Vous êtes sur la page 1sur 18

7

Introduction la Scurit

1- Prface
Le but de cette section est de fournir aux constructeurs de machines une premire introduction certaines normes relatives la scurit des machines, clarier certains principes de base et donner quelques exemples dapplication. Ce petit guide se rfre uniquement aux aspects de la Scurit Fonctionnelle de la machine, cest--dire lensemble de mesures propres protger loprateur des machines des risques dcoulant de leur fonctionnement. Ne sont pas traits les risques dus dautres sources de danger telles que la prsence dlectricit, appareils pression, atmosphres explosives, etc., qui devront tre valus quand mme par le fabricant des machines. Ce document a t prpar par Pizzato Elettrica au mieux de ses connaissances, en tenant compte les normes et interprtations et les technologies existantes dans lanne 2011. tant donn que certaines normes mentionnes trouvent lors de ces mois leurs premires applications relles, on ne peut pas exclure quavec le temps des normes supplmentaires ou interprtations par les organismes notis modient les valuations fournies dans ce document. Les exemples devraient donc toujours tre valus par le client nal selon ltat de lart technologique /normatif et ils ne le dchargent pas de sa responsabilit. Pizzato Elettrica nassume aucune responsabilit sur les exemples donns et nexclut pas la prsence ventuelle derreurs involontaires ou dinexactitudes dans les donnes fournies.

2- Concevoir en toute scurit. La structure normative europenne.


Tout dispositif ou machine, pour tre librement commercialis lintrieur des pays de la Communaut europenne, doit satisfaire aux prescriptions des directives communautaires. Elles fournissent les principes gnraux pour que les fabricants mettent en vente des produits qui ne sont pas dangereux pour les oprateurs. L ensemble des produits et des diffrents dangers potentiels est trs large et donc au cours de temps ont t mises plusieurs directives. Par exemple on cite la directive Basse Tension 2006/95/ EC, la directive 94/9/EC sur les Atmosphres Explosives, la directive sur la Compatibilit Electromagntique 2004/108/EC, etc. Les dangers rsultants du fonctionnement des machines sont traits par la Directive Machine 2006/42/EC. La conformit aux directives est certie par lmission de la Dclaration de Conformit par le constructeur et par lapposition du marquage CE sur la machine. Pour lvaluation des risques que la machine prsente et pour la ralisation des systmes de scurit aptes protger loperateur de ces risques, les comits europens de normalisation CEN et CENELEC ont promulgu une srie de normes qui traduisent le contenu des directives sous forme dindications techniques. Les normes qui sont publies dans le Journal Ofciel de lUnion Europenne sentendent harmonises. Le constructeur qui utilise ces normes pour la certication de ses machines a la prsomption de conformit aux directives. Les normes pour la scurit des machines se divisent en trois types: A, B et C. Normes de type A: Ce sont des normes qui exposent les concepts de base et les principes de conception gnrale pour la ralisation de toutes les machines. Normes de type B: Ce sont des normes qui exposent plus spciquement un ou plusieurs aspects relatifs la scurit et qui leur tour sont divises en normes de type: B1: Normes relatives certains aspects de la scurit (par exemple distances de scurit, tempratures, bruits, etc.) B2: Normes relatives aux dispositifs de scurit (par exemple contrles bimanuels, dispositifs de verrouillage, protecteurs, etc.) Normes de types C: Ce sont des normes qui exposent de manire dtaille les prescriptions de scurit pour des groupes de machines particulires (ex. presses hydrauliques, machines injecter,) Le constructeur de dispositifs ou de machines devra tout dabord vrier si son produit entre dans une norme de type C. Dans le cas positif, ce sera cette norme qui tablira les prescriptions pour la scurit, sinon, ce seront les normes de type B qui feront foi pour tout aspect ou dispositif spcique du produit. En absence de spcications supplmentaires, le constructeur suivra les principes gnraux noncs dans les normes de type A.
NORMES DE TYPE A par exemple: EN 12100-1 et -2:2010 (remplace EN 292-1 et EN 292-2). Concepts fondamentaux, principes gnraux de conception. EN 61508. Scurit fonctionnelle des systmes lectriques, lectroniques et lectroniques programmables pour applications de scurit. EN 14121:2007: Principes pour lvaluation du risque.

NORMES DE TYPE B1 par exemple: EN 62061:2005 Scurit fonctionnelle des systmes de commande et de contrle lectriques, lectroniques et lectroniques programmables relatifs la scurit EN ISO 13849-1:2006 et -2:2003 Parties des systmes de commande lies la scurit NORMES DE TYPE B2 par exemple: EN 574:2008 Dispositifs de commande bimanuelle EN 13850:2006 (remplace EN 418:1992) Arrt durgence EN 1088:2008 et ISO 14119 Dispositifs de verrouillage des protecteurs EN 60204-1:2006 quipement lectrique des machines EN 60947-5-1:2009 Dispositifs de contrle lectromcaniques

NORMES DE TYPE C par exemple: EN 201:2007 . Machines pour le caoutchouc et les matires plastiques Machines injecter EN 415-1..-7:2009 Scurit des machines demballage EN 692:2009 Presses mcaniques EN 693:2009 Presses hydrauliques EN 848-1:2010 Scurit des machines pour le travail du bois Machines fraiser sur une face, outil rotatif - Partie 1: Toupie monobroche arbre vertical

3 Concevoir machines sres. Analyse des risques.


La premire tape dans la construction dune machine sre est didentier quels sont tous les ventuels dangers auquels sont exposs les oprateurs dune machine. L identication et la classication des risques permettent de dnir le risque pour loprateur cest--dire la combinaison de la probabilit que le danger se produit et du type de dommage possible loprateur. La mthodologie danalyse des risques, de leur valuation, de la faon de procder pour leur rduction est dnie par les normes EN 12100 et EN 14121. Ces normes introduisent un modle cyclique danalyse an que, dni les objectifs initiaux, lanalyse des risques et des solutions possibles pour limiter ces risques sont valus plusieurs fois jusqu ce que les objectifs initiaux ne sont pas remplis. Le modle introduit par cette paire de normes prvoit que, aprs une analyse des risques selon EN 14121, on procde pour leur rduction / limination par un processus qui comprend par ordre: 1) L limination des risques lorigine, grce la structure du systme et lutilisation de principes de conception intrinsquement srs 2) La rduction des risques par des systmes de protection et de contrle 3) La mise en vidence des risques rsiduels au moyen de signalisation et information aux oprateurs. tant donn que chaque machine a des dangers et quil nest pas possible dliminer compltement tous les possibles risques associs,

7/27

Catalogue Gnral 2013-2014

7
lobjectif est de rduire le risque de la machine des niveaux rsiduels acceptables. Si le risque est rduit par un systme de contrle, entre en jeu la norme EN ISO 13849, qui fournit un modle dvaluation de la qualit de ce systme. De cette faon, tant donn le risque dun certain niveau, il est possible d utiliser une fonction de scurit de mme niveau ou suprieur.

DBUT

Dtermination des limites de la machine (voir 5.2a) Identifications des dangers (voir paragraphes 4a e 5.3a) Apprciation du risque (voir 5.3a) valuation du risque (voir 5.3a)

Analyse du risque effectue en accord avec EN ISO 14121 Oui Se rfre EN ISO 12100-1:2010 Se rfre EN ISO 13849-1:2006 c L ISO 13849-2 fournit une aide supplmentaire pour la validation
a b

Le procd itratif de rduction du risque doit tre effectu sparment pour chaque danger dans la condition dutilisation correspondante (fonction)

Non

Le risque a-t-il t Oui rduit de manire adquate? Non Procd de rduction du risque pour le danger identifi: 1) Par le biais dune structure intrinsque 2) Grce aux protections 3) Par les instructions pour lutilisation (voir EN ISO 12100-1:2010 figure 4)

De nouveaux dangers ont-ils t crs ? Vrification des systmes de commande lis la scurit en accord avec EN ISO 13849-1

FIN

Identification des fonctions de scurit qui doivent tre effectues par le(s) SRP/CS Pour chaque fonction de scurit, indiquer les caractristiques requises (voir paragraphe 5b) Dtermination du niveau de performances requis PLr (voir 4.3b et annexe Ab)

Les mesures de protection slectionnes dpendent-elles dun systme de contrle ?

Oui

Pour chaque fonction de scurit slectionne

Non

Conception et ralisation technique de la fonction de scurit: Identification des pices relatives la scurit qui exercent la fonction de scurit (voir 4.4b) valuation du niveau de performance PL (voir 4.5b) en tenant compte de: - Catgorie (voir paragraphe 6b) - MTTFd (voir annexes Cb et Db) - DC (voir annexe Eb) - CCF (voir annexe Fb) - Si existant: Logiciel (voir 4.6b et annexe Jb) de la partie relative la scurit lexamen

Vrification du PL de la fonction de scurit: PL PLr ? (voir 4.7b) Oui Validation (voir clause 8bc). Toutes les conditions requises ont-elles t satisfaites? Oui Oui Toutes les fonctions de scurit ont-elles t analyses?

Non

Non

Non

Note: Cette gure a t obtenue par la combinaison des Figures 1 et 3 de EN 13849-1:2006. Les textes reports sont la traduction non ofcielle des textes en anglais. Catalogue Gnral 2013-2014

7/28

Introduction la Scurit

4 Situation normative actuelle (anne 2013). Les raisons du changement, les nouvelles normes et quelques superpositions
Les normes traditionnelles pour la scurit fonctionnelle, telles que lEN 954-1, ont eu le grand mrite de formaliser certains principes de base dans lanalyse des circuits de scurit selon principes dterministes. Dautre part, elles ne traitent absolument pas les dispositifs lectroniques programmables et, en gnral, souffrent des annes passes. Pour inclure les dispositifs lectroniques programmables dans lanalyse des systmes de contrle, lapproche de nouvelles normes est fondamentalement de type probabiliste et on a ensuite introduit de nouvelles variables de type statistiques. La norme mre de cette approche est la IEC 61508 qui dnit la scurit des systmes lectroniques programmables complexes et est une norme imposante (divise en 8 sections, pour un total de plus de 500 pages) adapte des champs dapplication mme trs diffrents (industrie de procs, machines industrielles, installations nuclaires); ce sont les raisons pour lesquelles elle a assum le statut de norme de type A (non harmonise). Cette norme introduit le concept de SIL (Safety Integrity Level), cest--dire une indication probabiliste du risque rsiduel dun systme. De lIEC 61508 drive lEN 62061, en particulier pour ce qui concerne la scurit des systmes avec lectronique complexe ou quand mme programmable dans les machines industrielles. Les concepts introduits permettent lapplication Note importante. en gnral tout systme de contrle avec technologie de type lectrique, lectronique et EN ISO 13849 est une norme de type B1 lectronique programmable ( lexclusion de systmes avec technologies non- lectriques). et donc si une machine est dj couverte par une norme de type C, cest cette L EN ISO 13849, dveloppe par le CEN sous lgide de lISO, drive de cette approche dernire qui fait autorit. Toutes les normes probabiliste mais tente de faire en sorte que le constructeur habitu aux concepts de lEN 954de type C prcdemment dveloppes se 1 peut passer dune faon moins traumatisante aux nouveaux concepts. La norme sapplique basent sur les concepts de EN 954-1. Pour aux systmes lectromcaniques, hydrauliques, lectroniques non complexes et certains les constructeurs des machines couvertes systmes lectroniques programmables avec des structures prdnies. La norme EN ISO par une norme de type C, les temps 13849 est une norme de type B1, introduit la notion de PL (Performance Level) cest--dire, dintroduction des nouvelles rglementations comme pour le SIL, une indication probabiliste du risque rsiduel dune machine. Cette norme pourraient varier en fonction de la rapidit indique une corrlation entre SIL et PL, utilise des concepts (comme DC et CCF) changs par laquelle les diffrents comits techniques la IEC 61508 et tabli une rfrence avec les catgories de scurit de lEN 954-1. les mettront jour. Dans le domaine de la scurit fonctionnelle, pour la scurit des circuits de contrle, deux normes sont donc actuellement en vigueur (anne 2013): UNI EN ISO 13849:2008. Norme de type B1 qui utilise le concept de PL. EN 62061:2005. Norme de type B1 qui utilise le concept de SIL. Les deux normes EN 62061 et EN 13849 ont donc une raisonnable superposition en ce qui concerne le domaine dapplication et pour de nombreux aspects sont similaires tel point quil existe une corrlation prcise entre les deux diffrents noms symbole (SIL et PL), qui indiquent le rsultat de lanalyse selon les deux normes. Les recommandations sur le domaine dapplication des deux normes est report a b c d e PL EN ISO 13849-1 dans le tableau 1 de lEN 13849 et comme on peut le voir, sur de grandes typologies de produits tous les deux normes sont applicables. 1 2 3 SIL (4)
EN 62061 - IEC 61508

PFHd
Une dfaillance dangereuse chaque n ans

10-4
~1

10-5
~10

3x10-6
~40

10-6
~100

10-7

10-8

~1000 ~10000

Tableau 1 Applications recommandes par IEC 62061 et EN ISO 13849-1


Technologie utilise par la partie du systme de commande lie la scurit EN ISO 13849-1 X Non traite IEC 62061

A Non lectrique, par exemple hydraulique B


lectromcanique, par exemple relais et/ou lectronique non complexe lectronique complexe, par exemple

Dune manire limite aux architectures Toutes les architectures et jusqu dessines et jusqu PL=e SIL 3 Dune manire limite aux architectures Toutes les architectures et jusqu dessines et jusqu PL=d SIL 3 Dune manire limite aux architectures c X dessines et jusqu PL=e Dune manire limite aux architectures Toutes les architectures et jusqu dessines (voir note 1) et jusqu PL=d SIL 3 Xb Xc

C programmable

D A associe B E C associe B F C associe A et B


C associe A ou

X indique que la ligne est traite par la norme internationale indique dans len-tte de la colonne a. Les architectures dessines sont dnies au point 6.2 (de lEN ISO 13849-1) pour fournir une approche simplie la quantication du niveau de performances b. Pour llectronique complexe: utiliser les architectures dessines en accord avec cette partie de lEN ISO 13849-1 et jusqu PL=d ou toute autre architecture en accord avec lIEC 62061 c. Pour les technologies non lectriques, utiliser les parties comme sous-systmes en accord avec cette partie de lEN ISO 13849-1 Note. Le prsent tableau est la traduction non ofcielle en franais du tableau 1 prsent dans la version anglaise de la norme EN ISO 13849-1:2006

Le choix de la norme utiliser reviendra au constructeur, selon la technologie utilise. Nous retenons que lEN 13849, avec une approche intermdiaire et la rutilisation des concepts dj connus dans le march, est une norme dapplication plus facile. Note: L institution pour la prvention et la scurit allemande IFA a introduit en 2008 un rapport (BGIA Report 2/2008) sur lapplication de lEN 13849 o il est indiqu que les recommandations et les limites sur lapplication de l13849 doivent tre considrs comme obsoltes et donc aussi dans le cas dlectronique programmable (cas C et E du tableau ci-dessus) on peut considrer le limite PLe.

7/29

Catalogue Gnral 2013-2014

7
5- La norme EN ISO 13849 et les nouveaux paramtres: PL, MTTFd, DC, CCF
La norme EN ISO 13849 offre au constructeur une mthode itrative pour valuer si les risques dune machine peuvent tre limits un niveau rsiduel acceptable par lutilisation des fonctions de scurit appropries. La mthode adopte prvoit, pour chaque risque, un cycle dhypothse-analyse-validation la n de lequel on doit tre en mesure de dmontrer que chaque fonction de scurit choisie est adapte au relatif risque lexamen. La premire tape consiste donc dans lvaluation du niveau de performance requis pour chaque fonction de scurit. Comme pour lEN 954-1 mme lEN ISO 13849 utilise un graphique pour lanalyse du risque dune fonction dune machine (Figure A.1) mais au lieu dune catgorie de scurit requise, elle dnit, en fonction du risque, un niveau de performance requis ou PLr (Required Performance Level) pour la fonction de scurit qui devra protger cette partie de machine. Le constructeur de la machine, partir du point 1 du graphique et en rpondant aux questions S, F et P , identiera le PLr pour la fonction de scurit examine. Ensuite il devra raliser un systme pour protger loprateur de la machine qui aura un niveau de performance PL gal ou meilleur de celui requis. Graphique du risque pour dterminer le PLr requis pour la fonction de scurit (extrait de EN ISO 13849-1, gure A.1)

Cls de lecture Point de dpart pour lvaluation de la contribution la rduction du risque des fonctions de scurit L Faible contribution la rduction du risque H Forte contribution la rduction du risque PLr Niveau de performance requis 1

Paramtres de risque S S1 S2 F F1 F2 P P1 P2 Gravit de la blessure blessure lgre (normalement rversible) blessure grave (normalement irrversible ou mort) Frquence et/ou dure de lexposition au danger de rare assez frquente et/ou de courte dure de frquente continue et/ou de longue dure Possibilit dviter le phnomne dangereux ou de limiter le dommage possible sous certaines conditions quasiment impossible Catgorie requise par lEN 954-1:1996 Performance Level requis (PLr) et Catgorie requise selon EN ISO 138491:2006 b c d, Catgorie 2 d, Catgorie 3 e, Catgorie 4

Note: Il peut tre intressant pour un constructeur de machines ne devoir pas rpter lanalyse des risques de la machine, mais chercher rutiliser ce qui a dj t fait avec lanalyse des risques de la norme EN 954-1. Cela en gnral nest pas possible parce que la nouvelle norme a chang le graphique du risque (voir gure A.1), et donc avec le mme risque peuvent tre modis les niveaux de fonction de scurit requise. L institution allemande BGIA dans le rapport 2008 / 2 sur la norme EN ISO 13849 suggre que, en adoptant une approche de type worst case , on peut adopter une conversion comme dans le tableau ci-dessous. Pour dultrieures informations se rfrer au texte en question.

B 1 2 3 4

Les PL sont classs en cinq niveaux, de PLa PLe en fonction de laugmentation du risque et chacun deux identie un domaine numrique de probabilit moyenne de dfaillance dangereuse par heure. Par exemple PLd indique que la probabilit moyenne de dfaillance dangereuse par heure est comprise entre 1x10-6 et 1x10-7 cest--dire environ 1 dfaillance dangereuse en moyenne tous les 100-1000 ans.
PL Probabilit moyenne de dfaillances dangereuses par heure PFHd (1/h) 10-5 3 x 10-6 10-6 10
-7 -8

a b c d e

et et et et et

< 10-4 <10-5 < 3 x10-6 < 10-6 <10-7

PL=
TG CA O D R IE ES U C R IT

10

Pour lvaluation du PL dun systme de contrle sont ncessaires plusieurs paramtres: 1. La Catgorie de scurit du systme qui son tour dcoule de larchitecture (structure) du systme de contrle et de son comportement en cas de dfaillance 2. MTTFd des composants 3. DC ou Couverture du diagnostic du systme 4. CCF ou Dfaillance de cause commune du systme.
Catalogue Gnral 2013-2014

7/30

Introduction la Scurit
Catgorie de Scurit. La grande majorit des circuits de contrle normalement utiliss sont reprsentables par une structure de blocs logiques de type: Input ou entre des signaux Logic ou logique de traitement des signaux Output ou sortie du signal de contrle diversement interconnects les uns aux autres en fonction de la structure du circuit de contrle. L EN ISO 13849 admet cinq diffrentes structures de circuit de base en les dnissants Architecture Dsignes du systme. Les architectures combines avec les exigences de comportement en cas de dfaillance du systme et avec des valeurs minimales des MTTFd, DC et CCF indiquent la Catgorie de Scurit du systme de contrle, comme indiqu dans le tableau ci-dessous. Donc les Catgories de Scurit de lEN ISO 13849-1 ne sont pas quivalentes, mais tendent le concept de Catgorie de Scurit introduit dans la prcdente 954-1. Catgorie Rsum des exigences Comportement du systme Principes pour la scurit MTTFd DCavg CCF

de chaque canal

Les parties des systmes de commande Une dfaillance peut entraner la perte Essentiellement relatives la scurit et/ou leurs dispositifs de la fonction de scurit. caractris par de scurit et leurs composants doivent le choix des tre conus, slectionns, composs et composants combins conformment aux normes applicables, de sorte quils puissent rsister aux inuences prvisibles. Il faut utiliser les principes base de scurit.

Faible Nulle ou Moyenne

Pas relevant

Architecture:

O
Une dfaillance peut entraner la perte de la fonction de scurit, mais la probabilit doccurrence dune telle dfaillance est plus petite quen catgorie B. Essentiellement caractris par le choix des composants leve Nulle Pas relevant

Les exigences de la catgorie B doivent tre remplies. Ncessit dappliquer des composants prouvs et des principes de scurit ables. Architecture:

O
Une dfaillance peut entraner la perte Essentiellement de la fonction de scurit entre les caractris par la contrles. La perte de la fonction de structure scurit est dtecte par le systme de contrle. De De Voir Faible Faible lanleve Moyen- nexe F ne

Les exigences de la catgorie B et lutilisation des principes de scurit ables doivent tre remplies. La fonction de scurit doit tre vrie rgulirement par le systme de contrle.

I
Architecture:

L TE

O OTE
La fonction de scurit est toujours mainte- Essentiellement caracnue en cas dune dfaillance unique. tris par la structure Quelques dfaillances sont dtectes mais pas toutes. Une accumulation de dfaillances non-dtectes peut entraner la perte de la fonction de scurit.

Les exigences de la catgorie B et lutilisation des principes de scurit ables doivent tre remplies. Les parties relatives la scurit sont conues de manire ce que : - une dfaillance unique dans une de ses parties nentraine pas la perte de la fonction de scurit, et la dfaillance unique soit dtecte si raisonnablement possible.

De De Voir Faible Faible lanleve Moyen- nexe F ne

I1
Architecture:

L1 L2

O1 O2
La fonction de scurit est toujours Essentiellement maintenue en cas dune dfaillance uni- caractris par la que. structure La dtection de dfaillances accumules rduit la probabilit de la perte de la fonction de scurit (DC leve). Les dfaillances sont dtectes temps pour viter la perte de la fonction de scurit. leve
(Incluse laccumulation de dfaillances)

I2

Les exigences de la catgorie B et lutilisation des principes de scurit ables doivent tre remplies. Les parties relatives la scurit sont conues de manire ce que : - une dfaillance unique dans une de ses parties nentraine pas la perte de la fonction de scurit, et -la dfaillance unique soit dtecte avant ou pendant la sollicitation suivante de la fonction de scurit. Si ceci nest pas possible, une accumulation de dfaillances nentrane pas la perte de la fonction de scurit

leve

Voir lannexe F

I1
Architecture:

L1 L2

O1 O2
Catalogue Gnral 2013-2014

I2

7/31

7
MTTFd (Mean Time To Dangerous Failure , Temps moyen avant dfaillance dangereuse). Ce paramtre essaie de dnir la bonne qualit des composants du systme en dnissant la dure de vie moyenne avant la dfaillance dangereuse (noter quil ne sagit pas de dfaillance gnrale) exprime en annes. En pratique le calcul de lMTTFd se base sur des valeurs numriques fournies par les constructeurs de chaque composant formant le systme. En cas dabsence de donnes, la norme fournit des valeurs dans tableaux de rfrence spciaux. (Annexe C de EN ISO 13849-1). Le comptage portera une valeur numrique qui rentrera dans trois catgories : leve, moyenne ou faible. Classication Non permis Faible Moyen lev Valeurs MTTFd< 3 ans 3 ans MTTFd< 10 ans 10 ans MTTFd< 30 ans 30 ans MTTFd 100 ans

Dans le cas de composants sensibles lusure (typiquement dispositifs mcaniques ou hydrauliques), le constructeur du composant fournira, plutt que le MTTFd du composant, la valeur B10d du composant cest--dire le nombre de cycles du composant dans lequel 10% des prototypes tests prsentent une dfaillance dangereuse. La valeur B10d doit tre convertie par le constructeur de la machine en MTTFd par la formule:

O nop= nombre moyen de manuvres par an du composant. En supposant la frquence dutilisation quotidienne et le nombre dheures de service par jour de la machine, le nop peut tre obtenu de:

O dop= nombre moyen de jours de service par an hop= nombre moyen dheures de service par jour tciclo= temps cycle (s) On peut noter donc que le paramtre MTTFd, quand il est obtenu partir dun composant sujet lusure, ne dpend pas seulement du composant mme, mais aussi de lapplication. Un dispositif mcanique avec basse frquence dutilisation, tel quun tlrupteur utilis seulement pour les arrts durgence, aura gnralement un MTTFd lev; mais si le mme dispositif est galement utilis pour les normales manuvres de cycle, alors le MTTFd du mme tlrupteur, avec un temps de cycle bas, pourrait diminuer drastiquement. Pour le calcul de lMTTFd du circuit de contrle contribuent tous les lments du circuit, en fonction de sa structure. Dans les circuits avec une architecture 1 canal (comme dans les cas des B, 1 et 2) la contribution de chaque composants est linaire et le calcul du MTTFd du canal est obtenu de:

Pour viter des interprtations trop optimistes la valeur maximale de MTTFd de chaque canal est limite 100 ans. Ne sont pas permis canaux avec un MTTFd inferieur 3 ans. Dans le cas des systmes 2 canaux (catgories 3 et 4) le calcul du MTTFd du circuit est obtenu par la symtrisation des MTTFd des deux canaux en utilisant la formule:

DC (Diagnostic Coverage , couverture du diagnostic). Ce paramtre essaie dindiquer quel point le systme est en mesure d auto-surveiller un ventuel mauvais fonctionnement. En fonction du pourcentage de dfaillances dangereuses dtectables par le systme, on aura une couverture du diagnostic plus ou moins bonne. Le paramtre numrique DC est une valeur en pourcent qui est calcule travers des valeurs donnes dans un tableau (annexe E de lEN ISO 13849-1) en fonction des prcautions adoptes par le fabricant pour dtecter les anomalies de son circuit. Comme en gnral ils existent plusieurs prcautions dans le mme circuit pour dtecter anomalies diffrentes, la n on calcule une valeur moyenne ou DCavg qui sera rpartie dans les quatre groupes suivants: leve DCavg 99% Moyenne 90% DCavg<99% Faible 60% DCavg<90% Nulle DCavg < 60% La couverture du diagnostic nulle est admise seulement pour les systmes avec architecture B ou 1. CCF (Common Cause Failure , Dfaillance de cause commune) Dans le cas de systmes de catgorie 2,3 ou 4 pour le calcul du PL il sera ncessaire aussi dvaluer une ventuelle dfaillance de cause commune ou CCF qui peut invalider la redondance des systmes. L valuation se fait par une check-list de contrle (annexe F de lEN ISO 138491), qui, selon le type de solutions adoptes contre les dfaillances de cause commune, donne une valeur de 0 100. La valeur minimale permise pour les catgories 2, 3 et 4 est de 65 points.

Catalogue Gnral 2013-2014

7/32

Introduction la Scurit
PL (Performance Level) tant connus ces paramtres, la norme EN ISO 13849-1 fournit le PL du systme au moyen dun tableau de corrlation (annexe K de lEN ISO 13849-1), ou, sous forme graphique simplie (paragraphe 4.5 de lEN ISO 13849-1), par la gure suivante. Relations entre les catgories DCavg, MTTFd de chaque canal et PL (extrait de EN ISO 13849-1, gure 5)

1 = MTTFd de chaque canal Faible (3 ans MTTFd< 10 ans) 2 = MTTFd de chaque canal Moyenne (10 ans MTTFd < 30 ans) 3 = MTTFd de chaque canal leve (30 ans MTTFd 100 ans)

Cette image est trs utile parce quon a plusieurs modalits de lecture. tant donn une certaine valeur PLr limage met en vidence toutes les solutions possibles qui offrent ce niveau de PL cest--dire les structures de circuit possibles qui offrent le mme PL. Par exemple en observant la gure, on peut noter comme pour obtenir un systme avec PL gal c , toutes les solutions suivantes sont possibles: 1. Systme de catgorie 3 avec composants peu ables (MTTFd=faible) et DC moyenne 2. Systme de catgorie 3 avec composants ables (MTTFd=moyenne) e DC faible. 3. Systme de catgorie 2 avec composants ables (MTTFd=moyenne) e moyenne. 4. Systme de catgorie 2 avec composants ables (MTTFd=moyenne) e DC faible. 5. Systme de catgorie 1 avec composants trs ables (MTTFd=leve).

En mme temps la gure, choisi une structure de circuit, permet de voir immdiatement les maximum PL ralisables en fonction de la couverture du diagnostic moyenne et du MTTFd des composants. Le constructeur peut donc exclure a priori certaines structures de circuit car inappropries au PLr requis. Cependant en gnral, pour didentier le PL du systme, on ne se rfre pas la gure en question puisque dans de nombreux cas, les zones du graphique se superposent aux lignes de la marge des diffrentes PL. Au lieu de cela, on utilise le tableau dans lannexe K de lEN ISO 13849-1 pour une dtermination prcise du PL du circuit.

7/33

Catalogue Gnral 2013-2014

7
Tableau Paramtres de scurit
Les donnes B10 et B10d indiqus dans le tableau se rfrent la dure mcanique des contacts sres (NC a ouverture positive) des dispositifs en conditions environnementales normales. Mission time (pour tous les articles ci-dessous): 20 annes.
Srie F F 93 F 92 F 99 F R2 FG FS F 96 F 95 F C F HP - HX B22- SR SR PX, PA MK NA, NB, NF E2 1PU1 E2 1PU2 E2 1PD, E2 1PT E2 1PE E2 1SE, E2 1SL E2 1SC E2 C Srie ATEX F -EX F 93-EX F 92-EX F 99-EX F R2-EX F 96-EX F 95-EX F C-EX F -EX Code Description article Interrupteurs de position Interrupteurs de scurit actionneur spar Interrupteurs de scurit actionneur spar avec verrouillage Interrupteurs de scurit actionneur spar avec verrouillage avec lectroaimant Interrupteurs de scurit actionneur spar avec verrouillage avec lectroaimant Interrupteurs de scurit pivotant pour charnires Interrupteurs levier fente pour protections battantes Interrupteurs cble pour arrt durgence Charnires de scurit Capteurs magntiques de scurit (utiliss avec modules de scurit Pizzato) Capteurs magntiques de scurit (utiliss max charge: 24V 250mA) Interrupteurs pdale Micro-interrupteurs de position Interrupteurs prcbls modulaires Boutons-poussoirs accrochage Boutons-poussoirs impulsion Boutons-poussoirs doubles, Boutons-poussoirs triples Boutons darrt durgence Slecteurs, Slecteurs lumineux Slecteurs cl Blocs de contact Description article Interrupteurs de position Interrupteurs de scurit actionneur spar Interrupteurs de scurit actionneur spar avec verrouillage Interrupteurs de scurit pivotant pour charnires Interrupteurs levier fente pour protections battantes Interrupteurs cble pour arrt durgence B10 20.000.000 1.000.000 500.000 1.000.000 800.000 1.000.000 1.000.000 1.000.000 1.000.000 10.000.000 400.000 20.000.000 10.000.000 20.000.000 1.000.000 15.000.000 1.000.000 300.000 1.000.000 300.000 20.000.000 B10 10.000.000 500.000 250.000 500.000 500.000 500.000 B10d 40.000.000 2.000.000 1.000.000 5.000.000 4.000.000 5.000.000 2.000.000 2.000.000 5.000.000 20.000.000 400.000 40.000.000 20.000.000 40.000.000 2.000.000 30.000.000 2.000.000 600.000 2.000.000 600.000 40.000.000 B10d 20.000.000 1.000.000 500.000 2.500.000 1.000.000 1.000.000 B10/ B10d 50% 50% 50% 20% 20% 20% 50% 50% 20% 50% 100% 50% 50% 50% 50% 50% 50% 50% 50% 50% 50% B10/ B10d 50% 50% 50% 20% 50% 50%

Description article DC PFHd SIL CL PL Cat MTTFd HX BEE1- Interrupteurs charnire 4077 H 2,19E-11 3 e 4 ST Capteurs de scurit avec technologie RFID 4077 H 1,46E-09 3 e 4 CS AM-01 Module de scurit pour dtection darrt moteur 145 M 1.94E-09 2 d 3 CS AR-01, CS AR-02, Module de scurit pour contrle protecteurs et arrts durgence 147 H 6.38E-10 3 e 4 CS AR-04 CS AR-04V024 Module de scurit pour contrle protecteurs et arrts durgence 218 H 4,58E-10 3 e 4 CS AR-05, CS AR-06 Module de scurit pour contrle protecteurs, arrts durgence et barrires optiques 147 H 6.61E-10 3 e 4 CS AR-05V024, CS AR-06V024 Module de scurit pour contrle protecteurs, arrts durgence et barrires optiques 218 H 4,58E-10 3 e 4 CS AR-07 Module de scurit pour contrle protecteurs et arrts durgence 111 H 7 .56E-10 3 e 4 CS AR-08 Module de scurit pour contrle protecteurs, arrts durgence et barrires optiques 218 H 4.58E-10 3 e 4 CS AR-08VU12 Module de scurit pour contrle protecteurs, arrts durgence et barrires optiques 218 H 4.58E-10 3 e 4 CS AR-20, CS AR-21 Module de scurit pour contrle protecteurs et arrts durgence 358 M 8.71E-09 3 e 3 CS AR-22, CS AR-23 Module de scurit pour contrle protecteurs et arrts durgence 201 H 8.87E-09 3 e 3 CS AR-24, CS AR-25 Module de scurit pour contrle protecteurs et arrts durgence 111 H 1.18E-09 3 e 3 CS AR-40, CS AR-41 Module de scurit pour contrle protecteurs et arrts durgence 356 M 1.08E-08 2 d 2 CS AR-46 Module de scurit pour contrle protecteurs et arrts durgence 435 3.32E-08 1 c 1 CS AR-51 Module de scurit pour contrle tapis et bords sensibles 209 H 9.43E-09 3 e 4 CS AR-90 Module de scurit pour contrle de zone diso-nivelage des ascenseurs 382 H 5.03E-10 3 e 4 CS AR-94 Module de scurit pour contrle de zone diso-nivelage des ascenseurs 218 H 4,03E-10 3 e 4 CS AR-95 Module de scurit pour contrle de zone diso-nivelage des ascenseurs 213 H 5,42E-09 3 e 4 CS AT-0, CS AT-1 Module de scurit temporisateur pour contrle protecteurs et arrts durgence 84 H 9.01E-09 3 e 4 CS AT-3 Module de scurit temporisateur pour contrle protecteurs et arrts durgence 74 H 4.05E-09 3 e 4 CS DM-01 Module de scurit pour contrle commande bimanuelle 142 H 2.99E-08 3 e 4 CS DM-02 Module de scurit pour contrle commande bimanuelle 206 H 2.98E-08 3 e 4 CS DM-20 Module de scurit pour contrle commande bimanuelle 42 1,32E-06 1 c 1 CS FS-10 Module temporisateur de scurit 146 H 1.62E-09 3 e 4 CS FS-20, CS FS-30 Module temporisateur de scurit 205 M 1.10E-08 2 d 3 CS FS-50 Module temporisateur de scurit 349 M 1.17E-08 2 d 3 CS ME-01 Module dextensions contacts 76 H 6.38E-10 3 e 4 CS ME-02 Module dextensions contacts 113 H 2.84E-09 3 e 4 CS ME-03 Module dextensions contacts 208 M 2,45 E-08 2 d 3 CS ME-20 Module dextensions contacts 113 H 3.07E-09 3 e 4 CS ME-3 Module dextensions contacts 112 H 2.77E-09 3 e 4 CS M201 Module multifonctions 842 H 1,69E-10 3 e 4 CS M202 Module multifonctions 2035 H 2,20E-10 3 e 4 CS M203 Module multifonctions 612 H 2,64E-10 3 e 4 CS M204 Module multifonctions 796 H 2,21E-10 3 e 4 CS M301 Module multifonctions 705 H 3,75E-10 3 e 4 CS M302 Module multifonctions 1653 H 3,23E-10 3 e 4 CS M303 Module multifonctions 1384 H 4,27E-10 3 e 4 CS M304 Module multifonctions 536 H 4,71E-10 3 e 4 CS M305 Module multifonctions 1653 H 3,23E-10 3 e 4 CS M306 Module multifonctions 572 H 3,68E-10 3 e 4 B10d: Nombre doprations dans lequel 10% des composants prsentent une dfaillance DC: Diagnostic coverage (Couverture du diagnostic) dangereuse PFHd: Probability of Dangerous Failure per hour (Probabilit de dfaillance dangereuse par B10: Nombre doprations dans lequel 10% des composants prsentent une dfaillance heure) B10/B10d: rapport entre dfaillances dangereuses et dfaillances totales SIL CL: Safety Integrity Level Claim Limit. (Max SIL selon EN 62061) MTTFd: Mean Time To Failure Dangerous (Temps moyen avant dfaillance dangereuse) PL : Performance Level (PL selon EN ISO 13849-1)

Catalogue Gnral 2013-2014

7/34

Introduction la Scurit

EXEMPLE 1 Application: Contrle protections

Norme de rfrence EN ISO 13849-1:2006 1 Catgorie de scurit PL c Performance Level

L/+

Stop SS1 Start

KM1

M
KM1

SS1 FX 693 KM1

N/-

Le circuit de contrle de la gure a la fonction de surveillance de la protection. Si la protection est ouverte le moteur ne doit pas tre en mesure de dmarrer. L analyse des dangers a soulign que le systme nest pas dot dinertie cest--dire que le moteur, aprs avoir coup lalimentation, il sarrte plus rapidement que louverture de la protection. De lanalyse des risques on a mis en vidence que le PLr target requis est PLc. On veut vrier si le circuit de contrle suppos, qui a une structure avec 1 canal, a un PL suprieur ou gal PLr. Description de la fonction de scurit La position de la protection est dtecte par linterrupteur avec actionneur spar SS1 qui agit directement sur le contacteur KM1. Le contacteur KM1 qui vrie les organes en mouvement est normalement activ par les boutons de Start et Stop, mais lanalyse du cycle de fonctionnement a montr que mme la protection est ouverte chaque cycle de service. Il sensuit que le nombre doprations du tlrupteur et de linterrupteur de scurit peut tre considr comme gal. La structure du circuit est du type 1 canal sans supervision (catgorie B ou 1) o il y a seulement le composant de Input (interrupteur) et Output (contacteur). La fonction de scurit nest pas maintenue en cas de dfaillance sur un des dispositifs. Ne sont pas mis en uvre des mesures pour vrier les dfaillances. Donnes des dispositifs SS1 (FX 693) est un interrupteur ouverture positive (selon lannexe K de lEN 60947-5-1). L interrupteur est un dispositif bien prouv selon le tableau D.4 de lEN ISO 13849-2. La valeur du B10d du dispositif est fournie par le constructeur (voir page 7/32) et est gale 2000000 manouvres. KM1 est un contacteur utilis charge nominale et est un composant bien prouv, selon le tableau D.4 de lEN ISO 13849-2. Sa valeur B10d est gale 2000000 manuvres, tant drive cette valeur des tableaux de la norme (voir tableau C.1 de lEN ISO 13849-1). Hypothse de frquence dutilisation Il est suppos que la machine est utilise pour un maximum de 365 jours par an, pour trois services de travail de 8 heures avec un temps cycle de 600 secondes. Le nombre doprations par an, pour le contacteur et pour linterrupteur, est donc gal au maximum nop=(365x24x3.600)/600=52560. On suppose lactionnement du bouton de start tous les 300 secondes. Le nombre doprations annuelles est donc gal au maximum nop/an=105120 Le contacteur KM1 sera actionn pour le normal start-stop de la machine, et pour le redmarrage suite louverture dun protecteur. nop/an= 52560+105120 = 157680 Calcul MTTFd L MTTFd de linterrupteur SS1 est gal : MTTFd = B10d /(0,1 x nop) = 2000000/(0,1 x 52560) = 381 ans L MTTFd du contacteur KM1 est gal : MTTFd = B10d /(0,1 x nop) = 2000000/(0,1 x 157680) = 127 ans Il sensuit que le MTTFd du circuit 1 canal est gal : 1/(1/381+1/127)=95 ans Couverture du diagnostic DCavg Ne sont pas mis en uvre des mesures pour vrier les dfaillances et donc la couverture du diagnostic est Nulle, condition admise pour le circuit examin qui est en catgorie 1. Dfaillance de cause commune CCF Pour un circuit en catgorie 1 il nest pas ncessaire le calcul du paramtre CCF . Vrication du PL De la table ou de la gure 5 de la norme on vrie comme pour un circuit en catgorie 1 avec MTTFd = 95 ans, le PL rsultant du circuit de contrle est gal c. Le PLr objectif est donc atteint.

Toutes les informations ou les exemples dapplication, les diagrammes de connexions compris, qui sont illustres dans cette documentation sont purement descriptifs. Cest lutilisateur qui a la responsabilit de sassurer que les produits choisis et appliqus sont utiliss comme il est prescrit dans les normes an quil ne provoquent pas des dommages aux biens ou aux personnes.

7/35

Catalogue Gnral 2013-2014

7
EXEMPLE 2 Application: Contrle arrts durgence
L/+

Norme de rfrence EN ISO 13849-1:2006 3 Catgorie de scurit PL e Performance Level

Stop ES1 ES2 ES3 A1 CS AR-20..... A2 S33 S34 14 KM1 Start N/KM1 24 13 23 KM2 KM1

ES1 FD 978

ES2 FD 978

ES3 FD 978 CS AR-20....

Description de la fonction de scurit Le fonctionnement dun des dispositifs durgence provoque lintervention du module de scurit et de deux contacteurs KM1 et KM2. Le signal des dispositifs ES1, ES2, ES3 est lu par le module de scurit CS de faon redondant. Aussi les contacteurs KM1 et KM2 (avec contacts guids) sont contrls par le CS travers le circuit de rtroaction. Donnes des dispositifs ES1, ES2, ES3 (FD 978) sont interrupteurs cble pour arrts durgence ouverture positive. La valeur du B10d est gale 2000000 (Voir page 7/32) KM1, KM2 sont contacteurs utiliss charge nominale. La valeur du B10d est gale 2000000 (voir tableau C.1 de lEN ISO 13849-1) CS est un module de scurit (CS AR-20) avec MTTFd=358 ans (voir page 7/32) et DC= Moyenne L architecture du circuit est double canal en catgorie 3 Hypothse de frquence dutilisation 2 fois par mois nop/an = 24 Actionnement du bouton de dmarrage: 4 fois par jour En supposant 365 jours de travail, les contacteurs interviennent 4 x 365 + 24 = 1484 fois/an Les interrupteurs seront actionns avec la mme frquence On ne prvoit pas que plusieurs boutons peuvent tre presss simultanment Calcul MTTFd MTTFd ES1,ES2,ES3 = 833333 ans MTTFd KM1,KM2 = 13477 ans MTTFd CS = 358 ans MTTFd CH1 =349 ans. La valeur est limite 100 ans. Les canaux sont symtriques, donc MTTFd=100 ans (leve) Couverture du diagnostic DCavg Les contacts KM1 et KM2 sont contrls par le CS travers le circuit de rtroaction. DC=99% (leve) Le module de scurit CS AR-20 a une couverture du diagnostic Moyenne. Il nest pas possible de dtecter toutes les dfaillances dans la srie des dispositifs durgence. La couverture diagnostique est de 90% (Moyenne) Dfaillance de cause commune CCF On suppose une valeur > 65 (selon lannexe F de lEN ISO 13849-1). Vrication du PL Un circuit en catgorie 3 avec MTTFd=100 ans et DCavg = Moyenne peut atteindre un PL e.

Toutes les informations ou les exemples dapplication, les diagrammes de connexions compris, qui sont illustres dans cette documentation sont purement descriptifs. Cest lutilisateur qui a la responsabilit de sassurer que les produits choisis et appliqus sont utiliss comme il est prescrit dans les normes an quil ne provoquent pas des dommages aux biens ou aux personnes.

Catalogue Gnral 2013-2014

7/36

Introduction la Scurit

EXEMPLE 3 Application: Contrle protections

Norme de rfrence EN ISO 13849-1:2006 4 Catgorie de scurit PL e Performance Level

N/- L/+

SS2

SS1
SS2 FR 1896

A1

S35 S22 S21 S12 S11 S31 13

23

KM2 KM1
CS AR01.... SS1 FR 693

CS AR-01..... A2 S33 S34 14 KM1 Start KM2 24

Description de la fonction de scurit L ouverture de la protection provoque lintervention des interrupteurs SS1 et SS2 et donc du module de scurit et de deux contacteurs KM1 et KM2. Le signal des dispositifs SS1, SS2 est contrl de faon redondante par le module de scurit CS. Les interrupteurs ont un principe de fonctionnement diffrent. Aussi les contacteurs KM1 et KM2 (avec contacts guids) sont contrls par le CS travers le circuit de rtroaction. Donnes des dispositifs SS1 (FR 693) est un interrupteur ouverture positive. La valeur du B10d est gale 2000000 (voir page 7/32) SS2 (FR 1896) est un interrupteur pour charnires ouverture positive. B10d= 5000000 (voir page 7/32) KM1, KM2 sont contacteurs utiliss charge nominale. B10d=2000000 (voir tableau C.1 de lEN ISO 13849-1) CS sont modules de scurit (CS AR-01) avec MTTFd=147 ans et DC=99% (Eleve) Hypothse de frquence dutilisation 365 jj/an, 16 h/jj, 1 intervention chaque 4 minutes (240 s). nop/an = 87 .600 Calcul MTTFd MTTFd SS1 = 228 ans MTTFd SS2 = 571 ans MTTFd KM1,KM2 = 228 ans MTTFd CS= 147 ans MTTFd CH1 = 64 ans (SS1,CS,KM1) MTTFd CH2 = 77 ans (SS2,CS,KM2) MTTFd : en symtrisant les 2 canaux on obtient MTTFd = 70,5 ans (leve) Couverture du diagnostic DCavg SS1,SS2 ont DC=99% car les contacts de SS1 et SS2 sont contrls par CS et ils ont principes de fonctionnement diffrents. Les contacts de KM1 et KM2 sont contrls par CS travers le circuit de rtroaction. DC=99% (leve) CS AR-01 lintrieur a un circuit redondant et auto-surveill. DC=99% (leve) DCavg=99% (leve) Vrication du PL Un circuit en catgorie 4 avec MTTFd=70,5 ans et DCavg=Eleve correspond un PL e.

Toutes les informations ou les exemples dapplication, les diagrammes de connexions compris, qui sont illustres dans cette documentation sont purement descriptifs. Cest lutilisateur qui a la responsabilit de sassurer que les produits choisis et appliqus sont utiliss comme il est prescrit dans les normes an quil ne provoquent pas des dommages aux biens ou aux personnes.

7/37

Catalogue Gnral 2013-2014

7
EXEMPLE 4 Application: Contrle protections
N/- L/+

Norme de rfrence EN ISO 13849-1:2006 4 Catgorie de scurit PL e Performance Level


SS2 FR 1896

SS3 SS4 SS1 SS2 A1 S12 S11 S52 S21 S22 13 23 33 SS1 SS2

SS3 SS4

CS AR01....

SS1 FR 693

SS4 FR 1896
I1.3 I1.4

I1.0

I1.1

CS AR-05..... A2 S34 14 24 34

PLC
Outputs
O1.0

Inputs

I1.2

SS3 FR 693 PLC


KM2

K1 Start KM1 KM2

KM1

M
Description de la fonction de scurit L ouverture de la protection provoque lintervention des interrupteurs SS1, SS2 dans la premire protection et SS3, SS4 dans la deuxime protection; les interrupteurs font intervenir le module de scurit et les deux contacteurs KM1 et KM2. Le signal des dispositifs SS1, SS2 et SS3, SS4 est contrl de faon redondante par le module de scurit CS, en outre un contact auxiliaire des interrupteurs est contrl par le PLC. Les interrupteurs ont un principe de fonctionnement diffrent. Aussi les contacteurs KM1 et KM2 (avec contacts guids) sont contrls par le CS travers le circuit de rtroaction. Donnes des dispositifs SS1,SS3 (FR 693) sont des interrupteurs ouverture positive. La valeur du B10d est gale 2000000 (voir page 7/32) SS2,SS4 (FR 1896) sont des interrupteurs pour charnires ouverture positive. B10d= 5000000 (voir page 7/32) KM1, KM2 sont des contacteurs utiliss charge nominale. La valeur du B10d=2000000 (voir tableau C.1 de lEN ISO 13849-1) CS est un module de scurit (CS AR-05) avec MTTFd=147 ans et DC=99% Hypothse de frquence dutilisation 4 fois par heure pour 24 heures/jj pour 365 jj/an, gal nop/an = 35040 Les contacteurs interviennent pour un nombre double de oprations = 70080 Calcul MTTFd MTTFd SS1,SS3 = 571 ans; MTTFd SS2,SS4 = 1427 ans MTTFd KM1,KM2 = 285 ans MTTFd CS = 147 ans MTTFd Ch1 = 83 ans (SS1,CS,KM1) / (SS3,CS,KM1) MTTFd Ch2 = 91 ans (SS2,CS,KM2) / (SS4,CS,KM2) MTTFd : en symtrisant les 2 canaux on obtient MTTFd = 87 ans (leve) Couverture du diagnostic DCavg Les contacts de KM1 et KM2 sont contrls par CS travers le circuit de rtroaction. DC=99% (leve) Les contacts auxiliaires des interrupteurs sont tous contrls par le PLC. DC=99% Le module CS AR-05 a une DC=99% (voir page 7/32) La couverture du diagnostic pour tous les deux canaux est de 99% (leve) Dfaillance de cause commune CCF On suppose une valeur > 65 (selon lannexe F de lEN ISO 13849-1). Vrication du PL Un circuit en catgorie 4 avec MTTFd=87 ans (leve) et DCavg=Eleve correspond un PL e.

Toutes les informations ou les exemples dapplication, les diagrammes de connexions compris, qui sont illustres dans cette documentation sont purement descriptifs. Cest lutilisateur qui a la responsabilit de sassurer que les produits choisis et appliqus sont utiliss comme il est prescrit dans les normes an quil ne provoquent pas des dommages aux biens ou aux personnes.

Catalogue Gnral 2013-2014

7/38

Introduction la Scurit

EXEMPLE 5 Application: Contrle protections


N/L/+

Norme de rfrence EN ISO 13849-1:2006 3 Catgorie de scurit PL e Performance Level

SS2 FR 1896

SS3 SS1

SS4 SS2 KM2 KM1 S33 S34


SS4 FR 1896 SS3 FR 693 SS1 FR 693

CS AR01....

A1

S35 S22 S21 S12 S11 S31 13

23

CS AR-01..... A2 Start 14 KM1 KM2 24

Description de la fonction de scurit L ouverture de la protection provoque lintervention des interrupteurs SS1, SS2 dans la premire protection et SS3, SS4 dans la deuxime protection; les interrupteurs font intervenir le module de scurit et les deux contacteurs KM1 et KM2. Le signal des dispositifs SS1, SS2 et SS3, SS4 est contrl de faon redondante par le module de scurit CS. Les interrupteurs ont un principe de fonctionnement diffrent. Aussi les contacteurs KM1 et KM2 (avec contacts guids) sont contrls par le CS travers le circuit de rtroaction. Donnes des dispositifs SS1,SS3 (FR 693) sont des interrupteurs ouverture positive. La valeur du B10d est gale 2000000 (voir page 7/32) SS2,SS4 (FR 1896) sont des interrupteurs pour charnires ouverture positive. B10d= 5000000 (voir page 7/32) KM1, KM2 sont des contacteurs utiliss charge nominale. La valeur du B10d est gale 2000000 (voir tableau C.1 de lEN ISO 13849-1) CS est un module de scurit (CS AR-01) avec MTTFd=147 ans et DC=99% Hypothse de frquence dutilisation 2 fois par heure pour 16 heures/jj pour 365 jj/an, gal nop/an = 11680 Les contacteurs interviennent pour un nombre double doprations = 23360 Calcul MTTFd MTTFd SS1,SS3 = 1712 ans MTTFd SS2,SS4 = 4281 ans MTTFd KM1,KM2 = 856 ans MTTFd CS = 147 ans MTTFd CH1 = 117 ans (SS1,SS3,CS,KM1) / (SS3,CS,KM1) MTTFd CH2 = 122 ans (SS2,SS3,CS,KM2) / (SS4,CS,KM2) MTTFd = valeur limite 100 ans Couverture du diagnostic DCavg Les contacts de KM1, KM2 sont contrls par CS travers le circuit de rtroaction. DC=99% Il nest pas possible dtecter toutes les dfaillances dans la srie des interrupteurs. DC=60% Le module CS AR-01 a une DC=99% On suppose une couverture du diagnostic de 92% (Medium) Dfaillance de cause commune CCF On suppose une valeur > 65 (selon lannexe F de lEN ISO 13849-1). Vrication du PL Un circuit en catgorie 3 avec MTTFd=100 ans et DCavg= moyenne correspond un PL e.

Toutes les informations ou les exemples dapplication, les diagrammes de connexions compris, qui sont illustres dans cette documentation sont purement descriptifs. Cest lutilisateur qui a la responsabilit de sassurer que les produits choisis et appliqus sont utiliss comme il est prescrit dans les normes an quil ne provoquent pas des dommages aux biens ou aux personnes.

7/39

Catalogue Gnral 2013-2014

7
EXEMPLE 6 Application: Contrle protections
N/L/+

Norme de rfrence EN ISO 13849-1:2006 4 Catgorie de scurit PL e Performance Level

SS4

SS4

SS3

SS3

SS1

SS2

SS2 FR 1896
KM2 KM1

CS MF201M0-P1
A1 T11 I11 T12 I12 T13 I13 T14 I14 T21 I21 T22 I22 13 23 33

SS1 FR 693

CS MF201M0-P1 A2 Start T23 I23 14 KM1 KM2 24 34

M
SS3 SR AD40AN2

Module CS MF201M0 Caractristiques techniques: voir page 5/67 - 5/68 Programme dapplication P1: voir page 5/71

SS4 ES AC31005

Description de la fonction de scurit L ouverture de la protection provoque lintervention des interrupteurs SS1, SS2 dans la premire protection et capteurs SS3 dans la deuxime protection; les interrupteurs font intervenir le module de scurit et les deux contacteurs KM1 et KM2. Le signal des dispositifs SS1, SS2 et SS3, SS4 est contrl de faon redondante par le module de scurit CS MF . Il y a aussi un bouton darrt durgence qui est galement reli double canal avec le module de scurit Aussi les contacteurs KM1 et KM2 (avec contacts guids) sont contrls par le CS MF travers le circuit de rtroaction. Donnes des dispositifs SS1 (FR 693) sont des interrupteurs ouverture positive. La valeur du B10d est gale 2000000 (voir page 7/34) SS3 (FR 1896) sont des interrupteurs pour charnires ouverture positive. B10d= 5000000 (voir page 7/34) SS3 (SR AD40AN2) sont des capteurs magntiques de scurit. B10d= 20.000.000 (voir page 7/34) SS4 (ES AC31005) est une bote avec bouton darrt durgence (E2 1PERZ4531) avec 2 contacts NC . B10d= 600.000 (voir page 7/34) KM1, KM2 sont des contacteurs utiliss charge nominale. La valeur du B10d est gale 2000000 (voir tableau C.1 de lEN ISO 13849-1) CS MF201M0-P1 est un module de scurit avec MTTFd=147 ans et DC=99% Hypothse de frquence dutilisation Chaque porte est ouverte 2 fois par heure pour 16 heures/jj pour 365 jj/an, gal nop/an = 11680 On suppose que le bouton darrt durgence est actionn au plus une fois par jour, nop/an = 365 Les contacteurs interviennent pour un nombre double doprations = 23.725 Calcul MTTFd Protection SS1/SS2 MTTFd SS1,SS3 = 1.712 ans MTTFd SS2,SS4 = 4.281 ans MTTFd KM1,KM2 = 843 ans MTTFd CS = 842 ans MTTFd Ch1 = 338 ans (SS1,CS,KM1) MTTFd Ch2 = 383 ans (SS2,CS,KM2) MTTFd = valeur limite 100 ans Protection SS3 MTTFd SS3 = 17 .123 ans MTTFd KM1,KM2 = 843 ans MTTFd CS = 842 ans MTTFd = 411 ans MTTFd = valeur limite 100 ans Boutons darrt durgence SS4 MTTFd SS4 = 16.438 ans MTTFd KM1,KM2 = 843 ans MTTFd CS = 842 ans MTTFd = 410 ans MTTFd = valeur limite 100 ans

Couverture du diagnostic DCavg Les contacts de KM1, KM2 sont contrls par CS MF travers le circuit de rtroaction. DC=99% Il pas possible dtecter toutes les dfaillances dans la srie dispositifs SS1, SS2 et SS3s. DC=99% Le module CS MF201M0-P1 a une DC=99% On suppose une couverture du diagnostic de 99% (High) Dfaillance de cause commune CCF On suppose une valeur > 65 (selon lannexe F de lEN ISO 13849-1). Vrication du PL Un circuit en catgorie 4 avec MTTFd=100 ans et DCavg= High correspond un PL e. Les fonctions de scurit lies aux protecteurs SS1/SS2, SS3 et au bouton darrt durgence ont PL e.

Toutes les informations ou les exemples dapplication, les diagrammes de connexions compris, qui sont illustres dans cette documentation sont purement descriptifs. Cest lutilisateur qui a la responsabilit de sassurer que les produits choisis et appliqus sont utiliss comme il est prescrit dans les normes an quil ne provoquent pas des dommages aux biens ou aux personnes.

Catalogue Gnral 2013-2014

7/40

7
EXEMPLE 7 Application: Contrle protections
N/L/+ SS4 SS3 SS5 SS2 SS1 SS6

Norme de rfrence EN ISO 13849-1:2006 4 Catgorie de scurit PL e Performance Level

A1

T01 I11

T02 I12

T03 I13

T04 I14

T03 I21

T04 I22

24V

CS MP202M0 A2 I15 I16


OS1 OS2 IS1 IS2

I17 SS8

I18

T04 I23 T01 I24 T02 I25 T03 I26

OS1
KMA1

OS2

OS3

SS7

OS1 OS2 IS1 IS2

Start

KMA2 KMB1 KMB2 KMC1 KMC2

KMA1

KMB1

KMC1

SS9

OS1 OS2 IS1 IS2

KMA2

KMB2

KMC2

SS10

OS1 OS2 IS1 IS2

MA

MB

MC

Module CS MF202M0 Caractristiques techniques: voir page 5/67 - 5/68

SS2 SS3 SS4 SS1 ES AC31005 ES AC31005 ES AC31005 ES AC31005

SS1

SS5 SR AD40AN2

SS6 SR AD40AN2

A
N/- L/+

A
SS5

A
SS6

CS MP202M0

SS2

SS4

SS7 HX BEE1-KSM

SS7

C
SS8 SS10

C
SS9 SS3

SS8 ST DD310MK-D1T

SS9 ST DD310MK-D1T

SS10 ST DD310MK-D1T

7/41

Catalogue Gnral 2013-2014

7
Description de la fonction de scurit Une machine est divise en 3 zones distinctes. L accs chaque zone est contrl par des protecteurs et il y a aussi une srie de 4 boutons darrts durgence. L action dun bouton darrt durgence provoque lintervention du module de scurit CS MP et des contacteurs guids KMA1/2, KMB1/2, KMC1/2, en arrtant tous les moteurs. L ouverture dun protecteur dans la zone A, provoque lintervention des dispositifs SS5 ou SS6, qui actionnent le module de scurit CS MP et les contacteurs KMA1 et KMA2, en arrtant ainsi le moteur MA. Les dispositifs SS5, SS6 sont connects de faon spare et double canal au module de scurit CS MP . L ouverture du protecteur dans la zone B, provoque lintervention du dispositif SS7 qui actionne le module de scurit CS MP et les deux contacteurs KMB1 et KMB2, en arrtant ainsi le moteur MB. La charnire SS7 a deux sorties OSSD et est contrle de faon redondante par le module de scurit CS MP . L ouverture dun protecteur dans la zone C provoque lintervention des dispositifs SS8, SS9 ou SS10; les dispositifs actionnent le module de scurit et les deux contacteurs KMC1 et KMC2, en arrtant ainsi le moteur MC. Les capteurs SS8, SS9 et SS10 sont relis les uns aux autres par les sorties OSSD et sont contrls de faon redondante par le module de scurit CS MP . Donnes des dispositifs SS1,SS2,SS3 et SS4 (ES AC31005) sont des bote avec bouton darrt durgence (E2 1PERZ4531) avec 2 contacts NC. B10d = 600.000 (voir page 7/34) SS5 et SS6 (SR AD40AN2) sont des capteurs magntiques de scurit. B10d = 20.000.000 (voir page 7/34) SS7 (HX BEE1-KSM) est une charnire de scurit avec sorties OSSD. MTTFd= 4077 ans / DC=99% (voir page 7/34) SS8, SS9 et SS10 (ST DD310MK-D1T) sont des capteurs de scurit avec technologie RFID et sorties OSSD . MTTFd= 4077 ans / DC=99% (voir page 7/34) KMA, KMB et KMC sont des contacteurs utiliss charge nominale. B10d = 2.000.000 (voir Table C.1 de EN ISO 13849-1) CS MP202M0 est un module de scurit avec MTTFd=2035 ans / DC=99% Hypothse de frquence dutilisation Chaque porte de la zone A est ouverte 2 fois par heure pour 16 heures/jj pour 365 jj/an, gal nop/an = 11.680. Les contacteurs interviennent pour un nombre double doprations = 23.360 Le porte de la zone zone B est ouverte 4 fois par heure pour 16 heures/jj pour 365 jj/an, gal nop/an = 23.360. Les contacteurs interviennent pour un certain nombre doprations = 23.360 Chaque porte de la zone C est ouverte 1 fois par heure pour 16 heures/jj pour 365 jj/an, gal nop/an = 5.840. Les contacteurs interviennent pour un certain nombre doprations = 17 .520 On suppose que le bouton darrt durgence est actionn au plus une fois par semaine, nop/an = 52 Exclusion de dfaillances: on exclue la possibilit de court-circuit entre +24V et contacteurs, car on suppose que les paires des contacteurs, qui sont connectes en parallle aux respective sorties de scurit, soient cbles en permanence lintrieur du tableau lectrique (voir Table D.4, D.5.2 de EN ISO 13849-2). Calcul MTTFd Bouton darrt durgence MTTFd SS1/SS2/SS3/SS4 = 115.384 ans MTTFd CS = 2035 ans MTTFd KMC1,KMC2 = 1141 ans MTTFd e-stop = 727 ans, valeur limite 100 ans Protecteurs zone A .123 ans MTTFd SS5/SS6 = 17 MTTFd CS = 2035 ans MTTFd KMA1,KMA2 = 856 ans MTTFd A = 582 ans (SS5/ SS6,CS,KMA), valeur limite 100 ans Protecteurs zone B MTTFd SS7 = 4.077 ans MTTFd CS = 2035 ans MTTFd KMB1,KMB2 = 856 ans MTTFd B = 525 ans (SS7 ,CS,KMB), valeur limite 100 ans Protecteurs zone C MTTFd SS8/SS9/SS10 = 4.077 ans MTTFd CS = 2035 ans MTTFd KMC1,KMC2 = 1141 ans MTTFd C = 620 ans (SS8/SS9/ SS10,CS,KMC), valeur limite 100 ans

Couverture du diagnostic DCavg Les contacts de KMA, KMB et KMC sont contrls par CS MP travers le circuit de rtroaction. DC=99% Il est pas possible dtecter toutes les dfaillances dans la srie des dispositifs. DC=99% Le module CS MP202M0 a une DC=99% On suppose une couverture du diagnostic de 99% (High) pour chaque fonction Dfaillance de cause commune CCF On suppose une valeur > 65 (pour doute fonction de scurit selon lannexe F de lEN ISO 13849-1). Vrication du PL Un circuit en catgorie 4 avec MTTFd=100 ans et DCavg= High correspond un PL e. Toutes les fonctions de scurit lies aux protecteurs et aux boutons darrt durgence ont PL e.

Toutes les informations ou les exemples dapplication, les diagrammes de connexions compris, qui sont illustres dans cette documentation sont purement descriptifs. Cest lutilisateur qui a la responsabilit de sassurer que les produits choisis et appliqus sont utiliss comme il est prescrit dans les normes an quil ne provoquent pas des dommages aux biens ou aux personnes.

Catalogue Gnral 2013-2014

7/42

Introduction la Scurit

6 - Ouverture positive, redondance, diversication et autocontrle


Mode positif et mode ngatif Selon la norme EN 292-2 point 3.5, si un composant mcanique en mouvement entrane invitablement un autre composant, par contact direct ou au moyen dlments rigides, on dit que ces lments sont raccords en mode positif. Quand au contraire le dplacement dun lment mcanique permet un deuxime lment de se dplacer librement (par exemple gravit, effet dun ressort, etc.), le raccordement entre les deux est en mode ngatif.

Mode positif

Mode ngatif

Machine en fonctionnement Machine arrte

Machine arrte Protecteur ouvert

Machine en fonctionnement Machine arrte

Machine arrte Protecteur ouvert

Dfaillances dangereuses: la machine continue fonctionner.

Dfaillances dangereuses: la machine continue fonctionner.

Galet us

Galet non align

Contacts colls

Ressort endommag

Le mode positif permet, grce un entretien prventif, de se soustraire des dfaillances dangereuses schmatises ci-dessus. Avec le mode ngatif, au contraire, les dfaillances sont internes linterrupteur et donc difcilement dtectables. Avec le mode positif, les dfaillances internes (contacts colls ou ressort endommag) permettent tout de mme louverture des contacts et donc larrt de la machine.

Ressort endommag

Machine arrte

Contacts colls

Machine arrte

7/43

Catalogue Gnral 2013-2014

Utilisation des interrupteurs dans les applications de scurit Quand un seul interrupteur est utilis dans une fonction de scurit, il doit tre actionn en mode positif. Pour les applications de scurit, il faut utiliser le contact douverture (normalement ferm) qui doit toujours tre du type ouverture positive , tous les interrupteurs qui reportent le symbole sont quips de contacts NC ouverture positive.

Aucun raccordement lastique entre les contacts mobiles et lactionneur sur lequel est applique la force dactionnement.

Sil y a deux ou plus de deux interrupteurs, il vaut mieux les faire travailler en modes opposs, par exemple : - Le premier avec un contact normalement ferm (contact douverture) actionn par le protecteur en mode positif. -L autre avec un contact normalement ouvert (contact de fermeture), actionn par le protecteur en mode non positif. Ceci est une pratique commune qui nexclut pas, lorsque cest justiable, lutilisation de deux interrupteurs actionns en mode positif (voir diversication).

Diversication La scurit dans les systmes redondants est augmente par la diversication. Elle sobtient en appliquant deux interrupteurs avec des diversits de conception et/ou de technologie, de manire viter des dfaillances dues la mme cause. Les exemples de diversication sont: lutilisation dun interrupteur action positive coupl un autre action non positive, dun interrupteur commande mcanique coupl un interrupteur non mcanique (ex. capteur lectronique) ou lutilisation de deux interrupteurs commande mcanique action positive, mais avec un principe dactionnement diffrent (ex. un interrupteur cl FR 693 et un interrupteur levier FR 1896).

Redondance La redondance est lutilisation de plus dun dispositif ou systme, pour garantir quen cas de dfaillance dans les pices dun de ces derniers, un autre soit disponible pour effectuer ces fonctions de scurit. Si la premire dfaillance nest pas dtecte, lapparition dune deuxime pourra entraner la perte de la fonction de scurit.

Autocontrle Lautocontrle consiste vrier automatiquement le fonctionnement de tous les dispositifs qui interviennent dans le cycle de la machine. Par consquent, le cycle suivant peut tre interdit ou autoris.

Redondance et autocontrle La combinaison en systme de la redondance et de lautocontrle fait que la premire dfaillance dans le circuit de scurit nentrane pas la perte des fonctions de scurit. Cette premire dfaillance sera dtecte au dmarrage suivant ou dans tous les cas avant quune deuxime dfaillance ne se manifeste, ce qui alors pourrait entraner la perte de la fonction de scurit.

Catalogue Gnral 2013-2014

7/44