

FIN DEL’ANALYSE STRATEGIE DE SECURITE

OUI

NON

NON

24

SAFEBOOK 4


L’ÉVALUATION DES RISQUES est basée sur la bonne compréhension des limites et despossibilités fonctionnelles de la machine. Elle doit prendre en compte également lesinterventions qui pourront s’avérer nécessaires sur la machine tout au long de sa vie.

La RÉDUCTION DES RISQUES peut alors être réalisée (si elle est nécessaire) et desmesures de sécurité sont définies à partir des informations collectées dans la phased’évaluation des risques. Ce processus constitue la base de la STRATÉGIE DE SÉCURITÉdestinée à la machine.

Une liste de contrôle est nécessaire pour réaliser le suivi. Elle permet de s’assurer que tousles aspects ont bien été pris en compte et que le principe directeur n’a pas été dilué dans lesdétails. L’ensemble du processus doit être documenté. Ceci garantit une plus grande rigueurdans la démarche et permet également à des personnes externes d’en vérifier les résultats.

Ce chapitre s’adresse aussi bien aux constructeurs qu’aux utilisateurs de machines. Leconstructeur doit s’assurer que sa machine peut être utilisée en toute sécurité. L’évaluationdes risques doit commencer dès la phase de conception de la machine. Elle doit prendre encompte prévisionnellement toutes les interventions humaines qui seront susceptibles d’êtreréalisées sur la machine. Cette approche de prise en compte des tâches liées à l’exploitationde la machine dès le stade initial de l’évaluation des risques est très importante. Si l’on prévoit,par exemple, qu’il sera nécessaire d’effectuer régulièrement des réglages sur les parties enmouvement de la machine, il doit être possible d’anticiper les mesures qui permettront de réaliser ces opérations en toute sécurité dès la phase de conception. Si ces mesures ne sontpas intégrées dès le début, il peut s’avérer difficile, voire même impossible, de les mettreen œuvre ultérieurement. Comme il faudra de toute façon réaliser des réglages des élémentsen mouvement, cette intervention risquera fort d’être effectuée dans des conditions non sécuri-sées ou inefficaces (ou encore, les deux). Une machine dont toutes les tâches d’exploitationpotentielle auront été prises en considération dans l’évaluation des risques sera une machineplus sûre et plus performante.

L’utilisateur (ou l’exploitant) doit s’assurer que les machines dans leur environnementd’exploitation présentent toutes les garanties de sécurité. Même si une machine a été déclaréesûre par son constructeur, il est de la responsabilité de l’utilisateur de procéder tout de mêmeà une évaluation des risques afin de déterminer si cet équipement peut être effectivementconsidéré comme sûr dans son environnement particulier. Les machines sont en effet souventutilisées dans des conditions qui n’ont pas été prévues par le constructeur. Par exemple,l’utilisation d’une fraiseuse dans l’atelier d’un lycée professionnel nécessitera des précautionssupplémentaires par rapport à son utilisation dans un atelier de mécanique industrielle.

Il faut avoir à l’esprit également que lorsqu’un utilisateur industriel fait l’acquisition de plusieursmachines élémentaires séparées pour les intégrer dans un même processus de fabrication, ildevient de fait le constructeur de la machine combinée résultant de cette intégration.

Voyons maintenant les étapes essentielles du processus de définition d’une stratégie desécurité adaptée. La démarche suivante est applicable aussi bien dans le cadre d’unensemble de production existant que pour une machine neuve indépendante.

SAFEBOOK 4


25

Évaluation des risques

L’erreur serait de considérer l’évaluation des risques comme une contrainte. C’est en faitune procédure très utile. Elle apporte des informations d’importance vitale. Elle permet àl’utilisateur ou au concepteur de prendre des décisions rationnelles quant aux optionsdisponibles pour assurer la sécurité de la machine.

Cette démarche est traitée dans différentes normes. Les normes ISO 14121 : (« Principes d’appréciation du risque ») et ISO 12100 : (« Sécurité des machines – Notions fondamen-tales ») contiennent notamment les recommandations qui sont le plus largement utilisées mondialement.

Quelle que soit la méthode utilisée pour évaluer les risques, une équipe pluridisciplinaireobtiendra généralement un résultat dont la portée sera plus large et plus nuancée qu’unepersonne unique.

L’évaluation des risques est un processus itératif. Il devra être renouvelé aux différentesétapes du cycle de vie de la machine. Les données à prendre en compte varieront en effetselon la phase du cycle de vie. Par exemple, le fabricant de la machine aura accès pour sonévaluation des risques à tous les détails concernant les mécanismes internes et les matériauxde construction. Mais il ne pourra faire qu’une estimation approximative des conditionsd’environnement finales dans lesquelles cette machine sera utilisée. L’utilisateur effectuantcette même évaluation n’aura pas, pour sa part, forcément accès aux détails techniquesapprofondis, mais il connaîtra parfaitement toutes les caractéristiques de l’environnement defonctionnement de la machine. Idéalement, le résultat d’une première évaluation servira depoint de départ pour la suivante.

Détermination des limites de la machine

Elle suppose la collecte et l’analyse de toutes les informations concernant les pièces, lesmécanismes et les fonctions d’une machine. Il sera également nécessaire de prendre encompte les différents types d’interventions humaines sur la machine ainsi que l’environnementdans lequel elle sera utilisée. L’objectif est d’obtenir une vision claire du fonctionnement lamachine et de son mode d’utilisation.

Lorsque des machines élémentaires se trouvent associées mécaniquement ou à travers unmême système de commande, elles doivent être considérées comme une machine unique ;sauf si elle sont organisées en « zones » dans le cadre d’un dispositif de sécurité adapté.

Il est très important de prendre en compte toutes les limites et les phases du cycle de vie de la machine (installation, mise en route, maintenance, désactivation). Son mode normald’utilisation et d’exploitation, de même que les conséquences des utilisations non conformesou des dysfonctionnements raisonnablement prévisibles, doivent également être intégrés.

26

SAFEBOOK 4


Identification des tâches et des dangers

Toutes les sources de danger présentées par la machine doivent être identifiées et listées parnature et emplacement. Ces sources de danger à considérer sont l’écrasement, le cisaille-ment, l’entraînement, la projection de pièces, les fumées, les radiations, les substancestoxiques, la chaleur, le bruit, etc.

Les résultats de l’analyse des tâches devront être rapprochés des résultats de l’identificationdes dangers. Ceci permettra de mettre en évidence les points de convergence entre un dangeret une action humaine, c’est à dire les situations potentiellement dangereuses. On établira alorsla liste de ces situations potentiellement dangereuses. Il est possible qu’un même danger aitdes effets de situation dangereuse différents selon la qualification des personnes ou la naturede la tâche impliquée. Par exemple, l’intervention d’un technicien de maintenance expérimentéet correctement formé peut avoir des conséquences différentes de celle d’un agent de net-toyage non qualifié et n’ayant aucune connaissance de la machine. Dans ce type de situation,si chacun des cas a été enregistré et traité séparément, il peut être concevable de justifierdes mesures de protection différentes pour le technicien de maintenance et pour l’agent de nettoyage. Si les deux cas n’ont pas été dissociés lors de l’enregistrement et traités séparé-ment, il conviendra de retenir le plus défavorable. Le technicien de maintenance et l’agent denettoyage bénéficieront tous deux alors des mêmes mesures de protection.

Parfois, il est nécessaire de réaliser une évaluation des risques sur une machine existante disposant déjà de mesures de protection (par exemple, une machine dont les parties en mouvement présentant un danger sont déjà protégées par une grille de sécurité à interverrouil-lage). Les parties en mouvement constituent un danger potentiel qui pourra devenir un dangerréel en cas de défaillance du dispositif d’interverrouillage de sécurité. À moins que ce systèmed’interverrouillage de sécurité ait déjà été validé (par exemple, par une évaluation des risquesou par une conception conforme à une norme en vigueur), il sera donc ignoré.

Estimation du niveau de risque

C’est l’un des aspects les plus cruciaux du processus d’évaluation des risques. Il existedifférentes façons d’aborder ce sujet. Les pages suivantes présentent les principes de base.

Toute machine exposée à des situations potentiellement dangereuses présente des risquesd’évènement dangereux (par exemple, de blessure). Plus le niveau de ces risques sera élevé,plus il sera important de prendre des mesures pour y remédier. Pour certains dangersparticuliers, le risque pourra être si faible qu’il sera possible de le tolérer. Mais, pour d’autrestypes de danger, le niveau du risque sera si élevé qu’il faudra prendre les mesures les plusdraconiennes pour s’en protéger. En conséquence, pour décider à bon escient de l’opportunitéet du niveau des mesures à prendre par rapport à un risque, il faut pouvoir le quantifier.

SAFEBOOK 4


27

Le risque est souvent considéré uniquement du point de vue de la gravité des blessurespotentielles en cas d’accident. Cependant, il convient de prendre en compte à la fois lagravité de ces blessures éventuelles ET la probabilité qu’elles surviennent pour appréciercorrectement le niveau de risque existant.

La méthode d’estimation du niveau de risque proposée dans les pages qui suivent ne prétendpas être absolue. Une approche différente pourra être dictée par des circonstances particu-lières. ELLE EST CONÇUE UNIQUEMENT COMME UN CANEVAS GÉNÉRAL DESTINÉ ÀFOURNIR UN CADRE DE TRAVAIL MÉTHODOLOGIQUE ET DOCUMENTAIRE.

Le système d’évaluation par points proposé utilise une échelle polyvalente. Il pourra, enconséquence, ne pas être nécessairement adapté à certaines applications particulières. Lerapport technique ISO/TR 14121-2 « Appréciation du risque – Lignes directrices pratiqueset exemples de méthodes », fournit des conseils pratiques et présente différentes méthodesd’appréciation du risque.

Les facteurs suivants sont pris en compte :• LA GRAVITE DES BLESSURES POTENTIELLES.• LA PROBABILITÉ POUR QU’ELLES SURVIENNENT.

Cette probabilité se décline en deux facteur distincts :• LA FRÉQUENCE D’EXPOSITION.• LA PROBABILITÉ DE BLESSURE.

Chaque facteur pris individuellement sera affecté d’une certaine valeur.

Il convient d’utiliser toutes les informations et expériences disponibles. Toutes les étapesdu cycle de vie de la machine sont à prendre en considération. Pour éviter de rendre lesdécisions trop complexes, celles-ci devront donc être basées sur le cas le plus défavorablepour chaque facteur.

Il faut également faire appel au bons sens. Les décisions doivent considérer ce qui estréalisable, réaliste et plausible. C’est à ce stade qu’une approche pluridisciplinaire s’avèreutile.

Il ne faudra pas oublier non plus que pour réaliser cet exercice, on doit, en général, ne pastenir compte des systèmes de protection déjà existants. Si l’estimation du niveau de risquemontre qu’un système de protection s’impose, des méthodologies, décrites plus loin dansce chapitre, pourront être utilisées pour en déterminer les caractéristiques nécessaires.

28

SAFEBOOK 4


1. Gravité des blessures potentielles

On postulera pour cette estimation que l’accident ou l’incident peut être la conséquence del’exposition au danger. L’étude approfondie de cette source de danger va permettre d’identifierle type de blessure le plus grave qu’elle puisse engendrer. Rappel : on considère pour cetteappréciation que la blessure corporelle est inévitable. Seule sa gravité entre en ligne decompte. On présume également que l’opérateur est exposé directement au mouvement ouau processus dangereux. La gravité de la blessure sera estimée selon l’échelle suivante :

• MORTELLE : décès• MAJEURE : (normalement irréversible)

Incapacité permanente, perte de la vue,amputation d’un membre, dommagespulmonaires, etc.

• GRAVE : (normalement réversible) Pertede conscience, brûlure, fracture, etc.

• MINEURE : contusions, plaies, petitesécorchures, etc.

Une valeur en points correspondant à chacunede ces descriptions, est indiquée sur legraphique.

2. Fréquence d’exposition

La fréquence d’exposition exprime la périodicité selon laquelle l’opérateur ou le personnelde maintenance se trouve exposé au danger. On peut classer la fréquence d’exposition à undanger donné selon trois niveaux :

• FRÉQUENTE : plusieurs fois par jour.• OCCASIONNELLE : quotidiennement.• RARE : une fois par semaine ou moins.


1

Mineure Grave Majeure Mortelle

3

6

10

Valuation de la gravité

1

Rare Occasionnelle Fréquente

24

Valuation de la fréquence d’exposition

SAFEBOOK 4


29

3. Probabilité de blessure

On présume que l’opérateur est exposé directement au mouvement ou au processusdangereux. En considérant la façon dont l’opérateur interagit avec la machine et certainsautres facteurs (la rapidité de démarrage, par exemple), on peut classer la probabilité deblessure selon quatre niveaux :

• PEU PROBABLE• PROBABLE• POSSIBLE• CERTAINE


Une fois une valeur attribuée à chacun des facteurs de risque, ces différentes valeurs sontcumulées pour fournir l’estimation initiale. La somme des trois composants se montera, parexemple, à 13. Cependant, il est encore nécessaire de prendre en considération quelquesfacteurs supplémentaires. (Remarque : cet exemple n’a pas nécessairement de rapport avecles illustrations précédentes).

L’étape suivante va donc consister à affiner l’estimation initiale en intégrant des facteurs supplé-mentaires tels que ceux présentés dans le tableau ci-après. Il est fréquent qu’on ne puisse lesapprécier convenablement que lorsque la machine est installée à son emplacement définitif.

Facteurs supplémentaires d’estimation du niveau de risque

1

Peu probable

Possible Probable Certaine

24

6

Valuation de la fréquence d’exposition

Facteur type Action proposée

Plus d’une personne est exposée à lasource de danger.

Multiplier le facteur de gravité par lenombre de personnes.

Présence prolongée dans la zonedangereuse sans coupure complètede l’alimentation.

Si le temps est supérieur à 15 minutes àchaque accès, ajouter 1 point au facteurde fréquence.

Opérateur sans qualification ni formation. Ajouter 2 points à la valeur totale.

Très longs intervalles de temps (ex. 1 an)entre deux accès. (Possibilité d’apparitionprogressive et non détectée de défauts,particulièrement dans les systèmes desurveillance).

Rajouter des points à la valeur du facteurde fréquence maximum.

30

SAFEBOOK 4


Les valeurs attribuées aux facteurs supplémentaires concernés sont ensuite ajoutées au totalprécédent comme indiqué ci-dessous.

Réduction du niveau de risque

Il convient maintenant de considérer à tour de rôle chaque machine et ses niveaux de risquesspécifiques, afin de prendre les mesures appropriées pour traiter chacune de ses sources dedanger.

Le tableau suivant présente de façon indicative une partie du processus documentairepermettant d’enregistrer les différents paramètres de sécurité de la machine concernée. Il peutêtre utilisé comme base de référence par les utilisateurs de machines. Les constructeurs oules fournisseurs de ces machines pourront également utiliser cette même présentation pourattester que l’ensemble de leur équipement a été évalué. Il servira également de sommairepour des rapports plus détaillés d’évaluation des risques.

Lorsqu’une machine porte déjà un marquage CE, la procédure se trouve simplifiée. Lesdangers propres à la machine ont en effet déjà été évalués par le constructeur et toutes lesmesures protectrices nécessaires ont été prises. Même lorsqu’un équipement est marqué CE,il peut cependant toujours présenter des dangers potentiels selon la nature de son applicationou du produit qu’il a à traiter. Le constructeur ne pourra en effet avoir pu tout prévoir.

6

62

4

6

8

10

12

14

16

18

20

12

Valeur finale ajustée

6

62

4

6

8

10

12

14

16

18

20

1

Valeur finale brute

SAFEBOOK 4


31

Hiérarchie des mesures de réduction des risques

Trois méthodes de base sont à considérer/utiliser, dans l’ordre de priorité suivant :

1. Éliminer ou réduire le risque le plus en amont possible (sécurité inhérente à la conceptionet à la construction de la machine) ;

2. Mettre en place des systèmes et des dispositifs de protection nécessaires (par exemple,des grilles de protection à interverrouillage, des barrières immatérielles, etc.) pour tous lesrisques qui n’ont pas pu être éliminés à la conception.

3. Informer les utilisateurs sur les risques résiduels résultant des failles éventuelles desmesures de protection mises en place. Mentionner les formations particulières qui peuventêtre nécessaires et spécifier les éventuels équipements de protection individuelle à utiliser.

Les différentes mesures de cette liste de priorités doivent être envisagées en partant du niveausupérieur. Elles doivent être mises en application chaque fois qu’il est possible de le faire. Ceciconduira en général à la mise en œuvre de plusieurs mesures de protection pour un mêmerisque.

Sécurité inhérente à la conception

Il est possible de prévenir un grand nombre des dangers potentiels lors de la phase de conceptionde la machine. Il suffira simplement de faire plus spécifiquement attention à certains paramètrescomme la nature des matériaux, les impératifs d’accès, la présence de surfaces chaudes, lesméthodes de transmission, les possibilités de piégeage, les niveaux de tension, etc.

Par exemple, s’il n’est pas nécessaire d’accéder à une zone dangereuse, la solution sera de laprotéger intérieurement dans la machine ou par une quelconque enceinte externe, fermée et fixe.

Société – MAYKIT WRIGHT LTDEtablissement – Atelier d’outillage – Usine Est.Date – 29/8/95Profil de l’opérateur – Qualifié

Identification et date de l’équipement

Tour parallèle Bloggs.N° de série 8390726Installé en 1978

Tourelle de fraisage BloggsN° de série 17304294Fabriquée en 1995Installée en mai 95

Notes

Equipement électrique conforme à BS EN 60204 avec arrêt d’urgence (remplacé en 1989)

Type de danger

Coupure par enchevêtrement mécanique

Toxique

Coupure

Ecrasement

Action requise

Installer un interrupteur de sécurité

Changer pour un type non toxique

Fournir des gants

Déplacer la machine pour donner un espace suffisant

Mis en œuvre et inspecté – Référence

11/25/94 J KershawRapport n° 9567




Identification du danger

Rotation de mandrin avec protection ouverte

Liquide de coupe

Nettoyage d’ébarbures

Mouvement du bâti (vers le mur)

Histori-que des accidents

Aucun

Aucun

Numéro du rapport d’évaluation des risquesRA302

RA416

Conformité aux directives

Aucunerevendiquée

Dir. Mach.Dir. CEM

32

SAFEBOOK 4


Systèmes et mesures de protection

Si, par contre, l’accès à cette zone dangereuse s’avère nécessaire, la situation se complique unpeu. Il faudra alors s’assurer que cet accès n’est possible que lorsque la machine ne présenteaucun danger. Des mesures de protection telles que des portes d’accès à verrouillage desécurité et/ou des systèmes à interrupteur sont nécessaires. Le choix du dispositif ou dusystème de protection à utiliser devra être majoritairement déterminé par les caractéristiquesde fonctionnement de la machine. Ce critère est extrêmement important. Un système risquantd’altérer le rendement de la machine sera en effet plus susceptible d’être démonté ou désactivésans autorisation.

Dans un tel cas, la sécurité de la machine dépendra donc de la mise en œuvre d’un systèmede protection adéquat et de son bon fonctionnement, même en cas de défaut.

Ce bon fonctionnement du système doit donc être considéré avec attention. Pour chaque typede protection, il existe généralement un choix entre plusieurs technologies apportant desniveaux de performance variables en matière de surveillance, de détection ou de préventiondes défauts.

De façon idéale, chaque système de protection devrait être absolument parfait et ne permettreen aucune façon la survenance de conditions dangereuses. En pratique cependant, les limitesprésentes des connaissances et des matériaux restreignent cela. Une autre contrainte bienréelle est le coût. Pour tenir compte de tous ces facteurs, un juste équilibre est à l’évidencenécessaire. Le simple bon sens permet de comprendre qu’il serait ridicule d’exiger que lesystème de sécurité destiné à une machine risquant, dans le pire des cas, de ne causer quedes contusions légères, soit au même niveau que celui qui est requis pour assurer le maintienen vol d’un avion gros porteur. Dans ces deux cas, les conséquences d’une défaillancen’auront rien à voir. Il est en conséquence nécessaire de définir un principe permettant dedoser l’importance des mesures de protection en fonction du niveau de risque défini lors dela phase d’évaluation des risques.

Quel que soit le type de dispositif de protection choisi, il ne faut pas oublier qu’un « systèmerelatif à la sécurité » est susceptible de regrouper un grand nombre de composants. On ytrouvera notamment les différents dispositifs de protection, le câblage, le système de coupured’alimentation et parfois même certains éléments du système de commande opérationnel dela machine. Tous les éléments constitutifs de ce système (les dispositifs de protection, leurinstallation, leur câblage, etc.) doivent présenter les caractéristiques de performance requisesselon leur conception et leur technologie. Les normes CEI/EN 62061 et EN ISO 13849-1définissent une hiérarchie de niveaux de performance pour les composants destinés à lasécurité dans les systèmes de commande. Elles fournissent par ailleurs dans leurs annexesdes méthodes d’évaluation des risques permettant de déterminer le niveau d’intégriténécessaire pour les systèmes de protection.

L’EN ISO 13849-1:2008 propose une représentation graphique évoluée des risques dans sonAnnexe A.

SAFEBOOK 4


33

La CEI 62061 propose également dans son Annexe A une méthode d’évaluation de la formeprésentée ci-dessous.

L’utilisation de l’une et l’autre de ces méthodes doit donner des résultats équivalents. Chaqueméthode est conçue en fonction de l’approche proposée par la norme à laquelle elle serattache.

Doit être défini pour chaque fonction de sécurité !

S = GravitéF = Fréquence ou durée d’expositionP = Probabilité d’évitement

P2

P1P2

P1

P2

P1P2

P1

F2

F1

F2

F1

S2

S1

Faible

Elevé

b

a

c

d

e

Niveau de performance,

PLr

Contribution à la réduction des risques

Démar-rage

N° du document :Evaluation des risques et mesures de sécurité Partie de :

Pré-évaluation des risquesEvaluation intermédiaire des rSuivi d’évaluation des risques

Conséquences GravitéSe

Décès, perte d’un œil ou d’un bras 4 <= 1 heure 5 Commun 5Permanent, perte de doigts 3 >1 h – <= jour 5 Probable 4Réversible, soins médicaux 2 >1 jour – <= 2 sem. 4 Possible 3 ImposRéversible, premiers soins 1 >2 sem. – <= 1 an 3 Rarement 2 Poss

>1 an 2 Négligeable 1 Prob

N° série

N° Dger

Source de danger Mesure de sécurité

Commentaires

Moy éviFréquence et durée, Fr

Probabilité de l’évnt de dger, Pr

Produit :

Date :Emis par :

Zone noire = Mesures de sécurité nécessaires

Classe Cl3 – 4 5 – 7 8 – 10 11 – 13 14 – 15

SIL 2OM

SIL 2

SIL 1

Fr

Zone grise = Mesures de sécurité recommandées

ClSe Pr Av

SIL 2SIL 1OM

SIL 2 SIL 3 SIL 3SIL 1 SIL 2 SIL 3OM

34

SAFEBOOK 4


Dans les deux cas, il est très important de respecter rigoureusement la démarche indiquéedans le texte de la norme. Le graphique ou le tableau des risques ne doivent pas être utiliséshors de ce contexte ou de façon trop simpliste.

Évaluation

Après avoir sélectionné la mesure de protection et avant de la mettre en œuvre, il estimportant de refaire une évaluation du risque. Cette étape de la procédure est souvent oubliée.Il peut se produire en effet, une fois une mesure de protection installée, que l’opérateur de lamachine se sente totalement protégé contre le risque envisagé à l’origine. Sa perceptioninitiale du danger se trouvant ainsi modifiée, il pourra être amené à se comporter différemmentvis à vis de la machine. Il pourra par exemple avoir tendance à s’exposer plus fréquemment audanger, ou à accéder plus profondément à l’intérieur de la machine. Cela signifie qu’en cas dedéfaillance de la mesure de protection, le risque sera encore plus grand que celui envisagéinitialement. C’est ce risque réel qui doit être estimé. En conséquence, l’évaluation du risquedoit être effectuée à nouveau en prenant en compte tout les changements envisageables decomportement du personnel vis à vis de la machine. Le résultat de cette évaluation servira àvérifier si les mesures de protection définies sont bien adaptées dans les faits. Pour plusd’informations, il est recommandé de se reporter l’Annexe A de la norme CEI/EN 62061.

Formation, équipement de protection individuelle, etc.

Il est primordial que les opérateurs reçoivent la formation nécessaire sur les procédures detravail sécurisées applicables à leur machine. Cela ne signifie pas autant que les autresmesures doivent être négligées. Il n’est pas concevable de se contenter simplement de donnerà un opérateur l’instruction de ne pas s’approcher des zones dangereuse (au lieu de mettre enplace des protections sur ces zones).

L’opérateur peut également être tenu d’utiliser certains équipements de protection individuelle,comme des gants de travail spéciaux, des lunettes de protection, un appareil respiratoire, etc.Le concepteur de la machine doit lui spécifier quels sont ces équipements nécessaires.L’utilisation d’équipements de protection individuelle ne constitue normalement pas la premièreméthode de protection. Elle viendra en complément des mesures évoquées précédemment.

SAFEBOOK 4


35

Normes

De nombreuses normes et rapports techniques fournissent des indications pour l’évaluationdes risques. Certaines sont de portée générale, d’autres s’attachent à des applicationsparticulières. La liste qui suit présente des normes contenant des informations concernantl’évaluation des risques.

ANSI B11.TR3 : (« Risk assessment and risk reduction ») – Fournit un guide pour l’estimation,l’évaluation et la réduction des risques associés aux machines-outils.

ANSI PMMI B155.1 : (« Safety Requirements for Packaging Machinery and Packaging-RelatedConverting Machinery ») – Définit des exigences de sécurité propres aux machines deconditionnement et aux machines de conversion pour le conditionnement.

ANSI RIA R15.06 : (« Safety Requirements for Industrial Robots and Robot Systems ») –Définit des règles de sécurité applicables aux robots industriels et aux systèmes robotisés.

AS 4024.1301-2006 : (« Principles of risk assessment ») – Principes d’évaluation des risqueset CSA Z432-04 (« Safeguarding of Machinery ») – Protection des machines.

CSA Z434-03 : (« Industrial Robots and Robot Systems – General Safety Requirements ») –Exigences de sécurité générales pour les robots industriels et les systèmes robotisés.

CEI/EN 61508 : Sécurité fonctionnelle des systèmes électriques,électroniques et électroniquesprogrammables relatifs à la sécurité.

CEI/EN 62061 : Sécurité des machines – Sécurité fonctionnelle des systèmes de commandeélectriques, électroniques et électroniques programmables relatifs à la sécurité.

EN ISO 13849-1 : Sécurité des machines – Parties relatives à la sécurité des systèmes decommande.

EN ISO 14121-1 : Appréciation du risque – Principes.

ISO TR 14121-2 : Appréciation du risque – Lignes directrices pratiques et exemples deméthodes.

36

SAFEBOOK 4


Mesures de protection et équipement complémentaire

Lorsque l’évaluation des risques montre qu’une machine ou un processus présente un risquede blessure corporelle, la source de danger doit être éliminée ou circonscrite. Le moyen d’yparvenir dépend du type de la machine et de celui du danger. Les mesures de protectioncombinées aux dispositifs de protection physiques ont pour but d’empêcher l’accès à la sourcedu danger ou d’empêcher tout mouvement dangereux de la machine lorsque l’accès doit êtrerendu possible. Les grilles de protection à verrouillage de sécurité, les barrières immatérielles,les tapis de sécurité, les commandes bimanuelles et les poignées « homme mort » sont desexemples de mesures de protection typiques.

Les dispositifs et systèmes d’arrêt d’urgence sont associés aux systèmes de commande desécurité, mais ils n’assurent pas une protection permanente. Ils ne doivent être considérés quecomme des mesures de protection complémentaires.

Interdiction d’accès par enceinte de protection fermée fixe

Si la source du danger se trouve dans une partie de la machine à laquelle l’accès n’est pasnécessaire, elle doit être isolée par une protection fixée de façon permanente à la machine.La dépose de ce type de protection doit nécessiter des outils. Ces dispositifs fixes doiventêtre capables de 1) résister à l’environnement dans lequel ils sont utilisés, 2) contenir lesprojections s’il y en a et 3) ne pas être eux-mêmes une source de danger, par exemple, nepas présenter de bords coupants. Ces dispositifs de protection fixes peuvent laisser un espacelibre à l’endroit de leur raccordement à la machine, ou être ajourés du fait de l’utilisation d’untreillis métallique par exemple.

Des hublots devront permettre de vérifier le bon fonctionnement de la partie de la machineconcernée lorsque nécessaire. Le matériau de ces hublots devra être choisi avec soin. L’actionchimique des huiles de coupe, les rayons ultraviolets et simplement le vieillissement pourronten effet entraîner leur dégradation dans le temps.

La taille des ouvertures ne doit pas permettre à l’opérateur d’atteindre la source de danger.Le tableau O-10 de la norme OHSA 1910.217 (f) (4), la norme ISO 13854, le tableau D-1 de lanorme ANSI B11.19, le tableau 3 de la norme CSA Z432, ainsi que la norme AS4024.1 fournis-sent des instructions sur la distance à respecter entre ces ouvertures et la source de danger.

Détection d’accès

Des mesures de protection peuvent être utilisées pour détecter les accès dans une zonedangereuse. Lorsqu’il décide d’utiliser la détection d’accès comme méthode de réduction desrisques, le concepteur doit être conscient qu’un système de sécurité complet est nécessaire.Le dispositif de protection seul ne permet pas une réduction des risques suffisante.

Ce système de sécurité sera généralement constitué de trois éléments principaux : 1) uncapteur pour détecter les accès dans la zone dangereuse, 2) un dispositif logique assurant letraitement des signaux en provenance du capteur, contrôlant l’état du système de sécurité et

SAFEBOOK 4

Équipements et mesures de protection

37

activant ou désactivant des dispositifs de sortie, et 3) un dispositif de sortie commandantl’actionneur (par exemple, le moteur).

Dispositifs de détection

Il existe de nombreux types de capteurs susceptibles de détecter la présence d’une personnepénétrant dans la zone dangereuse ou se trouvant dans cette zone. Le meilleur choix pourchaque application particulière dépendra de plusieurs facteurs :

• la fréquence d’accès ;• le délai de neutralisation de la source de danger ;• la nécessité de terminer le cycle de la machine ou non ;• le confinement des projections solides, des liquides, des aérosols, des vapeurs, etc.

Des protections mobiles adaptées pourront être interconnectées afin de fournir une protectioncontre ces projections solides, ces liquides, ces aérosols et les autres types de dangers. Cedispositif est souvent utilisé lorsque l’accès à la zone dangereuse est peu fréquent. Les grillesde protection de sécurité pourront également être maintenues verrouillées de façon à interdirel’accès tant que la machine est en fonctionnement et lorsqu’elle nécessite un temps importantpour s’arrêter.

Les dispositifs de détection de présence, tels que les barrières immatérielles, les tapis et lesscrutateurs laser, permettent l’accès rapide et facile à la zone dangereuse. Ils sont souventretenus lorsque les opérateurs doivent fréquemment accéder dans cette zone dangereuse.Ce type de dispositifs ne protège cependant pas contre les projections solides, les aérosols,les liquides ou autres dangers similaires.

La meilleure mesure de protection sera celle dans laquelle le dispositif ou le systèmesélectionné offrira une protection maximum pour une gêne minimum dans l’exploitationcourante de la machine. Tous les aspects de l’utilisation de la machine doivent être pris encompte. L’expérience montre en effet qu’un système de protection compliqué à utiliser estdavantage susceptible d’être démonté ou désactivé.

Dispositifs de détection de présence

Lorsqu’il s’agit de décider de quelle façon une zone ou une partie de la machine doit être pro-tégée, il est important de bien comprendre quelles sont les fonctions de sécurité nécessaires àmettre en œuvre. En général, au moins deux de ces fonctions seront nécessaires.

• Couper ou désactiver l’alimentation lorsqu’une personne pénètre dans la zonedangereuse.

• Empêcher la remise sous tension ou la réactivation de cette alimentation une fois quela personne se trouve à l’intérieur de la zone dangereuse.

A première vue, on pourrait penser qu’il s’agit d’une seule et même fonction. Mais il s’agit bienen fait de deux fonctions distinctes, même si elles sont manifestement liées et qu’elles sont leplus souvent assurées par le même équipement. Pour réaliser la première de ces deux

38

SAFEBOOK 4


fonction, un dispositif déclencheur sera nécessaire. En d’autres termes, il s’agira d’un dispositifdestiné à détecter qu’une personne a partiellement dépassé un certain point et à envoyeren conséquence un signal de coupure de l’alimentation. Si la personne en question est en mesure de poursuivre au-delà du point de déclenchement et que sa présence n’est en consé-quence plus détectée, la deuxième fonction (prévention de la remise sous tension) risquerade ne pas être assurée.

La figure ci-dessus présente un exemple d’accès du corps complet. Le dispositif de détection/déclenchement est une barrière immatérielle montée verticalement. Les portes d’accès à ver-rouillage de sécurité peuvent également être considérées comme des dispositifs déclencheurssimples lorsque rien n’est prévu pour empêcher la porte d’être refermée après que la personnesoit entrée dans la zone dangereuse.

Si l’accès du corps complet n’est pas possible, c’est-à-dire si la personne ne peut poursuivreau-delà du point de déclenchement, sa présence sera toujours détectée et la deuxièmefonction (prévention de la remise sous tension) sera, dans ce cas, assurée.

Pour les applications de détection d’une partie du corps seulement, les mêmes types dedispositifs seront utilisés pour assurer le déclenchement et la détection de présence. Ladifférence réside uniquement dans le type de l’application.

Les dispositifs de détection de présence sont utilisés pour détecter les intrusions depersonnes. Cette gamme de dispositifs inclut les barrières immatérielles de sécurité, lesbarrières de sécurité à faisceau unique, les scrutateurs de zone de sécurité, les tapis desécurité et les bourrelets de sécurité.

Barrières immatérielles de sécurité

On peut définir simplement les barrières immatérielles de sécurité comme des détecteursphotoélectriques de présence. Elles sont conçues particulièrement pour la protection dupersonnel contre les blessures pouvant être occasionnées par un mouvement dangereuxd’une machine. Également appelées dispositifs optoélectroniques de protection active ouéquipements de protection électro-sensibles, ces barrières immatérielles offrent une sécurité

Point de déclenchement : Début de la détection

Détecté

Source de danger

Accès d’une partie du corps

Point de déclenchement :Début de la détection

Fin de la détection

Détecté Non détecté

Sourcede danger

Accès du corps entier

SAFEBOOK 4


39

optimale tout en autorisant une productivité maximum. Elles constituent de fait une bienmeilleure solution en termes d’ergonomie par rapport aux protections de type mécanique. Elles sont particulièrement adaptées aux applications dans lesquelles le personnel doitfréquemment accéder à une zone dangereuse.

Les barrières immatérielles sont conçues et testées conformément aux normes CEI 61496-1 et -2. Il n’existe pas de version EN harmonisée de la Partie 2. L’Annexe IV de la directiveeuropéenne relative aux machines impose donc une certification par un laboratoire externepréalablement à la mise sur le marché sur le territoire de l’Union européenne de toute nouvellebarrière immatérielle. Ces laboratoires externes effectuent ce test de conformité par rapportà la norme CEI internationale. L’Underwriter’s Laboratory a également adopté la normeCEI 61496-1 comme norme de référence pour les États-Unis.

Scrutateurs laser de sécurité

Les scrutateurs laser de sécurité utilisent un miroir pivotant qui diffuse les impulsions lumi-neuses sur un arc de cercle, créant ainsi un plan de détection. L’emplacement de l’objet estdéterminé par l’angle de rotation du miroir. Utilisant la technique de mesure du « temps de trajet » d’un faisceau de lumière invisible réfléchi, le scrutateur peut également détecter la distance qui le sépare de l’objet. En intégrant la distance mesurée et l’emplacement de l’objet,le scrutateur laser peut déterminer la position exacte de cet objet.

Tapis de sécurité sensibles à la pression

Ces dispositifs sont utilisés pour la protection d’une zone au sol autour d’une machine. Unréseau de tapis interconnectés peut être disposé tout autour de la zone dangereuse. Toutepression détectée en n’importe quel point de ce réseau (par exemple le pas d’un opérateur)entraînera la coupure de la source d’alimentation par le dispositif de contrôle du tapis. Lestapis sensibles à la pression sont fréquemment utilisés dans des zones fermées contenantplusieurs machines, des cellules de fabrication flexible ou autres applications robotiques, parexemple. Lorsqu’il est nécessaire d’accéder à l’intérieur de la cellule (pour le réglage ou« l’apprentissage » du robot par exemple), ils interdisent tout mouvement dangereux au casoù l’opérateur s’écarte de la zone de sécurité, ou s’il doit accéder à l’arrière d’un équipement.

La taille et le positionnement des tapis doivent tenir compte de la distance de sécurité.

Bourrelets sensibles à la pression

Ces dispositifs se présentent sous forme de bordures souples pouvant être montées sur lerebord d’une pièce mobile, telle qu’une table élévatrice ou une porte motorisée, présentant unrisque d’écrasement ou de sectionnement.

Si cette pièce mobile vient à heurter un opérateur (et inversement), le bourrelet sensible setrouvera comprimé et déclenchera la coupure de l’alimentation de la machine. Les bourreletssensibles peuvent également être utilisés comme protection en cas de risque de coincementde l’opérateur. Si cela se produit, le contact avec le bourrelet sensible entraînera la coupure del’alimentation de la machine.

40

SAFEBOOK 4


On trouve différentes technologies de bourrelets de sécurité. L’une des plus répandue consisteà insérer ce qui est en fait un long interrupteur à l’intérieur du bourrelet. Cette technologieproduit des bourrelets rectilignes et utilise généralement une connectique à 4 fils.

Les barrières immatérielles, les scrutateurs, les tapis de sol et les bourrelets sensibles sontclassés comme « dispositifs déclencheurs ». Ils n’interdisent pas le passage. Ils se bornentà le « détecter ». Le maintien de la sécurité est totalement dépendant de leur capacité àeffectuer la détection des intrusions et à couper la source d’alimentation. Ils ne conviennentgénéralement qu’à des machines ayant une capacité d’arrêt dans un délai raisonnablementcourt après la coupure de leur source d’alimentation. Du fait qu’un opérateur peut avancer oupénétrer sans restriction dans la zone dangereuse, il est à l’évidence impératif que le tempsnécessaire à l’arrêt du mouvement de la machine soit inférieur à celui qui est nécessaire à cetopérateur pour atteindre le cœur de la zone dangereuse après déclenchement du dispositif.

Interrupteurs de sécuritéLorsqu’il n’est pas nécessaire d’accéder fréquemment à la machine, les protections de typemobiles (manœuvrables) sont généralement préférées. Le dispositif de protection est intercon-necté à la source d’alimentation de l’organe dangereux de telle façon que cette alimentation setrouve désactivée lorsque grille de protection est ouverte. Cette approche suppose le montaged’un interrupteur de sécurité sur la grille de protection. La commande d’alimentation de lasource de danger est interfacée avec le circuit de l’interrupteur. La source d’alimentation est leplus souvent électrique, mais elle peut également être pneumatique ou hydraulique. Lorsquele mouvement (l’ouverture) de la grille de protection est détecté, l’interrupteur de sécuritécoupe la source d’alimentation, soit directement, soit par l’intermédiaire d’un contacteur depuissance (ou d’une vanne).

Certains interrupteurs de sécurité incorporent en outre un système de maintien du verrouillagequi bloque la grille en position fermée et interdit son ouverture tant que la machine n’est paspassée en conditions de sécurité. Dans la majorité des applications, l’utilisation combinéed’une protection mobile et d’un interrupteur de sécurité, avec ou sans verrouillage, constitue lameilleure solution en termes de fiabilité et de coût.

Il existe une grande variété d’interrupteurs de sécurité, notamment :

• les interrupteurs de sécurité à broche – Le principe de ces dispositifs consiste àutiliser un actionneur en forme de broche qui pénètre ou sort de l’interrupteur ;

• les interrupteurs de sécurité à came – Ces dispositifs se positionnent sur l’axe de lacharnière d’une grille de sécurité et sont actionnés par l’ouverture de celle-ci ;

• les interrupteurs de sécurité à verrouillage – Destinés aux applications danslesquelles il est nécessaire de verrouiller la barrière en position fermée ou de retarderson ouverture. Les dispositifs répondant à cette exigence sont appelés interrupteursde sécurité à verrouillage. Ils conviennent particulièrement aux machines dont l’arrêtn’est pas instantané. Mais ils peuvent également apporter un niveau de protectionsupplémentaire à nombre d’autres types de machine.

SAFEBOOK 4


41

• Interrupteurs de sécurité sans contact – Ces dispositifs n’ont pas besoin d’uncontact physique pour être actionnés. Certaines versions incluent une fonction decodage permettant une meilleure protection contre les modification indésirables.

• Verrouillages de position (interrupteurs de fin de course) – Des actionneursutilisant une came à déplacement linéaire ou rotatif constituent généralement leprincipe de ces interrupteurs de fin de course (ou de position) à mode positif. Ilssont généralement utilisés sur les grilles de protection coulissantes.

• Interrupteurs à clé captive – Les clés captives peuvent servir pour le verrouillagedu signal de commande comme pour le verrouillage de l’alimentation. Dans le cas d’un verrouillage du circuit de commande, l’interrupteur de verrouillage envoie unecommande d’arrêt à un dispositif (relais) intermédiaire. À son tour, celui-ci agit sur unautre dispositif permettant de couper l’alimentation de l’actionneur. Dans le cas d’unverrouillage de l’alimentation, la commande d’arrêt interrompt directement la sourced’alimentation des actionneurs de la machine.

Dispositifs d’interface opérateurFonction d’arrêt – Aux États-Unis, au Canada, en Europe et au niveau international engénéral, il existe une harmonisation des normes décrivant les catégories d’arrêt des machinesou des systèmes de fabrication.

Remarque : ces catégories sont cependant différentes des Catégories définies par la normeEN 954-1 (ISO 13849-1). On se reportera aux normes NFPA 79 et CEI/EN 60204-1 pour desdétails complémentaires. Les arrêts sont classés en trois catégories :

La Catégorie 0 correspond à une coupure instantanée de l’alimentation des actionneurs dela machine. On considère dans ce cas que l’arrêt n’est pas contrôlé. Une fois l’alimentation coupée, aucune action de freinage de type électrique ne pourra en effet être utilisée. Cecise traduira par un arrêt en roue libre des moteurs jusqu’à leur immobilisation définitive qui sur-viendra après une période relativement longue. Dans certains cas, des produits en cours detraitement pourront tomber de la machine car ses organes internes de transfert et de maintienne seront plus alimentés. Des moyens d’arrêt mécanique, n’utilisant pas d’énergie électrique,peuvent cependant être utilisés dans le cadre d’un arrêt de Catégorie 0. Un arrêt de Catégo-rie 0 sera prioritaire sur des arrêts de Catégorie 1 ou de Catégorie 2.

La Catégorie 1 correspond à un arrêt contrôlé avec maintien de l’alimentation sur lesactionneurs de la machine pour pouvoir forcer cet arrêt. Une fois l’arrêt effectif, l’alimentationest alors coupée sur les actionneurs. Cette catégorie d’arrêt permet d’interrompre rapidementun mouvement présentant un danger en utilisant un freinage électrique, puis de couperl’alimentation des actionneurs.

La Catégorie 2 correspond à un arrêt contrôlé avec maintien de l’alimentation sur lesactionneurs de la machine. Une procédure d’arrêt de production normale est considéréecomme un arrêt de Catégorie 2.

Ces catégories d’arrêt doivent s’appliquer à chaque fonction d’arrêt. Une fonction d’arrêtdésigne l’action réalisée par la partie sécurité d’un système de commande en réponse à un

42

SAFEBOOK 4


signal d’entrée. Seules les catégories 0 ou 1 sont concernées. Ces fonctions d’arrêt doiventêtre prioritaires sur les fonctions de démarrage correspondantes. Le choix de la catégoried’arrêt à appliquer à chaque fonction d’arrêt doit être déterminé par l’évaluation des risques.

Fonction d’arrêt d’urgence

La fonction d’arrêt d’urgence doit être configurée comme un arrêt de Catégorie 0 ou 1, enfonction de l’évaluation des risques. Elle doit pouvoir être initiée par une action humaineunique. Une fois déclenchée, elle sera prioritaire sur toutes les autres fonctions et modes defonctionnement de la machine. Son objectif est de couper l’alimentation le plus vite possiblesans créer de dangers supplémentaires.

Il n’y a pas si longtemps, il était encore obligatoire d’utiliser des composants électroméca-niques câblés pour ces circuits d’arrêt d’urgence. Les évolutions récentes des normes, commecelles apportées par la CEI 60204-1 et la NFPA 79, ont introduit la possibilité d’utiliser pour lecircuit d’arrêt d’urgence des automates de sécurité et autres formes de logique électronique,sous réserve qu’ils soient conformes aux normes applicables comme la CEI 61508.

Dispositifs d’arrêt d’urgence

Chaque fois qu’il existe un risque de danger pour les opérateurs sur une machine, celle-ci doitêtre munie d’un dispositif d’arrêt d’urgence facilement et rapidement accessible. Le dispositifd’arrêt d’urgence doit être opérationnel en permanence et disponible instantanément. Le pupi-tre opérateur doit être équipé d’au moins un tel dispositif d’arrêt d’urgence. Des dispositifs supplémentaires peuvent être implantés en d’autres endroits selon les besoins. Ces dispositifsd’arrêt d’urgence se présentent sous diverses formes. Les interrupteurs à boutons-poussoirset les systèmes d’arrêt d’urgence à câble sont des exemples de dispositifs parmi les plus fréquemment utilisés. Lorsque le dispositif d’arrêt d’urgence est actionné, il doit rester enclen-ché. Il ne devra pas être possible de générer la commande d’arrêt tant que ce verrouillagen’est pas réalisé. Le réarmement de ce dispositif d’arrêt d’urgence ne doit pas créer de situa-tion dangereuse. Le redémarrage de la machine devra faire l’objet d’une action distincte et délibérée de l’opérateur.

Pour plus d’informations sur les dispositifs d’arrêt d’urgence, consulter les normes ISO/EN 13850,CEI 60947-5-5, NFPA 79 et CEI 60204-1, AS4024.1, Z432-94.

Boutons d’arrêt d’urgence

Les dispositifs d’arrêt d’urgence sont considérés comme des équipements de protectioncomplémentaires. Il n’entrent pas dans la catégorie des dispositifs de protection principauxcar ils n’empêchent pas l’accès à une source de danger et ne détectent pas l’intrusion dansune zone dangereuse.

Ils se présentent le plus souvent sous forme d’un bouton-poussoir de couleur rouge ressem-blant à un champignon et monté sur un boîtier de couleur jaune. L’opérateur peut ainsi taperdessus en cas de danger. Ces dispositifs doivent être placés aux points stratégiques et ennombre suffisant autour de la machine, de façon à qu’il y en ait toujours un à portée de mainà proximité des zones dangereuses.

SAFEBOOK 4


43

Ces boutons d’arrêt d’urgence doivent être facilement accessibles et doivent être utilisablesdans tous les modes de fonctionnement de la machine. Lorsqu’un bouton-poussoir est utilisécomme dispositif d’arrêt d’urgence, il doit être de forme champignon (ou de type coup-de-poing), de couleur rouge sur un fond jaune. Lorsque ce bouton est actionné, les contactscorrespondant doivent changer d’état simultanément à son verrouillage en position enfoncée.

Une nouvelle technique est maintenant utilisée avec ces dispositifs d’arrêt d’urgence. Il s’agitde l’auto-surveillance. Un contact supplémentaire est alors rajouté à l’arrière du dispositif. Il apour but de contrôler la présence des composants à l’arrière du panneau. On parle alors debloc de contact à auto-surveillance. Il s’agit d’un contact actionné par un ressort qui se fermequand le bloc de contact est mis en place sur le panneau. La figure 80 montre ce contactd’auto-surveillance monté en série avec un des contacts de sécurité à ouverture directe.

Arrêts d’urgence à câble

Dans le cas de machines comme des convoyeurs à bande, il est souvent plus pratique et plusefficace d’utiliser un système d’arrêt d’urgence à câble courant tout le long de la zone dange-reuse. Ce type de dispositif utilise un câble en acier raccordé à des interrupteurs verrouillablesà traction. Dès qu’une traction est exercée sur le câble dans n’importe quelle direction et àn’importe quel point de sa longueur, elle déclenche l’interrupteur qui coupe l’alimentation de lamachine.

Ces dispositifs doivent être capables de détecter à la fois les tensions exercées sur le câbleet son ramollissement. La détection de manque de tension du câble permet de s’assurer qu’iln’est pas coupé et qu’il est en état de fonctionnement normal.

La longueur du câble a une incidence sur les performances du dispositif. Pour les petiteslongueurs, l’interrupteur de sécurité est monté à une extrémité et un ressort de tension est fixéà l’autre extrémité. Pour les grandes longueurs, un interrupteur de sécurité doit être placé àchaque extrémité du câble afin de garantir qu’une action unique de l’opérateur permette biende déclencher la commande d’arrêt. La force exercée sur le câble ne doit pas dépasser 200 N.La flèche maximum au point milieu de la distance entre deux supports de ce câble ce ne doitpar ailleurs pas excéder 400 mm.

Commandes bimanuelles

L’utilisation de commandes nécessitant les deux mains (ou commandes bimanuelles) constitueune solution traditionnellement utilisée pour empêcher l’accès à la machine lorsque celle-ciprésente un danger. Deux commandes doivent être actionnées de façon combinée (à moinsde 0,5 secondes d’intervalle) pour pouvoir démarrer la machine. Ceci assure que les deuxmains de l’opérateur sont mobilisées dans une zone sécurisée (en l’occurrence, sur lescommandes). Elles ne peuvent en conséquence pas se trouver dans la zone dangereuse. Lescommandes doivent être actionnées de façon continue tant que le danger est présent. Lefonctionnement de la machine doit cesser dès qu’une des commandes est relâchée. Si l’unedes commandes est relâchée, l’autre devra également l’être avant de pouvoir redémarrer lamachine.

44

SAFEBOOK 4


Tout système bimanuel est très largement tributaire de la rigueur de détection des défauts parson système de commande et de surveillance. Il est de ce fait essentiel que des réquisitionstrès précises aient été définies pour cela lors de la conception de ce système. Les perfor-mances d’un système de sécurité bimanuel sont classées par types selon la norme ISO 13851(EN 574). Comme on le voit dans le tableau ci-dessous, ces types sont eux-même rattachésaux Catégories de la norme ISO 13849-1. Les types les plus courants en matière de sécuritédes machines sont les types IIIB et IIIC. Le tableau suivant montre les relations existant entreles types et les catégories de performance de sécurité.

L’organisation ergonomique du pupitre doit empêcher toute manœuvre inappropriée (actionne-ment par la main et le coude, par exemple). Ceci peut être obtenu par un espacement adaptéou par des écrans de séparation. La machine ne doit pas pouvoir enchaîner deux cyclesconsécutifs sans que les deux boutons de commande aient d’abord été relâchés puis action-nés à nouveau. Ceci est destiné à empêcher le blocage simultané des deux boutons afin delaisser tourner la machine en continu. Le relâchement de l’un des deux boutons doit entraînerl’arrêt de la machine.

L’utilisation d’une commande bimanuelle doit être envisagée avec discernement car ellen’écarte généralement pas tous les risques existants. La commande bimanuelle ne protèged’autre part que la personne qui l’utilise. Cet opérateur doit donc être à même de surveillertous les accès à la zone dangereuse, les autres personnes ne bénéficiant pas nécessairementd’une protection.

La norme ISO 13851 (EN 574) fournit des recommandations supplémentaires concernant lescommandes bimanuelles.

Poignées de sécurité

Les poignées de sécurité permettent à l’opérateur de pénétrer dans la zone dangereuselorsque la source de danger est active. Elle ne restera que s’il maintient la commande de lapoignée de sécurité en position d’activation. Ces poignées de sécurité peuvent utiliser desinterrupteurs à deux ou trois positions. Les interrupteurs à deux positions sont désactivéslorsqu’ils ne sont pas actionnés et activés lorsqu’ils sont actionnés. Les interrupteurs à

Prescriptions

Types

I IIIII

A B C

Activation synchrone X X X

Utilisation de la Catégorie 1 (selon l’ISO 13849-1) X X

Utilisation de la Catégorie 3 (selon l’ISO 13849-1) X X

Utilisation de la Catégorie 4 (selon l’ISO 13849-1) X

SAFEBOOK 4


45

trois positions sont désactivés lorsqu’ils ne sont pas actionnés (position 1), activés lorsqueleur actionneur est maintenu en position centrale (position 2) et désactivés lorsqu’il est pousséau-delà de la position médiane (position 3). De plus, lorsqu’ils repassent de position 3 enposition 1, leur circuit de sortie ne doit pas se refermer lors du passage par la position 2.

Ces poignées de sécurité doivent être utilisées en parallèle à d’autres fonctions de sécurité.Un exemple type de leur application est le passage du mouvement en fonctionnement lentrégulé. Une fois la machine ainsi placée en mode de fonctionnement lent, un opérateur pourrapénétrer dans la zone dangereuse en tenant à la main la poignée de sécurité.

Lorsqu’une poignée de sécurité est utilisée, un signal doit indiquer qu’elle est active.

Dispositifs logiques

Les dispositifs logiques jouent un rôle central dans la partie sécurité du système de com-mande. Ces dispositifs assurent le contrôle et la surveillance du système de sécurité et autori-sent le démarrage de la machine ou l’exécution des commandes d’arrêt de cette machine.

Il existe toute une gamme de dispositifs logiques permettant de créer une architecture desécurité adaptée à la complexité et aux fonctionnalités requises par la machine. Des petitsrelais de surveillance de sécurité câblés seront plus économiques pour les petites machinessur lesquelles un dispositif logique dédié simple est nécessaire pour assurer la fonction desécurité. Des relais de surveillance de sécurité modulaires et configurables seront préférablesdans le cas où des dispositifs de protection variés et nombreux, ainsi qu’une commande dezone minimale, sont requis. Pour les machines de taille moyenne à grande, ainsi que pourcelles présentant encore plus de complexité, les systèmes programmables avec E/Sdistribuées seront les mieux adaptés.

Relais de surveillance de sécurité

Les modules de surveillance de sécurité à relais de type MSR (monitoring safety relay) jouentun rôle clé dans de nombreux systèmes de sécurité. Ces modules sont généralement compo-sés de plusieurs relais à guidage positif et d’un circuit complémentaire destiné à assurer l’exé-cution de la fonction de sécurité.

Les relais à guidage positif sont des relais spécialisés de forme cubique. Ces relais à guidagepositif doivent être conformes aux exigences de performance de la norme EN 50025. Ils ontprincipalement pour fonction d’empêcher les contacts normalement fermés et normalementouverts de se trouver fermés simultanément. Dans les conceptions les plus récentes, lessorties électromécaniques sont remplacées par des sorties de sécurité statiques.

Les relais de surveillance de sécurité réalisent diverses vérifications du système de sécurité.A la mise sous tension, ils effectuent un auto-contrôle de leurs composants internes. Lorsqueles dispositifs d’entrée sont activés, le relais MSR compare l’état des entrées redondantes. S’ilest conforme, le relais MSR vérifie les actionneurs externes. Si le résultat est positif, le relaisattend alors un signal de réinitialisation pour activer ses sorties.

46

SAFEBOOK 4


Le choix du relais de sécurité approprié dépend de plusieurs facteurs : le type des dispositifscontrôlés, le type de réinitialisation effectuée, le nombre et le type de sorties.

Types d’entrées

Les dispositifs de protection utilisent différentes méthodes pour signaler qu’un défaut s’estproduit :

Interrupteurs à contacts et arrêts d’urgence : contacts mécaniques mono-voie avec uncontact normalement fermé, ou à deux voies normalement fermées. Le relais MSR doitpouvoir accepter une ou deux voies et permettre la détection des erreurs de croisement surles systèmes à deux voies.

Interrupteurs sans contacts et arrêts d’urgence : contacts mécaniques, deux voies, uncontact normalement ouvert et un normalement fermé. Le relais MSR doit être capable detraiter des entrées complémentaires.

Interrupteurs à sortie statique : les barrières immatérielles, les scrutateurs laser et lesdispositifs statiques sans contacts ont deux sorties PNP et assurent eux-mêmes la détectiondes erreurs de croisement. Le relais MSR doit être capable d’ignorer la procédure de détectiondes erreurs de croisement du dispositif.

Tapis sensibles à la pression : Ces tapis créent un court-circuit entre deux voies. Le relaisMSR doit être capable de supporter ces courts-circuits répétés.

Bourrelets sensibles à la pression : certains bourrelets sont conçus de la même façon queles tapis à 4 fils. Certains autres utilisent un dispositif à deux fils qui crée une variation derésistance dans le circuit. Le relais MSR doit être capable de détecter un court-circuit ou unevariation de résistance.

Signal en tension : mesure la FCEM d’un moteur pendant la décélération. Le relais MSR doitêtre capable de supporter des tensions élevées, mais aussi de détecter les basses tensionslorsque le moteur décélère.

Mouvement arrêté : le relais MSR doit être capable de détecter les flux d’impulsionsprovenant de capteurs divers et redondants.

Commande bimanuelle : le relais MSR doit être capable de détecter les entréescomplémentaires normalement ouvertes et normalement fermées. Il doit pouvoir assurerégalement une temporisation de 0,5 s ainsi qu’un séquencement logique.

Les relais de surveillance de sécurité doivent être conçus pour interfacer spécifiquementchacun de ces types de dispositifs aux caractéristiques électriques différentes. Certains relaisMSR ont la possibilité de recevoir différents types d’entrées. Mais une fois qu’un dispositifparticulier est sélectionné, le relais ne pourra dialoguer qu’avec lui. Le concepteur doit doncchoisir un relais MSR compatible avec le type d’entrée qu’il souhaite.

SAFEBOOK 4


47

Impédance d’entrée

L’impédance d’entrée des relais de surveillance de sécurité détermine le nombre de capteurspouvant être raccordés au relais et la distance jusqu’à laquelle ils peuvent être montés. Parexemple, un relais de sécurité aura une impédance d’entrée maximale autorisée de 500 ohms(~). Lorsque l’impédance d’entrée sera supérieure à 500 Ω, les sorties ne seront pas activées.L’utilisateur doit donc veiller à ce que l’impédance d’entrée reste inférieure à la valeur maximumspécifiée. La longueur, la section et le type du câblage utilisés affectent l’impédance d’entrée.

Nombre de dispositifs d’entrée (capteurs)

La procédure d’évaluation des risques sera utilisée pour déterminer le nombre de capteursdevant être raccordés à chaque unité MSR, ainsi que la fréquence de vérification de cesentrées. Pour s’assurer que les contacteurs d’arrêt d’urgence et les interrupteurs de sécuritésont toujours opérationnels, leur bon fonctionnement doit être contrôlé à intervalles réguliers,suivant la fréquence définie lors de l’évaluation des risques. Par exemple, une entrée derelais MSR à deux voies raccordée à une grille de protection à verrouillage de sécurité devantêtre ouverte à chaque cycle de la machine (c’est-à-dire plusieurs fois par jour) ne justifierapas nécessairement un contrôle spécifique. La raison en est que l’ouverture de la grille deprotection déclenchera l’auto-contrôle par le relais de ses entrées et de ses sorties (selon laconfiguration) afin de détecter tout éventuel défaut individuel. Plus la grille de protection seraouverte fréquemment, plus la rigueur de la procédure de contrôle sera élevée.

Autre exemple : les arrêts d’urgence. Étant, par définition, utilisés principalement en cas d’ur-gence, ils sont susceptibles d’être beaucoup moins sollicités. C’est pourquoi leur bon fonction-nement devra être vérifié suivant un programme de test prévoyant leur actionnement à inter-valles réguliers. Ce type de contrôle du fonctionnement du système de sécurité s’appelle untest de sécurité. La périodicité de réalisation de ces tests est appelée intervalle entre tests devalidité. Troisième exemple : les trappes d’accès permettant le réglage des machines. Commeles interrupteurs d’arrêts d’urgence, elles peuvent être que rarement utilisées. Là encore, unprogramme de vérification de la fonction de sécurité à intervalles réguliers doit être défini.

L’évaluation des risques permet de déterminer si les capteurs concernés ont besoin d’êtrecontrôlés et à quelle fréquence. Plus le niveau de risque est élevé, plus les exigences serontimportantes pour cette procédure de contrôle. Par ailleurs, moins la fréquence des contrôles« automatiques » sera élevée, plus on devra s’imposer de contrôles « manuels » fréquents.

Détection des erreurs de croisement sur les entrées

Dans les systèmes à deux voies, les défauts provenant de courts-circuits entre les voies,également appelés erreurs de croisement, doivent être identifiés par le système de sécurité.Cette fonction est réalisée soit par le capteur, soit par le relais de surveillance de sécurité.

Les relais de surveillance de sécurité utilisant des microprocesseurs, comme avec les bar-rières immatérielles, les scrutateurs laser et les capteurs sans contact évolués, peuvent détecter ces courts-circuits de différentes façons. L’une des méthodes la plus classique de

48

SAFEBOOK 4


détection de ces erreurs de croisement consiste à effectuer un contrôle par impulsions déca-lées. La fréquence d’impulsion des signaux de sortie est très élevée. Les impulsions de lavoie 1 sont décalées par rapport à celles de la voie 2. Si un court-circuit se produit, ces impul-sions deviennent simultanées, ce qui peut être détecté par le dispositif.

Les relais de surveillance de sécurité électromécanique utilisent une technique de contrôle dif-férentiel différente : ils contrôlent une entrée à enclenchement et une entrée à déclenchement.Un court-circuit entre la voie 1 et la voie 2 actionnera le dispositif de protection contre les surintensités et le système de sécurité arrêtera la machine.

Sorties

Les relais de surveillance de sécurité peuvent avoir un nombre varié de sorties. Le types deces sorties permet de déterminer le relais MSR à utiliser pour chaque application particulière.

La plupart des relais MSR possèdent au moins 2 sorties de sécurité à fonctionnementinstantané. Les sorties de sécurité de ces relais sont caractérisées comme normalementouvertes. Elles sont par ailleurs considérées comme sorties de sécurité du fait de leurfonctionnalités de redondance et d’auto-contrôle interne. Les sorties temporisées constituentun second type de sortie. Ces sorties temporisées sont généralement utilisées pour les arrêtsde Catégorie 1, lorsque la machine a besoin d’un certain temps pour exécuter sa fonctiond’arrêt avant d’autoriser l’accès à la zone dangereuse. Les relais MSR possèdent égalementdes sorties auxiliaires. Celles-ci sont généralement définies comme normalement fermées.

Puissance de sortie nominale

Les caractéristiques de puissance de sortie nominales indiquent la capacité de commutationde charge d’un dispositif de protection. Habituellement, dans le cas de dispositifs industriels,ces puissances sont définies pour des circuits résistifs ou électromagnétiques (inductifs). Unecharge résistive pourra, par exemple, être constituée par un élément chauffant. Les chargesélectromagnétiques sont généralement constituées par des relais, des contacteurs ou desélectroaimants présentant un fort caractère inductif. L’annexe A de la norme CEI 60947-5-1décrit les caractéristiques des différentes charges. Ces informations sont égalementmentionnées au chapitre « Principes » du catalogue des équipements de sécurité.

Code d’identification : Le code d’identification est constitué d’une lettre suivie d’un chiffre,par exemple A300. La lettre se rapporte à l’intensité thermique conventionnelle en boîtierfermé et indique si ce courant est continu ou alternatif. Dans l’exemple, la lettre A indique uncourant alternatif de 10 ampères. Le chiffre indique la tension d’isolation. Dans l’exemple,300 représente 300 V.

Usage : Les catégories d’usage désignent les types de charges que le dispositif peutcommuter. Les catégories d’usage selon la norme CEI 60947-5 sont répertoriées dans letableau suivant.

SAFEBOOK 4


49

Intensité thermique, Ith : l’intensité thermique conventionnelle en boîtier fermé correspondà la valeur de courant utilisée pour les essais d’échauffement de l’équipement monté dans unboîtier particulier.

Tension (Ue) et intensité (Ie) nominales de fonctionnement : L’intensité et la tensionnominales de fonctionnement définissent la capacité de commutation, à la fermeture comme àl’ouverture, en conditions de fonctionnement normal. Les produits Allen-Bradley Guardmastersont, par exemple, spécifiquement conçus pour 125 V c.a., 250 V c.a. et 24 V c.c. Consulterl’usine en cas d’utilisation à des tensions autres que ces valeurs nominales spécifiées.

VA : les caractéristiques VA (Volt-Ampère) définissent la puissance apparente nominale decommutation, à la fermeture comme à l’ouverture du circuit.

Exemple n° 1 : une classification A150, AC-15 indique que les contacts peuvent fermer uncircuit de 7 200 VA. Sous 120 V c.a., ces contacts pourront fermer un circuit avec un courantd’appel de 60 A. AC-15 faisant référence à une charge électromagnétique, ces 60 A nes’appliqueront que pendant une courte durée. Ils correspondent donc au courant d’appel dela charge électromagnétique. La puissance de coupure du circuit n’est que de 720 VA, carl’intensité de la charge inductive en régime établi est de 6 A. Cette valeur constitue l’intensitéde service nominale.

Usage Description de la charge

AC-12 Commande de charges résistives et statiques avec isolement par opto-coupleurs

AC-13 Commande de charges statiques avec isolement par transformateur

AC-14 Commande de petites charges électromagnétiques(inférieures à 72 VA)

AC-15 Charges électromagnétiques supérieures à 72 VA

DC-12 Commande de charges résistives et statiques avecisolement par opto-coupleurs

DC-13 Commande d’électroaimants

DC-14 Commande de charges électromagnétiques pourvuesde résistances de limitation dans leur circuit

50

SAFEBOOK 4


Exemple n° 2 : une classification N150, DC-13 indique que les contacts peuvent fermer uncircuit de 275 VA. Sous 125 V c.a., ces contacts pourront fermer un circuit de 2,2 A. En courantcontinu, il n’existe pas de courant d’appel pour les charges électromagnétiques, comme encourant alternatif. La coupure du circuit supportera également 275 VA, car l’intensité de lacharge électromagnétique en régime établi est de 2,2 A. Cette valeur constitue l’intensité deservice nominale.

Redémarrage de la machine

Si, par exemple, une grille de protection à verrouillage de sécurité est ouverte alors que lamachine est en fonctionnement, le contacteur d’interverrouillage provoquera son arrêt. Dansla plupart des cas, il sera impératif que la machine ne puisse pas redémarrer directementsitôt la grille refermée. Un moyen classique de réaliser cela consiste à utiliser un systèmede démarrage à contacteur à verrouillage.

L’appui et le relâchement du bouton de démarrage excite momentanément la bobine de commande du contacteur, laquelle ferme les contacts d’alimentation. Tant que ces contactsd’alimentation seront fermés, la bobine de commande restera alimentée (verrouillée électrique-ment) par l’intermédiaire des contacts auxiliaires du contacteur qui sont couplés mécanique-ment aux contacts d’alimentation. Toute interruption de l’alimentation électrique principale oudu système de commande entraînera la désactivation de la bobine et l’ouverture des contactsd’alimentation principale et des contacts auxiliaires. Le système d’interverrouillage de la grillede protection est relié au circuit de commande du contacteur. Cela implique que pour redémar-rer la machine, il faudra refermer la grille puis réactiver le bouton de démarrage normal destinéà réarmer le contacteur et à démarrer la machine.

Le paragraphe 3.22.4 de la norme ISO 12100-1 définit clairement les conditions de fonctionne-ment normales de ce système d’interverrouillage (extrait) :

« Lorsque la grille est en position fermée, le fonctionnement à caractère dangereux de lamachine par rapport auquel elle assure sa protection, peut se dérouler. Mais la fermeturede la grille ne peut pas, en elle-même, l’initier. »

Un grand nombre de machines sont dotées de contacteurs simples ou doubles, ayant unfonctionnement identique à celui décrit précédemment (ou utilisent un système permettantd’obtenir le même résultat). Lorsqu’on installe un dispositif d’interverrouillage de sécuritésur une machine existante, il est nécessaire de déterminer si le système d’alimentation decommande électrique est compatible avec ses caractéristiques. Au besoin, il faudra mettreen place des mesures d’adaptation complémentaires.

Fonctions de réarmement

Les relais de surveillance de sécurité Guardmaster d’Allen-Bradley sont conçus soit avec unréarmement manuel surveillé, soit avec un réarmement automatique/manuel.

SAFEBOOK 4


51

Réarmement manuel surveillé

Le réarmement manuel surveillé nécessite que l’état du circuit de réarmement soit modifiéaprès fermeture de la grille ou du réarmement du contacteur d’arrêt d’urgence. Les contactsauxiliaires normalement fermés à couplage mécanique des commutateurs d’alimentation sontbranchés en série avec un bouton-poussoir à impulsion. Lorsque la grille a été ouverte, puisrefermée, le relais de sécurité n’autorisera pas le redémarrage de la machine tant qu’il n’y apas eu de changement d’état de ce bouton de réarmement. Ceci est conforme à l’esprit desexigences de réarmement manuel supplémentaire définies par la norme EN ISO 13849-1.Concrètement, la fonction de réarmement doit garantir que les deux contacteurs sont à l’étatOFF et que les deux circuits d’interverrouillage (et donc les grilles de protection) sont fermés.Elle doit également garantir que l’actionneur de réarmement n’a pas été, de quelque façon,contourné ou bloqué (puisqu’un changement de son état est obligatoire). Si ces tests sontpositifs, la machine pourra être redémarrée normalement. La norme EN ISO 13849-1mentionne comme critère de ce changement d’état le passage de l’état sous tension à l’étathors tension. Mais le même principe de protection pourra également être obtenu par l’actioninverse.

L’interrupteur de réarmement devra être placé en un point permettant à l’opérateur d’avoir unebonne visibilité sur la source du danger. Ceci afin de lui permettre de vérifier que la zone esttotalement dégagée avant la remise en route.

Réarmement automatique/manuel

Certains relais de sécurité sont dotés d’un réarmement automatique/manuel. Le mode deréarmement manuel n’est pas surveillé et le réarmement se produit lorsqu’on appuie sur lebouton de démarrage. Un tel interrupteur de réarmement ne sera pas détecté comme étanten court-circuit ou coincé. Cette approche ne permet donc pas a priori de répondre auxexigences de réarmement manuel supplémentaire définies par la norme EN ISO 13849-1,à moins d’avoir recours à des dispositifs complémentaires.

De même, le circuit de réarmement pourra être ponté, permettant un réarmement automatiquedirect. L’utilisateur doit alors prévoir un autre mécanisme pour empêcher le redémarrage de lamachine lors de la fermeture de la grille.

Un dispositif à réarmement automatique ne nécessite aucune action (interrupteur) supplémen-taire. Néanmoins, après désactivation du système, il contrôlera systématiquement l’intégrité decelui-ci avant de procéder au réarmement. Un système à réarmement automatique ne doit pasen effet être confondu avec un dispositif dépourvu de toutes fonctionnalités de réarmement.Dans ce dernier cas, le système de sécurité sera directement remis en service après sa dés-activation, mais il n’y aura pas de contrôle de son intégrité.

L’interrupteur de réarmement devra être placé à un point permettant à l’opérateur d’avoir unebonne visibilité sur la source du danger. Ceci afin de lui permettre de vérifier que la zone esttotalement dégagée avant le redémarrage.

52

SAFEBOOK 4


Protection à commande directe

Une protection à commande directe arrête la machine lorsque la grille est ouverte. Elle la redé-marre directement dès que la grille est refermée. L’emploi de ces protections à commande di-recte n’est permis que dans des conditions très restreintes. Elles ne peuvent en effet empêcherles redémarrages intempestifs, ni les défaillances dans la procédure d’arrêt, ce qui peuvents’avérer extrêmement dangereux. Le système d’interverrouillage doit présenter le plus haut niveau de fiabilité possible (il est le plus souvent recommandé d’utiliser un dispositif de verrouil-lage de grille). L’emploi de telles protections à commande directe ne peut être envisagé QUEsur des machines n’offrant AUCUNE POSSIBILITÉ aux opérateurs d’introduire tout ou partie deleur corps dans la zone dangereuse lorsque la protection est fermée. Le dispositif de protectionà commande directe doit alors être la seule voie d’accès possible à la zone dangereuse.

Systèmes de commande logique programmables de sécurité

Le besoin de flexibilité et d’évolutivité dans les applications de sécurité a conduit au dévelop-pement de contrôleurs logiques ou automates programmables de sécurité. Les automates pro-grammables de sécurité apportent aux utilisateurs le même niveau de flexibilité dans le sys-tème de commande des applications de sécurité que celui auquel ils sont habitués avec leursautomates programmables standard. Il existe cependant des différences importantes entre lesautomates standard et de sécurité. Les automates de sécurité sont disponible sous différentesplates-formes afin de répondre aux exigences d’évolutivité, d’intégration et de fonctionnalitédes systèmes de sécurité les plus complexes.

Des microprocesseurs multi-ples sont utilisés en redon-dance pour gérer les E/S,la mémoire et les communi-cations de sécurité. Des circuits de surveillance interne (« chiens de garde ») effectuent les diagnosticset leur analyse. Ce type d’architecture est désigné par« 1oo2D » (l’un ou l’autre desdeux). L’un ou l’autre desdeux microprocesseurs peuten effet prendre en chargela fonction de sécurité. Desdiagnostics étendus sontpar ailleurs réalisés afin de

s’assurer que ces deux microprocesseurs travaillent de façon parfaitement synchronisée.

Chaque circuit d’entrée est également contrôlé en interne selon une fréquence très élevée afinde vérifier qu’il fonctionne correctement. Même si le dispositif d’arrêt d’urgence n’est actionné

AdresseDonnéesCommande

Adresse

DonnéesCommande

Micro-processeur

Micro-processeur

SYNCCHIEN DE GARDE/

COMPARAISON

Flash RAM Module d’E/SPorts

Flash RAM

Architecture 1oo2D

SAFEBOOK 4


53

qu’une fois par mois, le circuit est ainsi contrôlé en permanence. Ceci permet de garantir quela commande d’arrêt d’urgence sera détectée sans problème par l’automate de sécurité.

Les sorties des automates de sécurité peuvent être de type électromécaniques ou statiquesde sécurité. Comme les circuits d’entrée, les circuits de sortie sont contrôlés en interne selonune fréquence très élevée afin de garantir qu’ils pourront couper la sortie concernée sans pro-blème lorsque nécessaire. Si l’un des trois circuits est défectueux, sa sortie sera interrompuepar les deux autres et le défaut sera signalé par le circuit de surveillance interne.

Lorsque des dispositifs de sécurité à contacts mécaniques sont employés (arrêts d’urgence,interrupteurs de grille, etc.), l’utilisateur peut réaliser un test par impulsions pour détecter leserreurs de croisement. Afin d’éviter le recours à des sorties de sécurité coûteuses, de nom-breux automates de sécurité proposent des sorties à impulsions dédiées qui peuvent êtreconnectées à ces dispositifs à contact mécanique.

Logiciel

Les automates de sécurité se programment d’une façon très semblable aux automates stan-dard. Tous les diagnostics complémentaires et les recherches de défauts mentionnés plus hautsont réalisés par le système d’exploitation. Le programmeur n’aura donc même pas consciencede ces opérations. La plupart des automates de sécurité possèdent un jeu d’instructions spécialservant à écrire le programme du système de sécurité. Ces instructions tendent à reproduire lesfonctions qui seraient réalisées par un système à relais de sécurité équivalent. Par exemple,l’instruction d’arrêt d’urgence fonctionne d’une façon très similaire à un relais MSR 127. Bienque la logique qui sous-tende chacune de ces instructions soit complexe, les programmes desécurité apparaissent comme relativement simples. Le programmeur n’a en fait qu’à assemblerces différents blocs fonctionnels entre eux. Ces instructions, ainsi que les autres instructions logiques, mathématiques, de manipulation de données, etc., sont certifiées par un organismeexterne afin de s’assurer que leur fonctionnement est cohérent avec les normes en vigueur.

Adresse

Données

Commande

Adresse

Données

Commande

Micro-processeur

Micro-processeur

DonnéesTampons

TestCommande

Circuit

SYNC

Entrée 1Test

Test

Test

CHIEN DE GARDE/COMPARAISON

Entrée 2

Entrée 3

BUS

E/S

Schéma de principe d’un module d’entrées de sécurité

54

SAFEBOOK 4


Les blocs fonctionnels constituent la méthode principale utilisée pour la programmation desfonctions de sécurité. En plus des blocs fonctionnels et de la logique à relais, les automatesde sécurité fournissent également des instructions certifiées pour les applications de sécurité.Ces instructions de sécurité certifiées permettent de programmer des comportements particu-liers de l’application. L’exemple suivant présente une instruction d’arrêt d’urgence. Accomplirla même fonction en logique à relais nécessiterait environ 16 lignes de programme. Dansla mesure où le comportement logique correspondant est intégré dans l’instruction d’arrêt d’urgence, cette logique intégrée n’a pas besoin d’être testée.

Il existe des blocs fonctionnels certifiés adaptés à pratiquement tous les dispositifs de sécurité.Une exception à cette règle est cependant constituée par les bourrelets de sécurité utilisant latechnologie résistive.

Les automates de sécurité génèrent par ailleurs une « signature » qui permet de suivre lesmodifications apportées au système. Cette signature englobe généralement une informationsur le programme ainsi que sur la configuration des entrées et des sorties et un horodatage.Lorsque le programme est finalisé et validé, l’utilisateur doit enregistrer cette signature avecles résultats de validation afin de pouvoir s’y reporter ultérieurement. Si le programme doitêtre modifié, une nouvelle validation sera nécessaire et une nouvelle signature devra être enregistrée. Le programme peut également être verrouillé par un mot de passe afin d’empê-cher toute modification non autorisée.

Avec les systèmes à logique programmable, le câblage se trouve simplifié par rapport aux sys-tèmes à relais de surveillance de sécurité. Contrairement aux systèmes câblés qui nécessitentle raccordement à des bornes spécifiques sur les relais de surveillance de sécurité, les dispo-sitifs d’entrée peuvent être connectés à n’importe quelle borne d’entrée, de même que les dis-positifs de sortie peuvent être connectés à n’importe quelle borne de sortie. Ces bornes serontensuite affectées par le logiciel.

Automates à sécurité intégrée

Les solutions de commande modernes permettent désormais une intégration totale dans unearchitecture de commande unique faisant cohabiter les fonctions de commande de sécuritéet celles de commande standard. La possibilité de réaliser une commande de mouvement,de variation de vitesse, de processus, de traitement par lots ou encore séquentielle à grandevitesse, simultanément à une commande de sécurité de niveau SIL 3 sur un seul et mêmeautomate apporte des avantages significatifs. L’intégration des commandes standard et desécurité permet l’utilisation de technologies et d’outils communs. Ceci réduit les coûts deconception, d’installation, de mise en service et de maintenance. La possibilité d’utiliser desaccessoires de commande communs, des E/S ou des dispositifs de sécurité distribués surdes réseaux de sécurité, ainsi que des dispositifs d’IHM communs, permet de réduire lescoûts d’acquisition et de maintenance, de même que les temps de développement. Toutesces fonctionnalités augmentent la productivité et la rapidité d’intervention des dépannages.Elles réduisent par ailleurs les coûts de formation grâce à la standardisation.

SAFEBOOK 4


55

Le schéma suivant fournit un exemple d’intégration de commandes standard et de sécurité.Les fonctions de commande standard, non liées à la sécurité, sont regroupées dans la tâcheprincipale (Main Task). Les fonctions de sécurité sont regroupées dans la tâche de sécurité(Safety Task).

Toutes ces fonctions standard et de sécurité sont isolées les unes des autres. Par exemple,les points de sécurité peuvent être lus directement par le programme standard. Ces points desécurité peuvent être échangés entre des automates GuardLogix par EtherNet, ControlNetou DeviceNet. Les données des points de sécurité peuvent être lues directement par desdispositifs externes, des interfaces homme-machine (IHM), des ordinateurs personnels (PC)ou d’autres automates.

1. Les points et le programme standard secomportent de la même façon qu’avec unautomate ControlLogix standard.

2. Les données des points standard, qu’ellessoient de type programme ou automate, peu-vent être lues par des dispositifs externes,des IHM, des PC, d’autres automates, etc.

3. En tant qu’automate intégré, GuardLogixpermet de déplacer (« mapper ») des don-nées de points standard dans des points desécurité pour être utilisées dans une tâchede sécurité. Ceci permet aux utilisateurs devérifier leurs informations d’état depuis lecôté standard du GuardLogix. Ces donnéesne doivent cependant pas être utiliséespour commander directement une sortie desécurité.

4. Les points de sécurité peuvent être lusdirectement par le programme standard.

5. Les points de sécurité peuvent être lus ouécrits par le programme de sécurité.

6. Les points de sécurité peuvent êtreéchangés entre automates GuardLogix parEtherNet.

7. Les données de points de sécurité, qu’elles soient de type programme ou automate, peuventêtre lues par des dispositifs externes, des IHM, des PC, d’autres automates, etc. Remarque :une fois ces données lues, elles sont considérées comme des données standard, non pluscomme des données de sécurité.

IntegratedTasks

56

SAFEBOOK 4


Réseaux de sécurité

L’utilisation des réseaux de communication en production permet depuis longtemps aux fabricants d’améliorer leur flexibilité, d’augmenter les diagnostics, d’accroître les distances,de réduire les coûts d’installation et de câblage, de faciliter la maintenance et plus générale-ment d’améliorer la productivité. Ces mêmes objectifs guident également le déploiement desréseaux de sécurité industriels. Ces réseaux de sécurité permettent aux fabricants d’implanterdes E/S et des dispositifs de sécurité tout autour de leurs machines en les reliant simplementpar un unique câble réseau. Ceci limite ainsi les coûts d’installation tout en améliorant la capa-cité de diagnostic et en permettant une sophistication plus grande des systèmes de sécurité.Ils autorisent également des communications sécurisées entre les contrôleurs logiques ou lesautomates de sécurité. Ceci permet aux utilisateurs de répartir leurs commandes de sécuritéentre plusieurs systèmes intelligents.

Les réseaux de sécurité n’empêchent pas les erreurs de communication de se produire.Néanmoins, ils sont capables de détecter les erreurs de transmission puis de permettre auxdispositifs de sécurité de prendre des mesures appropriées. Les erreurs de communicationdétectables incluent : l’insertion de message, la perte de message, la corruption de message,le retard de message, la répétition de message et la séquence de message incorrecte.

Dans la plupart des applications, lorsqu’une erreur est détectée, le dispositif passe dans unétat désactivé prédéfini, traditionnellement désigné par « état de sécurité ». Le dispositifd’entrée ou de sortie de sécurité est chargé de la détection de ces erreurs de communicationet du passage à état de sécurité le cas échéant.

Les premiers réseaux de sécurité étaient liés à un type de support ou à une configurationd’accès physique spécifiques. Les industriels devaient donc utiliser un matériel dédié (câbles,cartes d’interface réseau, routeurs, passerelles, etc.) qui devenait alors une des composantesde la fonction de sécurité. Ces réseaux étaient limitées puisqu’ils ne prenaient en charge queles communications entre dispositifs de sécurité. Ceci impliquait pour l’industriel la nécessitéd’utiliser plusieurs réseaux différents dans le cadre de sa stratégie de commande de machines(un réseau pour les commandes standard et un autre pour les commandes de sécurité). Ceciaugmentait ainsi les coûts d’installation, de formation et de gestion des pièces de rechange.

Les réseaux de sécurité modernes permettent aux dispositifs de commande de sécurité etstandard de communiquer par l’intermédiaire d’un câble réseau unique. CIP (CommonIndustrial Protocol) Safety est un protocole ouvert standard défini par l’ODVA (Open DeviceNetVendors Association). Il autorise les communications de sécurité entre dispositifs de sécuritésur des réseaux DeviceNet, ControlNet et EtherNet/IP. CIP Safety étant une extension duprotocole CIP standard, les dispositifs standard et de sécurité peuvent ainsi coexister sur unmême réseau. Les utilisateurs peuvent également établir des passerelles entre différentsréseaux contenant des dispositifs de sécurité. Ceci leur permet de répartir ces dispositifs desécurité de façon à optimiser les temps de réponse en sécurité. Plus simplement, ceci leurfacilite la distribution de leurs dispositifs de sécurité. Tant donné que l’exécution du protocolede sécurité est déléguée aux dispositifs terminaux (contrôleurs logiques et automates desécurité, modules d’E/S de sécurité, composants de sécurité divers), il est possible d’utiliser

SAFEBOOK 4


57

des câbles, des cartes d’interfaces réseau, des passerelles et des routeurs standard. Tous cesaccessoires deviennent en effet externes à la fonction de sécurité et la nécessité d’un matérielréseau spécialisé n’a ainsi plus de raison d’être.

Dispositifs de sortie

Relais de commande et contacteurs de sécurité

Ces relais de commande et ces contacteurs sont utilisés pour couper l’alimentation del’actionneur. Ce sont en fait des relais de commande et contacteurs standard auxquels desfonctions spécialisées ont été ajoutées pour les transformer en accessoires de sécurité.

Ils incorporent en pratique des contacts normalement fermés à couplage mécanique destinésà renvoyer une information sur leur état vers le dispositif logique. Ce sont ces contacts à cou-plage mécanique qui permettent d’assurer la fonction de sécurité. Conformément aux normesapplicables à ce type de configuration, des contacts normalement fermés et des contacts nor-malement ouverts ne peuvent pas se trouver en position fermée simultanément. On se repor-tera à la norme CEI 60947-5-1 pour le détail des critères relatifs à ces contacts à couplage mé-canique. Si les contacts normalement ouverts viennent à se souder, les contacts normalementfermés doivent rester ouverts d’au moins 0,5 mm. Réciproquement, si les contacts normale-ment fermés viennent à se souder, les contacts normalement ouverts doivent rester ouverts.

Les systèmes de sécurité ne doivent pouvoir être démarrés qu’à des emplacements spéci-fiques. Sur les relais de commande et les contacteurs standard, il est possible de fermer manuellement les contacts normalement ouverts en appuyant sur l’induit. Sur les dispositifsde sécurité, cet induit est protégé contre tout forçage manuel afin de limiter le risque de redémarrage imprévu.

Sur les relais de commande de sécurité, le contact normalement fermé est actionné par latige de couplage principale. Les contacteurs de sécurité utilisent une embase supplémentairepour le montage des contacts à couplage mécanique. Si le bloc contact principal vient à sedésolidariser de son embase, les contacts à couplage mécanique restent fermés. Les contactsà couplage mécanique sont accouplés de façon permanente au relais de commande ou aucontacteur de sécurité. Sur les plus gros contacteurs, l’embase supplémentaire ne permet pastoujours une retransmission précise de la position de la tige de couplage qui est plus longue.Des contacts miroir (Voir Figure 4.81), situés de chaque côté du contacteur, sont alors utilisés.

Le temps de déclenchement de ces relais de commande ou contacteurs doit être pris encompte pour le calcul des distances de sécurité. Un suppresseur de surtensions est souventplacé sur la bobine pour augmenter la durée de vie des contacts de commande. Pour lesbobines c.a., cela n’affectera pas le temps de déclenchement. Pour les bobines c.c., cetemps de déclenchement sera augmenté. Ce délai supplémentaire dépendra du mode desuppression choisi.

Les relais de commande et les contacteurs sont prévus pour commuter des charges élevéesallant de 0,5 A à plus de 100 A. Le système de sécurité utilise lui des courants faibles. Lesignal de retour généré par l’organe logique du système de sécurité pourra aller de quelques

58

SAFEBOOK 4


milliampères à une ou plusieurs dizaines de milliampères, généralement sous 24 V c.c. Lesrelais de commande et les contacteurs de sécurité utilisent des contacts jumelés plaqués orpour commuter de façon fiable ces faibles intensités.

Protection contre les surcharges

Une protection des moteurs contre les surcharges est imposée par les normes électriques. Les diagnostics fournis par ce dispositif de protection contre les surcharges contribuent àaméliorer non seulement la sécurité de l’équipement, mais aussi celle de l’opérateur. Lestechnologies disponibles de nos jours permettent la détection de conditions de défaut commeles surcharges, la perte de phase, les défauts de terre, le blocage rotor, les interférences, lasous-charge, les déséquilibres de phase et les surchauffes. La détection et l’information surces conditions anormales préalablement au déclenchement permet d’améliorer la disponibilitéde l’outil de production et de protéger les opérateurs ainsi que le personnel de maintenanceen cas de situations dangereuses imprévues.

Variateurs et servovariateurs

Des variateurs et servovariateurs de sécurité peuvent être utilisés pour interrompre unmouvement rotatif et réaliser un arrêt de sécurité ou un arrêt d’urgence.

Les variateurs c.a. sont considérés comme étant de sécurité lorsqu’ils possèdent des voiesredondantes pour couper l’alimentation du circuit de commande de la grille de protection. Unevoie correspond au signal de validation. Il s’agit d’un signal isolant matériellement les entréesvers le circuit de commande de la grille. L’autre voie correspond à un relais à guidage positifdestiné à couper l’alimentation du circuit de commande de la grille de protection. Le relaisà guidage positif renvoie également un signal d’état au système logique. Cette approcheredondante permet d’utiliser un variateur de sécurité dans un circuit d’arrêt d’urgence sansqu’il soit besoin d’un contacteur dédié.

Les servovariateurs parviennent à ce résultat d’une façon similaire aux variateurs c.a. Ils utili-sent également des signaux de sécurité redondants pour leur fonction de sécurité. Un premiersignal interrompt le circuit de commande entre le variateur et la grille. Un deuxième signalcoupe l’alimentation du circuit de commande de la grille. Deux relais à guidage positif sont utilisés pour couper les alimentations et fournir un retour au dispositif logique de sécurité.

Systèmes de raccordement

Les systèmes de raccordement fournissent une valeur ajoutée par le biais de la réductiondes coûts d’installation et de maintenance qu’ils impliquent pour les systèmes de sécurité.La conception devra donc considérer avec attention le mode de raccordement des dispositifs :voie unique, double voie, double voie avec indication et types de dispositifs multiples.

Lorsqu’il sera nécessaire de monter en série des interrupteurs à deux voies, un boîtier dedistribution pourra simplifier l’installation. Grâce à leur classe de protection IP67, ces boîtierspeuvent être montés à distance sur la machine. Lorsqu’un ensemble de dispositifs de types

SAFEBOOK 4

Calculs de distance de sécurité

59

divers doit être utilisé, un boîtier d’E/S ArmorBlock Guard I/O est à recommander. Ses entréespeuvent en effet être configurées logiciellement de façon à accepter différents types dedispositifs.


Les sources de danger doivent être neutralisées (état de sécurité) avant que l’opérateur puissepénétrer dans la zone dangereuse. Pour le calcul des distances de sécurité, deux grandsgroupes de normes ont été développés. Ils sont désignés ainsi dans ce chapitre :

ISO EN : (ISO 13855 et EN 999)

US CAN (ANSI B11.19, ANSI RIA R15.06 et CAN/CSA Z434-03)

Formules

La distance de sécurité minimale dépend du temps nécessaire pour le traitement de lacommande d’arrêt. Elle dépend également du point jusqu’auquel l’opérateur peut accéderà l’intérieur de la zone avant d’être détecté. Les deux principales formules utilisées partoutdans le monde sont du même principe et font appel aux mêmes paramètres. Leurs différencesrésident dans les symboles utilisés pour représenter leurs variables et dans leurs unités demesure.

Ces deux formules sont les suivantes :

ISO EN : S = K x T + C

US CAN : Ds = K x (Ts + Tc + Tr + Tbm) + Dpf

Dans lesquelles : Ds et S indiquent la distance de sécurité minimale entre la zone dangereuseet le point de détection le plus proche.

Angle d’approche

Pour calculer la distance de sécurité lorsqu’une barrière immatérielle ou un scrutateur de zonesont utilisés, l’angle d’approche par rapport au dispositif de détection doit également être prisen considération. Trois types d’approche sont retenues :

Normale – approche perpendiculaire au plan de détection ;

Horizontale – approche parallèle au plan de détection ;

Angulaire – approche de la zone de détection selon un certain angle.

Constante de vitesse

K symbolise la constante de vitesse dans les deux formules. La valeur de cette constante devitesse dépend de la célérité de mouvement de l’opérateur (la vitesse de déplacement de ses

60

SAFEBOOK 4


mains, la vitesse et la longueur de ses pas). En se fondant sur des résultats de recherches,on peut raisonnablement retenir une valeur de 1 600 mm/s pour la vitesse de déplacementdes mains d’un opérateur lorsque son corps est stationnaire. Les conditions de l’applicationréelle sont toutefois à prendre en compte. En règle générale, la vitesse d’approche varie entre1 600 mm/s et 2 500 mm/s. La constante de vitesse appropriée doit être déterminée parl’évaluation des risques.

Temps d’arrêt

T est le temps nécessaire pour arrêter totalement le système. La durée complète, ensecondes, va du moment où le signal d’arrêt est généré jusqu’à celui où la source de dangerest totalement neutralisée. Cette durée peut être décomposée selon différentes dimensions(Ts, Tc, Tr et Tbm/Cf. formule US CAN) pour faciliter l’analyse. Ts est la plus longue duréed’arrêt possible de la machine ou de l’équipement. Tc est la plus longue durée d’arrêt possibledu système de commande. Tr est le temps de réponse du dispositif de protection, y comprisson interface. Tbm est la durée d’arrêt supplémentaire, au delà des seuils prédéfinis parl’utilisateur, autorisée au niveau du contrôle de freinage avant détection d’une erreur de tempsd’arrêt. Tbm est notamment utilisé pour les presses mécaniques rotatives. Ts + Tc + Tr sontgénéralement mesurés par un dispositif de contrôle du temps d’arrêt lorsque ces valeurs nesont pas prédéfinies.

Facteurs de pénétration

Le facteur de pénétration est représenté par les symboles C et Dpf. Il s’agit de la distanced’avancement maximale en direction de la source de danger avant détection par le dispositifde protection. Le facteur de pénétration variera selon le type du dispositif et de l’application.On se reportera à la norme appropriée pour déterminer le meilleur facteur de pénétration àretenir. Dans le cas d’une approche normale par rapport à une barrière immatérielle ou unscrutateur de zone dont la sensibilité de détection sera inférieure à 64 mm, les normes ANSIet canadiennes utilisent :

Dpf = 3,4 x (Sensibilité de détection – 6,875 mm), mais pas moins de 0.

Dans le cas d’une approche normale par rapport à une barrière immatérielle ou un scrutateurde zone, dont la sensibilité de détection sera inférieure à 40 mm, les normes ISO et ENutilisent :

C = 8 x (sensibilité de détection – 14 mm), mais pas moins de 0

Ces deux formules ont un point d’intersection correspondant à une taille d’objet de 19,3 mm.Pour la détection d’objets inférieurs à 19 mm, l’approche US CAN est plus restrictive. En effet,elle impose de placer la barrière immatérielle ou le scrutateur de zone plus loin de la source dedanger. Pour la détection d’objets supérieurs à 19,3 mm, c’est la norme ISO EN qui est la plusrestrictive. Les constructeurs de machines fabriquant pour le marché mondial devront retenir lerésultat le plus défavorable de l’application de ces deux équations.

SAFEBOOK 4


61

Applications avec accès à travers le champ de détection

Pour la détection des plus grands objets, les normes US CAN et ISO EN diffèrent légèrementen ce qui concerne le facteur de pénétration et la sensibilité de détection. La valeur ISO ENest de 850 mm alors que la valeur US CAN est de 900 mm. Les deux normes diffèrent égale-ment au niveau de la sensibilité de détection des objets. Alors que la norme ISO EN ne permetque 40 à 70 mm, la norme US CAN autorise jusqu’à 600 mm.

Applications avec accès par dessus le champ de détection

Les deux normes s’accordent sur une hauteur de position minimum du faisceau de détectionplacé le plus bas de 300 mm. Elles diffèrent cependant en ce qui concerne la hauteur deposition minimum du faisceau de détection placé le plus haut. La norme ISO EN stipule900 mm, alors que la norme US CAN impose 1 200 mm. Ces valeurs de position du faisceausupérieur apparaissent néanmoins discutables. Si l’on considère qu’il s’agit d’une applicationavec accès à travers le champ de détection, la hauteur du faisceau de détection le plus hautdevra être en effet bien supérieure pour tenir compte du cas d’un opérateur se trouvantdebout. Cependant, s’il s’agit d’une application dans laquelle l’opérateur peut passer pardessus le plan de détection, les critères définis pour ce type d’accès peuvent être retenus.

Faisceaux unique ou multiples

Les faisceaux unique ou multiples sont définis plus particulièrement par les normes ISO EN.Le tableau ci-dessous indique les hauteurs « pratiques » de faisceaux multiples par rapport ausol. Le facteur de pénétration est de 850 mm dans la plupart des cas et 1 200 mm dans le casde l’utilisation d’un faisceau unique. Quant à elle, l’approche US CAN intègre cela au niveaude ses critères d’accès à travers le champ de détection. Les tentatives d’accès par dessus, pardessous ou sur le côté d’un dispositif à faisceaux simples ou multiples devront toujours êtreprises en compte par ailleurs.

Nombre de faisceaux Hauteur par rapport au sol – mm C – mm1 750 1 2002 400, 900 8503 300, 700, 1 100 8504 300, 600, 900, 1 200 850


Dans le cas d’une approche normale par rapport à une barrière immatérielle, les modes decalcul de la distance de sécurité selon les normes ISO EN et US CAN sont très voisins. Ilexiste cependant quelques différences. Dans le cas d’une approche normale par rapport à unebarrière immatérielle verticale dont la sensibilité de détection est au maximum de 40 mm, ladémarche proposée par l’ISO EN nécessite normalement deux étapes. Il faut d’abord calculerS en utilisant 2 000 comme constante de vitesse.

S = 2 000 x T + 8 x (d -1 4)

La valeur minimale que peut prendre S est 100 mm.

62

SAFEBOOK 4


La deuxième étape est nécessaire lorsque la distance est supérieure à 500 mm. Dans ce cas,la valeur de K peut être réduite à 1 600. Avec K = 1 600, la valeur minimale de S sera 500 mm.

La norme US CAN utilise quant à elle une démarche en une seule étape : Ds = 1 600 x T * Dpf

Ceci conduit à des différences supérieures à 5 % entre les deux normes lorsque le temps deréponse est inférieur à 560 ms.

Approche angulaire

Dans la plupart des installations, les barrières immatérielles et les scrutateurs sont montés verticalement (approche normale) ou horizontalement (approche parallèle). Ces montages nesont pas considérés comme angulaires tant qu’ils sont dans une tolérance de ±5° par rapport àleur axe normal. Lorsque cet angle devient supérieur à ±5°, des risques potentiels supplémen-taires liés aux approches prévisibles (par exemple, le raccourcissement de la distance de dé-tection) doivent être pris en considération. En général, les angles supérieurs à 30° par rapportau plan de référence (le sol par exemple) doivent être associés à une approche normale etceux inférieurs à cette valeur à une approche parallèle.

Tapis de sécurité

Avec les tapis de sécurité, la distance de sécurité doit prendre en considération la vitesse dedéplacement et la foulée des opérateurs. Considérant que l’opérateur se déplace en marchantet que le tapis de sécurité est fixé au sol, le premier pas de l’opérateur sur le tapis correspon-dra à un facteur de pénétration de 1 200 mm. Si l’opérateur doit monter sur une plate-forme,ce facteur de pénétration pourra être réduit d’une valeur de 40 % de la hauteur de la marche.

Exemple

Exemple : un opérateur approche normalement d’une barrière immatérielle de 14 mm connectéeà un relais de surveillance de sécurité, lui-même raccordé à un contacteur d’alimentation c.c. avecsuppresseur à diode. Le temps de réponse du système de sécurité (Tr) est de 20 + 15 + 95 =130 ms. Le temps d’arrêt de la machine (Ts+Tc) est de 170 ms. Aucun contrôle de freinage n’estutilisé. La valeur Dpf sera de 24,2 mm et la valeur C sera de 0. Le calcul est le suivant :

Dpf = 3,4 (14 – 6,875) = 24,2 mm (1 in) C = 8 (14 – 14) = 0

Ds = K x (Ts + Tc + Tr + Tbm) + Dpf S = K x T + CDs = 63 x (0,17 + 0,13 + 0) + 1 S = 1 600 x (0,3) + 0Ds = 63 x (0,3) + 1 S = 480 mmDs = 18,9 + 1Ds = 505 mm

Par conséquent, la distance de sécurité minimale à laquelle la barrière immatérielle devra êtreplacée par rapport à la source de danger sera de 508 mm, dans l’optique d’une utilisation de lamachine n’importe où dans le monde.

SAFEBOOK 4

Prévention des remises sous tension accidentelles

63

Prévention des remises sous tension accidentelles

La prévention des remises sous tension accidentelles est abordée par diverses normes. C’estpar exemple le cas de l’ISO 14118, l’EN 1037, l’ISO 12100, l’OSHA 1910.147, l’ANSI Z244-1, la CSA Z460-05 et l’AS 4024.1603. Ces normes ont un leitmotiv commun : la méthode pourempêcher toute remise sous tension accidentelle consiste fondamentalement à supprimertoute possibilité d’alimentation du système et à le verrouiller en position désactivée. L’objectifest de permettre aux personnes de pénétrer en toute sécurité dans les zones dangereuses dela machine.

Condamnation/signalisation

Les machines neuves doivent inclure par construction des dispositifs de coupure verrouillablesde leurs alimentations. Cette disposition s’applique à tous les types d’énergie. Ceci inclutnotamment l’énergie électrique, hydraulique, pneumatique, gravitationnelle et laser. Lacondamnation implique le verrouillage des dispositifs de coupure d’énergie. Ce verrouillagene devra pouvoir être annulé que par la personne l’ayant mis en place ou par un supérieurhiérarchique, dans des conditions contrôlées. Si plusieurs personnes sont appelées à travaillerconjointement sur une même machine, chacune de ces personne doit placer son propreverrou sur le dispositif de coupure d’énergie. Le propriétaire de chaque moyen de verrouillagedoit pouvoir être identifié.

Aux États-Unis, le système de la signalisation (« tagout ») est une alternative à lacondamnation (« lockout ») pour les machines anciennes qui n’ont jamais été équipées dedispositifs de verrouillage. Dans ce cas, la machine est arrêtée et une étiquette est apposéepour prévenir le personnel de ne pas redémarrer la machine tant que la personne qui aapposé l’étiquette travaille sur la machine. Depuis 1990, les machines devant subir desmodifications doivent en profiter pour se mettre en conformité et inclure un dispositif decoupure d’énergie verrouillable.

Un dispositif de coupure d’énergie est un dispositif mécanique empêchant physiquementla transmission ou la libération de l’énergie. Ce dispositif pourra être un disjoncteur, unsectionneur, un interrupteur manuel, un combinaison prise/fiche de raccordement ou unevanne de fermeture manuelle. Les dispositifs de coupure électriques doivent isoler tousles conducteurs d’alimentation non raccordés à la terre. Aucun pôle ne doit rester actifindividuellement.

L’objectif des systèmes de condamnation et de signalisation est d’empêcher un redémarrage accidentel de la machine. Un redémarrage accidentel peut avoir différentes causes : une défaillance du système de commande, une action malencontreuse (sur une commande de démarrage, un capteur, un contacteur ou une vanne), la restauration automatique de l’alimen-tation après une période d’interruption, ou toutes autres causes internes ou externes. Une foisla procédure de condamnation ou de signalisation réalisée, la dissipation de l’énergie doit êtrevérifiée.

64

SAFEBOOK 4


Systèmes de coupure de sécurité

Les systèmes de coupure de sécurité exécutent un arrêt en règle de la machine. Ils fournis-sent également des moyens de condamnation simples de son alimentation. Cette approcheest particulièrement adaptée à des machines de taille importante et à des ensembles de production, notamment lorsque les sources d’énergie sont multiples et situées à un niveau différent ou dans un lieu éloigné.

Interrupteurs de charge

Pour l’isolation locale de dispositifs électriques, des interrupteurs permettant la coupure etle verrouillage de l’alimentation de ces dispositifs peuvent être placés juste en amont. Lesinterrupteurs de charge Série 194E sont un exemple de produits capables d’assurer un telisolement avec verrouillage.

Systèmes à clés captives

Les systèmes à clés captives sont une autre méthode permettant de réaliser une condamna-tion. Le premier niveau d’un système à clés captives consiste, dans la plupart des cas, enun dispositif de coupure de l’énergie. Lorsque cet interrupteur est coupé au moyen d’une clé« primaire », l’alimentation électrique de la machine se trouve coupée simultanément sur tousles conducteurs d’alimentation non reliés à la terre. La clé primaire peut alors être retirée etemmenée sur le lieu où l’accès à la machine est nécessaire. Divers composants peuvent êtreajoutés pour répondre à des besoins de condamnation plus complexes.

Mesures alternatives à la condamnation

Les procédures de condamnation et de signalisation doivent être utilisées pour le dépannageet de la maintenance des machines. Les interventions dans le cadre des opérations normalesde production sont, quant à elles, supposées être couvertes par les mesures de protectionen place. La nuance entre le dépannage et la maintenance et les opérations normales deproduction n’est cependant pas toujours claire.

Certains réglages mineurs et tâches d’entretien courant, effectués dans le cadre desopérations normales de production, ne nécessitent pas nécessairement une condamnationde la machine. On citera par exemple, les chargements et déchargements de matières et deproduits, les changements et les réglages mineurs d’outils, le graissage et l’élimination desdéchets. Ces tâches doivent avoir un caractère routinier, répétitif et faire partie intégrantedu processus d’exploitation de l’équipement dans le cadre de la production. Le travail doitnéanmoins être effectué en utilisant des moyens de protections alternatifs, comme desdispositifs de protection physique, dont l’efficacité soit garantie. Ces dispositifs de protectionphysique incluent notamment les grilles à verrouillage de sécurité, les barrières immatérielleset les tapis de sécurité. Lorsque ces derniers sont utilisés en liaison avec un système logiquede sécurité et des dispositifs de sorties appropriés, les opérateurs pourront accéder en toutesécurité aux zones dangereuses de la machine dans le cadre des tâches d’exploitationnormales et des opérations d’entretien mineures.

SAFEBOOK 4

Systèmes de commande de sécurité et sécurité fonctionnelle

65

Systèmes de commande de sécurité

Introduction

Qu’est-ce qu’un système de commande de sécurité (souvent désigné par l’acronyme anglaisSRCS) ? Il s’agit de la partie du système de commande d’une machine ayant pour objet deprévenir l’apparition de conditions dangereuses. Il peut s’agir d’un système spécifique externeou il peut être intégré au système normal de commande de la machine.

Son degré de complexité peut aller d’un système simple (par exemple un interrupteur deverrouillage sur grille de protection et un interrupteur d’arrêt d’urgence montés en série avecla bobine de commande d’un contacteur de puissance) à un système composite intégrant à lafois des dispositifs simples et des dispositifs complexes communicant entre eux logiciellementou matériellement.

Les systèmes de commande de sécurité sont conçus pour exécuter des fonctions de sécurité.Le système doit continuer à fonctionner correctement dans toutes les situations prévisibles.Qu’est-ce qu’une fonction de sécurité, comment concevoir un système de sécurité et commentl’identifier ensuite ?

Fonction de sécurité

Une fonction de sécurité est assurée par les composants de sécurité du système de com-mande de la machine. Elle a pour but de placer ou de maintenir l’équipement protégé à l’étatde sécurité par rapport à un danger particulier. Un défaillance de la fonction de sécurité peutentraîner l’augmentation immédiate du risque d’utilisation de l’équipement, c’est-à-dire d’unesituation dangereuse.

Une machine doit présenter au moins un « danger » potentiel, autrement ce n’est pas une machine. On parle de « situation dangereuse » lorsqu’une personne est exposée à un danger.Une situation dangereuse n’implique pas nécessairement que la personne soit blessée. Cettepersonne peut en effet être capable de reconnaître le danger et d’éviter les blessures. La per-sonne exposée peut cependant ne pas être consciente du danger. Le danger peut aussi pro-venir d’un redémarrage accidentel. La tâche principale du concepteur du système de sécuritéest donc de prévenir les situations dangereuses et d’empêcher les redémarrages accidentels.

La fonction de sécurité peut souvent être déterminée par des contraintes multi-critères. Parexemple, la fonction de sécurité liée à une grille de protection à verrouillage de sécurité estcaractérisée par trois critères :

1. la source du danger contenu par la grille de protection ne peut être active tant que labarrière n’est pas fermée ;

2. l’ouverture de la grille doit entraîner la coupure de la source du danger si elle estactive au moment où cela se produit ;

3. la fermeture de la grille ne doit pas réactiver la source du danger contenu par elle.

66

SAFEBOOK 4


Lors de la définition d’une fonction de sécurité destinée à une application spécifique, le mot« danger » devra être remplacé par la description de la source de danger spécifique. Cettesource de danger ne doit pas être confondue avec ses conséquences. L’écrasement, lesectionnement de membres et les brûlures sont les conséquences d’un danger. Une sourcede danger sera par exemple constituée par un moteur, un vérin, un couteau, une torche, unepompe, un faisceau laser, un robot, un organe effecteur, une bobine solénoïde, une vanne outout autre type d’actionneur ou de danger mécanique lié à la gravité.

On trouve souvent la formule « lors de ou préalablement à une sollicitation de la fonctionde sécurité » dans la littérature relative aux systèmes de sécurité. Qu’est-ce donc qu’unesollicitation de la fonction de sécurité ? Il pourra s’agir par exemple de l’ouverture d’une grillede protection à verrouillage de sécurité, l’interruption d’une barrière immatérielle, le fait demarcher sur un tapis de sécurité ou de l’appui sur un bouton d’arrêt d’urgence. L’attente del’opérateur est que la source du danger soit désactivée ou qu’elle le reste si elle est déjàcoupée.

La fonction de sécurité est exécutée par les divers composants de sécurité du système decommande de la machine. Elle n’est pas exécutée par un dispositif unique, par exempleuniquement la grille de protection. Le dispositif d’interverrouillage de cette grille a pourobjet envoyer un signal de commande à un dispositif logique qui, à son tour, va désactiverl’actionneur. La fonction de sécurité commence donc par l’émission d’une commande etse termine par son exécution.

Le système de sécurité doit être conçu avec un niveau d’intégrité adapté aux risques présen-tés par la machine. Plus ces risques sont importants, plus les niveaux d’intégrité devront êtreélevés pour garantir l’efficacité de la fonction de sécurité. Les systèmes de sécurité des machines peuvent être classifiés selon le niveau de performance correspondant à leur capa-cité à exécuter leurs fonctions de sécurité ; ou, en d’autres termes, suivant leur niveau d’inté-grité de sécurité fonctionnelle.

Sécurité fonctionnelle des systèmes de commande

Important : les normes et les réquisitions abordées dans cette section sont relativementnouvelles. Des commissions de travail sont encore en train d’en finaliser certains aspects. Ils concernent notamment la clarification et les interconnexions de certaines de ces normes. Il est donc possible que des modifications de certaines informations fournies dans ces pagesinterviennent. Pour être informé des dernières évolutions, on se reportera à l’adresse :http://www.ab.com/safety.

Qu’est-ce que la sécurité fonctionnelle ?

La sécurité fonctionnelle est une composante du système de sécurité global. Elle est détermi-née par la capacité de réaction conforme des processus ou des équipements aux signauxd’entrée. La norme CEI TR 61508-0 fournit les exemples suivants pour mieux comprendre lasignification de la sécurité fonctionnelle. « L’utilisation d’un protecteur thermique logé dansles bobinages d’un moteur électrique pour couper l’alimentation de ce dernier en cas de sur-

SAFEBOOK 4


67

chauffe est un exemple de sécurité fonctionnelle. Mais utiliser pour les fils de ces bobinagesun niveau d’isolation leur permettant de supporter des températures élevées n’est pas unexemple de sécurité fonctionnelle (bien que ce soit quand même un exemple de mesure desécurité destiné à protéger le moteur contre le même danger). » À titre d’exemple complémen-taire, comparons une barrière de protection simple à une grille de protection à verrouillage desécurité. On ne peut pas considérer que la barrière de protection simple assure une « sécuritéfonctionnelle ». Pourtant elle prévient les accès à la source de danger de la même façon quela grille de protection à verrouillage de sécurité. La grille de protection à verrouillage de sécu-rité est par contre typiquement un dispositif de sécurité fonctionnelle. En effet, lorsque cettegrille est ouverte, son mécanisme d’interverrouillage envoie un signal « d’entrée » au systèmechargé de maintenir la sécurité de l’installation. De même, un équipement de protection indivi-duelle (EPI) sera utilisé comme mesure de protection pour améliorer la sécurité du personnel.Mais cet EPI ne sera cependant pas considéré comme un dispositif de sécurité fonctionnelle.

Le terme de sécurité fonctionnelle a été introduit par la norme CEI 61508:1998. Depuis, ona tendance à l’associer seulement aux systèmes de sécurité programmables. C’est une erreur.La sécurité fonctionnelle peut s’appliquer à de nombreux dispositifs entrant dans la composi-tion de systèmes de sécurité. Des dispositifs comme des barrières immatérielles de sécurité,des relais de sécurité, des automates de sécurité, des contacteurs de sécurité et des varia-teurs de sécurité peuvent être interconnectés pour constituer un système de sécurité qui accomplira une fonction de sécurité particulière. C’est le principe même de la sécurité fonction-nelle. Par conséquent, un système de commande électrique à sécurité fonctionnelle est parfai-tement apte à maîtriser les dangers créés par les parties en mouvement des machines.

Deux types de paramètres sont à considérer pour la mise en œuvre d’un système de sécuritéfonctionnelle :

• la fonction de sécurité ;• l’intégrité de sécurité.

L’évaluation des risques joue un rôle clé pour la définition de ces paramètres ou exigencesde sécurité fonctionnelle. L’analyse des tâches et des dangers conduit à l’élaboration desexigences fonctionnelles de sécurité (c’est à dire, la fonction de sécurité). La quantificationdes risques permet de mettre en évidence les exigences d’intégrité de la sécurité (c’est à dire,le niveau d’intégrité de sécurité ou le niveau de performance).

Les quatre principales normes de sécurité fonctionnelle des machines en vigueur sont lessuivantes :

1. CEI/EN 61508 « Sécurité fonctionnelle des systèmes électriques, électroniques etélectroniques programmables relatifs à la sécurité ».

Cette norme regroupe les réquisitions et les prescriptions applicables à la conceptiondes systèmes et sous-systèmes électroniques et programmables complexes. Cettenorme a un caractère générique. Elle n’est donc pas limitée au secteur des machines.

68

SAFEBOOK 4


2. CEI/EN 62061 « Sécurité des machines – Sécurité fonctionnelle des systèmes decommande électriques, électroniques et électroniques programmables relatifs à lasécurité ».

Cette norme est la version spécifique aux machines de la précédente norme CEI/EN 61508. Elle définit les exigences applicables à la conception des systèmes decommande électriques relatifs à la sécurité des machines, ainsi qu’à la conception dessous-systèmes et dispositifs de moindre complexité. Elle stipule que les sous-systèmescomplexes ou programmables devront être conformes à la norme CEI/EN 61508.

3. EN ISO 13849-1:2008 « Sécurité des machines – Parties des systèmes de commanderelatives à la sécurité ».

Cette norme est destinée à fournir une transition directe avec les Catégories définiespar l’ancienne norme EN 954-1.

4. CEI 61511 « Sécurité fonctionnelle – Systèmes équipés pour la sécurité et destinésaux industries de procédés ».

Cette norme est la transposition spécifique au secteur des industries de process dela norme CEI/EN 61508.

Les normes de sécurité fonctionnelle représentent un pas en avant significatif. Elles permet-tent d’aller au-delà des exigences relatives à la fiabilité de la commande et au système desCatégories de la précédente version de la norme ISO 13849-1:1999 (EN 954-1:1996).

Ces catégories ne disparaissent pas totalement pour autant. Elles sont toujours présentesdans la nouvelle version de la norme EN ISO 13849-1. Celle-ci utilise cependant le conceptde sécurité fonctionnelle et introduit une nouvelle terminologie et de nouvelles exigences. Elleprésente des ajouts et des différences significatifs par rapport à l’ancienne version EN 954-1(ISO 13849-1:1999). Dans ce chapitre, « EN ISO 13849-1 » fait référence à la version actuellede la norme (l’EN ISO 13849-1:2008, qui reprend le texte de la norme ISO 13849-1:2006).

Normes CEI/EN 62061 et EN ISO 13849-1:2008

Les normes CEI/EN 62061 et ISO/EN 13849-1 concernent toutes deux les systèmes decommande électrique relatifs à la sécurité. Il est prévu qu’elles soient à terme regroupées enune seule norme utilisant une terminologie commune. Toutes deux permettent de parvenirau même résultat, mais elles font appel à des méthodes différentes. Leur finalité est defournir aux utilisateurs une possibilité de choix en fonction de leur situation particulière. Cesutilisateurs peuvent donc décider d’utiliser l’une ou l’autre. Elles sont, de plus, harmoniséssous la Directive Machines européenne.

Ces deux normes conduisent à définir des niveaux de sécurité comparables, qu’ils soientréférencés « SIL » ou « PL ». Leurs différences méthodologiques leur permettent de s’adapteraux spécificités des utilisateurs auxquels elles sont destinées.

SAFEBOOK 4


69

La méthodologie utilisée par la norme CEI/EN 62061 autorise la mise en œuvre de fonction -nalités de sécurité complexes. Elles peuvent être déployées dans le cadre d’architectures sys-tème qui n’étaient pas envisagées jusqu’alors. L’objectif de la norme ISO 13849-1 est d’offrirune solution plus directe et moins complexe pour des fonctionnalités de sécurité plus conven-tionnelles, déployées dans le cadre d’architectures systèmes classiques.

L’élément qui différencie le plus ces deux normes est leur champ d’application respectif. La norme CEI/EN 62061 est limitée aux seuls systèmes électriques. Tandis que la normeISO/EN 13849-1 s’applique aussi bien aux systèmes pneumatiques, hydrauliques etmécaniques, qu’aux systèmes électriques.

Rapport technique conjoint sur les normes CEI/EN 62061 et EN ISO 13849-1

Un rapport conjoint a été préparé par la CEI et l’ISO afin de permettre aux utilisateurs desdeux normes de s’y retrouver.

Il précise la relation entre les deux normes et explique comment établir la correspondanceentre les niveaux de performance PL (Performance level) de la norme EN ISO 13849-1 et lesniveaux d’intégrité de sécurité SIL (Safety Integrity Level) de la norme CEI.EN 62061, que celasoit au niveau des systèmes ou des sous-systèmes.

Afin de démontrer que les deux normes aboutissent aux mêmes résultats, le rapport donne unexemple de système de sécurité calculé selon la méthodologie de chacune d’entre elles. Cerapport clarifie également plusieurs points qui avaient conduit à des interprétations différentes.L’un de ces points les plus critiques est certainement la question de l’exclusion de défauts.

En général, lorsqu’un niveau de performance PLe est requis pour la mise en œuvre d’unefonction de sécurité par un système de commande de sécurité, il n’est pas normal de joueruniquement sur les exclusions de défauts pour obtenir ce niveau de performance. Celadépendra de la technologie utilisée et de l’environnement de travail prévu. Il est donc essentielque les concepteurs attachent une importance accrue à la définition des exclusions de défautslorsque les exigences de niveau de performance PL augmentent.

En règle générale, l’exclusion de défauts ne pourra pas se faire sur le côté mécanique desdétecteurs de position électromécaniques et des interrupteurs manuels (ex. : dispositifs d’arrêtd’urgence) si l’on veut garantir un niveau de performance PLe dans la conception du systèmede commande de sécurité. Les exclusions de défaut susceptibles d’être attachées à desconditions de défaut mécanique particulières (par exemple, l’usure, la corrosion, les ruptures)sont définies dans le tableau A.4 de la norme ISO 13849-2.

Par exemple, un système d’interverrouillage de porte devant garantir un niveau de performancePLe, devra avoir un facteur de tolérance aux pannes minimum de 1 (par exemple, en utilisantdeux détecteurs de position mécaniques conventionnels). Il n’est en effet normalement pasadmissible d’exclure des défauts tels que des ruptures d’actionneurs de contacts à ce niveaude performance. Cependant, il peut être envisagé d’exclure des défauts comme un court-circuitdans le câblage d’un panneau de commande conçu conformément aux normes applicables.

70

SAFEBOOK 4


SIL et CEI/EN 62061

La norme CEI/EN 62061 définit de façon combinée l’ampleur du risque à réduire et la capacitédu système de commande à réduire ce risque, en termes de niveaux d’intégrité de sécurité SIL(Safety Integrity Level). Il existe 3 niveaux SIL applicables au secteur des machines. Le niveaule plus faible est SIL 1, le plus élevé est SIL 3.

Tant donné que la classification SIL est également utilisée dans d’autres secteurs industrielscomme la pétrochimie, la production d’énergie et le transport ferroviaire, la norme CEI/EN 62061trouve toute son utilité lorsque des machines sont utilisées dans ces secteurs. Des risques plusimportants encore peuvent exister dans d’autres secteurs comme les industries de process.C’est pour cette raison que la norme CEI 61508, ainsi que la norme CEI 61511 spécifique ausecteur des procédés, incluent un niveau SIL 4.

Un niveau SIL est applicable à une fonction de sécurité. Les sous-systèmes composant lesystème chargé d’assurer cette fonction de sécurité doivent avoir des caractéristiques SILcompatibles. On parlera parfois dans ce cas du niveau SIL maximum des sous-systèmes ouSIL CL (SIL Claim Limit). Une étude complète et approfondie de la norme CEI/EN 62061 estnécessaire avant de pouvoir l’appliquer correctement.

PL et EN ISO 13849-1:2008

La norme EN ISO 13849-1:2008 n’utilise pas l’acronyme SIL, mais celui de PL (pour Perfor-mance Level, niveau de performance). Les classifications PL et SIL sont comparables à denombreux égards. Il existe cinq niveaux PL. PLa est le plus faible et PLe est le plus élevé.

Comparaison des niveaux PL et SIL

Ce tableau présente les équivalences approximatives entre les classifications PL et SILlorsqu’elles s’appliquent à des structures de circuit de sécurité classiques.

Correspondance approximative entre les niveaux PL et SIL

PL(niveau de

performance)

PFHd

(probabilité de défaillancedangereuse par heure)

SIL(niveau d’intégrité

de la sécurité)

a ≥10–5 à <10–4 Aucun

b ≥3 x 10–6 à <10–5 1

c ≥10–6 à <3 x 10–6 1

d ≥10–7 à <10–6 2

e ≥10–8 à <10–7 3

SAFEBOOK 4

Conception de système selon la norme EN ISO 13849-1:2008

71

IMPORTANT : le tableau précédent est fourni à titre informatif uniquement. Il NE DOIT PASêtre utilisé comme base pour effectuer des conversions. La totalité des exigences de chacunede ces normes doit être prises en considération.

Conception de système selon l’EN ISO 13849 et SISTEMA

Une étude complète et approfondie de la norme EN ISO 13849-1:2008 est nécessaire avantde pouvoir l’appliquer correctement. Ce qui suit ne constitue qu’un aperçu sommaire.

Cette norme définit des règles pour la conception et l’intégration de composants de sécuritédans un système de commande, notamment au niveau de certains aspects logiciels. La normeconcerne le système de sécurité dans son ensemble, mais elle peut également être appliquéeaux composants de ce système.

Logiciel SISTEMA de calcul du niveau PL

SISTEMA est un outil logiciel destiné à l’implémentation de la norme EN ISO 13849-1.Son utilisation simplifie très largement la mise en œuvre de cette norme.

SISTEMA est l’acronyme de Safety Integrity Software Tool for the Evaluation of Machine Appli-cations (logiciel de calcul d’intégrité de sécurité pour l’évaluation des applications machines). Il a été développé par le BGIA allemand et est libre de droits. Il nécessite la saisie de diverstypes de données relatives à la sécurité fonctionnelle, décrites plus loin dans ce chapitre.

Ces données peuvent être entrées manuellement ou automatiquement par le biais d’unebibliothèque de données SISTEMA propre à un fabricant (SISTEMA Data Library).

La bibliothèque de données SISTEMA de Rockwell Automation est disponible au télécharge-ment, ainsi qu’un lien vers le site de téléchargement de SISTEMA, à l’adresse : www.discoverrockwellautomation.com/safety

Présentation de la norme EN ISO 13849-1

Cette norme a un champ d’application très vaste car elle s’applique à toutes les technologies,notamment : électrique, hydraulique, pneumatique et mécanique. Bien que la normeISO 13849-1 puisse être utilisée pour des systèmes complexes, elle renvoie également lelecteur aux normes CEI 62061 et CEI 61508 pour les systèmes logiciels intégrés complexes.

Voyons quelles sont les différences fondamentales entre l’ancienne norme EN 954-1 et lanouvelle norme EN ISO 13849-1. L’ancienne norme définissait des Catégories [B, 1, 2, 3 ou 4].La nouvelle norme définit des niveaux de performance PL [a, b, c, d ou e]. Le concept deCatégories est conservé mais des exigences supplémentaires sont à satisfaire avant depouvoir revendiquer un niveau PL pour un système.

72

SAFEBOOK 4


L’ensemble des paramètres peut être listé de façon simplifiée comme suit :

• L’architecture du système. Ceci recouvre principalement ce qui était précédemmentdéfini par les Catégories.

• Les données de fiabilité requises pour les composants du système.

• Le taux de couverture des tests de diagnostic DC (Diagnostic Coverage) du système.Il représente le niveau de surveillance des défauts dans le système.

• La protection contre les défaillances de cause commune.

• La protection contre les défauts systématiques.

• Le cas échéant, les exigences particulières au niveau logiciel.

Nous reviendrons plus en détail sur ces facteurs ultérieurement. Mais avant cela, il est importantde bien comprendre les intentions et les principes de base de la norme dans son ensemble. Ilest clair à ce stade qu’il y a beaucoup de nouveaux concepts à assimiler. Mais les détails pren-dront plus de sens une fois bien compris les objectifs et la raison d’être de cette nouvelle norme.

Premièrement, pourquoi une nouvelle norme était-elle nécessaire ? Il est évident que lestechnologies applicables aux systèmes de sécurité des machines ont progressé et se sontmodifiées considérablement au cours des dix dernières années. Jusqu’à un tempsrelativement récent, les systèmes de sécurité étaient basés sur l’utilisation d’équipements« simples » présentant des modes de défaillance très faciles à prévoir. Les dernières annéesont vu l’apparition croissante de dispositifs électroniques et programmables de plus en pluscomplexes dans les systèmes de sécurité. Ceci a eu un effet favorable sur les coûts, laflexibilité et la compatibilité. Mais cela s’est traduit également par le fait que les normes envigueur n’étaient plus adaptées. Pour savoir si un système de sécurité est suffisant, il faut ensavoir plus sur ce système. C’est pourquoi la nouvelle norme demande plus d’informations.Alors que les systèmes de sécurité font de plus en plus appel à une approche de type « boîtenoire », leur conformité aux normes devient cruciale. Ces normes doivent donc être capablesd’interroger pertinemment la technologie. Pour accomplir cela, elles doivent pouvoir intégrertous les facteurs fondamentaux concernant la fiabilité, la détection des défauts et l’intégritéarchitecturale et systémique. C’est l’objectif de la norme EN ISO 13849-1.

Pour parcourir de façon logique l’ensemble de cette norme, les motivations de deux typesd’utilisateurs fondamentalement différents doivent être pris en compte : les concepteurs desous-systèmes de sécurité et les concepteurs de systèmes de sécurité proprement-dits. Dansles faits, un concepteur du sous-système (typiquement, un fabricant de composants de sécu-rité) sera soumis à un niveau de complexité supérieur. Il devra en effet fournir toutes les infor-mations nécessaires pour garantir au concepteur de système que son sous-système présenteune intégrité adaptée au système que celui-ci envisage. Cela nécessitera concrètement uncertain nombre d’essais, d’analyses et de calculs. Les résultats devront être présentés sous laforme requise par la norme.

SAFEBOOK 4


73

Le concepteur de système (typiquement, un concepteur ou un intégrateur de machines)utilisera les données du sous-système pour effectuer des calculs relativement simples afinde déterminer le niveau de performance (PL) global de son système.

Le niveau de performance nécessaire PLr sera utilisé pour déterminer le niveau de perfor-mance requis pour la fonction de sécurité. Pour déterminer ce niveau PLr, la norme proposeun graphe des risques permettant d’intégrer les facteurs de gravité des blessures, de fré-quence d’exposition et de possibilité d’évitement propres à l’application.

Le résultat obtenu sera le niveau PLr. Les utilisateurs de l’ancienne norme EN 954-1 reconnaî-tront cette approche. Mais ils noteront que la ligne S1 est désormais subdivisée, contrairementau graphique utilisé par cette norme. Ceci pourra éventuellement impliquer la nécessité de reconsidérer l’intégrité des mesures de sécurité qui étaient prises jusqu’alors pour les niveauxde risque les moins élevés.

Il reste cependant un aspect très important de la nouvelle norme à aborder. Nous savonsdésormais grâce à cette norme quel niveau de performance devrait avoir le système etégalement comment déterminer son niveau présent. Mais nous ne savons pas ce qu’il doitfaire. Nous devons donc définir ce que doit être la fonction de sécurité. Il apparaît évidentque la fonction de sécurité doit être adaptée à la tâche. Comment donc s’assurer qu’ellel’est ? Comment la norme nous aide-t-elle à le vérifier ?

Il est important de bien comprendre que la fonction à réaliser ne peut être déterminée que parles caractéristiques spécifiques à l’application réelle. Ceci peut être considéré comme la phasede définition du concept de sécurité. Elle ne pourra pas être totalement couverte par la normecar celle-ci ne peut pas connaître toutes les caractéristiques des applications particulières. Cecis’applique souvent également au constructeur de machines. Il fabrique en effet les machines,mais il ne connaît pas forcément les conditions exactes dans lesquelles elles seront utilisées.

La norme apporte cependant une aide en proposant une liste regroupant un grand nombre defonctions de sécurité couramment utilisées (par exemple, la fonction d’arrêt de sécurité initiée

B

Catégories

S1

S2

F2P2

P1P2

P1F1

1 2 3 4

Graphe des risques selon l’Annexe B de la norme EN 945-1

P2

P1P2

P1

P2

P1P2

P1

F2

F1

F2

F1

S2

S1b

a

c

d

e

Démar-rage

Graphe des risques selon l’Annexe A de la norme EN ISO 13849-1

74

SAFEBOOK 4


par un dispositif de protection, la fonction d’inhibition, la fonction de démarrage/redémarrage)et en indiquant certaines des exigences généralement associées à ces fonctions. L’utilisationd’autres normes, comme l’EN ISO 12100 : (Principes de base pour la conception), et l’ENISO 14121 : (Évaluation des risques), est fortement recommandées à ce stade. Il existe égale-ment un grand nombre de normes adaptées spécifiquement à certains types de machines etqui fournissent des solutions dédiées pour ces machines. Dans les normes européenne (EN),elles sont désignées par « normes de type C ». Certaines d’entre elles ont des équivalents directs dans les normes ISO.

Nous avons donc mis en évidence que l’étape de définition du concept de sécurité étaitinfluencée par le type de la machine, mais aussi par les caractéristiques de l’application etde l’environnement dans lequel elle est déployée. Le constructeur de machine devra anticiperau maximum ces facteurs pour définir son concept de sécurité. Les conditions d’utilisationnormales (c’est à dire, prévues) devront en conséquence être indiquées dans le manuelutilisateur. L’utilisateur de la machine devra pour sa part s’assurer qu’elles sont compatiblesavec ses conditions d’utilisation réelles.

Nous avons désormais une description de la fonction de sécurité. Grâce à l’annexe A dela norme, nous avons également défini le niveau de performance nécessaire PLr pour lescomposants de sécurité du système de commande (parfois désignés par l’acronyme anglaisSRP/CS) qui seront chargés de mettre en œuvre cette fonction. Nous devons maintenantconcevoir le système proprement-dit et nous assurer qu’il est conforme au niveau PLr.

Un facteur décisif du choix de la norme de référence à utiliser (EN ISO 13849-1 ouEN/CEI 62061) sera la complexité de la fonction de sécurité. Dans la majorité des cas,en ce qui concerne les machines, la fonction de sécurité sera relativement simple et lanorme EN ISO 13849-1 sera l’option la mieux adaptée. Les données de fiabilité, le tauxde couverture des tests de diagnostic (DC), l’architecture système (Catégorie), lesdéfaillances de cause commune et, éventuellement, les contraintes logicielles serontprises en compte pour l’évaluation du niveau de performance PL.

Ce qui suit n’est qu’une description simplifiée destinée uniquement à fournir un aperçu de ladémarche. Il est important d’avoir bien à l’esprit qu’absolument toutes les dispositions inclusesdans le texte de la norme doivent être intégrées. Il existe cependant une aide pour cela. Lelogiciel SISTEMA est là pour apporter une assistance au niveau documentaire et à celui descalculs. Il est capable également de produire un dossier technique.

Au moment de la publication de ce document, SISTEMA était disponible en allemand et enanglais. D’autres langues devraient être ajoutées prochainement. Le BGIA, développeur deSISTEMA, est un organisme de recherche et d’essais basé en Allemagne et qui fait autorité.Il est particulièrement impliqué dans la résolution des problèmes scientifiques et techniquesliés à la sécurité dans le cadre des politiques d’assurance obligatoire et de prévention desaccidents en Allemagne. Il collabore avec des organismes dédiés à l’hygiène et à la sécuritéau travail dans plus de 20 pays. Les experts du BGIA, en liaison avec leurs collègues du BG,ont largement participé à la rédaction des normes EN ISO 13849-1 et CEI/EN 62061.

SAFEBOOK 4


75

La « bibliothèque » de données de composants de sécurité Rockwell Automation conçue pourSISTEMA est disponible sur :

www.discoverrockwellautomation.com/safety

Quelle que soit la façon dont le calcul du niveau PL est effectué, il est important de partirde bonnes bases. Nous devons aborder notre système de la même façon que la norme.Commençons donc par cela.

Structure du système

Tout système peut être décomposé selon ses composants de base ou « sous-systèmes ».Chaque sous-système possède sa propre fonction discrète. La plupart des systèmes peuventêtre décomposés en trois fonctions de base : entrée, traitement logique et actionnement(certains systèmes simples n’utilisent pas de traitement logique). Les groupes de composantsqui assurent ces fonctions constituent les sous-systèmes.

Tout système peut être décomposé selon ses composants de base ou « sous-systèmes ».Chaque sous-système possède sa propre fonction discrète. La plupart des systèmes peuventêtre décomposés en trois fonctions de base : entrée, traitement logique et actionnement(certains systèmes simples n’utilisent pas de traitement logique). Les groupes de composantsqui assurent ces fonctions constituent les sous-systèmes.

Un exemple de système électrique simple mono-voie est présenté ci-dessus. Il n’est constituéque d’un sous-système d’entrée et d’un sous-système de sortie.

Sous-systèmed’entrée

Sous-systèmede programme

Sous-systèmede sortie

Sous-système d’entrée

Interrupteur de fin de course Contacteur de sécurité

Sous-système de sortie

Interrupteur de sécurité et contacteur de sécurité

76

SAFEBOOK 4


Le système ci-dessus est un peu plus complexe car il fait appel à un traitement logique.L’automate de sécurité pourra lui-même avoir une tolérance interne aux défauts (par exemple,grâce à l’utilisation d’une deuxième voie). Mais le système global sera toujours limité à uneseule voie à cause de l’unique interrupteur de fin de course et de l’unique contacteur desécurité.

Si l’on reprend les architectures de base présentées dans les schéma précédent, on constatequ’il y a également d’autres points à prendre en compte. D’abord, combien de « voies » lesystème possède-t-il ? Un système mono-voie sera en défaut si l’un de ses sous-systèmesest en défaut. Un système à deux voies (également appelé redondant) devra présenter deuxdéfauts, un sur chaque voie, avant que le système ne soit en défaut. Étant donné qu’il utilisedeux voies, il peut tolérer un défaut sur l’une d’entre elles et continuer à fonctionner. Leschéma ci-dessus présente un tel système à deux voies.


Interrupteur de fin de course SmartGuard 600

Sortie vers d’autres systèmes

Contacteur de sécurité

Sous-système logique


Interrupteur de sécurité, automate de sécurité et contacteur de sécurité


SmartGuard 600 Contacteur de sécurité



Interrupteur de fin de course

Système de sécurité à deux voies

SAFEBOOK 4


77

Il est évident qu’un système à deux voies aura moins de chance de tomber en panne et deprovoquer une situation dangereuse qu’un système mono-voie. Mais il est possible de lerendre encore plus fiable (pour ce qui est de sa fonction de sécurité) si nous lui incluons desfonctionnalités de diagnostic afin de détecter les défauts potentiels. Naturellement, une foisun défaut détecté, il sera nécessaire également d’y réagir et de placer le système à l’état desécurité. Le schéma suivant montre l’ajout de fonctionnalités de diagnostic au système parl’intermédiaire de techniques de surveillance interne.

Un système comprend généralement (mais pas nécessairement toujours) deux voies sur tousses sous-systèmes. Nous constatons sur l’exemple que chaque sous-système possède deux« sous-voies ». La norme parle de « blocs » pour désigner cette configuration. Un sous-systèmeà deux voies possède au minimum deux blocs et un sous-système à une voie au minimum unbloc. Il peut se produire que certains systèmes utilisent une combinaison de blocs à une et deuxvoies.

Si nous voulons analyser de façon plus approfondie le système en exemple, nous devonsnous intéresser particulièrement aux composants de ces blocs. Le logiciel SISTEMA utilisele terme d’« éléments » pour les désigner.


SmartGuard 600

Surveillance

Surveillance

Surveillance





Système de sécurité à deux voies avec diagnostics

78

SAFEBOOK 4


Dans ce nouveau schéma, le sous-système des interrupteurs de fin de course est présentédécomposé selon ses éléments. Le sous-système du contacteur de sortie est lui décomposéselon ses blocs. Quant au sous-système logique, il n’est pas décomposé. Les fonctions desurveillance relatives aux interrupteurs de fin de course aussi bien qu’aux contacteurs sontexécutées par l’automate. En conséquence, les cadres délimitant les sous-systèmes d’inter-rupteurs de fin de course et de contacteur sont représentés en léger chevauchement sur le cadre délimitant le sous-système logique.

Ce principe de décomposition élémentaire du système est retenu dans la méthodologieproposée par la norme EN ISO 13849-1 ainsi que dans le principe de structuration du systèmede base utilisé par SISTEMA. Cependant, il est important de noter qu’il existe quelquesdifférences infimes entre les deux. La norme n’est pas restrictive quant à la méthodologie.Cependant, dans sa méthode simplifiée d’estimation du niveau PL, la première étape consistenormalement à décomposer la structure du système en voies et en blocs sur chacune de cesvoie. Avec SISTEMA, le système sera habituellement décomposé en sous-systèmes. Lanorme ne se réfère pas explicitement au concept de sous-système. Son utilisation parSISTEMA permet cependant d’obtenir une approche plus compréhensible et plus intuitive. Iln’y a bien sûr aucun effet sur le résultat final. SISTEMA et la norme utilisent des principes etdes formules de calcul identiques. Il est également intéressant de noter que l’approche parsous-systèmes est également utilisée par la norme EN/CEI 62061.


VOIE

1VO

IE 2


Elément

SmartGuard 600

Surveillance

Surveillance

Surv

eilla

nce




Couplage Contacts

Couplage Contacts

Elément

Bloc

ElémentDiagnosticsDiagnostics

Elément

Bloc

Décomposition d’un système de sécurité à deux voies avec diagnostics

SAFEBOOK 4


79

Le système que nous avons utilisé comme exemple n’est autre que l’un des cinq typesd’architecture système de base mentionnés par la norme. Toute personne familière avecle système des Catégories identifiera cet exemple comme typique de la Catégorie 3 ou 4.

La norme se base en effet sur les catégories originales de la norme EN 954-1 pour la définitionde ses cinq types d’architecture système. Elle les appelle « catégories d’architecture dési-gnée ». Les exigences propres à ces catégories sont presque (mais pas tout à fait) identiquesà celles de la norme EN 954-1. Les catégories d’architecture désignée sont représentées dansles figures suivantes. Il est important de noter qu’elles peuvent s’appliquer à un système com-plet aussi bien qu’à un sous-système. Ces schémas ne doivent pas être compris uniquementcomme la représentation d’une structure physique. ils sont plutôt à considérer comme la repré-sentation graphique des exigences conceptuelles.

L’architecture désignée de catégorie B doit utiliser des principes de sécurité de base (voirl’annexe de la norme EN ISO 13849-2). Le système ou le sous-système peut être mis endéfaut en cas d’apparition d’une seule défaillance. Voir la norme EN ISO 13849-1 pourl’ensemble des exigences applicables.

L’architecture désignée de catégorie 1 présente la même structure que celle de catégorie B.Elle peut également être mis en défaut en cas d’apparition d’une seule défaillance. Mais, étantdonné qu’elle est tenue d’utiliser des principes de sécurité plus évolués que la catégorie B(voir l’annexe de la norme EN ISO 13849-2), l’évènement sera moins probable que pour cettecatégorie. Voir la norme EN ISO 13849-1 pour l’ensemble des exigences applicables.

Dispositifd’entrée

Programme Dispositifde sortie

Architecture désignée de Catégorie B



Architecture désignée de Catégorie 1

80

SAFEBOOK 4


L’architecture désignée de catégorie 2 doit utiliser des principes de sécurité de base (voirl’annexe de la norme EN ISO 13849-2). Une fonction de diagnostics de surveillance parl’intermédiaire de tests fonctionnels du système ou du sous-système, doit également êtreprévue. Ces tests doivent être effectués au démarrage, puis périodiquement selon unefréquence correspondant à au moins cent tests pour chaque sollicitation de la fonction desécurité. Le système ou le sous-système peut tout de même être mis en défaut si d’uneseule défaillance se produit entre les tests fonctionnels. Mais cela aura généralement moinsde chance de se produire que dans le cas de la catégorie 1. Voir la norme EN ISO 13849-1pour l’ensemble des exigences applicables.

L’architecture désignée de catégorie 3 doit utiliser des principes de sécurité de base (voirl’annexe de la norme EN ISO 13849-2). Elle est soumise également à la contrainte que lesystème ou le sous-système ne soit pas mis en défaut en cas d’apparition d’une seuledéfaillance. Cela signifie que le système devra présenter une tolérance à une défaillanceunique pour sa fonction de sécurité. La façon la plus classique de répondre à cette exigenceest d’utiliser une architecture à deux voies, comme illustré ci-dessus. De plus, il est égalementdemandé que, chaque fois que c’est possible, cette défaillance unique soit détectée. Cette



Test

CâblageCâblage

TestSortie

Surveillance




Câblage

Surveillance

Surveillance

Surveillancecroisée

Câblage



CâblageCâblage


SAFEBOOK 4


81

exigence est identique à celle imposée originellement pour la Catégorie 3 par la normeEN 954-1. Dans ce contexte, l’interprétation de l’expression « chaque fois que c’est possible »s’était avérée parfois problématique. Elle signifiait en effet que la Catégorie 3 pouvait accepteraussi bien un système redondant mais sans détection de défauts (souvent appelé de façonimagée mais juste « redondance aveugle ») qu’un système redondant dans lequel tous lesdéfauts isolés soient détectés. Cette question a été réglée par la norme EN ISO 13849-1.Celle-ci impose en effet d’apprécier la qualité de couverture des tests de diagnostic (DC).Nous pouvons constater que plus la fiabilité [MTTFd] du système sera élevée, plus ce tauxDC sera faible. Cependant, il est clair également que ce taux DC devra être au moins de 60 %pour une architecture désignée de catégorie 3.

L’architecture désignée de catégorie 4 doit utiliser des principes de sécurité de base (voir l’an-nexe de la norme EN ISO 13849-2). Elle est soumise à un ensemble de contraintes sembla-bles à celles applicables à la Catégorie 3. Mais elle impose un niveau de surveillance plusélevé, c’est à dire un taux de couverture des tests de diagnostic supérieur. Ceci est indiqué parles pointillés en gras qui représentent les fonctions de surveillance. Sur le fond, la différenceentre les Catégories 3 et 4 est la suivante : pour la Catégorie 3 la plupart des défauts doiventêtre détectés, alors que pour la Catégorie 4 tous les défauts individuels doivent l’être systéma-tiquement. Le taux de couverture des tests de diagnostic doit, dans ce cas, être au moins de99 %. Même des défauts combinés ne doit pas pouvoir provoquer de défaillance dangereuse.

Données de fiabilité

La norme EN ISO 13849-1 utilise des données de fiabilité quantifiées pour le calcul du niveauPL que devra assurer la partie sécurité d’un système de commande. Ceci représente unedifférence significative par rapport à la norme EN 954-1. La première interrogation que celasoulève est : « où pouvons-nous obtenir ces données » ? Il est toujours possible d’utiliser desdonnées provenant de tables de fiabilité éprouvées. Mais la norme indique clairement que lasource à privilégier est le fabricant. Dans cet esprit, Rockwell Automation met à disposition lesinformations pertinentes concernant ses produits sous forme d’une bibliothèque de donnéespour SISTEMA. Ces données seront également publiées sous d’autres formes en temps utile.



Câblage

Surveillance

Surveillance

Surveillancecroisée

Câblage



CâblageCâblage


82

SAFEBOOK 4


Avant de poursuivre, nous devons examiner les types de données nécessaires et égalementcomprendre comment elles peuvent être produites.

Le type de données idéalement requis par la norme (et par SISTEMA) pour déterminer leniveau de performance PL est la probabilité de défaillance dangereuse par heure PFH. Il s’agitde la même variable que celle désignée par l’acronyme PFHd dans la norme CEI/EN 62061.

Le tableau ci-dessus montre le rapport entre la valeur PFH et les niveaux PL et SIL. Pourcertains sous-systèmes, le PFH peut être obtenu directement auprès du fabricant. Cela facilitegrandement les choses pour le calcul. Le fabricant devra généralement avoir effectué descalculs et/ou des tests relativement complexes sur ses sous-systèmes afin d’être en mesure defournir cette information. Lorsque cette donnée n’est pas disponible, la norme EN ISO 13849-1propose une alternative simplifiée. Elle est basée sur l’utilisation de la durée moyenne defonctionnement avant défaillance dangereuse (MTTFd) dans le cas d’un système mono-voie.Le niveau PL (et donc le PFH) du système ou du sous-système peut ensuite être calculé enutilisant la méthodologie et les formules de la norme. Ceci sera même réalisé plus facilementencore à l’aide de SISTEMA.

Remarque : il est important de retenir que, pour un système à deux voies (avec ou sansdiagnostics), il n’est pas permis d’utiliser le rapport 1/PFHd pour déterminer le MTTFd dans lecadre de la norme EN ISO 13849-1. Cette norme ne fait référence en effet qu’au MTTFd d’unsystème mono-voie. Cette valeur sera différente de celle du MTTFd combiné des deux voiesd’un sous-système à deux voies. Si le PFHd d’un sous-système à deux voies est connu, ilsuffit de l’entrer directement dans SISTEMA.

MTTFd d’un système mono-voie

Cette valeur représente le temps moyen avant l’apparition d’un défaut pouvant entraînerla défaillance de la fonction de sécurité. Elle est exprimée en années. Il s’agit de la valeurmoyenne des MTTFd des « blocs » de chaque voie. Elle peut s’appliquer à un système aussibien qu’à un sous-système. La norme fournit la formule suivante pour le calcul de la moyennedes MTTFd de tous les éléments utilisés dans un système ou un sous-système mono-voie.

PL(niveau de

performance)

PFHd

(probabilité de défaillancedangereuse par heure)


de sécurité)

a ≥10–5 à <10–4 Aucun

b ≥3 x 10–6 à <10–5 1

c ≥10–6 à <3 x 10–6 1

d ≥10–7 à <10–6 2

e ≥10–8 à <10–7 3

SAFEBOOK 4


83

A ce niveau, la valeur ajoutée de SISTEMA apparaît évidente. Il fait gagner en effet auxutilisateurs un temps précieux dans la consultation des tableaux et le calcul de ces formulespuisque ces tâches sont réalisées par le logiciel. Les résultats finaux peuvent être impriméssous forme d’un rapport en plusieurs pages.

(Formule D1 de la norme EN ISO 13849-1)

Dans la plupart des systèmes à deux voies, celles-ci sont identiques. En conséquence, lerésultat de la formule peut s’appliquer à l’une ou l’autre voie.

Si les voies du système ou du sous-système sont différentes, la norme fournit une autreformule pour traiter ce cas.

Elle revient en fait à faire la moyenne des deux moyennes. A des fins de simplification, il estégalement permis d’utiliser uniquement la valeur de voie la plus défavorable.

La norme classe le MTTFd selon trois niveaux, comme indiqué ci-dessous :

Niveaux MTTFd

Il est à noter que la norme EN ISO 13849-1 limite le MTTFd pratique d’un sous-systèmemono-voie à 100 ans maximum, même si les valeurs réelles déterminées par le calcul peuvents’avérer parfois bien supérieures.

Comme nous le verrons plus loin, la valeur MTTFd ainsi obtenue sera ensuite combinée avecla Catégorie d’architecture désignée et le taux DC de couverture des tests de diagnostic afind’obtenir une estimation provisoire du niveau PL. Le terme « provisoire » est utilisé ici parceque d’autres exigences, notamment l’intégrité systématique et les mesures contre les causesde défaillance communes, devront encore être satisfaites lorsque cela est nécessaire.

1 Ñ

i=1= ΣMTTFd

1MTTFdi

Ñ

j=1= Σ nj

MTTFdj

=MTTF 32 1

d MTTF +MTTF+

dC1 dC2 1MTTFdC1

1MTTFdC2

Évaluation du MTTFd de chaque voie

Plage de valeurs MTTFd pour chaque voie

Faible 3 ans <= MTTFd <10 ans

Moyen 10 ans <= MTTFd <30 ans

Élevé 30 ans <= MTTFd <100 ans

84

SAFEBOOK 4


Méthodes de détermination des données

Il est maintenant nécessaire d’examiner un peu plus en détail comment les fabricantsdéterminent leurs données de PFHd ou de MTTFd. La compréhension de ce processus estessentielle pour pouvoir utiliser à bon escient ces données constructeur. Les composantspeuvent être regroupés en trois types fondamentaux :

• Mécaniques (électromécaniques, mécaniques proprement-dits, pneumatiques,hydrauliques, etc.)

• Électroniques (utilisant notamment des semi-conducteurs)• Logiciels

Il existe des différences fondamentales entre les mécanismes de défaillance commune de cesdifférents types de technologies. Sur le fond, on peut les résumer de la façon suivante :

Technologie mécanique :

La défaillance sera proportionnelle à la fois à la fiabilité intrinsèque et au taux d’utilisation.Plus le taux d’utilisation sera élevé, plus les composants auront une chance de se trouveraltérés et de tomber en panne. Il convient de noter que ce facteur ne constitue pas laseule cause de défaillance, mais à moins de limiter le temps et les cycles de fonctionne-ment, il sera prédominant. Il va de soit qu’un contacteur ayant un cycle de commutationd’une fois toutes les dix secondes garantira un fonctionnement fiable bien moins long-temps que le même contacteur fonctionnant une seule fois par jour. Les dispositifs detype matériel incorporent généralement des composants conçus individuellement pourune utilisation spécifique. Ces composants ont été formés, moulés, coulés, usinés, etc.Puis ils ont été combinés entre eux au moyen d’accessoires de couplage, de ressorts, d’aimants, de bobines électriques, etc. afin de constituer un mécanisme. Etant donné queces composants de base ne disposent généralement pas d’historique d’utilisation dans d’autres applications, il ne sera pas possible d’obtenir des données de fiabilité préexis-tantes les concernant. L’estimation du PFHd ou du MTTFd pour un mécanisme est norma-lement basé sur des tests. Les deux normes EN/CEI 62061 et EN ISO 13849-1 mettent enavant une procédure de test dénommée B10d.

Dans ce test B10d, un certain nombre d’échantillons du dispositif (généralement au moinsdix) sont testés dans des conditions représentatives. Le nombre moyen de cycles defonctionnement obtenus avant que 10 % de ces échantillons présentent une défaillanceentraînant une situation dangereuse, est désigné comme valeur B10d. En pratique, il serafréquent que les échantillons tombant en panne passent en fait dans un état assuranttoujours le maintien des conditions de sécurité. Dans ce cas alors, la norme indique quela valeur B10d (danger) peut être considérée comme égale à deux fois la valeur B10(de sécurité).

SAFEBOOK 4


85

Technologie électronique :

Il n’existe dans ce cas aucune détérioration physique due à la présence de pièces en mouvement. Si l’on suppose un environnement de fonctionnement conforme aux caracté-ristiques électriques, de température et autres spécifiées, la cause de défaillance princi-pale d’un circuit électronique sera liée à la fiabilité intrinsèque de ses composants (ou, plusexactement, à leur manque de fiabilité). De nombreuses raisons peuvent être à l’origine dela défaillance de composants individuels : imperfections introduites pendant la fabrication,surtensions excessives, problèmes de connexion mécanique etc. En général, les défail-lances de composants électroniques sont difficiles à prévoir par analyse et elles apparais-sent comme étant de nature aléatoire. En conséquence, le test d’un dispositif électroniqueen laboratoire ne révélera pas nécessairement de profils types de défaillance à long terme.

Pour déterminer la fiabilité de ces dispositifs électroniques, il faudra donc généralementavoir recours à l’analyse et au calcul. Il est possible de trouver des données pertinentespour les composants spécifiques dans des tableaux de données de fiabilité. Il est égale-ment possible de déterminer les modes de défaillance dangereux d’un composant parl’analyse. Il est admis et courant de faire une moyenne pondérée entre les modes de défaillance de sécurité (50 %) et dangereux (50 %) du composant. Cela produit générale-ment un résultat de type plutôt « conservateur ».

La norme CEI 61508 fournit des formules pouvant être utilisées pour le calcul de la proba-bilité globale de défaillance dangereuse PFH ou PFD du dispositif (c’est à dire, du sous-système). Ces formules sont très complexes et prennent en compte (lorsqu’applicable) lafiabilité du composant, les risques de défaillance de cause commune (coefficient bêta), letaux de couverture des tests de diagnostic (DC), l’intervalle entre les tests fonctionnels etl’intervalle entre les tests de validité. La bonne nouvelle est que ces calculs complexes se-ront normalement réalisés par le fabricant du dispositif ! Les deux normes EN/CEI 62061et EN ISO 13849-1 acceptent que le PFHd d’un sous-système soient calculé selon les formules de la norme CEI 61508. Le résultat de ce calcul pourra être utilisé directementselon l’annexe K de la norme EN ISO 13849-1 ou dans l’outil de calcul SISTEMA.

86

SAFEBOOK 4


Technologie logicielle :

Les défaillances logicielles sont par nature intrinsèquement systémiques. Tout défaut seradû à la façon dont le logiciel a été conçu, écrit ou compilé. Par conséquent les défaillancesne pourront être causées que par le système dans lequel elles se produisent, et non parson utilisation. Pour maîtriser ces défaillances, il faut donc maîtriser le système. Les deuxnormes CEI 61508 et EN ISO 13849-1 définissent des règles et des méthodologies pourcela. Il n’est pas nécessaire d’entrer dans le détail ici. On retiendra simplement qu’elles utilisent un modèle en V classique. Le logiciel intégré est un point non négligeable pour leconcepteur du dispositif. L’approche traditionnelle consiste à développer le logiciel intégréconformément aux méthodes formelles définies dans la partie 3 de la norme CEI 61508.En ce qui concerne le programme d’application, c’est à dire le logiciel permettant à l’utilisa-teur de dialoguer avec le système, la plupart des dispositifs de sécurité programmablessont fournis avec des blocs fonctions ou des sous-programmes « certifiés ». Cela simplifieles tâches de validation du programme d’application. Car il ne faut pas oublier qu’une foisce programme d’application terminé, il devra toujours être validé. La façon dont les blocssont reliés entre eux et paramétrés doit être contrôlée et validée par rapport à la tâche pré-vue. Les deux normes EN ISO 13849-1 et CEI/EN 62061 fournissent des recommanda-tions pour cette procédure.

Résultat

VérificationCodage

Test du module

Conceptiondu module

Conceptiondu système

Test d’intégration

ValidationLogicielvalidé

Caractéri-stiques des fonctionsde sécurité

ValidationCaractéristiques

du logicielde sécurité

Modèle en V pour le développement du logiciel

SAFEBOOK 4


87

Couverture de diagnostic

Nous avons déjà abordé ce point lorsque nous avons traité des Catégories d’architecturedésignée 2, 3 et 4. Ces Catégories requièrent en effet certains tests de diagnostic afin devérifier que la fonction de sécurité est toujours active. L’expression « taux de couverturedes tests de diagnostic » (traditionnellement désigné par DC) est utilisée pour caractériserl’efficacité de ces tests. Il est important de réaliser que le taux DC n’est pas basé uniquementsur le nombre de composants pouvant présenter une défaillance dangereuse. Il prend encompte le taux de défaillance dangereuse total. Le symbole λ est utilisé pour désigner ce« taux de défaillance ». DC exprime la relation entre les taux d’apparition des deux typessuivants de défaillance dangereuse :

Les défaillances dangereuses détectées [λdd], c’est-à-dire les défauts susceptibles deprovoquer ou de conduire à une perte de la fonction de sécurité, mais qui sont détectés.Après cette détection, une fonction de réaction au défaut entraînera le passage dudispositif ou du système à l’état de sécurité.

La défaillance dangereuse [λd], c’est-à-dire l’ensemble des défauts pouvant potentielle-ment provoquer ou conduire à une perte de la fonction de sécurité. Elle inclut donc les défauts détectés et ceux qui ne le sont pas. Évidemment, les défauts qui sont réellementdangereux sont ceux qui ne sont pas détectés (désignés par λdu).

La valeur DC est fournie par la formule :

DC = λdd/λd (exprimé en pourcentage).

La définition du taux de couverture de diagnostic DC est commune aux normes EN ISO 13849-1et EN/CEI 62061. Cependant, la façon de le calculer diffère. La seconde norme propose uncalcul basé sur l’analyse du mode de défaillance, alors que l’EN ISO 13849-1 offre une méthodesimplifiée utilisant des tables de référence. Diverses techniques de diagnostic courantes y sontlistées avec, en regard, le taux DC qu’elles sont supposées permettre d’obtenir. Dans certainscas, une analyse rationnelle reste cependant nécessaire. Pour certaines de ces techniques eneffet, le taux de couverture des tests de diagnostic DC obtenu sera fonction de la fréquence àlaquelle le test est effectué. Cette approche a été parfois critiquée comme étant trop imprécise.Dans la pratique, l’estimation du taux DC sera influencée par un grand nombre de variables.Quelle que soit la technique utilisée, le résultat ne pourra donc en général pas prétendre à unautre qualificatif qu’approximatif.

88

SAFEBOOK 4


Il est cependant important de savoir que les tables de référence de la norme EN ISO 13849-1sont le produit de recherches extensives réalisées par le BGIA à partir des résultats fournispar des techniques de diagnostic éprouvées sur des applications réelles. Dans un esprit desimplification, la norme répartit les valeurs DC selon quatre niveaux d’efficacité de base :

<60 % = nul

de 60 % à <90 % = faible

de 90 % à <99 % = moyen

≥99 % = élevé

Cette approche par niveaux d’efficacité plutôt qu’en valeurs de pourcentage spécifiques peutégalement être considérée comme plus réaliste en termes de précision. L’outil SISTEMAutilise les mêmes tables de référence que la norme. Avec le développement de l’utilisation decomposants électroniques complexes dans les dispositifs de sécurité, le facteur DC devient deplus en plus important. Il est à penser que les évolutions futures des normes apporteront desapprofondissements sur ce point. En attendant, une analyse technique rationnelle et un peude bon sens devraient être suffisants pour faire le choix optimal du niveau d’efficacité DC.

Défaillance de cause commune

Dans la plupart des systèmes ou sous-systèmes à deux voies (c’est à dire, ne tolérant qu’unseul défaut), le principe du diagnostic est basé sur le postulat qu’il ne se produira pas dedéfaillances dangereuses sur les deux voies en même temps. L’expression « en mêmetemps » peut être formulée de façon plus exacte ainsi : « dans l’intervalle entre les tests dediagnostic ». Si cet intervalle entre les tests de diagnostic est raisonnablement court (parexemple, inférieur à huit heures), il est raisonnable de considérer que deux défauts distinctset non liés auront peu de chance de se produire dans ce laps de temps. Cependant, la normeprécise clairement qu’il faut bien s’assurer que les possibilités d’apparition du défaut soientdistinctes et non liées. Par exemple, si la défaillance d’un composant peut entraîner de façonprévisible la défaillance d’autres composants, la résultante de ces différents défauts combinéssera considérée comme un défaut unique.

Il est également possible qu’un évènement entraînant la défaillance d’un composant particuliersoit susceptible de provoquer la défaillance d’autres composants. C’est ce qu’on appelle une« défaillance de cause commune » (habituellement désignée par l’acronyme CCF). La propen-sion d’apparition d’une défaillance CCF est habituellement symbolisée par le coefficient bêta (ß).

SAFEBOOK 4


89

Il est très important que les concepteurs de sous-systèmes et de systèmes soient sensibilisésaux possibilités d’apparition de défaillances CCF. Il existe de nombreux types de défaillancesCCF et, par conséquent, de nombreuses façons de les éviter. La norme EN ISO 13849-1 pro-pose une alternative raisonnable entre les extrêmes que constituent une trop grande complexitéet une trop grande simplification. De la même façon que la norme EN/CEI 62061 qui adopte,quant à elle, une approche essentiellement qualitative. Elle propose une liste de mesures recon-nues comme efficaces dans la prévention des défaillances CCF.

Système d’évaluation des défaillances de cause commune

Un nombre approprié de ces mesures devra être mis en œuvre dans la conception du systèmeou du sous-système. On pourra rétorquer légitimement que le seul recours à cette liste n’estcertainement pas suffisant pour prévenir tout risque d’apparition de défaillances CCF. Néan-moins, si l’esprit de cette liste est bien compris, il apparaîtra clairement que son premier objec-tif est d’inciter le concepteur à analyser les risques d’apparition de défaillances CCF et à met-tre en œuvre les mesures de prévention appropriées en fonction de la technologie et descaractéristiques de l’application prévue. L’utilisation de la liste force à prendre en compte uncertain nombre de techniques fondamentales permettant d’obtenir une efficacité maximum.La diversité des modes de défaillance et des compétences de conception seront ainsi misesen évidence. L’outil SISTEMA de BGIA se base également sur les tables de référence de défaillances CCF de la norme. Il les présente sous une forme très pratique à utiliser.

N° Mesure contre les défaillancesde cause commune Note

1 Séparation/isolement 15

2 Diversification 20

3 Conception/application/expérience 20

4 Évaluation/analyse 5

5 Compétence/formation 5

6 Environnement 35

90

SAFEBOOK 4


Défauts systématiques

Nous avons déjà évoqué la question de la quantification des données de fiabilité de sécuritédans le cadre du MTTFd et de la probabilité de défaillance dangereuse. Cependant, cettequestion a d’autres ramifications. Lorsque nous avons utilisé ces termes, nous faisions référencequ’aux défauts aléatoires par nature. En effet, la norme CEI/EN 62061 parle spécifiquement deprobabilité de défaillance matérielle aléatoire (ou PFHd). Mais il existe un type de défauts,génériquement appelés « défauts systématiques », qui peuvent découler d’erreurs commisesau niveau de la conception ou du processus de fabrication. Un exemple classique en est fournipar les erreurs de programmation logicielle. Dans son Annexe G, la norme définit des mesuresdestinées à éviter ces erreurs (et donc les défaillances induites). Ces mesures incluent desdispositions telles que l’utilisation de matériaux et de techniques de fabrication adaptés, desrevues de conception, l’analyse et la modélisation sur ordinateur. Il existe également desévènements prévisibles et des caractéristiques susceptibles d’apparaître dans l’environnementd’utilisation qui pourront provoquer des défaillances si leurs effets potentiels ne sont pas souscontrôle. L’Annexe G propose également des mesures à ce niveau. Par exemple, il est facilede prévoir qu’il pourra se produire des pertes occasionnelles d’alimentation. En conséquence,la mise hors tension des composants devra entraîner la mise en sécurité du système. Cesmesures peuvent sembler relever du simple bon sens, et c’est le cas. Elles n’en sont pas moinsessentielles. Toutes les autres réquisitions de la norme deviennent sans objet si la surveillance etla prévention des défaillances systématiques ne sont pas considérées avec l’importance qu’ellesméritent. Cela nécessite parfois également des mesures de même type que celles utilisées pourle contrôle des défaillances matérielles aléatoires (afin de garantir le niveau de PFHd souhaité),comme les tests de diagnostic automatiques et l’utilisation de matériels redondants.

Exclusion de défauts

L’un des outils fondamentaux pour l’analyse des systèmes de sécurité est l’analyse desdéfaillances. Le concepteur et l’utilisateur doivent comprendre comment le système desécurité va fonctionner en présence de défauts. De nombreuses techniques existent pourréaliser cette analyse. Citons par exemple, l’analyse de l’arbre des défaillances, des modesde défaillance, de leurs effets et de leur criticité, l’analyse de l’arborescence des évènementset la revue des charge et des résistances.

Au cours de cette analyse, il sera possible de découvrir certains défauts ne pouvant pas êtredétectés par les tests de diagnostic automatiques (à moins d’impliquer des coûts économiquesdisproportionnés). De plus, la probabilité d’apparition de ces défauts pourra être rendue extrê-mement faible grâce à l’utilisation de méthodes de limitation au niveau de la conception, de laconstruction et des tests. Dans ces conditions, certains défauts pourront être exclus du champde surveillance. L’exclusion de défaut consiste à négliger délibérément un défaut dont la pro-babilité d’apparition dans le système de commande de sécurité (SRCS) sera négligeable.

SAFEBOOK 4


91

La norme ISO 13849-1:2006 autorise l’exclusion de défauts sur la base de l’improbabilité tech-nique de son apparition, de l’expérience technique généralement reconnue et des exigencestechniques relatives à l’application. La norme ISO 13849-2:2003 fournit quant à elle des exem-ples et des justifications d’exclusion de certains défauts dans des systèmes électriques, pneu-matiques, hydrauliques et mécaniques. Les exclusions de défauts doivent être déclarées etjustifiées de façon détaillée dans la documentation technique.

Il sera dans certains cas impossible d’effectuer l’évaluation un système SRCS sans admettreque certains défauts doivent être exclus. Pour plus d’informations sur l’exclusion de défauts,se reporter à la norme ISO 13849-2.

Plus le niveau de risque devient important, plus la justification de l’exclusion de défauts devientrigoureuse. En général, lorsqu’un niveau de performance PLe est requis pour la mise en œu-vre d’une fonction de sécurité par un système de commande de sécurité, il n’est pas normal dejouer uniquement sur les exclusions de défauts pour obtenir ce niveau de performance. Celadépendra de la technologie utilisée et de l’environnement de travail prévu. Il est donc essentielque les concepteurs attachent une importance accrue à la définition des exclusions de défautslorsque les exigences de niveau de performance PL augmentent.

Par exemple, un système d’interverrouillage de porte devant garantir un niveau de perfor-mance PLe, devra avoir un facteur de tolérance aux pannes minimum de 1 (par exemple, enutilisant deux détecteurs de position mécaniques conventionnels). Il n’est en effet normale-ment pas admissible d’exclure des défauts tels que des ruptures d’actionneurs de contacts àce niveau de performance. Cependant, il peut être envisagé d’exclure des défauts, comme uncourt-circuit dans le câblage d’un panneau de commande conçu conformément aux normesapplicables.

Niveau de performance (PL)

Le niveau de performance est une valeur discrète qui définit la capacité des composants desécurité du système de commande à exécuter une fonction de sécurité.

Pour évaluer le niveau de performance obtenu par la mise en œuvre de l’une des cinqarchitectures désignées, les données suivantes sont nécessaire concernant le système (ou le sous-système) :

• La valeur MTTFd (durée moyenne de fonctionnement avant défaillance dangereuse dechaque voie)

• Le taux DC (couverture de diagnostic)• L’Architecture (la Catégorie)

92

SAFEBOOK 4


Le schéma suivant présente une méthode graphique pour déterminer le niveau PL en combi-nant ces facteurs. Le tableau se trouvant à la fin de ce document présente les résultats tabu-laires des différents modèles de Markov qui sont à l’origine de ce schéma. On se référera à cetableau lorsqu’une estimation plus précise est nécessaire.

D’autres conditions sont également à satisfaire pour atteindre le niveau PL requis. Ellescomprennent les dispositions relatives aux défaillances de cause commune, aux défaillancessystématiques, aux conditions ambiantes et au temps de mission.

Si la valeur PFHd du système ou du sous-système est connue, le tableau 10.4(dans l’Annexe K de la norme) peut être utilisé pour déduire le niveau PL.

Conception et combinaison de sous-systèmes

Des sous-systèmes ayant un niveau PL validé peuvent être combinés simplement dans unsystème global à l’aide du tableau 10.3. Le principe de ce tableau est simple à comprendre.Premièrement, la valeur du système est celle de son sous-système le plus faible. Deuxième-ment, plus il y a de sous-systèmes, plus la possibilité de pannes est grande.

Cat BDCmoyAucun

Cat 1DCmoyAucun

Cat 2DCmoyFaible

Cat 2DCmoyMoyen

Cat 3DCmoyFaible

Cat 3DCmoyMoyen

Cat 4DCmoyÉlevé

a

d

e

c

b

Nive

au d

e per

form

ance

MTTFd FaibleMTTFd MoyenMTTFd Élevé Détermination graphique du niveau de performance PL

SAFEBOOK 4


93

Calcul du niveau de performance PL dans le cas desous-systèmes associés en série

Dans le système présenté ci-dessous enexemple, les niveaux de performances lesplus faibles sont ceux des sous-systèmes 1et 2. Tous deux sont en effet de niveauPLb. En conséquence, en suivant la ligne b(au niveau de la colonne PLlow), puis laligne « inférieur ou égal à 2 » (au niveau dela colonne Nlow) sur le tableau, nous trou-vons que le niveau PL global du systèmeest b (dans la colonne PL). Si les troissous-systèmes étaient de niveau PLb, leniveau PL global obtenu serait PLa.

Combinaison de sous-systèmes en série dans un système de niveau PLb

Validation

La validation joue un rôle très important dans les processus de développement et de mise enservice du système de sécurité. La norme ISO/EN 13849-2:2003 définit les règles de cettevalidation. Elle fait appel à un plan de validation et propose pour réaliser ces validations destechniques de test et d’analyse, comme l’analyse de l’arbre des défaillances ou l’analyse desmodes de défaillance, de leurs effets et de leur criticité (AMDEC). La plupart de ces exigencess’appliquent généralement au fabricant du sous-système plutôt qu’à son utilisateur.

Mise en service de la machine

Lors de la phase de mise en service du système ou de la machine, la validation des fonctionsde sécurité doit être exécutée dans tous les modes de fonctionnement. Elle doit inclure toutesles situations normales ainsi que les situations anormales prévisibles. Les différentes combi-naisons d’entrées et de séquences de fonctionnement doivent également être prises encompte. Cette procédure est importante. Il est en effet nécessaire de toujours vérifier l’adéqua-tion du système aux conditions de fonctionnement et d’environnement réelles. Certaines deces conditions en effet peuvent s’avérer différentes de celles qui avaient prévues lors de laconception.

PLlow Nlow PL

a>3 non autorisé

≤3 a

b>2 a

≤2 b

c>2 b

≤2 c

d>3 c

≤3 d

e>3 d

≤3 e

Sous-système 2

PLb PLbSous-système 1 Sous-système 3

PLc

94

SAFEBOOK 4


Conception du système selon la norme CEI/EN 62061

La norme CEI/EN 62061, « Sécurité des machines – Sécurité fonctionnelle des systèmes decommande électriques, électroniques et électroniques programmables relatifs à la sécurité »,est la version adaptée spécifiquement aux machines de la norme CEI/EN 61508. Elle définitles règles applicables à la conception des systèmes de commande électriques relatifs à lasécurité pour ces machines. Elle s’applique également à la conception des sous-systèmes etdes dispositifs peu complexes.

L’évaluation des risques débouche sur une stratégie de réduction des risques. Celle-ci permetà son tour d’identifier les fonctions de commande de sécurité nécessaires. Ces fonctionsdoivent être décrites en intégrant les éléments suivants :

• les spécifications des exigences fonctionnelles ;• les spécifications des exigences d’intégrité de sécurité.

Les exigences fonctionnelles regroupent un certain nombres de points comme la fréquencede fonctionnement, le temps de réponse nécessaire, les modes de fonctionnement, les cyclesde travail, les conditions d’utilisation et les fonctions de réaction aux défauts. Les exigencesd’intégrité de sécurité sont classées selon différents niveaux appelés niveaux d’intégrité desécurité SIL (Safety Integrity Level). En fonction de la complexité du système, tout ou partiedes éléments du tableau ci-dessous devront être pris en compte pour déterminer si laconfiguration du système est conforme à la classification SIL nécessaire.

Éléments à prendre en compte pour la détermination du niveau SIL

Sous-systèmes

Le terme « sous-système » a une signification particulière dans la norme CEI/EN 62061. C’estle premier niveau de la décomposition d’un système en sous-parties qui, si elles viennent à semettre en défaut, entraîneront la défaillance de la fonction de sécurité. Par conséquent, si

Éléments à prendre en compte pour la classification SIL Symbole

Probabilité de défaillance dangereuse par heure PFHd

Tolérance aux pannes matérielles Pas de symbole

Proportion de défaillances non dangereuses SFF

Intervalle entre tests de validité T1

Intervalle entre tests de diagnostic T2

Sensibilité aux défaillances de cause commune ß

Taux de couverture des tests de diagnostic DC

SAFEBOOK 4

Conception de système selon la norme CEI/EN 62061

95

deux interrupteurs redondants sont utilisés dans un système, ces interrupteurs ne constituentpas individuellement un sous-système. C’est l’ensemble de ces deux interrupteurs et leséventuelles fonction de diagnostic associées qui constitue le sous-système.

Probabilité de défaillance dangereuse par heure (PFHd)

La norme CEI/EN 62061 utilise les mêmes méthodes de base que celles présentées dans lechapitre relatif à la norme EN ISO 13849-1 pour déterminer le taux de défaillance au niveaudes composants. Des dispositions et des méthodes identiques s’appliquent aux composants« mécaniques » et électroniques. Dans la norme CEI/EN 62061 il n’est cependant pas faitréférence à une valeur MTTFd exprimée en années. Le taux de défaillance horaire (λ) seracalculé soit directement, soit au moyen, ou à partir, de la valeur B10 selon la formule suivante :

λ = 0,1 x C/B10 (dans laquelle C = nombre de cycles de fonctionnement par heure)

Il existe une différence de méthodologie significative entre les deux normes pour la détermina-tion du PFHd total d’un sous-système ou d’un système. Une analyse des composants doit iciêtre réalisée afin de déterminer la probabilité de défaillance des sous-systèmes. Des formulessimplifiées sont fournies pour le calcul des architectures courantes de sous-système (décritesplus loin). Lorsque ces formules ne sont pas adaptées, il sera nécessaire d’utiliser des mé-thodes de calcul plus complexes, comme les modèles de Markov. Les probabilités de défail-lance dangereuse (PFHd) de chaque sous-système seront alors additionnées pour déterminerle PFHd total du système. Le tableau 15 (Tableau 3 dans la norme) peut alors être utilisé pourdéterminer le niveau d’intégrité de sécurité SIL adapté à cette valeur de PFHd.

λDssB = (1-ß)2 x λDe1 x λDe2 x T1 + ß x (λDe1 + λDe2)/2

Les formules correspondant à cette architecture prennent en compte une disposition enparallèle des éléments du sous-système et agrègent les deux éléments suivants provenantdu tableau précédent :

le coefficient ß (bêta) exprime la sensibilité aux défaillances de cause commune

Probabilité de défaillance dangereuse par rapport aux niveaux SIL


de sécurité)

PFHd

(probabilité de défaillance dangereuse par heure)

3 ≥10–8 à <10–7

2 ≥10–7 à <10–6

1 ≥10–6 à <10–5

96

SAFEBOOK 4


Les données de PFHd d’un sous-système sont généralement fournies par le fabricant dumatériel. Les informations relatives aux composants et systèmes de sécurité de RockwellAutomation sont disponibles sous différentes formes, et notamment à l’adresse :

www.discoverrockwellautomation.com/safety

La norme CEI/EN 62061 établit clairement également que des tables de données de fiabilitépeuvent être utilisés le cas échéant.

Pour les dispositifs électromécaniques peu complexes, le mécanisme d’apparition de panneest généralement lié au nombre et à la fréquence des opérations plutôt qu’au tempssimplement. En conséquence, dans le cas de ces composants, les données sont obtenuesà partir de tests types (comme par exemple, le test B10 décrit dans le chapitre sur la normeEN ISO 13849-1). Des informations relatives à l’application, comme le nombre de cycles defonctionnement attendus par an, seront alors nécessaires pour convertir la valeur B10d, oules données similaires, en PFHd.

Remarque : la relation suivante est généralement vérifiée (sous réserve de l’applicationéventuelle d’un facteur de conversion des années en heures) :

PFHd = 1/MTTFd

Cependant, il faut toujours avoir à l’esprit que, pour un système à deux voies (avec ou sansdiagnostics), il n’est pas permis d’utiliser le rapport 1/PFHd pour calculer le paramètre MTTFdrequis par la norme EN ISO 13849-1. Cette norme fait en effet référence au MTTFd unique-ment dans le cadre de systèmes mono-voie. C’est une valeur très différente du MTTFd résul-tant de la combinaison des deux voies d’un sous-système à deux voies.

Contraintes architecturales

La particularité essentielle de la norme CEI/EN 62061 est la division du système de sécuritéen sous-systèmes. Le niveau d’intégrité de sécurité de son matériel pouvant être revendiquépar un sous-système est non seulement limité par son PFHd, mais aussi par sa tolérance auxdéfauts matériels et sa proportion de défaillances non dangereuse (SFF). La tolérance auxdéfauts matériels définit la capacité du système à exécuter sa fonction en présence dedéfauts. Une tolérance aux défauts égale à zéro signifie que la fonction ne sera plus exécutéedès lors qu’un seul défaut se produira. Une tolérance aux défauts de un autorisera le sous-système à exécuter sa fonction en présence d’un défaut unique. La proportion de défaillancesnon dangereuses (SFF) représente la fraction du nombre de défauts total n’entraînant pas dedéfaillance dangereuse. La combinaison de ces deux éléments constitue ce qu’on appelle lacontrainte architecturale. Elle détermine le niveau SIL maximum réalisable ou SIL CL. Letableau suivant présente cette relation entre la contrainte architecturale et le niveau SIL CL.Un sous-système (et donc son système) doit respecter à la fois les exigences de PFHd et lescontraintes architecturales. De même qu’il doit satisfaire à toutes les autres dispositionsapplicables de la norme.

SAFEBOOK 4


97

Contraintes architecturales et niveaux SIL

Par exemple, une architecture de sous-système possédant une tolérance à un seul défaut etune proportion de défaillances non dangereuses de 75 % sera limitée à un niveau maximalSIL 2, quelle que soit sa probabilité de défaillance dangereuse. Lorsque des sous-systèmessont combinés, le niveau SIL global du système SRCS résultant sera limité à un niveauinférieur ou égal au niveau SIL CL le plus bas de tous les sous-systèmes participant à lafonction de commande de sécurité.

Réalisation du système

Pour calculer la probabilité de défaillance dangereuse, chaque fonction de sécurité doit êtredécomposée en blocs fonctionnels qui seront ensuite utilisés comme base des sous-systèmes.La conception traditionnelle d’un système destiné à l’exécution d’une fonction de sécuritéconsiste en un dispositif de détection connecté à un dispositif logique lui-même connecté àun actionneur. Ceci constitue une disposition en série de ces sous-systèmes. Commenous l’avons vu précédemment, si nous pouvons déterminer la probabilité de défaillancedangereuse de chaque sous-système et connaître son niveau SIL CL, il sera alors facile decalculer la probabilité de défaillance du système en additionnant les probabilités de défaillancede chacun de ses sous-systèmes. Ce principe est illustré ci-dessous.

Proportion dedéfaillances non

dangereuses(SFF)

Tolérance aux pannes matérielles

0 1 2

<60 %Non autorisé sauf exception

particulièreSIL 1 SIL 2

60 % – <90 % SIL 1 SIL 2 SIL 3

90 % – <99 % SIL 2 SIL 3 SIL 3

≥99 % SIL 3 SIL 3 SIL 3

SOUS-SYSTÈME 1Détection de position

Critères fonctionnels et d’intégrité CEI/EN 62061

Contraintes architecturales SIL CL 2

PFHd = 1x10–7

SOUS-SYSTÈME 3Actionneurs de sortie



PFHd = 1x10–7

SOUS-SYSTÈME 2Résolution de programme



PFHd = 1x10–7

= PFHd 1 = 1x10–7

= 3x10–7 c.-à-d., convenant à SIL 2

+ PFHd 2 + 1x10–7

+ PFHd 3 + 1x10–7

98

SAFEBOOK 4


Si, par exemple, nous souhaitons obtenir un niveau SIL 2, chaque sous-système doit avoirun niveau d’intégrité maximum SIL CL d’au moins SIL 2. La somme des probabilités dedéfaillance dangereuse (PFHd) du système ne doit par ailleurs pas dépasser les limitesindiquée dans le précédent tableau « Probabilité de défaillance dangereuse par rapportaux niveaux SIL ».

Conception de sous-système selon la norme CEI/EN 62061

Lorsque le concepteur du système utilise des composants déjà « prêt à l’emploi » dans dessous-systèmes conformes à la norme CEI/EN 62061, les choses deviennent beaucoup plussimples car les exigences propres à la conception des sous-systèmes ne s’appliqueront pasdans ce cas. Ces exigences sont, en général, déjà intégrées par le fabricant du dispositif(sous-système). C’est un avantage car elles sont bien plus complexes que celles requisespour la conception du système proprement-dit.

La norme CEI/EN 62061 impose que les sous-systèmes complexes comme les automatesde sécurité soient conformes à la norme CEI 61508 ou aux autres normes applicables. Celaimplique que les dispositifs utilisant des composants électroniques programmables complexesbénéficieront de toute la rigueur de la norme CEI 61508. Or, son application est parfois trèsstricte et exigeante. Par exemple, l’évaluation de la probabilité de défaillance dangereuse(PFHd) d’un sous-système complexe peut s’avérer un processus très complexe faisant appelà des techniques comme les modèles de Markov, les schémas fonctionnels de fiabilité oul’analyse de l’arbre des défaillances.

La norme CEI/EN 62061 définit des règles applicables à la conception des sous-systèmes demoindre complexité. Sont habituellement concernés des composants électriques relativementsimples, comme les interrupteurs d’interverrouillage et les relais de surveillance de sécuritéélectromécaniques. Les exigences ne sont pas aussi « pointues » que celles de la normeCEI 61508. Mais leur application peut cependant s’avérer très délicate.

La norme CEI/EN 62061 retient quatre architectures de sous-système logique et propose desformules de calcul correspondantes. Celles-ci peuvent être utilisées pour évaluer la probabilitéde défaillance dangereuse (PFHd) d’un sous-système de faible complexité. Ces architecturessont purement des représentations logiques. Elles ne doivent pas être considérées commedes architectures physiques. Ces quatre architectures sont résumées dans les schémassuivants.

Pour les architectures de sous-système de base représentées ci-dessous, les probabilités dedéfaillance dangereuse s’ajoutent simplement les unes aux autres.

SAFEBOOK 4


99

Architecture de sous-système logique de type A

λDssA= λDe1 + . . . + λDen

PFHDssA = λDssA x 1h

λ (lambda) est utilisé pour indiquer le taux de défaillance. L’unité de mesure de ce taux dedéfaillance est le nombre de défaillances par heure. λD indique le taux de défaillancesdangereuses. λDssA désigne quant à lui le taux de défaillance dangereuse du sous-système A ;c’est la somme des taux de défaillance des éléments individuels, e1, e2, e3, à en inclus. Laprobabilité de défaillance dangereuse est multipliée par 1 heure pour créer la probabilité dedéfaillance par heure.

Le schéma suivant présente un système à tolérance de défaut unique sans fonction dediagnostic. Lorsque l’architecture n’a ainsi qu’une tolérance de défaut unique, il existe unrisque potentiel de défaillance de cause commune à prendre en considération. Les effetsdes défaillances de cause commune sont brièvement décrits plus loin dans ce chapitre.

Architecture de sous-système logique de type B

λDssB = (1-ß)2 x λDe1 x λDe2 x T1 + ß x (λDe1 + λDe2)/2PFHDssB = λDssB x 1h

Les formules propres à cette architecture intègrent la disposition en parallèle des élémentsdu sous-système et agrègent les deux éléments suivants provenant du précédent tableau« Éléments à prendre en compte pour la détermination du niveau SIL ».

Sous-système A

Elément 1 dusous-système

De1

Elément n dusous-système

Den

Sous-système B

Elément 1 du sous-système

De1 Défaillance de causecommuneElément 2 du

sous-système De2

100

SAFEBOOK 4


ß – la sensibilité aux défaillances de cause commune (bêta) ;

T1 – l’intervalle entre les tests de validité ou la durée vie (la plus petite valeur des deux). Lestests de sécurité sont conçus pour détecter les défauts et les détériorations de fonctionnementdu sous-système de sécurité afin de permettre sa restauration éventuelle. En pratique, celasignifiera généralement son remplacement (cela correspond au concept de « temps demission » de la norme EN ISO 13849-1).

Le schéma suivant est la représentation fonctionnelle d’un système à tolérance zéro défautavec fonction de diagnostic. La couverture de diagnostic est utilisée pour réduire la probabilitéde pannes matérielles dangereuses. Les tests de diagnostic sont réalisé automatiquement.La définition du taux de couverture des tests de diagnostic est la même que dans la normeEN ISO 13849-1. Il s’agit du rapport entre le taux de défaillances dangereuses détectées et letaux de défaillances dangereuses global.

Architecture de sous-système logique de type C

λDssC = λDe1 (1-DC1)+ . . . + λDen (1-DCn)PFHDssC = λDssC x 1h

Ces formules incluent le taux de couverture des tests de diagnostic (DC) pour chacun deséléments du sous-système. Les taux de défaillances de chaque sous-système sont diminuésde la valeur du taux de couverture des tests de diagnostic correspondante.

Ci-dessous est présenté le quatrième exemple d’architecture de sous-système. Ce sous-système a une tolérance de défaut unique et inclut une fonction de diagnostic. Le risquepotentiel de défaillance de cause commune doit également être pris en considération avecles système à tolérance de défaut unique.

Sous-système C


De1

Fonction(s) de diagnostic

Elément n du sous-système

Den

SAFEBOOK 4


101

Architecture de sous-système logique de type D

Si les éléments du sous-système sont différents, les formules suivantes sont utilisées :

λDssD = (1 – ß)2 { λDe1 x λDe2 x (DC1 + DC2) x T2/2 + λDe1 x λDe2 x (2- DC1 – DC2) x T1/2 } + ß x (λDe1 + λDe2)/2

PFHDssD = λDssD x 1h

Si les éléments du sous-système sont identiques, les formules suivantes sont utilisées :

λDssD = (1 – ß)2 {[ λDe2 x 2 x DC] x T2/2 + [λDe2 x (1-DC)] x T1 }+ ß x λDe

PFHDssD = λDssD x 1h

On remarquera que les deux formules utilisent un paramètre supplémentaire, l’intervalle dediagnostic T2. Il s’agit simplement d’un contrôle périodique de la fonction. Il est moins completque le test de validité.

À titre d’exemple, nous prendrons les valeurs suivantes et nous considérerons que leséléments du sous-système sont différents :

ß = 0,05λDe = 1 x 10–6 défauts/heureT1 = 87 600 heures (10 ans)T2 = 2 heuresDC = 90 %

PFHDssD = 5.791E-08 pannes dangereuses par heure. On se trouve donc dans la plagecorrespondant au niveau SIL 3

Sous-système D


λDe1 Défaillancede causecommune

Fonction(s)de diagnostic


λDe2

102

SAFEBOOK 4


Effet de l’intervalle entre les tests de validité

La norme CEI/EN 62061 indique qu’un intervalle entre tests de validité PTI (Proof Test Interval)de 20 ans est souhaitable (mais non obligatoire). Voyons l’effet de cet intervalle entre les testsde validité sur le système. Si nous recalculons la formule avec T1 = 20 ans, nous obtenonsune valeur PFHDssD = 6.581E-08. Ce résultat se trouve toujours dans la plage requise pour leniveau SIL 3. Pour son calcul du taux de défaillance dangereuse global, le concepteur garderaà l’esprit que ce sous-système particulier doit être combiné à d’autres sous-systèmes.

Analyse des effet des défaillances de cause commune

Voyons maintenant l’effet que les défaillances de cause commune ont sur le système.Supposons que nous prenions des mesures supplémentaires et que notre valeur β (bêta)passe à 1 % (0,01), alors que l’intervalle entre tests de validité reste à 20 ans. Le taux dedéfaillance dangereuse passera alors à 2.71E-08. Ceci signifie que le sous-système seraainsi mieux adapté à une utilisation dans un système SIL 3.

Défaillance de cause commune (CCF)

Une défaillance de cause commune est causée par un ensemble de défauts à caractèredangereux ayant une cause identique. Les informations relatives aux défaillance de causecommune sont généralement nécessaires uniquement au concepteur du sous-système,habituellement son fabricant. Elles sont utilisées dans la formule précédemment fournie pourl’estimation de la valeur PFHd d’un sous-système. Elles ne sont généralement pas nécessaireau niveau de la conception du système.

L’Annexe F de la norme CEI/EN 62061 propose une approche simple pour estimer la valeurCCF. Le tableau suivant présente un résumé de la méthode d’évaluation utilisée.

Grille d’évaluation des mesures contre les défaillances de cause commune

Des points sont attribués pour chaque mesure spécifique mise en œuvre contre les pannesd’origine commune. Ces points sont totalisés pour déterminer le coefficient de défaillance de

N°Mesure contre les défaillances decause commune

Note

1 Séparation/isolement 25

2 Diversification 38

3 Conception/application/expérience 2

4 Évaluation/analyse 18

5 Compétence/formation 4

6 Environnement 18

SAFEBOOK 4


103

cause commune, tel que présenté dans le tableau suivant. Ce coefficient bêta est utilisé pourla modélisation des sous-système afin d’« ajuster » le taux de défaillance.

Coefficient bêta de défaillance de cause commune

Taux de couverture des tests de diagnostic (DC)

Des tests de diagnostic automatiques sont utilisés pour réduire la probabilité de défaillancesmatérielles dangereuses. L’idéal serait de pouvoir détecter toutes les défaillances matériellesdangereuses. Mais en pratique, la valeur maximale est fixée à 99 % (c’est à dire 0,99).

Le taux de couverture des tests de diagnostic est le rapport entre la probabilité de défaillancesdangereuses détectées et la probabilité de défaillances dangereuses totale.

Probabilité de défaillances dangereuses détectées, λDD

DC = ----------------------------------------------------------------------------Probabilité de défaillances dangereuses totale, λDtotal

La valeur DC sera toujours comprise entre zéro et un.

Tolérance aux défauts matériels

La tolérance aux défauts matériels représente le nombre de défauts qu’un sous-système peutsupporter avant de provoquer une défaillance dangereuse. Par exemple, une tolérance auxdéfauts matériels de 1 signifie que 2 défauts pourront entraîner la perte de la fonction decommande de sécurité (mais pas un défaut seul).

Gestion de la sécurité fonctionnelle

La norme fixe des règles de contrôle des activités techniques et de gestion afférentes àl’exploitation d’un système de commande de sécurité électrique.

Note globale Coefficient de défaillance de causecommune (ß)

<35 10 % (0,1)

35 – 65 5 % (0,05)

65 – 85 2 % (0,02)

85 – 100 1 % (0,01)

104

SAFEBOOK 4


Intervalle entre tests de validité

L’intervalle entre tests de validité représente la durée au bout de laquelle il sera nécessaire derecontrôler entièrement le sous-système ou de le remplacer afin de garantir qu’il soit toujours àl’état « comme neuf ». En pratique, dans le secteur des machines, ceci est obtenu par rempla-cement. L’intervalle entre tests de validité est donc généralement assimilé à la durée de vie. Lanorme EN ISO 13849-1:2008 parle, elle, de Temps de mission.

Un test périodique est un contrôle destiné à détecter les défauts et les détériorations d’unsystème de commande de sécurité. Il doit permettre la restauration de ce système dans unétat aussi proche que possible de son état neuf. Ce test périodique doit pouvoir détecter100 % des défaillances dangereuses. Les voies séparées doivent être testées séparément.

A l’inverse des tests de diagnostic qui sont automatiques, les tests de validité sont générale-ment réalisés manuellement et hors ligne. Du fait de leur caractère automatique, les tests dediagnostic sont effectués fréquemment, alors que les tests de validité sont réalisés ponctuelle-ment. Par exemple, le câblage d’un dispositif d’interverrouillage monté sur une grille de protec-tion pourra être contrôlé automatiquement pour y détecter d’éventuels courts-circuits et cou-pures de circuits au moyen d’un test de diagnostic (par exemple, par impulsions).

L’intervalle entre tests de validité doit être spécifié par le fabricant. Parfois, le fabricant fournitdifférents intervalles entre tests de validité.

Proportion de défaillances non dangereuses (SFF)

La proportion de défaillances non dangereuses est similaire au taux de couverture des testsde diagnostic, mais elle prend de plus en compte la propension inhérente au système à semettre en sécurité en cas d’apparition de défaut. Par exemple, lorsqu’un fusible grille, il y a apparition d’un défaut. Mais il est très probable que ce défaut ne se traduira que par une cou-pure du circuit. Dans la plupart des cas, il s’agira donc d’une « défaillance non dangereuse ».La valeur SFF exprime le rapport : (somme des défaillances « non dangereuses » plus nombrede défaillances dangereuses détectées) sur (somme des défaillances « non dangereuses »plus nombre de défaillances dangereuses détectées et non détectées). Il est important de rete-nir que les seuls types de défaillances pris en considération ici sont ceux qui ont un effet sur lafonction de sécurité.

La plupart des dispositifs mécaniques peu complexes, comme les boutons d’arrêt d’urgenceou les dispositifs d’interverrouillage, possèdent (intrinsèquement) une certaine proportion dedéfaillances non dangereuses. La plupart des dispositifs électroniques de sécurité sont conçusde façon redondante et avec des fonctionnalités d’auto-contrôle. Une valeur SFF supérieureà 90 % y est donc courante. Elle résultera cependant le plus souvent totalement du taux decouverture des tests de diagnostic. La valeur SFF est normalement fournie par le fabricant.

SAFEBOOK 4

Conception du système selon la norme CEI/EN 62061

105

La proportion de défaillances non dangereuses (SFF) peut être calculée à l’aide de l’équationsuivante :

SFF = (Σλ S + Σλ DD)/(Σλ S + Σλ D)dans laquelle :

λ S = nombre de défaillances non dangereuses ;Σλ S + Σλ D = nombre de défaillances total ;λ DD = nombre de défaillances dangereuses détectées ;λ D = nombre de défaillances dangereuses.

Défaillance systématique

La norme définit des règles pour maintenir sous contrôle et éviter les défaillances systéma-tiques. Les défaillances systématiques sont différentes des défaillances matérielles aléatoires.Celles-ci sont des pannes pouvant survenir à n’importe quel moment et qui résultent générale-ment d’une dégradation des composants matériels. Les types de défaillance systématique lesplus courants sont les erreurs de conception du logiciel, les erreurs de conception du matériel,les erreurs de spécification de paramètres et de procédure de fonctionnement. Voici quelquesexemples de mesures à prendre pour éviter ces défaillances systématiques :

• sélection, combinaison, disposition, assemblage et installation appropriés descomposants ;

• utilisation de bonnes pratiques d’ingénierie ;• respect des caractéristiques et des instructions de montage du fabricant ;• respect de la compatibilité entre les composants ;• prise en compte des conditions d’environnement ;• utilisation de matériaux appropriés.

106

SAFEBOOK 4


Systèmes de commande de sécurité, considérations relativesà la structure

Présentation

Ce chapitre aborde les aspects et les principes généraux de type structurels à prendre en consi-dération lors de la conception d’un système de commande de sécurité, quelle que soit la normesuivie. Il reprend majoritairement l’approche par Catégories de l’ancienne norme EN 954-1. CesCatégories s’intéressent en effet principalement à la structure des systèmes de commande.

Catégories de systèmes de commande

Les « catégories » de systèmes de commande ont été introduites par l’ancienne normeEN 954-1:1996 (ISO 13849-1:1999). Elles sont cependant toujours fréquemment utilisées pourdécrire les systèmes de commande de sécurité et font toujours partie intégrante de la normeEN ISO 13849-1, comme nous l’avons vu au chapitre « Systèmes de commande de sécuritéet sécurité fonctionnelle ».

Il existe cinq catégories décrivant la performance de réaction aux défauts d’un système decommande de sécurité. On se reportera au tableau 19 pour le résumé de ces catégories. Lesremarques suivantes sont à formuler concernant ce tableau.

Remarque 1 : la Catégorie B ne propose aucune mesure de sécurité particulière par elle-même, mais elle constitue la base pour les autres catégories.

Remarque 2 : une série de plusieurs défaillances dues à une cause d’origine communeou aux conséquences inévitables d’une défaillance initiale, doit être considérée commeune défaillance unique.

Remarque 3 : le nombre de défauts pris en compte peut se limiter à deux défauts combi-nés si cela est justifié. Mais, dans le cas de circuits complexes (systèmes à microproces-seur par exemple), il peut s’avérer nécessaire de prendre en compte un plus grand nom-bre de défauts combinés.

La Catégorie 1 vise la prévention des défaillances. Celle-ci est obtenue par l’utilisation deprincipes de conception, de composants et de matériaux adaptés. Les éléments-clés pourcette catégorie sont la simplicité du principe et de la conception, ainsi que la stabilité et lecomportement dans le temps des matériaux.

Les Catégories 2, 3 et 4 supposent que les pannes soient détectées dans le cas où elles nepeuvent pas être prévenues, et que des mesures appropriées soient prises.

La redondance, la diversification et la surveillance sont les éléments-clés pour ces catégories.La redondance est la duplication d’une même technique de protection. La diversificationconsiste à utiliser deux techniques différentes. La surveillance consiste à contrôler l’état desdispositifs de sécurité, puis à déclencher des actions appropriées selon cet état. La méthodehabituellement utilisée (mais pas nécessairement la seule) pour réaliser cette surveillance estle dédoublement des fonctions de sécurité critiques et la comparaison de leur fonctionnement.

SAFEBOOK 4

Systèmes de commande de sécurité, considérationsrelatives à la structure

107

Résumé des exigences Comportement du système

CATÉGORIE B (voir Remarque 1)La partie des systèmes de commande relative à la sécurité

et/ou leur équipement de protection ainsi que ses compo-

sants, doit être conçue, fabriquée, sélectionnée et assemblée

conformément aux normes applicables de façon à pouvoir

résister aux contraintes attendues. Les principes de sécurité

de base doivent être appliqués.

Lorsqu’une défaillance se produit, elle peut

entraîner la perte de la fonction de sécurité.

CATÉGORIE 1Les exigences de la Catégorie B s’appliquent avec en plus

l’utilisation de principes et de composants de sécurité

éprouvés.

Comme indiqué pour la Catégorie B mais

avec une fiabilité supérieure de la fonction de

sécurité. (Plus la fiabilité est élevée, plus la

probabilité de défaillance est faible.)

CATÉGORIE 2Les exigences de la Catégorie B ainsi que l’utilisation d’un

principe de sécurité éprouvé sont applicables. La ou les

fonction(s) de sécurité sont contrôlées au démarrage de la

machine et périodiquement par le système de commande.

Si un défaut est détecté, la mise en sécurité de la machine

doit être effectuée ou, si c’est impossible, une alarme doit

être déclenchée. La norme EN ISO 13849-1 postule que la

fréquence de test est au moins 100 fois supérieure à la

fréquence de sollicitation. De même, elle postule que la valeur

MTTFd du dispositif de test externe est supérieure à la moitié

de celle de l’équipement testé.

La perte de la fonction de sécurité est

détectée par le contrôle. L’apparition d’un

défaut entre deux contrôles périodiques peut

conduire à la perte de la fonction de sécurité.

CATÉGORIE 3 (voir Remarques 2 et 3)Les exigences de la Catégorie B ainsi que l’utilisation d’un

principe de sécurité éprouvé sont applicables. Le système doit

être conçu de telle sorte que l’apparition d’un défaut unique

sur n’importe lequel de ses composants ne puisse entraîner

la perte de la fonction de sécurité. Lorsque c’est réalisable,

ce défaut unique devra pouvoir être détecté.

La fonction de sécurité reste assurée même

en présence d’un défaut unique. Certains

défauts, mais pas nécessairement tous, sont

détectés. Une accumulation de défauts non

détectés peut conduire à la perte de la

fonction de sécurité.

CATÉGORIE 4 (voir Remarques 2 et 3)Les exigences de la Catégorie B ainsi que l’utilisation d’un

principe de sécurité éprouvé sont applicables. Le système doit

être conçu de telle sorte que l’apparition d’un défaut unique

sur n’importe lequel de ses composants ne puisse entraîner

la perte de la fonction de sécurité. Ce défaut unique devra

pouvoir être détecté lors de l’appel de la fonction de sécurité

ou avant l’appel suivant. Si cette détection est impossible, une

accumulation de défauts ne devra pas conduire à la perte de

la fonction de sécurité.

La fonction de sécurité reste toujours active,

même en cas de défaillances multiples.

Les défauts seront détectés à temps pour

empêcher la perte des fonctions de sécurité.

108

SAFEBOOK 4


Catégorie B

La catégorie B définit les critères de base pour tout système de commande, qu’il soit desécurité ou non. Un système de commande doit pouvoir fonctionner dans l’environnementpour lequel il prévu. Le concept de fiabilité fournit une base pour la caractérisation dessystèmes de commande. La fiabilité est en effet définie comme la probabilité pour un dispositifd’exécuter la fonction pour laquelle il a été conçu dans un laps de temps défini et dans desconditions attendues.

La Catégorie B n’impose que la mise en œuvre de principes de sécurité élémentaires. Lanorme ISO 13849-2 définit les principes de sécurité de base pour les systèmes électriques,pneumatiques, hydrauliques et mécaniques. Les critères de sécurité électriques peuvent êtrerésumés ainsi :

• Choix, combinaison, disposition, montage et installation conformes (c’est-à-dire, suivant les instructions du fabricant)

• Compatibilité des composants en termes de tension et d’intensité• Tenue aux conditions ambiantes• Utilisation du principe de coupure des alimentations• Suppression des transitoires• Limitation du temps de réponse• Protection contre les redémarrages accidentels• Fixation sécurisée des capteurs (exemple : montage des dispositifs d’interverrouillage)• Protection du circuit de commande

(conformément aux normes NFPA 79 et CEI 60204-1)• Continuité de masse conforme

Le concepteur doit sélectionner, installer et assembler les composants selon les instructionsdu fabricant. Ces dispositifs doivent être capables de fonctionner avec toutes les valeurs detension et d’intensité nominales prévisibles dans l’installation. Les conditions ambiantesprévisibles, comme la compatibilité électromagnétique, la résistance aux vibrations, la tenueaux chocs, la résistance aux contaminants et aux projections, doivent également être prisesen considération. Le principe de coupure des alimentations doit être respecté. Une protectioncontre les transitoires doit être installée sur les bobines de contacteur. Le moteur doit êtreprotégé contre les surcharges. Le câblage et la mise à la terre doit être conformes aux normesélectriques applicables.

Catégorie 1

La catégorie 1 impose au système de respecter les conditions de la catégorie B et d’utiliserdes composants de sécurité éprouvés. Qu’entend-on par composants de sécurité et commentpeut-on être sûr qu’ils sont éprouvés ? La norme ISO 13849-2 apporte une réponse à cesquestions dans le cas des systèmes mécaniques, hydrauliques, pneumatiques et électriques.L’Annexe D concerne plus particulièrement les composants électriques.

SAFEBOOK 4


109

Ces composants sont considérés comme éprouvés s’ils ont déjà été utilisés avec succès dansde nombreuses applications similaires. Les nouveaux composants de sécurité sont considéréscomme éprouvés s’ils ont été conçus et testés en accord avec les normes applicables.

Composant éprouvé Norme

Interrupteur à activation en mode positif(ouverture directe)

CEI 60947-5-1

Dispositif d’arrêt d’urgence ISO 13850, CEI 60947-5-5

Fusible CEI 60269-1

Disjoncteur CEI 60947-2

Contacteurs CEI 60947-4-1, CEI 60947-5-1

Contacts à couplage mécanique CEI 60947-5-1

Contacteur auxiliaire (par exemple,contacteur, relais de commande, relais à guidage positif)

EN 50205CEI 60204-1, CEI 60947-5-1

Transformateur CEI 60742

Câble CEI 60204-1

Dispositifs d’interverrouillage ISO 14119

Thermostat CEI 60947-5-1

PressostatCEI 60947-5-1 + normes pneumatiques ethydrauliques

Dispositif ou équipement CPS (à commutation de commande et deprotection)

CEI 60947-6-2

Automate programmable CEI 61508, CEI 62061

110

SAFEBOOK 4


Si l’on veut utiliser des composants éprouvés dans un système de catégorie B, cela signifiequ’il faudra remplacer les détecteurs de position traditionnels par des interrupteurs à brocheà ouverture directe. Cela impliquera également de surdimensionner le contacteur pour unemeilleure protection contre le risque de soudage des contacts.

Le schéma ci-joint mon-tre les modifications ap-portées à un systèmesimple de Catégorie Bpour le faire passer enCatégorie 1. Le disposi-tif d’interverrouillage etle contacteur jouent unrôle clé dans la coupurede l’alimentation surl’actionneur, lorsqu’il estnécessaire d’accéderà la source de danger.Le dispositif d’interver-rouillage à broche estconforme à la norme

CEI 60947-5-1 relative aux contacts à ouverture directe. Ceci est symbolisé sur le schéma parla flèche dans un cercle. Grâce à l’utilisation de composants éprouvés, la probabilité de cou-pure d’alimentation est plus grande dans la Catégorie 1 que dans la Catégorie B. L’utilisationde ces composants éprouvés a pour objectif d’empêcher la perte de la fonction de sécurité.Malgré ces améliorations, un défaut unique peut toujours cependant entraîner la perte de lafonction de sécurité.

Les systèmes de catégories B et 1 ont une simple finalité de prévention. Leur conception estdestinée à éviter une situation dangereuse. Lorsque cette simple prévention ne permet pasune réduction suffisante des risques, une détection des défauts doit être utilisée en sus. LesCatégories 2, 3 et 4 permettent cette détection de défauts, avec des niveaux d’exigencecroissants dans la réduction des risques.

Démarrage

K1

Grillefermée

ContacteurTS

Inter-rupteur

à broche

K1Aux

Moteur(danger)

K1

L1 L2 L3

Arrêt

OP

+VSCP

SCP

Terre

Système de sécurité simple de Catégorie 1

SAFEBOOK 4


111

Catégorie 2

En plus de respecter les critères de la Catégorie B et d’utiliser des principes de sécuritééprouvés, un système de sécurité de Catégorie 2 doit utiliser un dispositif de test. Ces testsdoivent permettre de détecter tous défauts sur la partie sécurité du système de commande.Lorsqu’aucun défaut n’est détecté, le système peut fonctionner normalement. Si des défautssont détectés, le test doit émettre une commande. Lorsque c’est possible, cette commandedoit faire passer la machine à l’état de sécurité.

Le test doit permettre une détection de défauts raisonnablement simple à mettre en œuvre.Le dispositif de test peut faire partie intégrante du système de sécurité ou être un équipementséparé.

Les tests doivent être effectués :• à la mise sous tension initiale de la machine ;• avant le démarrage de la source de danger ;• périodiquement si cela est jugé nécessaire par l’évaluation des risques.

Remarque : la norme EN ISO 138491-1 considère que le test de la fonction de sécurité doitêtre effectué selon un ratio de 100 pour 1 par rapport aux sollicitations de cette fonction.L’exemple présent ne permettrait pas de satisfaire à ces exigences.

L’utilisation des termes « lorsque c’est possible » et « raisonnablement simple » indique bienqu’il est admis que toutes les défauts ne puissent pas être détectés. Etant donné qu’il s’agitd’un système mono-voie (c’est-à-dire, à seul un fil reliant le capteur d’entrée au sous-systèmelogique, puis celui-ci à l’actionneur en sortie), un seul défaut peut ainsi provoquer la perte dela fonction de sécurité. Dans certains cas, la Catégorie 2 ne pourra donc pas être totalementapplicable à un système de sécurité, du fait que tous les composants ne peuvent pas êtrevérifiés.

Entrée Programme

Test

SortieCâblageCâblage

TestSortie

Détection de défaut raisonnablement applicable

112

SAFEBOOK 4


Le schéma présente un système simple de Catégorie 1 qui a été amélioré pour être conformeà la Catégorie 2. Un relais de surveillance de sécurité (MSR) assure la fonction de test. A lamise sous tension, le relais MSR effectue une vérification de ses composants internes. Siaucun défaut n’est détecté, ce relais vérifie l’interrupteur à broche en surveillant le cycle defonctionnement de ses contacts. Si aucun défaut n’est détecté et que la grille de protection est fermée, le relais MSR vérifie alors le dispositif de sortie, c’est-à-dire les contacts liésmécaniquement au contacteur principal. Si aucun défaut n’est détecté et que ce contacteur est désactivé, le relais activera sa propre sortie interne et connectera la bobine K1 au boutond’arrêt. À partir de ce moment, les composants standard du système de commande de lamachine et son circuit de démarrage/arrêt/verrouillage seront disponibles pour arrêter oudémarrer la machine.

L’ouverture de la grille de protection désactivera la sortie du relais MSR. Lorsque la grille serarefermée, le relais recommencera ses vérifications du système de sécurité. Si aucune pannen’est détectée, le relais MSR réactivera sa sortie interne. Ce relais de surveillance de sécuritépermet ainsi au circuit d’être conforme à la Catégorie 2 grâce à sa capacité à effectuer destests sur le dispositif d’entrée, le dispositif logique (c’est à dire, sur lui-même) et sur le disposi-tif de sortie. Ces tests sont alors réalisés lors de la mise sous tension initiale et avant le démarrage de la source de danger.

Du fait des capacités logiques intrinsèques de ce type de dispositif, un système de sécuritépourra être conçu conformément à la Catégorie 2 en utilisant un automate. Comme indiquélors de la présentation précédente de la Catégorie 1, la justification du caractère éprouvé decet automate (y compris de ses capacités de test) constituera cependant le défi. Pour lessystèmes de sécurité complexes demandant une classification en Catégorie 2, un automate de sécurité conforme à la norme CEI 61508 devra être substitué à l’automate standard.

Démarrage

K1

Grillefermée

Interrupteurà broche

K1Aux

Moteur(danger)

K1

SCP

SCP

TS

OP

L1 L2 L3

Arrêt

+V

Terre

Relais de

surveillance

Contacteur

Système de sécurité de Catégorie 2

SAFEBOOK 4


113

Le schéma présente unexemple de systèmecomplexe utilisant unautomate de sécurité.Un automate de sécu-rité est considérécomme éprouvé sisa conception estconforme aux normesapplicables. Lescontacts mécanique-ment liés des contac-teurs de sortie sont reliés à l’entrée de

l’automate pour les tests. Ces contacts peuvent être branchés en série sur une même bornede raccordement d’entrée ou sur des bornes de raccordement d’entrée individuelles, selon lanature du programme logique.

Bien que des composants de sécurité éprouvés soient utilisés, un seul défaut se produisantentre les tests de diagnostic peut entraîner la perte de la fonction de sécurité. Par conséquent,les systèmes de Catégorie 2 ne sont utilisés que pour des applications présentant un risquefaible. Lorsqu’une tolérance aux défauts plus élevée est requise, le système de sécurité devradonc se conformer à la Catégorie 3 ou 4.

Catégorie 3

En plus de respecter les critères de la Catégorie B et d’utiliser des procédés de sécuritééprouvés, un système de sécurité de Catégorie 3 nécessite que la fonction de sécurité puisseêtre exécutée même en présence d’un défaut unique. Ce défaut doit être détecté au momentou avant la sollicitation suivante de la fonction de sécurité, lorsque cela est raisonnablementsimple à réaliser.

Nous retrouvons à nouveau ici l’expression « lorsque raisonnablement simple ». Il est doncadmis que certains défauts pourront ne pas être détectés. Tant que ces défauts non détectésn’entraînent pas la perte de la fonction de sécurité, celle-ci peut être classifiée en Catégorie 3.Cependant, une accumulation de défauts non détectés pourra entraîner la perte de la fonctionde sécurité.

Le schéma ci-joint permet de com-prendre le principe d’un système deCatégorie 3. Un système redondantcombiné à un dispositif de surveil-lance croisée raisonnablement simpleet à la supervision des sorties, serautilisé pour garantir le bon fonctionne-ment de la fonction de sécurité.

SortiePro-gramme

Entrée

Démar-rage

+V

Terre

SCP SCP

Arrêt

Sw1

Sw2

Sw3

K3

K2K1

K1

K2

K3

Pour la sécurité

TS

TS

TS

Système de sécurité complexe de Catégorie 2

Entrée Programme Sortie

Câblage

Câblage

Entrée Programme SortieCâblageCâblage

Détection de défautraisonnablement

applicable

114

SAFEBOOK 4


Le schéma présente un système de Catégorie 3. Un jeu de contacts redondants est ajouté àl’interrupteur de sécurité à broche. Le relais MSR possède lui-même en interne des circuits redondants qui se surveillent réciproquement. Un jeu de contacteurs redondants coupe l’ali-mentation du moteur. Les contacteurs sont surveillés par le relais MSR de façon « raisonnable-ment simple » par le biais des contacts liés mécaniquement.

La détection des défauts doit s’appliquer à chaque partie du système de sécurité, ainsi qu’auxconnexions (c’est-à-dire en fait, à l’ensemble du système). Quels sont les modes de défail-lance d’un interrupteur à broche double voie ? Quels sont les modes de défaillance du relaisMSR ? Quels sont les modes de défaillance des contacteurs K1 et K2 ? Quels sont les modesde défaillance du câblage ?

L’interrupteur de sécurité à broche est équipé de contacts à ouverture directe. Nous endéduisons donc que l’ouverture de la grille de protection se traduit par l’ouverture d’un contactfermé. Ceci résout un mode de défaillance. Existe-t-il d’autres modes de défaillance ?

Le contact à ouverture est généralement doté d’un ressort de rappel. Si la tête du dispositif estretirée ou cassée, les contacts de sécurité reviendront donc en position fermée (de sécurité)par l’action du ressort. De nombreux dispositifs d’interverrouillage sont conçus avec des têtesamovibles pour faciliter leur installation dans des applications diverses. La tête peut ainsi êtreretirée et placée dans deux à quatre positions différentes.

Un défaut peut se produire si les vis de fixation de la tête ne sont pas serrées correctement.Dans ce cas, les vibrations de la machine risqueront de provoquer leur dévissage complet. Latête de commande n’exercera plus de pression sur les contacts de sécurité et ces contacts se

Démar-rage

K1

Grillefermée Interrupteur

à broche

K2Aux

K1Aux

Moteur(danger)

K2

K1

L1 L2 L3

Arrêt

K2

+V

ContacteursTerre

Relais de

surveillance

SCP

SCP

OP

Ch1

Ch1

Ch2

Ch2

TS TS

Système de sécurité de Catégorie 3

SAFEBOOK 4


115

fermeront du fait de la poussée du ressort. En conséquence, l’ouverture de la grille deprotection n’ouvrira pas les contacts de sécurité et une défaillance dangereuse se produira.

Le mécanisme de fonctionnement de l’interrupteur doit également être examiné. Quelle estla probabilité pour que la défaillance d’un seul composant entraîne la perte de la fonctionde sécurité ? Une pratique courante consiste à utiliser des interrupteurs à broche à doublecontact dans les circuits de Catégorie 3. Cet utilisation doit donc être liée à l’exclusion dudéfaut d’ouverture des contacts de sécurité de l’interrupteur. C’est ce qu’on appelle une« exclusion de défaut ». Elle sera abordée plus loin dans ce chapitre.

Un relais de surveillance de sécurité (MSR) est souvent déjà évalué par son fabricant et sevoit affecté une Catégorie (et/ou un niveau PL ou SIL CL). Les possibilités offertes par cesrelais MSR incluent souvent une double voie, la surveillance croisée, la surveillance dedispositifs externes et la protection contre les courts-circuits. Il n’existe aucune normeparticulière fournissant des recommandations sur la conception ou l’utilisation de ces relaisde surveillance de sécurité. L’évaluation des relais MSR a pour but de définir leur capacité aexécuter leur fonction de sécurité conformément à la norme EN ISO 13849-1 ou l’anciennenorme EN 954-1. La classification d’un relais MSR doit être identique ou supérieure à laclassification du système dans lequel il est employé.

L’utilisation de deux contacteurs permet de s’assurer que la fonction de sécurité est bienassurée par les dispositifs de sortie. Avec sa protection contre les surcharges et les courts-circuits, la probabilité de panne d’un contacteur à cause du soudage de ses contacts est faible.Mais elle n’est pas nulle. Un contacteur pourra également être défaillant du fait du maintien deses contacts de commutation d’alimentation en position fermée en raison d’un induit bloqué.Si l’un des contacteurs génère une défaillance dangereuse, le second pourra toujours couperl’alimentation de la source de danger. Ce relais MSR détectera le contacteur défaillant lors dudémarrage du cycle suivant de la machine. Lorsque la grille de protection sera refermée et que le bouton de démarrage sera enfoncé, les contacts à couplage mécanique du contacteurdéfaillant resteront ouverts et le relais MSR ne pourra pas fermer ses contacts de sécurité, cequi révélera le défaut.

Pannes non détectées

Avec une structure de système de Catégorie 3, il peut toujours exister des défauts ne pouvantpas être détectés. Néanmoins, ils ne devront pas, en tant que tels, entraîner la perte de lafonction de sécurité.

Lorsque des défauts sont détectés, nous devons d’autre part savoir si, dans certainescirconstances, ils pourraient être masqués ou acquittés de façon involontaire par l’actiond’autres dispositifs au sein du système.

116

SAFEBOOK 4


Le schéma ci-dessus présente une pratique courante de raccordement de dispositifs multiplesà un relais de surveillance de sécurité. Chaque dispositif contient deux contacts à ouverture(normalement fermés). Ces dispositifs peuvent être constitués par une combinaisond’interrupteurs d’interverrouillage ou de boutons d’arrêt d’urgence. Cette approche permetde réduire le coût du câblage puisque ces capteurs sont montés en série. Mais, supposonsqu’un court-circuit se produise sur l’un des contacts (Sw2 sur le schéma). Ce défaut peut-ilêtre détecté ?

Si l’interrupteur Sw1 (ou Sw3) est ouvert, les circuits des deux voies Ch1 et Ch2 serontouverts et le relais MSR coupera l’alimentation de la source de danger. Si alors Sw3 est ouvertpuis refermé, le défaut sur ses contacts ne sera pas détecté car il n’y aura pas de changementd’état du relais MSR. Les deux voies Ch1 et Ch2 resteront donc ouvertes. Si alors Sw1(ou Sw3) est fermé, la source de danger pourra être réactivée par une simple pression sur lebouton de démarrage. Dans ces circonstances, le défaut n’aura pas entraîné la perte de lafonction de sécurité mais il n’aura pas été détecté. Il restera présent dans le système etl’apparition d’un défaut ultérieur (un court-circuit sur le deuxième contact de Sw2) pourraitentraîner cette fois la perte de la fonction de sécurité.

Démar-rage

K1

K2Aux

K1Aux

Moteur(danger)

K2

K1

SCP L1 L2 L3

Arrêt

K2

+V

Terre

Relais de sur-

veillance

Contacteurs

SCP

OP

Ch1

Ch1

Ch2

Ch2Sw1 Sw2 Sw3

Défaut de câblage dans

le système

TS TS

Raccordement en série de dispositifs d’entrée

SAFEBOOK 4


117

Si Sw2 a été uniquement ouvert et fermé, sans activation des autres interrupteurs, la voie Ch1s’ouvre et la voie Ch2 reste fermée. Le relais MSR met la source de danger hors tension dufait de l’ouverture de Ch1. Lorsque Sw2 se ferme. le moteur ne pourra pas être redémarré enappuyant sur le bouton de démarrage. Ceci s’explique par le fait que Ch2 ne s’est pas ouverte.Le défaut est ainsi détecté. Cependant, si pour une quelconque raison, Sw1 (ou Sw3) vientalors à s’ouvrir et se refermer, les circuits des deux voies Ch1 et Ch2 seront ouverts puisrefermés. Cette séquence simulera un acquittement du défaut et entraînera un réarmementinvolontaire du relais MSR.

Ceci pose la question du taux de couverture des tests de diagnostic (DC) pouvant êtrerevendiqué par les interrupteurs individuels dans une telle structure (dans le cadre de la normeEN ISO 13849-1 ou de la CEI 62061). À la date de publication de ce document, il n’existepas de recommandations spécifiques définitives sur ce sujet. Mais un taux DC de 60 % estgénéralement retenu à condition que les interrupteurs soient testés individuellement à unefréquence appropriée, de façon à permettre de révéler les défauts éventuels. S’il est prévisiblequ’un ou plusieurs interrupteurs ne seront jamais testés individuellement, alors leur taux DCdevrait être fixé comme étant zéro. Au moment de la publication de ce document, la normeEN ISO 13849-2 est en cours de révision. Lorsque sa nouvelle version sera publiée, il est doncpossible qu’elle apporte d’autres instructions sur ce point.

Le raccordement en série de contacts mécaniques est limité à la Catégorie 3. Il peut en effetconduire à la perte de la fonction de sécurité en raison d’une accumulation de défauts. D’unpoint de vue pratique, la réduction du taux DC (et donc de la valeur SFF) limite les niveaux PLet SIL maximum pouvant être obtenus à PLd et SIL 2.

Il est intéressant de noter que ces caractéristiques spécifiques aux structures de Catégorie 3ont toujours nécessité une attention particulière. Mais, avec les récentes normes de sécuritéfonctionnelle, elles deviennent véritablement sensibles.

118

SAFEBOOK 4


Le schéma présente un circuit de Catégorie 3 utilisant un variateur de fréquence de sécurité.La combinaison des récents développements technique en matière de variateurs et desévolutions des normes EN/CEI 60204-1 et NFPA 79, permet d’utiliser des variateurs dits desécurité dans les circuits d’arrêt d’urgence sans qu’il soit nécessaire de rajouter un sectionneurélectromécanique sur l’actionneur (le moteur, par exemple).

Une pression sur l’interrupteur d’arrêt d’urgence ouvre les sorties du relais MSR. Ceci envoieun signal d’arrêt au variateur, supprime le signal de validation et coupe l’alimentation de lacommande de gâchette. Le variateur exécute un arrêt de Catégorie 0 (coupure instantanéede l’alimentation du moteur). Cette fonction est désignée par « arrêt sécurisé du couple ».Le variateur est classé en Catégorie 3 parce qu’il utilise des signaux redondants pour couperl’alimentation du moteur, le signal de validation et celui d’un relais à guidage positif. Le relaisà guidage positif est un moyen « raisonnablement simple » de fournir un signal en retour àl’actionneur. Le variateur lui-même est analysé pour contrôler qu’un défaut unique ne puissepas entraîner la perte de la fonction de sécurité.

+V

Terre

Relais de

surveillance

Ch1

Ch1

Ch2

Ch2

SCP

Arrêt d’urgence

Arrêt

Démarrage

Moteur(danger)

L1 L2 L3

Activation

24 V c.c.

Variateurde fréquencede sécurité

Comm Circuit decommandede barrière

Alimentation de commande

de barrière

Variateurs de sécurité avec arrêt d’urgence de Catégorie 3

SAFEBOOK 4


119

Le schéma ci-dessus présente un exemple d’erreur de câblage ; en l’occurrence, un court-circuit entre la sortie de sécurité de la voie 2 du relais MSR et la bobine du contacteur K1.Tous les composants fonctionnent normalement. Cette erreur de câblage pourra s’êtreproduite avant la mise en service de la machine ou ultérieurement, lors d’opérations demaintenance ou d’évolutions du système.

Ce défaut peut-il être détecté ?

Dans cette exemple, le défaut ne peut pas être détecté par le système de sécurité. Fortheureusement, il n’est pas de nature en lui-même à provoquer la perte de la fonction desécurité. Ce défaut, ainsi que celui qui en découle entre la voie Ch1 et K2, doit être détectéau moment de la mise en service ou des vérifications suivant l’intervention de maintenance.La liste des exclusions de défauts admissibles fournie dans le tableau D4 de l’Annexe Dde la norme EN ISO 13849-2 indique clairement que ce type de défauts peut être exclu sil’équipement est monté à l’intérieur d’une armoire électrique et que cette armoire aussi bienque ses câblages sont conformes aux réquisitions de la norme CEI/EN 60204-1. Le rapporttechnique conjoint sur l’EN ISO 13849-1 et la CEI 62061 indique également clairement quecette exclusion de défauts peut être acceptée jusqu’aux niveaux PLe et SIL 3 inclus. Elle peutégalement s’appliquer à la Catégorie 4.

Démarrage

K1


à broche

K2Aux

K1Aux

Moteur(danger)

K2

K1

L1 L2 L3

Arrêt

K2

+V

ContacteursTerre

Relais de

surveillance

Défaut de câblagedans le système

SCP

SCP

OP

Ch1

Ch1

Ch2

Ch2

TS TS

Exemple d’erreur de câblage

120

SAFEBOOK 4


Le schéma montre un exemple de système de sécurité utilisant des barrières immatérielles(sorties OSSD)

Le système de sécurité peut-il détecter ce défaut ?

Le relais MSR ne pourra pas détecter ce défaut parce que les entrées restent alimentées parla ligne (+V). Dans cet exemple, l’erreur de câblage pourra cependant être détectée par labarrière immatérielle. Certaines barrières immatérielles utilisent en effet une technique dedétection de défaut appelée test à impulsions. Avec ce type de barrière, la détection du défautsera immédiate et les sorties seront coupées. Sur d’autres types, la détection se fera lorsquela barrière immatérielle est initialisée. Lorsque la barrière tentera d’activer ses sorties, le défautsera détecté et les sorties resteront désactivées. Dans les deux cas, la source de dangerrestera désactivée tant que le défaut sera présent.

Détection de défaut par impulsions

Les circuits de sécurité sont conçus pour véhiculer le courant lorsque le système de sécuritéest actif et que la source de danger est protégée matériellement. Le test par impulsions estune technique consistant à faire chuter l’intensité du circuit à zéro pendant un très brefintervalle. Ce temps de coupure est trop court pour que le circuit de sécurité ait le temps deréagir et de désactiver la source de danger. Mais il est suffisamment long pour être détectépar un système à microprocesseur. Les impulsions sont décalées les unes par rapport auxautres sur chacune des voies. Si un court-circuit par croisement se produit, le microprocesseurdétectera les impulsions sur les deux voies et enverra une commande d’arrêt de la source dedanger.

Démarrage

K1

K2Aux

K1Aux

Moteur(danger)

K2

K1

L1 L2 L3

Arrêt

K2

+V

Terre

Relais de

surveillance

Contacteurs

SCP

OP

Ch1

Ch2

Un défaut de câblage entre voies dans le système

Emetteur Récepteur

OSSD2

OSSD1

SCP

TS TS

Erreur de câblage entre voies sur un systèmeà barrières immatérielles

SAFEBOOK 4


121

Catégorie 4

Comme la Catégorie 3, la Catégorie 4 exige que le système soit conforme aux réquisitions dela Catégorie B, qu’il respecte les principes de sécurité et soit capable d’exécuter la fonctionde sécurité en présence d’une accumulation de défauts. A l’inverse de la Catégorie 3 danslaquelle une telle accumulation de défauts peut entraîner la perte de la fonction de sécurité,la Catégorie 4 impose que la fonction de sécurité puisse être exécutée même en présencede plusieurs défauts. Lorsqu’on parle d’accumulation de défauts, 2 suffisent normalement.Mais 3 défauts au minimum peuvent s’avérer nécessaires pour certains systèmes.

La figure ci-contre présente leschéma de principe type d’unsystème de Catégorie 4. Uncontrôle des deux dispositifs desortie et une surveillance croiséesont exigés de façon systématiqueet non uniquement lorsque celaest « raisonnablement possible ».Ce point permet de différencierla Catégorie 4 de la Catégorie 3.

Le schéma ci-dessus présente un exemple de circuit de Catégorie 4 utilisant une exclusion dedéfaut pour l’interrupteur à broche. L’exclusion de défaut permet d’ignorer un éventuel défautd’ouverture des contacts de l’interrupteur à broche. L’exclusion de défaut doit être justifiéetechniquement et doit être enregistrée dans la documentation du système. Les critères dejustification techniques pourront être la vitesse et l’alignement de l’actionneur, la présence dedispositifs d’arrêt mécaniques ou d’une tête de commande de sécurité.

Entrée Pro-gramme Sortie

Câblage

Câblage

Entrée Pro-gramme Sortie

CâblageCâblage

Surveillance obligatoirepour la détection

des défauts

Démar-rage

K1


à broche

K2Aux

K1Aux

Moteur(danger)

K2

K1

L1 L2 L3

Arrêt

K2

+V

ContacteursTerre

Relais de

surveillance

SCP

SCP

OP

Ch1

Ch1

Ch2

Ch2

TS TS

Système de Catégorie 4 avec exclusion de défaut sur l’interrupteur de sécurité à broche

122

SAFEBOOK 4


Si le concepteur du système de sécurité souhaite monter des interrupteurs à broche mais neveut pas faire d’exclusion de défaut sur ces interrupteurs, il devra alors utiliser deux de cesinterrupteurs à broche pour être conforme à la Catégorie 4. Le relais de surveillance desécurité devra lui-même être conforme à la Catégorie 4, et les deux contacteurs de sortieutilisant des contacts à couplage mécanique, devront être surveillés.

La diversification des méthodes de détection pourra alors être utilisée pour réduire encore plusla probabilité de perte de la fonction de sécurité en mode commun ou en cas de défaillance de cause commune. L’un des deux interrupteurs de sécurité à broche pourra être utilisé enmode négatif. Un tel interrupteur fonctionnant en mode négatif ne sera acceptable que si ledeuxième interrupteur utilise des contacts à ouverture directe (à action positive). Le schémasuivant présente un exemple de cette approche complémentaire. Dans cette approche, lerelais MSR doit donc être prévu pour accepter les entrées normalement ouvertes etnormalement fermées.

Caractéristiques nominales des composants et du système

Le concept de catégorie est utilisé aussi bien pour la classification des composants de sécurité(dispositifs) que pour celle des systèmes. Ceci crée une certaine confusion qu’il sera possiblede clarifier à travers l’étude des composants et de leurs possibilités. En analysant les exem-ples précédents, on constate qu’un composant comme un interrupteur de sécurité classé enCatégorie 1 peut être utilisé tout seul dans un système de Catégorie 1 et qu’il peut égalementêtre utilisé dans un système de Catégorie 2 si une surveillance de son fonctionnement est pré-vue en plus. Il pourra également être incorporé dans un système de Catégorie 3 ou 4 s’il est

Démarrage

K1

Grillefermée Interrupteurs

à broche

K2Aux

K1Aux

Moteur(danger)

K2

K1

L1 L2 L3

Arrêt

K2

+V

Terre

Relais de

surveillance

Contacteurs

SCP

OP

Ch1

Ch1

Ch2

Ch2

SCP

Mode négatif

TS TS

Système de Catégorie 4 avec interrupteurs desécurité à broche redondants complémentaires

SAFEBOOK 4


123

monté en double et qu’une fonction de diagnostic est assurée par un relais de surveillance desécurité.

Certains composants, comme les relais de surveillance et les automates de sécuritéprogrammables, ont leur propre système de diagnostic interne et effectuent un auto-contrôleafin de garantir leur bon fonctionnement. Ils peuvent donc être classés directement parmi lescomposants de sécurité compatibles avec les Catégories 2, 3 et 4 sans besoin de mesuressupplémentaires.

Considérations relatives aux défauts et à leur exclusion

L’analyse de sécurité implique l’analyse approfondie des défauts potentiels. Une anticipationtrès précise du comportement du système de sécurité en cas d’apparition de ces défauts seraégalement nécessaire. Les normes ISO 13849-1 et ISO 13849-2 fournissent des détails surles critères et les exclusions de défauts.

Si un défaut produit la défaillance en série d’autres composants, ce défaut d’origine et tous lesautres défauts consécutifs seront considérés comme un seul et même défaut.

Si plusieurs défauts résultent d’une même cause, ces différents défauts seront considéréscomme un seul et même défaut. C’est ce qu’on appelle une défaillance de cause commune.

L’apparition de plusieurs défauts simultanés est considérée comme très improbable. Elle nesera pas prise en considération dans cette analyse. On postule habituellement qu’un seuldéfaut pourra se produire entre les sollicitations de la fonction de sécurité, à condition queles intervalles entre les appels de cette fonction ne soient pas trop longs.

Exclusions de défauts

L’ancienne norme EN 954-1, et les normes plus récentes EN ISO 13849-1 et CEI 62061permettent toutes de recourir à l’exclusion de défauts dans le processus de déterminationde la classe d’un système de sécurité, s’il peut être démontré que l’apparition de ces défautsparticuliers est extrêmement improbable. Lorsque des exclusions de défauts sont ainsiréalisées, il est important qu’elles soient rigoureusement justifiées et qu’elles soient valablespour toute la durée de vie du système de sécurité. Plus le niveau de risque géré par le systèmede sécurité est élevé, plus la justification requise pour l’exclusion d’un défaut devra être stricte.Ceci a toujours provoqué une certaine confusion sur les types de défauts pouvant être exclusou non. Comme nous l’avons déjà vu dans ce chapitre, les récentes versions des normes etleurs documents d’application ont apporté des clarifications sur certains aspects de ceproblème.

En général, lorsqu’un niveau PLe ou SIL 3 est requis pour la mise en œuvre d’une fonction desécurité par un système de sécurité, il n’est pas normal de jouer uniquement sur les exclusionsde défauts pour obtenir ce niveau de performance. Cela dépendra de la technologie utilisée etde l’environnement de travail prévu. Il est donc essentiel que les concepteurs attachent uneimportance accrue à la définition des exclusions de défauts lorsque les exigences de niveau

124

SAFEBOOK 4


PL ou SIL augmentent. Par exemple, une exclusion de défauts ne pourra pas être utilisée surle côté mécanique des détecteurs de position électromécaniques et des interrupteurs manuels(par exemple, un dispositif d’arrêt d’urgence) afin d’obtenir une classification PLe ou SIL 3 dusystème. Les exclusions de défaut susceptibles d’être attachées à des conditions de défautmécanique particulières (par exemple, l’usure, la corrosion, les ruptures) sont définies dans letableau A.4 de la norme ISO 13849-2. Par exemple, un système d’interverrouillage de grilledevant garantir un niveau PLe ou SIL 3 devra avoir un facteur de tolérance aux défauts mini-mum de 1 (par exemple, en utilisant deux détecteurs de position mécaniques conventionnels).Il n’est en effet normalement pas admissible d’exclure des défauts tels que des ruptures d’actionneurs de contacts à ce niveau de performance. Cependant, il peut être envisagé d’exclure des défauts, comme un court-circuit dans le câblage d’un panneau de commandeconçu conformément aux normes applicables.

Des informations complémentaires sur les exclusions de défauts seront fournies par laprochaine révision de la norme EN ISO 13849-2.

Catégories d’arrêt selon les normes CEI/EN 60204-1 et NFPA 79

Lorsqu’on parle de système de commande de sécurité, le terme « Catégorie » est utilisé dansdeux significations différentes, ce qui crée une confusion regrettable. Jusqu’à présent, nousavons principalement parlé des catégories de sécurité telles qu’elles ont été définies par lanorme EN 954-1. Elles correspondent à une classification des performances d’un système desécurité par rapport à certaines conditions de défaut.

Mais, il existe également une classification dite des « catégories d’arrêt » définie par lesnormes CEI/EN 60204-1 et NFPA 79. Elle consiste en trois Catégories d’arrêt.

La Catégorie d’arrêt 0 : impose la coupure immédiate de l’alimentation sur les actionneurs.Ce type d’arrêt est parfois qualifié de non contrôlé. Dans certains cas en effet, le mouvementpourra prendre un temps notable avant de cesser, par exemple dans le cas d’un moteurtournant en roue libre avant de s’arrêter définitivement.

La Catégorie d’arrêt 1 : impose le maintien de l’alimentation jusqu’à l’arrêt complet du moteurafin de pouvoir le freiner électriquement, puis la coupure de cette alimentation ensuite.

La Catégorie d’arrêt 2 : n’impose pas la coupure de l’alimentation de l’actionneur.

Il est à noter que seules les catégories d’arrêt 0 ou 1 peuvent être utilisée en cas d’arrêtd’urgence. Le choix entre ces deux catégories doit être déterminé par l’évaluation des risques.

Tous les exemples de circuits présentés jusqu’à présent dans ce chapitre utilisaient uneCatégorie d’arrêt 0. Une Catégorie d’arrêt 1 aurait nécessité une sortie temporisée sur le relaisde coupure d’alimentation terminal. Une grille à verrouillage de sécurité est souvent associée à un dispositif d’arrêt de Catégorie 1. Ceci permet de maintenir cette grille en position ferméetant que la machine n’est pas rendue à l’état de sécurité (c’est à dire, totalement arrêtée).

SAFEBOOK 4


125

Arrêter une machine sans se préoccuper du type d’automate programmable utilisé peutaffecter le redémarrage et entraîner une détérioration grave des outils et de la machine.Un automate standard (non classé de sécurité) ne peut pas en effet être utilisé pour unefonction d’arrêt de sécurité. Par conséquent, d’autres solutions doivent être envisagées.

Les deux solutions décrites à la suite sont envisageable :

1. Relais de sécurité à action retardée

Un relais de sécurité avec des sorties à action instantanée et temporisée est utilisé. Lessorties à action instantanée sont raccordées aux entrées du dispositif programmable (parexemple, l’automate) et les sorties temporisées sont raccordées au contacteur. Lorsquel’interrupteur de sécurité est actionné, les sorties instantanées du relais de sécurité changentd’état, indiquant au système programmable qu’il peut procéder à l’arrêt selon la séquencenormale. Après qu’un délai court mais suffisant pour l’exécution de ce processus se soitécoulé, la sortie temporisée du relais de sécurité change d’état et coupe le contacteurprincipal.

Remarque : le calcul du temps d’arrêt complet devra prendre en compte la temporisationdes sorties du relais de sécurité. Ceci est particulièrement important pour la déterminationdu positionnement des dispositifs en fonction de la distance de sécurité.

2. Automates programmables de sécurité

Les fonctions logiques et de temporisation nécessaires peuvent être mises en œuvre facile-ment à l’aide d’un automate (de sécurité) ayant un niveau d’intégrité de sécurité approprié. En pratique, c’est ce que réalise un automate de sécurité comme le SmartGuard ou le GuardLogix.

Exigences relatives aux systèmes de commande de sécurité aux USA

Aux États-Unis, les exigences concernant les systèmes de commande de sécurité sont décrites dans un certain nombre de normes différentes. Deux d’entre elles émergent particuliè-rement : l’ANSI B11.TR3 et l’ANSI R15.06. Le rapport technique ANSI B11.TR3 définit ainsiquatre niveaux qui sont caractérisés par leur capacité de réduction des risques. Les caractéris-tiques de ces différents niveaux sont présentées à la suite.

Niveau de réduction des risques le plus faible

Selon la norme ANSI B11.TR3, les dispositifs de protection fournissant le niveau de réductiondes risques le plus faible incluent les dispositifs électriques, électroniques, hydrauliques oupneumatiques ainsi que les systèmes de commande associés utilisant une configurationmono-voie. L’obligation d’utiliser des dispositifs de sécurité homologués est implicite dansla liste des réquisitions. Ceci correspond très étroitement à la Catégorie 1 de la normeISO 13849-1.

126

SAFEBOOK 4


Niveau de réduction des risques intermédiaire/faible

Selon la norme ANSI B11.TR3, les dispositifs de protection fournissant le niveau de réductiondes risques intermédiaire/faible incluent les systèmes de commande redondants pouvant êtrecontrôlés manuellement afin de vérifier le bon fonctionnement du système de sécurité. Si l’ons’en tient strictement aux exigences de base pour ce niveau, le système doit utiliser uneredondance simple. L’utilisation d’une fonction de vérification n’est pas obligatoire. Sans cettefonction de vérification, l’un des composants de sécurité redondants pourra tomber en panneet le système de sécurité ne s’en apercevra pas. Ceci revient donc à un système mono-voie.Ce niveau de réduction des risques correspondra donc à la Catégorie 2 lorsqu’il utilise unefonction de vérification.

Niveau de réduction des risques intermédiaire/élevé

Selon la norme ANSI B11.TR3, les dispositifs de protection fournissant le niveau de réductiondes risques intermédiaire/élevé incluent les systèmes de commande redondants avec auto-contrôle au démarrage, afin de vérifier le bon fonctionnement du système de sécurité. Pourles machines qui sont démarrées chaque jour, cette procédure d’auto-contrôle apporte uneamélioration significative de l’intégrité de sécurité par rapport aux systèmes purementredondants. Pour les machines qui fonctionnent 24 heures par jour – 7 jours sur 7, l’auto-contrôle n’apportera au mieux qu’une amélioration marginale. L’utilisation d’un système decontrôle périodique du système de sécurité permet d’assimiler ces exigences à celles de laCatégorie 3.

Niveau de réduction des risques le plus élevé

La norme ANSI B11.TR3 confère le niveau le plus élevé de réduction des risques aux systèmesde commande redondants à auto-contrôle permanent. La procédure d’auto-contrôle doit vérifieren permanence le bon fonctionnement du système de sécurité. Le défi pour le concepteur dusystème de sécurité sera donc de définir ce qui doit être contrôlé en permanence. De nombreuxsystèmes de sécurité n’effectuent leurs vérifications qu’au démarrage et lorsqu’une requête estadressée au système de sécurité.

A l’inverse, certains composants exécutent un auto-contrôle permanent. Les barrièresimmatérielles, par exemple, activent et désactivent séquentiellement leurs LED. Etant donnéque cet auto-contrôle est permanent, si un défaut est détecté, la barrière immatérielle désactiveses sorties avant qu’une requête ne soit adressée au système de sécurité. Les relais et lesautomates de sécurité à microprocesseur sont d’autres exemples de composants exécutantun auto-contrôle permanent.

L’exigence d’auto-contrôle « permanent » du système de commande n’a pas pour objectifde limiter le choix des composants aux seuls barrières immatérielles et dispositifs logiquesà microprocesseurs. La vérification doit se faire au démarrage et après chaque requêteadressée au système de sécurité. Ce niveau de réduction des risques est conçu pour êtreassimilé à la Catégorie 4 de la norme ISO 13849-1.

SAFEBOOK 4


127

Normes relatives aux robots : États-Unis/Canada

Les normes relatives aux robots aux États-Unis (l’ANSI RIA R15.06) et au Canada (laCSA Z434-03) sont très similaires. Toutes deux possèdent quatre niveaux, similaires auxCatégories de la norme EN 954-1:1996, et qui sont décrits ci-dessous.

Simple

Se situant au niveau d’exigences le plus faible, les systèmes de commande de sécuritésimples doivent être conçus et réalisés en utilisant des circuits mono-voie conformes. Ilspeuvent également être programmables. Au Canada, ce niveau est de plus limité auxapplications de signalisation et d’annonciation. Le défi pour le concepteur du système desécurité sera donc de définir ce qui est « conforme ». Qu’est-ce qu’un système mono-voieconforme ? Par rapport à quoi ce système sera-t-il conforme ? Le niveau Simple se rapprochele plus de la Catégorie B de la norme EN 954-1:1996.

Mono-voie

Le niveau immédiatement supérieur s’applique à un système de commande de sécurité mono-voie :

• utilisant un dispositif de type matériel ou logiciel/firmware de sécurité ;

• incluant des composants de sécurité homologués ;

• utilisé conformément aux recommandations du fabricant ;

• utilisant une conception de circuit éprouvée.

Un exemple de conception de circuit éprouvée sera un dispositif électromécanique mono-voienormalement fermé qui signalera l’arrêt du robot en l’absence de tension. S’agissant d’unsystème mono-voie, la défaillance d’un seul composant peut entraîner la perte de la fonctionde sécurité. Ce niveau se rapproche le plus de la Catégorie 1 de la norme EN 9541:1996.

Dispositif logiciel/firmware de sécurité

Bien que les systèmes de type matériel aient été traditionnellement la méthode privilégiée deprotection des robots, les dispositifs de type logiciel/firmware deviennent une option de plusen plus retenue en raison de leur capacité à prendre en charge des systèmes complexes. Lesdispositifs de type logiciels/firmware (contrôleurs logiques programmables ou automates desécurité) sont autorisés à condition d’être homologués de sécurité. Cette homologation imposeque la défaillance d’un seul composant ou du firmware de sécurité n’entraîne pas la perte dela fonction de sécurité. Lorsqu’un défaut est détecté, toute poursuite du fonctionnementautomatique du robot est empêchée jusqu’à ce que le défaut soit acquitté.

128

SAFEBOOK 4


Pour obtenir sa classification de sécurité, le dispositif logiciel/firmware doit être testé par unlaboratoire agréé par rapport à une norme en vigueur. Aux États-Unis, l’OSHA tient à jour uneliste des laboratoires d’essai agréés au niveau national (« NRTL »). Au Canada, le Conseilcanadien des normes (CCN) tient à jour une liste similaire.

Mono-voie avec surveillance

Les systèmes de commande de sécurité mono-voie avec surveillance doivent se conformeraux réquisitions applicables aux systèmes mono-voie. ils doivent être homologués de sécuritéet être contrôlés. Le contrôle de la fonction de sécurité doit être exécuté au démarrage de lamachine et à intervalles réguliers pendant le fonctionnement. Un contrôle automatique estpréférable à un contrôle manuel.

Cette fonction de contrôle doit autoriser le fonctionnement lorsqu’aucune panne n’est détectéeou elle doit générer une commande d’arrêt dans l’autre cas. Une alarme doit être émise si unesource de danger persiste après la cessation du mouvement. L’opération de contrôle ne doit,bien évidemment, pas créer de situation dangereuse par elle-même. Après une détection dedéfaut, le robot doit demeurer à l’état de sécurité tant que ce défaut n’est pas rectifié. Leniveau Mono-voie avec surveillance se rapproche le plus de la Catégorie 2 de la normeEN 954-1:1996.

Fiabilité de commande

Le plus haut niveau de réduction des risques selon les normes applicables aux robots, auxÉtats-Unis comme au Canada, est obtenu par des systèmes de commande de sécuritérespectant des critères de fiabilité de commande. Les systèmes de commande de sécuritégarantissant la fiabilité de commande sont des architectures double voie avec surveillance.La fonction d’arrêt du robot ne doit pas être empêchée par la défaillance d’un seul composant,y compris de la fonction de surveillance elle-même.

Cette fonction de surveillance doit générer une commande d’arrêt lors de la détection d’undéfaut. Une alarme doit être émise si une source de danger persiste après la cessation dumouvement. Le système de sécurité doit demeurer à l’état de sécurité tant que le défaut n’estpas rectifié. Il est préférable que le défaut soit détecté lors de son apparition. Si cela n’est paspossible à obtenir, ce défaut devra être détecté lors de la sollicitation suivante du système desécurité. Les défaillances de cause commune doivent être prises en considération s’il existeune probabilité significative qu’elles se produisent.

Au Canada, il existe deux exigences supplémentaires par rapport aux États-Unis. Première-ment, les systèmes de commande de sécurité doivent être indépendants des systèmes decommande programmables standard. Deuxièmement, le système de sécurité ne doit pas pouvoir être facilement désactivé ou contourné sans que cela soit détecté.

Les systèmes garantissant la fiabilité de commande se rapprochent des Catégories 3 et 4 dela norme EN 954-1:1996.

SAFEBOOK 4


129

Commentaires sur la fiabilité de commande

L’aspect le plus important de ce concept de fiabilité de commande est la tolérance aux défauts.Les textes indiquent comment le système de sécurité doit réagir en présence « d’un seuldéfaut », de « tout défaut unique » ou de « toute défaillance d’un seul composant ».

Il en découle trois considérations très importantes concernant les défauts : (1) Tous les défautsne sont pas nécessairement détectés, (2) l’ajout du mot « composant » soulève la question ducâblage et (3) ce câblage fait partie intégrante du système de sécurité. Les erreurs de câblagepeuvent entraîner la perte de la fonction de sécurité.

L’objectif de la fiabilité de commande est clairement de permettre l’exécution de la fonctionde sécurité même en présence d’un défaut. Si ce défaut est détecté, le système de sécuritédoit exécuter une mesure de sécurité, avertir de la présence du défaut et empêcher lefonctionnement de la machine jusqu’à ce que le défaut soit rectifié. Si le défaut n’est pasdétecté, la fonction de sécurité doit quand même pouvoir être exécutée en cas de sollicitation.

130

SAFEBOOK 4


Exemple d’application utilisant SISTEMA

Cet exemple d’application va nous permettre de voir comment câbler, configurer et program-mer un système à base d’un automate Compact GuardLogix et d’E/S PointGuard I/O contrô-lant deux zones de sécurité. Chacune de ces zones est protégée par un interrupteur de sécu-rité unique qui, lorsqu’il est actionné, envoie un signal de coupure de l’alimentation de cettezone sur une paire de contacteurs redondants. Le dispositif est identique pour les deux zones.Ces deux zones sont également protégées par un dispositif d’arrêt d’urgence général qui,lorsqu’il est actionné, envoie un signal d’arrêt de sécurité dans les deux directions.

Remarque : cet exemple n’a qu’un caractère d’illustration. En raison de la diversité desvariables et contraintes propres à chaque installation particulière, Rockwell Automation nesaurait être tenu pour responsable ou redevable des éventuelles conséquences de sonapplication en conditions réelles.

Caractéristiques et avantages

• Compact GuardLogix permet aux applications standard et de sécurité d’être exécutéespar un seul automate.

• Les E/S standard et de sécurité peuvent être regroupées sur un adaptateur Ethernetunique.

• L’état de la sécurité et les diagnostics peuvent être facilement transférés del’application de sécurité à l’application standard afin d’être affichés sur l’IHM. Demême, ils peuvent être transférés vers d’autres dispositifs distants par Ethernet.

• L’application décrite ici peut être élargie et incorporée dans une application client.

Description

Cette applications est destinée à la surveillance de deux zones. Chacune de ces zones estprotégée par un interrupteur de sécurité SensaGuard. Si l’une des grilles est ouverte, lescontacteurs de sortie sont désactivés, ce qui arrêtera toute machine appartenant à cette zone.Le réarmement est manuel. Les deux zones sont également protégées par un interrupteurd’arrêt d’urgence général. Si cet arrêt d’urgence est actionné, les deux jeux de contacteurssont désactivés.

Fonction de sécurité

Chaque interrupteur de sécurité SensaGuard est raccordé à une paire d’entrées de sécuritésur un module 1734-IB8S (POINTGuard I/O). Ce module d’E/S communique avec l’automatede sécurité Compact GuardLogix (1768-L43S) via le protocole CIP Safety sur un réseau EtherNet/IP. Le programme de sécurité du processeur de sécurité contrôle l’état des entréesde sécurité au moyen d’une instruction de sécurité pré-certifiée dénommée DCS (Dual Chan-nel Input Stop – Entrée d’arrêt à deux voies). Ce programme de sécurité est exécuté en paral-lèle dans le cadre d’une architecture « 1oo2 ». Lorsque toutes les conditions sont remplies, la

SAFEBOOK 4


131

grille de sécurité de trouve fermée, aucun défaut n’est détecté sur les modules d’entrée, l’arrêt d’urgence général n’est pas déclenché, et le bouton-poussoir de réarmement est enfoncé. Undeuxième bloc fonctionnel certifié dénommé CROUT (Configurable Redundant Output – sortieredondante configurable) contrôle l’état des dispositifs de commande terminaux constitués parune paire de contacteurs redondants type 100S. L’automate renvoie alors un signal de sortieau module 1734-OBS pour activer une paire de sorties destinées à activer les contacteurs desécurité. La fonction d’arrêt d’urgence générale est également contrôlée par une instructionDCS. Si l’arrêt d’urgence général est actionné, il coupe l’alimentation des deux zones.

Nomenclature

Cet exemple d’application utilise les composants suivants.

Référence Description Quantité

440N-Z21SS2AInterrupteur SensaGuardPlastique, RFID, sans contact

2

800FM-G611MX10Bouton-poussoir de réarmement 800F –Métallique, protégé, bleu, R, fixation métalliqueà verrouillage, 1 contact N.O., standard

4

100S-C09ZJ23C Contacteurs de sécurité Série 100S-C 2

1768-ENBT Module passerelle EtherNet/IP CompactLogix 1

1768-L43SProcesseur CompactLogix L43, 2 Mo demémoire standard, 0,5 Mo de mémoire desécurité

1

1768-PA3Alimentation, entrée 120/240 V c.a., sortie 3,5 A sous 24 V c.c.

1

1769-ECR Cache de terminaison droit 1

1734-AENT Adaptateur Ethernet 24 V c.c. 1

1734-TBSocle pour module avec bornier CEI à visamovible

4

1734-IB8S Module d’entrées de sécurité 2

1734-OB8S Module de sorties de sécurité 1

1783-US05T Switch Ethernet non administré Stratix 2000 1

132

SAFEBOOK 4


Installation et câblage

Pour des informations plus détaillées sur l’installation et le câblage, on se reportera aux manuelsfournis avec les produits ou téléchargeables sur : http://literature.rockwellautomation.com

Aperçu du système

Le module d’entrées 1734-IB8S surveille les entrées des deux interrupteurs SensaGuard.

Le SensaGuard utilise des sorties OSSD qui réalisent un test périodique des sorties. Ainsi, cesont les sorties OSSD qui vérifient l’intégrité du câblage entre l’interrupteur SensaGuard et lesentrées de sécurité.

Les sorties utilisées pour les tests à impulsion sont configurées en sources 24 V.

Le dispositif de commande terminal est constitué par une paire de contacteurs de sécurité type100S, repérés K1 et K2. Ces contacteurs sont commandés par l’intermédiaire du module desortie de sécurité 1734-OBS. Ils sont câblés en redondance et sont testés au démarrage afinde détecter tout défaut éventuel. Ce test de démarrage consiste à vé8rifier le circuit de retoursur l’entrée 2 (I2), avant que les contacteurs ne soient activés. Pour cela, une instruction desortie redondante configurable CROUT est utilisée. Le système est réarmé par le bouton-poussoir à impulsion, PB1.

Câblage

I0

I2

COM

T0

I1

I3

COM

T1

14

16

COM

T2

15

17

COM

T3M

O4

O6

COM

COM

O5

O7

COM

COM

I0

I2

COM

T0

I1

I3

COM

T1

O0

O2

COM

COM

O1

O3

COM

COM

1734-IB8SArrêt d’urgence

Réinitialisation de défaut PB2

JauneRougeMarron

Bleu

GrisRoseBlanc

Réinitialisation PB1

1734-OB8S

MM

K1

K2

K3

K4

Inte

rrup

teur

Act

ionn

eur

JauneRougeMarron

Bleu

GrisRoseBlanc

Inte

rrup

teur

Act

ionn

eur

SAFEBOOK 4


133

Configuration

L’automate Compact GuardLogix est configuré à l’aide du logiciel RSLogix 5000, version 18 ou supérieure. Il convient d’abord de créer un nouveau projet et y ajouter les modules d’E/S.Puis, on configurera ces modules d’E/S pour les types d’entrées et de sorties adéquats. Cedocument n’a pas pour objet de fournir la description détaillée de chacune de ces étapes. Laconnaissance de l’environnement de programmation RSLogix est présupposée.

Configuration de l’automate et ajout des modules d’E/S

Suivre ces étapes :

1. Dans le logiciel RSLogix 5000, créer un nouveau projet.

2. Dans la fenêtre « Controller Organizer » (arborescence de l’automate), ajouter le module1768-ENBT au dossier « 1768 Bus ».

134

SAFEBOOK 4


3. Sélectionner ce module 1768-ENBT et cliquer sur OK.

4. Donner un nom au module, taper son adresse IP, puis cliquer sur OK. Nous utilisonsl’adresse 192.168.1.8 dans cet exemple. Mais la vôtre pourra être différente.

SAFEBOOK 4


135

5. Ajouter l’adaptateur 1734-AENT en cliquant avec le bouton droit de la souris sur le module1768-ENBT dans la fenêtre « Controller Organizer » (arborescence de l’automate) et ensélectionnant « New Module » (nouveau module).

6. Sélectionner l’adaptateur 1734-AENT et cliquer sur OK.

136

SAFEBOOK 4


7. Donner un nom au module, taper son adresse IP, puis cliquez sur OK. Nous utilisonsl’adresse 192.168.1.11 dans cet exemple. Mais la vôtre pourra être différente.

8. Cliquer sur « Change » (modifier).

9. Dans le champ « Chassis Size » (taille du châssis), sélectionner 4 pour l’adaptateur 1734-AENT et cliquer sur OK. La taille du châssis correspond au nombre de modules quiseront insérés dans ce châssis. L’adaptateur 1734-AENT étant considéré comme se trouvant à l’emplacement 0, pour deux modules d’entrées et un module de sorties, la taille du châssissera donc 4.

10. Dans le fenêtre « Controller Organizer » (arborescence de l’automate), cliquer avecle bouton droit de la souris sur l’adaptateur 1734-AENT et sélectionner « New Module »(nouveau module).

SAFEBOOK 4


137

11. Développer le niveau « Safety » (sécurité), sélectionner le module 1734-IB8S et cliquersur OK.

12. Dans la boîte de dialogue « New Module » (nouveau module), nommer le dispositif« CellGuard_1 » et cliquer sur « Change » (modifier).

138

SAFEBOOK 4


13. Lorsque la boîte de dialogue « Module Definition » (définition du module) s’ouvre, réglerle champ « Input Status » (état d’entrée) sur « Combined Status-Power » (état-alimentationcombinés) et cliquer sur OK.

14. Fermer la boîte de dialogue « ModuleProperties » (propriétés du module) en cliquant sur OK.

15. Répéter les étapes 10 à 14 pour ajouterun deuxième module d’entrées de sécurité1734-IB8S et un module de sorties de sécurité1734-OB8S.

Configuration des modules d’E/S

Suivre cette procédure pour la configuration d’un module d’E/S POINT Guard I/O.

1. Dans la fenêtre « Controller Organizer » (arborescence de l’automate), cliquer avec lebouton droit de la souris sur un module 1734-IB8S et sélectionner « Properties » (propriétés).

2. Cliquer sur « Input Configuration » (configuration d’entrée) et configurer le module commeillustré.

SAFEBOOK 4


139

3. Cliquer sur « Test Output » (sortie de test) et configurer le module comme illustré.

4. Cliquer sur OK.

5. Dans la fenêtre « Controller Organizer » (arborescence de l’automate), cliquer avec lebouton droit de la souris sur le deuxième module 1734-IB8S et sélectionner « Properties »(propriétés).

6. Cliquer sur « Input Configuration » (configuration d’entrée) et configurer le module commeillustré.

7. Cliquer sur « Test Output » (sortie de test) et configurer le module comme illustré.

140

SAFEBOOK 4


8. Cliquer sur OK.

9. Dans la fenêtre Controller Organizer (arborescence de l’automate), cliquer avec le boutondroit de la souris sur le module 1734-OB8S et sélectionner « Properties » (propriétés).

10. Cliquer sur « Output Configuration » (configuration de sortie) et configurer le modulecomme illustré.

11. Cliquer sur OK.

SAFEBOOK 4


141

Programmation

L’instruction Entrée d’arrêt à deux voies DCS contrôle les dispositifs de sécurité à double entrée dont la fonction principale est d’assurer l’arrêt de sécurité d’une machine. Ce pourrontêtre, par exemple, un arrêt d’urgence, une barrière immatérielle ou une grille de protection.L’instruction peut activer la sortie 1 (« Output 1 ») uniquement lorsque les deux voies d’entréede sécurité (« Channel A » et « Channel B ») sont actives, conformément à la définition du paramètre « Input Type » (type d’entrée), et que les actions de réarmement adéquates ontété exécutée. L’instruction DCS contrôle la cohérence entre les deux voies d’entrée (« Equiva-lent » – « Active High »), puis détecte et piège les défauts lorsqu’une incohérence est détectéependant une durée supérieure au temps de divergence configuré (en ms). L’instruction de sor-tie redondante configurable CROUT commande et contrôle les sorties redondantes. Le tempsde réponse du retour de sortie est configurable. L’instruction prend en charge les signaux deretour positifs et négatifs.

Le programme de la routine de contrôle des sorties de sécurité empêche la réactivation de cessorties si la voie d’entrée se réinitialise automatiquement, ce qui procure une fonctionnalitéd’anti arrimage pour le réarmement du circuit.

142

SAFEBOOK 4


Réinitialisation sur front descendantLa norme EN ISO 13849-1 stipule que les fonctions de réinitialisation des instructions doiventêtre exécutées sur le front descendant des signaux. Pour se conformer à cette exigence,il convient d’ajouter une instruction « One Shot Falling » (impulsion monostable sur frontdescendant) au code de réinitialisation, comme illustré ci-dessous.

Données de fonctionnement

Lorsqu’elles sont configurées correctement, toute les fonctions de sécurité peut être affectéesd’une classification de sécurité PLe, CAT 4 conformément à la norme EN ISO 13849.1 2008.

Les calculs sont basés sur un fonctionnement de 16 heures par jour pendant 360 jours paran avec manœuvre de la grille de protection une fois par heure. Ceci donne un total de5 760 manœuvres par an. La fonction d’arrêt d’urgence générale est testée une fois par mois.

SAFEBOOK 4


143

Chacune des fonctions relatives à la grille de protection peut être représentée comme ci-dessous.

K1100S

K2100S

1734-OB8S1768-L43S1734-IB8SSensaGuard

SS1

Sous-Système 1 Sous-Système 2 Sous-Système 3 Sous-Système 4 Sous-Système 5

144

SAFEBOOK 4


La fonction d’arrêt d’urgence peut être représentée comme suit.

Cet exemple, son fichier de calcul SISTEMA et le programme d’application pour RSLogix 5000peuvent être téléchargés à l’adresse :

www.discoverrockwellautomation.com

K1100S

K2100S

ArUrgence 1S1

ArUrgence 1S2

1734-OB8S1768-L43S1734-IB8S

Sous-Système 1 Sous-Système 2 Sous-Système 3 Sous-Système 4 Sous-Système 5

SAFEBOOK 4


145

Pour plus d’informations sur les produits utilisés dans cet exemple, se référer la bibliothèquede documentations en ligne de Rockwell Automations en utilisant les numéros de publicationindiqués ci-dessous. Le site www.ab.com fournit également un aperçu général des produits.

L’adresse de la bibliothèque en ligne est : www.theautomationbookstore.com

Rockwell Automation a développé un catalogue d’exemples d’application du même type. Ilpeut être téléchargé depuis la bibliothèque de documentations en ligne. Accéder au site ettaper « SAFETY-AT » dans le champ de recherche, après avoir affiché « Publication Number »dans le menu déroulant.

Des calculs SISTEMA et des programmes d’application RSLogix 5000 sont disponibles pourcertaines applications. Ils peuvent être téléchargés à l’adresse :

www.discoverrockwellautomation.com

Publication Description

Automates Compact GuardLogixManuel utilisateurPublication : 1768-UM002

Informations relatives à la configuration,au fonctionnement et à la maintenancedes automates Compact GuardLogix

Modules d’E/S de sécurité POINT Guard I/ONotice d’installation et Manuel utilisateurPublication : 1734-UM013

Informations relatives à l’installation, laconfiguration et au fonctionnement desmodules POINT Guard I/O

Systèmes à base d’automates GuardLogixManuel de références de sécuritéPublication : 1756-RM093

Informations détaillées sur les exigencesà respecter pour atteindre et maintenir lesdifférents niveaux de sécurité dans dessystèmes à automate GuardLogix.

Manuel de références de jeux d’instructionspour applications de sécurité GuardLogix.Publication : 1756-RM095

Informations détaillées sur les jeuxd’instructions destinées aux applicationsde sécurité GuardLogix.

Jeu d’outils Safety Accelerator Toolkit poursystèmes de sécurité GuardLogixGuide de mise en routePublication : IASIMP-QS005

Guide de prise en main étape par étape des outils de conception, de programmationet de diagnostic du kit Safety AcceleratorToolkit.

Catalogue des composants de sécuritéPublication : S117-CA001A

Catalogue exhaustif des produits desécurité avec exemples d’application etd’autres informations utiles

146

SAFEBOOK 4

Systèmes de commande de sécurité pour machinesM

TTFd

pou

rch

aque

voi

een

ann

ées

Prob

abili

té m

oyen

ne d

e dé

faill

ance

dan

gere

use

par h

eure

(1/h

) et n

ivea

u de

per

form

ance

(PL)

cor

resp

onda

nt

Cat

. BPL

Cat

. 1PL

Cat

. 2PL

Cat

. 2PL

Cat

. 3PL

Cat

. 3PL

Cat

. 4PL

DC

moy

.=

nul

DC

moy

.=

nul

DC

moy

.=

faib

leD

Cm

oy.=

moy

enD

Cm

oy.=

faib

leD

Cm

oy.=

moy

enD

Cm

oy.=

élev

é

33,8

0 x 10

–5a

2,58 x

10–5

a1,9

9 x 10

–5a

1,26 x

10–5

a6,0

9 x 10

–6b

3,33,4

6 x 10

–5a

2,33 x

10–5

a1,7

9 x 10

–5a

1,13 x

10–5

a5,4

1 x 10

–6b

3,63,1

7 x 10

–5a

2,13 x

10–5

a1,6

2 x 10

–5a

1,03 x

10–5

a4,8

6 x 10

–6b

3,92,9

3 x 10

–5a

1,95 x

10–5

a1,4

8 x 10

–5a

9,37 x

10–6

b4,4

0 x 10

–6b

4,32,6

5 x 10

–5a

1,76 x

10–5

a1,3

3 x 10

–5a

8,39 x

10–6

b3,8

9 x 10

–6b

4,72,4

3 x 10

–5a

1,60 x

10–5

a1,2

0 x 10

–5a

7,58 x

10–6

b3,4

8 x 10

–6b

5,12,2

4 x 10

–5a

1,47 x

10–5

a1,1

0 x 10

–5a

6,91 x

10–6

b3,1

5 x 10

–6b

5,62,0

4 x 10

–5a

1,33 x

10–5

a9,8

7 x 10

–6b

6,21 x

10–6

b2,8

0 x 10

–6c

6,21,8

4 x 10

–5a

1,19 x

10–5

a8,8

0 x 10

–6b

5,53 x

10–6

b2,4

7 x 10

–6c

6,81,6

8 x 10

–5a

1,08 x

10–5

a7,9

3 x 10

–6b

4,98 x

10–6

b2,2

0 x 10

–6c

7,51,5

2 x 10

–5a

9,75 x

10–6

b7,1

0 x 10

–6b

4,45 x

10–6

b1,9

5 x 10

–6c

8,21,3

9 x 10

–5a

8,87 x

10–6

b6,4

3 x 10

–6b

4,02 x

10–6

b1,7

4 x 10

–6c

9,11,2

5 x 10

–5a

7,94 x

10–6

b5,7

1 x 10

–6b

3,57 x

10–6

b1,5

3 x 10

–6c

101,1

4 x 10

–5a

7,18 x

10–6

b5,1

4 x 10

–6b

3,21 x

10–6

b1,3

6 x 10

–6c

111,0

4 x 10

–5a

6,44 x

10–6

b4,5

3 x 10

–6b

2,81 x

10–6

c1,1

8 x 10

–6c

129,5

1 x 10

–5b

5,84 x

10–6

b4,0

4 x 10

–6b

2,49 x

10–6

c1,0

4 x 10

–6c

138,7

8 x 10

–5b

5,33 x

10–6

b3,6

4 x 10

–6b

2,23 x

10–6

c9,2

1 x 10

–7d

157,6

1 x 10

–6b

4,53 x

10–6

b3,0

1 x 10

–6b

1,82 x

10–6

c7,4

4 x 10

–7d

167,3

1 x 10

–6b

4,21 x

10–6

b2,7

7 x 10

–6c

1,67 x

10–6

c6,7

6 x 10

–7d

SAFEBOOK 4


147

MTT

Fd p

our

chaq

ue v

oie

en a

nnée

s

Prob

abili

té m

oyen

ne d

e dé

faill

ance

dan

gere

use

par h

eure

(1/h

) et n

ivea

u de

per

form

ance

(PL)

cor

resp

onda

nt

Cat

. BPL

Cat

. 1PL

Cat

. 2PL

Cat

. 2PL

Cat

. 3PL

Cat

. 3PL

Cat

. 4PL

DC

moy

.=

nul

DC

moy

.=

nul

DC

moy

.=

faib

leD

Cm

oy.=

moy

enD

Cm

oy.=

faib

leD

Cm

oy.=

moy

enD

Cm

oy.=

élev

é

186,3

4 x 10

–6b

3,68 x

10–6

b2,3

7 x 10

–6c

1,41 x

10–6

c5,6

7 x 10

–7d

205,7

1 x 10

–6b

3,26 x

10–6

b2,0

6 x 10

–6c

1,22 x

10–6

c4,8

5 x 10

–7d

225,1

9 x 10

–6b

2,93 x

10–6

c1,8

2 x 10

–6c

1,07 x

10–6

c4,2

1 x 10

–7d

244,7

6 x 10

–6b

2,65 x

10–6

c1,6

2 x 10

–6c

9,47 x

10–7

d3,7

0 x 10

–7d

274,2

3 x 10

–6b

2,32 x

10–6

c1,3

9 x 10

–6c

8,04 x

10–7

d3,1

0 x 10

–7d

303,8

0 x 10

–6b

2,06 x

10–6

c1,2

1 x 10

–6c

6,94 x

10–7

d2,6

5 x 10

–7d

9,54 x

10–8

e

333,4

6 x 10

–6b

1,85 x

10–6

c1,0

6 x 10

–6c

5,94 x

10–7

d2,3

0 x 10

–7d

8,57 x

10–8

e

363,1

7 x 10

–6b

1,67 x

10–6

c9,3

9 x 10

–7d

5,16 x

10–7

d2,0

1 x 10

–7d

7,77 x

10–8

e

392,9

3 x 10

–6c

1,53 x

10–6

c8,4

0 x 10

–7d

4,53 x

10–7

d1,7

8 x 10

–7d

7,11 x

10–8

e

432,6

5 x 10

–6c

1,37 x

10–6

c7,3

4 x 10

–7d

3,87 x

10–7

d1,5

4 x 10

–7d

6,37 x

10–8

e

472,4

3 x 10

–6c

1,24 x

10–6

c6,4

9 x 10

–7d

3,35 x

10–7

d1,3

4 x 10

–7d

5,76 x

10–8

e

512,2

4 x 10

–6c

1,13 x

10–6

c5,8

0 x 10

–7d

2,93 x

10–7

d1,1

9 x 10

–7d

5,26 x

10–8

e

562,0

4 x 10

–6c

1,02 x

10–6

c5,1

0 x 10

–7d

2,52 x

10–7

d1,0

3 x 10

–7d

4,73 x

10–8

e

621,8

4 x 10

–6c

9,06 x

10–7

d4,4

3 x 10

–7d

2,13 x

10–7

d8,8

4 x 10

–8e

4,22 x

10–8

e

681,6

8 x 10

–6c

8,17 x

10–7

d3,9

0 x 10

–7d

1,84 x

10–7

d7,6

8 x 10

–8e

3,80 x

10–8

e

751,5

2 x 10

–6c

7,31 x

10–7

d3,4

0 x 10

–7d

1,57 x

10–7

d6,6

2 x 10

–8e

3,41 x

10–8

e

821,3

9 x 10

–6c

6,61 x

10–7

d3,0

1 x 10

–7d

1,35 x

10–7

d5,7

9 x 10

–8e

3,08 x

10–8

e

911,2

5 x 10

–6c

5,88 x

10–7

d2,6

1 x 10

–7d

1,14 x

10–7

d4,9

4 x 10

–8e

2,74 x

10–8

e

100

1,14 x

10–6

c5,2

8 x 10

–7d

2,29 x

10–7

d1,0

1 x 10

–7d

4,29 x

10–8

e2,4

7 x 10

–8e

148

SAFEBOOK 4


R

SAFE

BOO

K 4

Systèmes de commande desécurité pour machinesPrincipes, normes et mise en œuvre

Publication : SAFEBK-RM002B-FR-P – Mars 2011 © 2011 Rockwell Automation, Inc. Tous droits réservés. Remplace la publication : SAFEBK-RM002A-FR-P

SAFE

BOO

K 4

– Sy

stèm

es d

e co

mm

ande

de

sécu

rité

pour

mac

hine

s/Pr

inci

pes,

norm

es e

t mise

en

œuv

re

safebook allen bradley

Documents