SAFEBOOK 4

Systmes de commande de scurit pour machines

Principes, normes et mise en uvre

Systmes de commande de scurit pour machines

Table des matires
Chapitre 1 Rglementations ............................................................................................ 2
Directives et Lgislation de lUE, directive Machines, directive relative lutilisation des quipements de travail, rglementations des tats-Unis, Occupational Safety and Health Administration des tats-Unis et rglementations canadiennes

SAFEBOOK 4

Chapitre 2

Normes .......................................................................................................... 18
ISO (Organisation internationale de normalisation), CEI (Commission lectrotechnique Internationale), normes europennes harmonises (EN), normes des tats-Unis, normes OSHA, normes ANSI, normes canadiennes et normes australiennes

Chapitre 3

Stratgie de scurit .................................................................................... 23

valuation des risques, dtermination des limites de la machine, identification des tches et des dangers, estimation du niveau et rduction du risque, scurit inhrente la conception, systmes et mesures de protection, valuation, formation, quipements de protection individuelle et normes

Chapitre 4 Chapitre 5

Mesures de protection et quipement complmentaire ........................... 36

Interdictions daccs, protections fermes fixes, dtection daccs, produits et systmes de scurit

Calculs de distance de scurit .................................................................. 59

Formules, recommandations et application de solutions utilisant des calculs de distance de scurit la commande de scurit de composants en mouvement potentiellement dangereux

Chapitre 6 Chapitre 7

Prvention des remises sous tension accidentelles ................................ 63

Systmes de condamnation/signalisation, disolation de scurit, de dconnexion de charge, cl captive et procdures alternatives la condamnation

Systmes de commande de scurit et scurit fonctionnelle ............... 65

Introduction : en quoi consiste la scurit fonctionnelle ?. Normes CEI/EN 62061 et EN ISO 13849-1:2008, SIL et CEI/EN 62061, PL et EN ISO 13849-1:2008, comparaison des niveaux PL et SIL

Chapitre 8

Architectures pour systmes de scurit (structures), temps de mission, dure moyenne de fonctionnement avant dfaillance dangereuse (MTTFd), taux de couverture des tests de diagnostic (DC), dfaillance de cause commune (CCF), dfaillance systmatique, niveau de performance (PL), conception et combinaisons de sous-systmes, validation, mise en service de machine et exclusion de dfauts

Conception de systme selon la norme EN ISO 13849-1:2008 ............... 71

Chapitre 9

Conception de systme selon la norme CEI/EN 62061 ............................ 94

Conception de sous-systme CEI/EN 62061, effets de lintervalle entre les tests de validit, analyse de leffet des dfaillances de cause commune, mthodologie de transition depuis les Catgories, contraintes architecturales, paramtres B10 et B10d, dfaillance de cause commune (CCF), taux de couverture des tests de diagnostic (DC), tolrance aux dfauts matriels, gestion de la scurit fonctionnelle, probabilit de dfaillance dangereuse (PFHd), intervalle entre tests de validit, proportion de dfaillances non dangereuses (SFF) et dfaillance systmatique

Chapitre 10

Systmes de commande de scurit, considrations relatives la structure .............................................................................................. 106

Prsentation, catgories de systmes de commande, dfauts non dtects, classification des composants et des systmes, considrations relatives aux dfauts, exclusion de dfauts, catgories darrt selon les normes CEI/EN 60204-1 et NFPA 79, exigences relatives aux systme de commande de scurit aux USA, normes relatives aux robots : tats-Unis et Canada

Chapitre 11

Exemple dutilisation de loutil de calcul du niveau de performance SISTEMA avec la bibliothque de produits Rockwell Automation pour SISTEMA

Exemple dapplication utilisant SISTEMA ............................................... 130

SAFEBOOK 4

Systmes de commande de scurit pour machines

Directives et Lgislation de lUE
Le but de ce chapitre est de servir de guide de rfrence toutes les personnes concernes par la scurit des machines, notamment par les systmes de protection physique et de scurit utiliss dans lUnion Europenne. Il sadresse aussi bien aux concepteurs quaux utilisateurs dquipements industriels. Afin de promouvoir le concept de march ouvert au sein de lEEE (lespace conomique europen qui comprend tous les tats membres de lUE plus trois autres pays), tous les tats membres ont lobligation de promulguer des lois dfinissant des exigences de scurit essentielles concernant les machines et leur utilisation. Des machines ne se conformant pas ces exigences ne peuvent tre fournies ou importes dans les pays de lEEE. Il existe plusieurs directives europennes concernant la scurit des machines et des quipements industriels. Mais les deux qui sont les plus directement applicables sont : 1 La Directive Machines 2 La directive relative lutilisation des quipements de travail Ces deux directives sont troitement lies par le fait que les exigences essentielles de sant et de scurit (EESS) dfinies par la Directive Machines peuvent galement tre utilises pour apprcier la scurit des quipements dans le cadre de la directive sur lutilisation des quipements de travail. Ce chapitre prsente les diffrents aspects de ces deux directives. Il est fortement conseill toute personne concerne par la conception, la fourniture, lachat ou lutilisation dun quipement industriel dans un pays de lEEE (et galement dans certains autres pays), dtre familiarise avec leurs critres. Tous les fournisseurs ou utilisateurs de machines dans les pays concerns risquent en effet de se voir refuser la livraison ou lutilisation de leurs quipements sils ne se conforment pas ces directives. Il existe galement dautres directives europennes ayant rapport aux machines. La plupart dentre elles concernent en gnral un domaine dapplication particulier. Elles ne sont donc pas prises en considration dans le cadre de ce chapitre. Mais il est important de noter que leurs exigences doivent galement tre respectes lorsquelles sont applicables. Cest le cas, par exemple : de la directive CEM 2004/108/CE et de la directive ATEX 94/9/CE.

Rglementations
La Directive Machines
La Directive Machines rglemente la fourniture de nouvelles machines et autres quipements incorporant des composants de scurit. La livraison de machines non conformes aux exigences de cette directive sur le territoire de lunion europenne constitue une infraction. Une dfinition extrmement large du terme machines est fournie par la directive : ensemble, quip ou destin tre quip dun systme dentranement autre que la force humaine ou animale applique directement, compos de pices ou dorganes relis entre eux et dont au moins un est mobile, et qui sont assembls solidairement en vue dune application spcifique . La Directive Machines actuelle (2006/42/CE) a remplac la version prcdente (98/37/CE) fin 2009. Elle apporte des clarifications et des amendements, mais nintroduit pas de modifications radicales des exigences essentielles de sant et de scurit (EESS) dorigine. Elle introduit quelques modifications destines tenir compte des volutions technologiques et mthodologiques. Elle largit son champ dapplication un plus grand nombre de familles dquipements (par Marquage CE de la machine exemple, les engins de levage destins aux chantiers de construction). Elle introduit par ailleurs explicitement lexigence dune valuation des risques afin de dterminer les EESS applicables. De mme, elle apporte des modifications aux procdures dvaluation de conformit pour les quipements de lAnnexe IV. Les dispositions cls de la directive originale (98/37/CE) taient entres en vigueur le 1 janvier 1995 pour les machines et le 1 janvier 1997 pour les composants de scurit.
er er

SAFEBOOK 4

Les dispositions de la directive actuelle (2006/42/CE) sont en vigueur depuis le 29 dcembre 2009. Le fabricant ou son reprsentant agr a la responsabilit de sassurer que lquipement fourni est conforme la directive. Cela inclut : la vrification que les exigences essentielles de sant et de scurit (EESS) applicables, telles que figurant dans lAnnexe I de la directive, sont remplies ; ltablissement dun dossier technique ; la ralisation dune valuation de conformit approprie ; la fourniture dune dclaration de conformit CE ; lapposition du marquage CE, le cas chant ; la fourniture dinstructions dutilisation de scurit.

SAFEBOOK 4

Systmes de commande de scurit pour machines

Exigences essentielles de sant et de scurit
LAnnexe 1 de la directive fournit une liste dexigences essentielles de sant et de scurit (dsignes par EESS) auxquelles les machines doivent se conformer lorsque concernes. Lobjectif de cette liste est de sassurer que les machines prsentent les caractristiques de scurit requises ; notamment quelles sont conues et fabriques de faon garantir durant toutes les phases de leur existence un fonctionnement et la ralisation dinterventions de rglage et de maintenance qui ne risquent La machine doit respecter les EESS pas de porter atteinte la scurit des personnes. Les paragraphes qui suivent donnent un bref aperu des exigences les plus typiques. Mais il est important de considrer lensemble des EESS listes lAnnexe 1. Une valuation des risques doit tre ralise afin de dterminer lesquelles de ces EESS sont applicables lquipement concern. Les EESS de lAnnexe 1 fournissent une hirarchie des mesures destines liminer les risques : (1) Scurit inhrente la conception. Chaque fois que cest possible, la prvention des risques devra tre incluse dans la conception de la machine. Lorsque cest impossible, des (2) dispositifs de protection complmentaires devront tre utiliss ; par exemple, des grilles de protection avec points daccs interverrouills, des barrires immatrielles de scurit, des tapis de dtection, etc. Tout risque rsiduel ne pouvant tre gr par lune des mthodes ci-dessus devra tre limit par des (3) quipement de protection individuelle et/ou une formation approprie. Le fournisseur de la machine doit alors spcifier ce qui est appropri. Des matriaux adapts lutilisation doivent tre utiliss pour la fabrication. Un clairage adquat et des accessoires de manutention doivent tre fournis. Les commandes et systmes de commande doivent prsenter les caractristiques de scurit et de fiabilit requises. Les machines ne doivent pas avoir la possibilit de redmarrer intempestivement et doivent tre munies dun ou plusieurs dispositif(s) darrt durgence. Les installations complexes dans lesquelles des processus amont ou aval sont susceptibles dinterfrer sur la scurit dune machine, doivent tre prises en compte. La dfaillance dune alimentation ou dun circuit de commande ne doit pas entraner de situation dangereuse. Les machines doivent tre stables et capables de supporter les efforts prvisibles. Elles ne doivent pas comporter de rebords ou de surfaces non protgs, susceptibles de causer des blessures corporelles.

Rglementations
Des grilles ou des quipement de protection doivent tre utiliss pour prvenir les dangers lis aux pices en mouvement. Ces dispositifs doivent tre de construction robuste et difficiles neutraliser. Les dispositifs de protection fixes doivent tre monts de telle manire quils ne puissent tre dmonts quavec des outils. Les dispositifs de protection amovibles doivent tre quips dun systme de verrouillage lectrique de scurit. Les dispositifs de protection rglables doivent pouvoir tre facilement ajusts, sans ncessiter doutils. Les risques lis aux alimentations lectriques et dautres sources dnergie doivent galement tre prvenus. Les risques de blessures corporelles dus la temprature, une explosion, au bruit, aux vibrations, aux poussires, aux gaz ou aux radiations, doivent tre minimiss au maximum. Des dispositions adaptes doivent tre prises pour la maintenance et les interventions courantes. Une signalisation suffisante et des dispositifs dalarme doivent tre prvus. Les machines doivent tre livres avec des instructions dinstallation, dexploitation, de rglages, etc., garantissant la scurit.

SAFEBOOK 4

valuation de conformit
Le concepteur ou tout autre organisme spcialis doit tre en mesure dapporter la preuve de la conformit de la machine aux EESS. Ce dossier doit contenir toutes les informations utiles : rsultats dessais, plans, caractristiques, etc.
RESULTATS DES TESTS ---------------------------NORMES ------------------------------

Une norme europenne (EN) harmonise, publie au Journal Officiel (JO) de lUnion Europenne sous la rubrique Directive Machines et dont la date de prsomption de conformit nest pas expire, peut confrer une telle prsomption de conformit certaines EESS (de nombreuses normes publies rcemment au JO incluent en effet des tableaux dquivalence indiquant les EESS couvertes.)

En consquence, lorsque lquipement est conforme des normes europennes harmonises en vigueur de ce type, la dmonstration de conformit aux EESS se trouve grandement simplifie. Le fabricant bnficie galement dune meilleure prsomption de lgalit. La conformit ces normes nest cependant pas une exigence lgale. Toutefois, il est vivement conseill de sen servir car il peut savrer extrmement complexe de dmontrer la conformit par dautres moyens. Ces normes, mises par le CEN (Comit europen de normalisation) en collaboration avec lISO et le CENELEC (Comit europen de normalisation lectrotechnique) en collaboration avec la CEI, viennent complter la Directive Machines.
La machine doit respecter les EESS

Une valuation approfondie et documente des risques doit tre effectue pour sassurer que tous les risques potentiels de la machine ont bien t identifis. Par ailleurs, il est de la responsabilit du fabricant de la machine de sassurer que toutes les EESS sont bien satisfaites, mme celles qui ne sont pas concernes par les normes EN harmonises.

SAFEBOOK 4

Systmes de commande de scurit pour machines

Dossier technique
Le fabricant ou son reprsentant doit prparer un dossier technique dmontrant la conformit de la machine aux EESS. Ce dossier doit contenir toutes les informations utiles : rsultats dessais, plans, caractristiques, etc. Il nest pas essentiel que toutes ces informations soient imprimes de faon systmatique. Mais ce dossier technique doit pouvoir tre prsent en cas dinspection par une autorit comptente (un organisme mandat par un pays de lUE pour vrifier la conformit des machines). Un dossier technique doit comporter au moins les documents suivants : 1. Les plans densemble de lquipement, comprenant les schmas des circuits de commande. 2. Les plans de dtail, les notes de calcul, etc., ncessaires la vrification de la conformit de la machine aux EESS. 3. Le document dvaluation des risques, notamment la liste des exigences essentielles de sant et de scurit auxquelles est soumise la machine et une description des mesures de protection mises en place. 4. La liste des normes et autres spcifications techniques utilises en rfrence, mentionnant les exigences essentielles de sant et de scurit concernes. 5. Un descriptif des mthodes adoptes pour supprimer les risques prsents par la machine. 6. Le cas chant, tout rapport technique ou certificat dlivr par un laboratoire de test ou tout autre organisme dhomologation. 7. Si la conformit une norme europenne harmonise est dclare, tout rapport technique attestant le rsultat des essais. 8. Un exemplaire des instructions dutilisation de la machine. 9. Le cas chant, la dclaration dincorporation concernant les lments de la machine partiellement monts inclus dans la livraison et les notices de montage de ces lments. 10. Le cas chant, les copies des dclarations de conformit CE des lments ou accessoires externes intgrs la machine. 11. Une copie de la dclaration de conformit CE.

Rglementations
Pour les machines fabriques en srie, le dtail des mesures internes (systme dassurance qualit, par exemple) mises en uvre pour sassurer que chaque quipement produit est conforme aux spcifications : Le constructeur devra notamment effectuer sur les composants, les assemblages ou sur la machine termine, toutes les analyses ou essais ncessaires afin de vrifier que la conception et la construction de cette machine lui permettent dtre installe et mise en service avec toutes les garanties de scurit. Le dossier technique ne doit pas ncessairement tre conserv de faon permanente en un seul tenant. Mais tous ses lments doivent pouvoir tre runis facilement pour tre prsents dans un dlai raisonnable. Il doit rester consultable pendant dix ans aprs la production du dernier exemplaire de la machine.

SAFEBOOK 4

Concernant les sous-ensembles utiliss dans la fabrication de la machine, il nest pas ncessaire dinclure dans le dossier technique leurs plans dtaills ou autres informations spcifiques, moins quils soient essentiels pour le contrle de la conformit aux EESS.

valuation de conformit pour les machines relevant de lAnnexe IV

Certains types dquipements sont sujets des dispositions particulires. Cest le cas des quipements lists lAnnexe IV de la directive, dont font partie des machines dangereuses telles que certaines machines bois, les presses, les machines de moulage par injection, les quipements souterrains, les ponts lvateurs pour les vhicules, etc.
er ssi ue Do hniq c e T

valuations de la conformit

LAnnexe IV inclut galement certains composants de scurit tels les dispositifs de protection bass sur la dtection de prsence des personnes (ex. : barrires immatrielles) et les units logiques assurant des fonctions de scurit.

Dans le cas o une machine relevant de lAnnexe IV ne serait pas en totale conformit avec les normes europennes harmonises applicables, son fabricant ou le reprsentant agr de celui-ci doit effectuer lune des procdures suivantes : 1. Contrle de conformit type CE. Un dossier technique doit tre prpar et un exemplaire de la machine doit tre soumis un organisme agr (laboratoire de test) pour subir un contrle de conformit CE. Si la machine est juge conforme, lorganisme lui attribuera un certificat de conformit CE. La validit de ce certificat est de cinq ans et la machine devra tre rvalue selon cette priodicit par lorganisme agr.

R D ESU T ES LTAT S -- EST ---- ------- S N ---- ---- OR ---ME --S

SAFEBOOK 4

Systmes de commande de scurit pour machines

2. Assurance qualit totale. Un dossier technique doit tre mont et le constructeur doit utiliser un systme dassurance qualit certifi pour la conception, la fabrication, linspection finale et les tests. Le systme de contrle qualit doit garantir la conformit de la machine aux dispositions de cette directive. Ce systme de contrle qualit doit tre rvalu priodiquement par un organisme agr. Pour les machines ne relevant pas de lAnnexe IV, ou pour celles qui sont concernes par cette annexe mais sont totalement conformes aux normes europennes harmonises applicables, le fabricant ou son reprsentant agr a cependant la possibilit de monter son dossier technique et de raliser lvaluation par luimme. Il auto-certifiera alors son quipement. Il doit exister un systme de contrle interne destin sassurer que les quipements fabriqus en srie restent conformes.

Examen par un organisme agr

Organismes agrs Un rseau dorganismes agrs communiquant entre eux et travaillant sur des bases communes est prsent dans toute lUE. Ces organismes agrs sont mandats par les gouvernements (et non par les industriels). Des renseignements sur les organismes bnficiant de lagrment peuvent tre obtenus ladresse : http://ec.europa.eu/enterprise/sectors/mechanical/machinery/index_ en.htm

Procdure de dclaration de conformit CE

Le marquage CE doit tre appos sur toutes les machines fournies. Ces machines doivent galement tre fournies avec une Dclaration de conformit CE. Le marquage CE indique que la machine est conforme tous les directives europennes applicables et que les procdures dvaluation de conformit ont t ralises. Lapposition du marquage CE en rfrence la Directive Machines sur des machines qui ne satisferaient pas aux EESS applicables constitue une infraction.

Rglementations
La Dclaration de conformit CE doit contenir les informations suivantes : nom et adresse professionnelle complte du fabricant et, le cas chant, de son reprsentant agr ; nom et coordonnes de la personne habilite tablir le dossier technique. Celle-ci doit rsider dans la Communaut (dans le cas dun constructeur se trouvant hors UE, il pourra sagir de son reprsentant agr ) ; description et identification des machines, notamment : dnomination gnrique, fonction, modle, type, numro de srie et nom commercial ; une dclaration spcifiant expressment que la machine remplit toutes les conditions applicables de cette directive et, lorsque ncessaire, une dclaration de mme type spcifiant la conformit aux autres directives et/ou dispositions applicables la machine ; le cas chant, la mention des normes harmonises utilises en rfrence ; le cas chant, la mention des autres normes et spcifications techniques utilises en rfrence ; (pour les machines relevant de lAnnexe IV) le cas chant, le nom, ladresse et le numro didentification de lorganisme agr qui a ralis le contrle de conformit CE selon lAnnexe IX, ainsi que le numro du certificat de conformit CE ; (pour les machines relevant de lAnnexe IV) le cas chant, le nom, ladresse et le numro didentification de lorganisme agr qui a certifi le systme dassurance qualit selon lAnnexe X ; le lieu et la date dtablissement de la dclaration ; lidentit et la signature de la personne habilite tablir la dclaration au nom du fabricant ou de son reprsentant agr.

SAFEBOOK 4

Dclaration dincorporation CE pour les machines partiellement termines

Lorsque lquipement fourni est destin tre assembl dautres composants afin de former ultrieurement une machine complte, une DCLARATION DINCORPORATION doit laccompagner. Le marquage CE ne doit PAS alors y tre appos. La dclaration doit spcifier que lquipement ne doit pas tre mis en service tant que la machine laquelle il doit tre incorpor na pas t dclare conforme. Un dossier technique doit tre tabli et la machine partiellement termine doit tre fournie avec une documentation contenant la description des conditions respecter pour que son incorporation dans la machine finale ne soit pas de nature compromettre la scurit. Cette option nest pas applicable aux quipements pouvant fonctionner de faon indpendante ou ceux qui modifient la finalit dune machine.

SAFEBOOK 4

Systmes de commande de scurit pour machines

La Dclaration dincorporation doit contenir les informations suivantes : nom et coordonnes professionnelles compltes du fabricant de la machine partiellement termine et, si applicable, de son reprsentant agr ; nom et coordonnes de la personne habilite tablir le dossier technique. Celle-ci doit rsider dans la Communaut (dans le cas dun constructeur se trouvant hors UE, il pourra sagir de son reprsentant agr ) ; description et identification de la machine partiellement termine, notamment : dnomination gnrique, fonction, modle, type, numro de srie et nom commercial ; dclaration spcifiant quelles exigences essentielles de la directive sont remplies. Cette dclaration devra mentionner galement que la documentation technique jointe a t tablie conformment aux rquisitions de la partie B de lannexe VII. Le cas chant, une dclaration de la conformit de la machine partiellement termine toutes les autres directives applicables devra galement tre incluse ; engagement transmettre toutes informations pertinentes concernant la machine partiellement termine sur demande motive des autorits nationales. La mthode de transmission de ces informations devra tre mentionne, ainsi que les rserves de proprit intellectuelle du fabricant de la machine partiellement termine ; dclaration stipulant que la machine partiellement termine ne doit pas tre mise en service tant que la machine finale laquelle elle doit tre intgre na pas t dclare conforme aux dispositions de la directive, si cest le cas ; le lieu et la date dtablissement de la dclaration ; lidentit et la signature de la personne habilite tablir la dclaration au nom du fabricant ou de son reprsentant agr.

Machines provenant de lextrieur de lUE Reprsentants agrs

Si un fabricant situ en dehors de lUE (ou de lEEE) exporte des machines dans lUE, il doit mandater un reprsentant agr. Un reprsentant agr est une personne physique ou morale tablie dans la Communaut europenne, ayant reu un mandat crit de la part du fabricant pour remplir en son nom tout ou partie des obligations et formalits lies la Directive Machines.

10

Rglementations
Directive europenne relative lutilisation dquipements de travail
Toutes les machines doivent satisfaire aux exigences essentielles de sant et de scurit
La plupart des machines et composants de scurit (autres que ceux ports lAnnexe IV) Machines et composants de scurit (autres que ceux ports lAnnexe IV)

SAFEBOOK 4

Conformit obligatoire aux normes europennes harmonises en vigueur

OU

Conformit obligatoire directe aux EESS

Si la machine EST CONFORME aux normes europennes harmonises

Si la machine NEST PAS CONFORME aux normes europennes harmonises

Transmettre le DOSSIER TECHNIQUE un organisme notifi qui accusera RECEPTION du dossier

OU

Transmettre le DOSSIER TECHNIQUE un organisme notifi qui lexaminera et mettra un CERTIFICAT DE CONFORMITE pour ce dossier

OU

Envoyer lquipement un organisme notifi pour EXAMEN CE DE TYPE

Il faut tre en mesure de prsenter le DOSSIER TECHNIQUE sur demande

Soumission OBLIGATOIRE un organisme notifi pour examen CE de type

POUR LES MACHINES Obligation dtablir une dclaration de conformit et dapposer le marquage CE ou dtablir une dclaration dincorporation. POUR LES COMPOSANTS DE SECURITE Obligation dtablir une dclaration de conformit.
Vue densemble de la procdure de la Directive Machines

Alors que la Directive Machines est destine aux fournisseurs, cette directive (89/655/CEE et amendements 95/63/CE, 2001/45/CE et 2007/30/CE) est destine aux utilisateurs des machines. Elle couvre tous les secteurs industriels et impose aux employeurs des obligations gnrales ainsi que des exigences minimales de scurit concernant les quipements de travail. Tous les pays de lUE promulguent leurs propres lois pour lapplication de cette directive.

11

SAFEBOOK 4

Systmes de commande de scurit pour machines

Par exemple, elle est applique au Royaume-Uni sous le nom de Provision and Use of Work Equipment Regulations (souvent abrg en P.U.W.E.R.). Les modalits de mise en application peuvent varier dun pays lautre, mais toutes les dispositions prvues par la directive seront toujours reprises. Les articles de la directive dcrivent en dtail les types dquipements et de postes de travail concerns. Ils dfinissent galement des obligations dordre gnral pour les employeurs ; par exemple, la mise en place de mthodes de travail de scurit et la fourniture dquipements de scurit adapts et correctement entretenus. Les oprateurs sur machine doivent recevoir une formation et un entranement appropris de faon utiliser leur machine en toute scurit. Les machines neuves (et les machines doccasion provenant de lextrieur de lUE) livres aprs le 1er janvier 1993 doivent satisfaire toutes les directives produits applicables, comme par exemple la Directive Machines (sous rserve damnagements transitoires). Les quipements doccasion provenant de lextrieur de lUE installs pour la premire fois sur un poste de travail doivent tre directement conformes aux exigences minimales mentionnes en annexe de la directive relative lutilisation des quipements de travail. Remarque : une machine dorigine ou doccasion ayant fait lobjet dun reconditionnement ou dune modification majeure sera considre comme un quipement neuf. Ceci a pour but de sassurer que les tches effectues par cette machines seront conformes la Directive Machines (mme si elle est uniquement utilise en sinterne par lentreprise). La conformit de lquipement de travail est une exigence importante de la directive. Elle souligne lobligation faite lemployeur de raliser une valuation des risques approprie. Lune des exigences est que les machines soient entretenues de faon adquate. Cela implique en principe lexistence dun programme de maintenance de routine et prventif dment planifi. Il est recommand dtablir un registre des oprations de maintenance et de le tenir jour. Ceci est particulirement important dans les cas o lentretien et le contrle de lquipement sont les garants de lefficacit permanente des dispositifs ou systmes de protection. Lannexe de la directive relative lutilisation des quipements de travail dfinit des exigences gnrales minimum pour ces quipements. Si lquipement est conforme aux directives produits applicables, par exemple la Directive Machines, il sera automatiquement conforme aux exigences de conception machine correspondantes stipules dans les exigences minimales de lannexe. Les pays membres sont autoriss promulguer des lois portant sur lutilisation des quipements de travail allant au-del des exigences minimales de la directive officielle.

12

Rglementations
De plus amples informations sur la directive relative lutilisation dquipements de travail peuvent tre obtenues sur le site Internet officiel de lUE : http://europa.eu/legislation_summaries/employment_and_social_policy/health_hygiene_ safety_at_work/c11116_en.htm

SAFEBOOK 4

Rglementation des tats-Unis

Ce paragraphe prsente certaines des rglementations relatives la protection de scurit des machines industrielles en vigueur aux tats-Unis. Cette prsentation se limite aux principes de base. Les lecteurs sont encourags approfondir plus en dtail les exigences applicables leur application spcifique et prendre toutes dispositions pour sassurer que la conception, lutilisation et les procdures de maintenance de leurs machines rpondent non seulement leurs besoins spcifiques, mais aussi aux codes et rglements nationaux et locaux. Nombreux sont les organismes attachs la promotion de mesures de scurit industrielles aux tats-Unis. On trouve parmi eux : 1. des entreprises qui appliquent les rquisitions gnrales en vigueur aussi bien que des rgles spcifiques leur activit propre ; 2. lOSHA (Occupational Safety and Health Administration) ; 3. des organisations industrielles comme la National Fire Protection Association (NFPA), la Robotics Industries Association (RIA) et lAssociation of Manufacturing Technology (AMT) ; auxquelles il convient dajouter des fournisseurs de produits et de solutions de scurit comme Rockwell Automation. LOSHA (Occupational Safety and Health Administration) Aux tats-Unis, lOSHA compte parmi les protagonistes les plus actifs de la scurit industrielle. Cette administration a t cre en 1970 par une dcision du Congrs amricain. Cette loi fixe le cadre rglementaire des conditions dhygine et de scurit du travail dans lindustrie, avec lobjectif de prserver les ressources humaines. La loi autorise le Secrtaire dtat au travail dicter des normes obligatoires dhygine et de scurit du travail, applicables aux entreprises effectuant des transactions commerciales inter-tats sur le march intrieur. Cette loi sapplique toutes les entreprises employant de la main duvre dans nimporte quel tat des tats-Unis, dans le district de Columbia, dans ltat libre de Puerto Rico, aux les Vierges, aux Samoa amricaines, Guam, dans le Territoire sous tutelle des les du Pacifique, lle de Wake, sur les terres du plateau continental extrieur dfinies dans la loi Outer Continental Shelf Lands Act, sur lle Johnston et dans la zone du canal de Panama.

13

SAFEBOOK 4

Systmes de commande de scurit pour machines

Larticle 5 de la loi en dfinit les exigences minimales. Tout employeur a pour obligation de fournir lensemble de ses employs des conditions et un cadre de travail exempts de tous les dangers connus susceptibles dentraner la mort ou des blessures physiques graves. Il doit par ailleurs se conformer aux normes dhygine et de scurit du travail dfinies par la loi. Larticle 5 stipule galement que tout employ doit se conformer aux normes dhygine et de scurit du travail ainsi qu toutes les rgles, rglementations et dcrets promulgus en application de cette loi et dfinissant sa conduite et ses agissements personnels. La loi instituant lOSHA a fix les responsabilits attaches lemployeur et lemploy. Cest une approche totalement diffrente de celle de la Directive Machines qui impose aux fournisseurs de mettre sur le march des machines exemptes de risques. Aux tats-Unis, un fournisseur peut trs bien vendre une machine sans aucun quipement de protection. Cest lutilisateur quil revient dajouter cet quipement de protection destin scuriser la machine. Bien que cette pratique ait t courante lpoque de ladoption de la loi, la tendance est plutt maintenant lincorporation des quipements de protection sur les machines par le constructeur. Il est en effet beaucoup plus conomique de concevoir le systme de scurit en mme temps que la machine, que de lajouter ensuite. Les normes actuelles incitent les constructeurs et les utilisateurs dfinir les exigences de scurit en commun de faon ce que les machines soient la fois plus scurises et plus productives. Le Secrtaire dtat au travail a toute autorit pour entriner comme norme dhygine et de scurit au travail toute norme de consensus national, ainsi que toute norme fdrale tablie, sauf si cette ratification entranait labsence damlioration des conditions dhygine et de scurit pour certaines catgories particulires de travailleurs. LOSHA est charge de la mise en application par le biais de la publication de rglements sous le Titre 29 du Code of Federal Regulation (29 CFR). Les normes concernant les machines industrielles sont publies par lOSHA dans la Partie 1910 de ce Titre 29 CFR. Elles sont librement accessibles sur le site de lOSHA : www.osha.gov. Contrairement la plupart des autres normes qui prsentent un caractre dapplication volontaire, les normes OSHA ont force de loi. Certaines des rubriques importantes pour la scurit des machines sont listes la suite : A B C H I J Gnralits Adoption et prolongement des normes fdrales tablies Recommandations gnrales dhygine et de scurit Matriaux dangereux quipements de protection individuelle Dispositions de protection gnrales vis vis de lenvironnement inclus les systmes de condamnation/signalisation O Protection par rapport aux composants en mouvement et aux machines R Industries particulires S lectricit

14

Rglementations
Certaines normes OSHA peuvent faire rfrence dautres normes de type volontaire. Leffet lgal dune telle incorporation par rfrence est que la totalit du corpus normatif est considre comme ayant t publie au Federal Register. Lorsquune norme de consensus national est incorpore par rfrence dans lune des sous-parties, cette norme acquire force de loi. Par exemple, la NFPA 70, qui est une norme caractre volontaire connue sous le nom de Code national lectrique des tats-Unis, est mise en rfrence dans la sous-partie S. Les exigences de cette norme NFPA 70 prennent ainsi un caractre obligatoire. La sous-partie J de la norme 29 CFR 1910.147 concerne le contrle des sources dalimentation prsentant un danger. Elle est couramment dsigne par norme Lockout/Tagout (condamnation/signalisation). La norme volontaire correspondante est lANSI Z244.1. Essentiellement, cette norme impose que lalimentation de la machine soit condamne lorsque des oprations de service ou de maintenance y sont effectues. Lobjectif est dempcher toute remise sous tension ou dmarrage intempestifs de la machine qui pourraient entraner des dommages corporels au personnel dintervention. Les employeurs ont la responsabilit de mettre en place un programme et des procdures destines appliquer des moyens de condamnation ou de signalisation sur les dispositifs de coupure dalimentation. En tout tat de cause, la dsactivation de la machine ou de lquipement devra interdire toute remise sous tension, tout redmarrage ou toute libration dnergie stocke intempestifs, afin de prvenir tout accident corporel. Les changements doutil, les rglages mineurs et autres interventions de maintenance lgre effectues dans le cadre des oprations de production normales, ne sont pas concerns par cette norme sils ont un caractre routinier, rptitif et font partie intgrante de lutilisation de lquipement en production ; sous rserve que ces interventions soient effectues en utilisant des mesures alternatives de protection suffisamment efficaces. Ces mesures alternatives incluent lutilisation de systmes de protection tels que les barrires immatrielles, les tapis de scurit, les grilles verrouillage de scurit et autres dispositifs de mme type connects un systme de scurit. La question pour le concepteur de la machine ainsi que pour son utilisateur est dapprcier ce qui est mineur et ce qui a un caractre routinier, rptitif et inhrent . La sous-partie O concerne les machines et leur protection. Cette sous-partie regroupe les exigences gnrales applicables tous types de machines, ainsi que les exigences concernant certaines machines spcifiques. Lors de sa cration en 1970, lOSHA a repris de nombreuses normes ANSI existantes. Par exemple, la B11.1 concernant les presses de type mcanique a t incorpore sous le numro 1910.217. La 1910.212 est la norme OSHA gnrale pour toute les machines. Cette norme stipule quun ou plusieurs dispositifs de scurit doivent tre prvus sur les machines afin de protger loprateur, ainsi que les autres employs se trouvant autour, des sources de danger. Sont notamment viss les dangers lis la zone de travail de la machine, aux points de pincement, aux parties rotatives, la projection de copeaux et dtincelles. Des protections doivent tre fixes sur la machine lorsque cest possible ou sur un support externe ferme lorsque cest impossible. La protection ne doit pas constituer en elle-mme une source de danger.

SAFEBOOK 4

15

SAFEBOOK 4

Systmes de commande de scurit pour machines

La zone de travail est la partie de la machine o lopration est effectivement ralise sur le matriau transformer. Lorsque les oprations ralises sur la zone de travail dune machine exposent le personnel des risques de blessures, cette zone doit tre protge. Le dispositif de protection doit tre conforme aux normes applicables. En labsence de normes particulires, il doit tre conu et ralis de faon empcher loprateur dengager une quelconque partie de son corps dans la zone risque pendant le cycle de fonctionnement. La sous-partie S (1910.399) dfinit les exigences lectriques de lOSHA. Aux yeux du Soussecrtariat dtat au travail, des installations ou des quipement seront recevables et homologables selon les termes de cette sous-partie S sils sont approuvs, certifis, tiquets ou, plus gnralement, jugs comme prsentant les caractristiques de scurit requises par un laboratoire dessai agr au niveau national ( nationally recognized testing laboratory ou NRTL). Quest-ce quun quipement ? Il sagit dun terme gnrique regroupant le matriel en luimme, ses accessoires, ses dispositifs de contrle, ses auxiliaires, ses supports de montage, son appareillage divers et tout ce qui entre dans le cadre dune installation lectrique ou est raccord une telle installation. Quest-ce qui est list ? Lquipement est list sil est enregistr dans une liste (a) dite par un laboratoire NRTL ralisant des contrles priodiques de sa fabrication et (b) spcifiant que cet quipement est conforme aux normes nationales ou quil a t test et jug comme prsentant toute scurit dans des conditions dutilisation dfinies. Depuis aot 2009, les organismes suivants sont reconnus par lOSHA comme laboratoires NRTL : CSA (association canadienne de normalisation) Communication Certification Laboratory, Inc. (CCL) Curtis-Straus LLC (CSL) FM Approvals LLC (FM) Intertek Testing Services NA, Inc. (ITSNA) MET Laboratories, Inc. (MET) NSF International (NSF) National Technical Systems, Inc. (NTS) SGS U.S. Testing Company, Inc. (SGSUS) Southwest Research Institute (SWRI) TV America, Inc. (TUVAM) TV Product Services GmbH (TUVPSG) TV Rheinland of North America, Inc. (TUV) Underwriters Laboratories Inc. (UL) Wyle Laboratories, Inc. (WL)

Certains tats ont adopt localement les normes OSHA. Vingt-quatre des tats ainsi que Puerto Rico et les les Vierges possdent un programme de normalisation propre leur territoire et approuv par lOSHA. Ils ont en consquence dfini leurs propres normes et leurs

16

Rglementations
propres rgles dapplication. Pour la plupart, ces tats utilisent des normes identiques celles dfinies par lOSHA au niveau fdral. Nanmoins, certains tats ont adopt des normes diffrant sur des points particuliers ou encore des rgles dapplication diffrentes. Les employeurs doivent tablir un rapport dincidents pour lOSHA. LOSHA analyse statistiquement la frquence dincidents et transmet ces informations ses bureaux locaux. Elles seront utilises pour dfinir les priorits dinspection. Les principaux critres de dclenchement dune inspection sont les suivants : Danger imminent Catastrophes et dcs Plaintes des employs Industries risque lev Inspections priodiques locales Inspections de suivi Programmes thmatiques nationaux et locaux

SAFEBOOK 4

Le non-respect des normes OSHA peut entraner des amendes. Le barme de ces amendes pour infraction est le suivant : Infraction grave : jusqu 7 000 USD par infraction Infractions autres que grave : lapprciation, mais ne peut excder 7 000 USD Rcidive : jusqu 70 000 USD par infraction Infraction intentionnelle : jusqu 70 000 USD par infraction Infractions entranant la mort : sanctions pnales Refus de se conformer : 7 000 USD/jour

Le tableau suivant prsente titre dexemple 14 procs verbaux tablis par lOSHA entre octobre 2004 et septembre 2005. Norme 1910.147 1910.1200 1910.212 1910.134 1910.305 1910.178 1910.219 1910.303 1910.213 19102.215 19102.132 1910.217 1910.095 1910.023 Description Contrle des sources dalimentation prsentant un danger (condamnation/signalisation) Information sur les risques Prescriptions gnrales applicables toutes les machines Protection respiratoire Mthodes, composants et quipements de cblage usage gnral Chariots lectriques industriels Transmission de puissance mcanique Critres gnraux Machines pour le travail du bois Meules abrasives Critres gnraux Presses mcaniques Exposition au bruit dans le cadre du travail Protection des ouvertures et des trous dans le sol et les murs

17

SAFEBOOK 4

Scurit fonctionnelle des systmes de commande

Rglementation canadienne
Au Canada, la scurit industrielle est gre au niveau de la Province. Chaque province possde et applique sa propre rglementation. Par exemple, lOntario a promulgu sa Loi sur la sant et la scurit au travail, qui dfinit les droits et obligations de tous les intervenants sur le lieu de travail. Son objectif principal est de protger les travailleurs contre les risques professionnels ayant des implication sur leur sant et leur scurit. Cette loi dfinit des procdures de gestion des risques professionnels, ainsi que des pnalits en cas de nonconformit dlibre. On trouve par ailleurs dans cette loi le Rglement 851, dont lArticle 7 impose une inspection dhygine et de scurit pralable la mise en service dune machine. Cette inspection est obligatoire dans la Province de lOntario pour tout quipement neuf, reconditionn ou modifi. Elle doit tre confirme par un rapport tabli par un ingnieur professionnel.

Normes
Ce chapitre fournit une liste des normes internationales et nationales les plus courantes concernant la scurit des machines. Cette liste na pas lambition dtre exhaustive mais de mettre en lumire les points de scurit des machines faisant habituellement lobjet dune normalisation. Il est souhaitable de lire ce chapitre conjointement celui concernant la rglementation. Les diffrents pays du monde travaillent dans le sens dune harmonisation mondiale des normes. Ceci est particulirement vident dans le domaine de la scurit des machines. Les normes de scurit concernes sont rgies au niveau international par deux organismes majeurs : lISO et la CEI. Des normes particulires existent toujours au niveau rgional et national. Elles continuent de faire valoir des exigences dapplication locales. Mais, dans de nombreux pays, la tendance est la transposition des normes internationales produites par lISO et la CEI. Par exemple, les normes EN (normes europennes) sont appliques dans tous les pays de lEEE. Or, toutes les nouvelles normes EN sont alignes sur les normes ISO et CEI et, dans la plupart des cas, elles utilisent la mme formulation. Les normes CEI traitent principalement des questions lectrotechniques. LISO sattache aux autres aspects. La plupart des pays industrialiss adhrent la CEI et de lISO. Les normes relatives la scurit des machines sont crites par des groupes de travail comprenant des experts provenant dun grand nombre de pays industrialiss du monde. Dans la plupart des pays, ces normes prsentent un caractre dapplication volontaire, alors que les rglementations constituent une obligation lgale. Cependant, les normes sont gnralement utilises comme rfrence pratique pour les rglementations. Cest la raison pour laquelle le domaine de la normalisation est troitement li celui de la rglementation.

18

SAFEBOOK 4

Normes

Pour la liste complte des normes concernes, on se reportera au catalogue Scurit disponible ladresse : www.ab.com/safety. ISO (Organisation internationale de normalisation) LISO est une organisation non gouvernementale regroupant des organismes de normalisation nationaux de la plupart des pays du monde (157 la date de publication de ce document). Son secrtariat central, situ Genve en Suisse, coordonne le rseau. LISO produit des normes ayant pour but de rendre la conception, la fabrication et lutilisation des machines plus efficace, plus sre et plus cologique. Ces normes contribuent galement rendre les changes internationaux plus simples et plus quitables. Les normes ISO sont identifiables par les trois lettres ISO. Les normes ISO destines aux machines sont rparties en trois catgories, de la mme faon que les normes EN : A, B et C (voir la section relative aux normes europennes harmonises EN, la suite). Pour plus dinformations, il est possible de visiter le site de lISO ladresse : www.iso.org. CEI (Commission lectrotechnique internationale) La CEI tablit et dite des normes internationales dont les domaines dapplication sont llectricit, llectronique et les technologies connexes. Par lintermdiaire de ses membres, la CEI encourage la coopration internationale sur toutes les questions de normalisation lies llectrotechnique ; de mme que sur des sujets connexes, comme lvaluation de la conformit aux normes lectrotechniques. Pour plus dinformations, on visitera le site de la CEI : www.iec/ch Normes europennes harmonises (EN) Il sagit de normes communes tous les pays membres de lEEE. Elles sont mises par les organismes de normalisation europens : le CEN et le CENELEC. Leur application procde dune dmarche volontaire. Nanmoins, leur utilisation pour la conception et la fabrication dun quipement constitue le moyen le plus direct de dmontrer la conformit de cet quipement aux EESS de la Directive Machines. Elles sont structures en 3 catgories : A, B et C. NORMES Type A : couvrent des aspects gnraux applicables tous types de machines. NORMES Type B : se subdivisent en 2 groupes. NORMES du Groupe B1 : concernent certains aspects particuliers de la scurit et de lergonomie des machines. NORMES du Groupe B2 : concernent les composants de scurit et les dispositifs de protection. NORMES Type C : concernent des types ou groupes particuliers de machines.

19

SAFEBOOK 4

Systmes de commande de scurit pour machines

Il est important de noter que la conformit une norme de la catgorie C confre automatiquement une prsomption de conformit aux EESS. En labsence dune norme de catgorie C adapte, on pourra recourir aux normes de catgories A et B pour dmontrer partiellement ou totalement la conformit aux EESS en mettant en vidence la conformit certains chapitres de ces normes. Des accords de collaboration ont t conclus entre le CEN/CENELEC et dautres organismes comme lISO et la CEI. Ceci devrait entraner terme une harmonisation des normes lchelle mondiale. Dans la plupart des cas, on trouve une quivalence des normes EN dans les systmes CEI ou ISO. En gnral les deux textes sont identiques et les diffrences rgionales sont mentionnes dans lavant-propos de la norme. Pour consulter la liste complte des normes EN relatives la scurit des machines, se reporter au site : http://ec.europa.eu/enterprise/sectors/mechanical/machinery/index_ en.htm.

Normes des tats-Unis

Normes OSHA Chaque fois que possible, lOSHA entrine en tant que normes de scurit des normes dites de consensus national ou des normes fdrales tablies. Le caractre contraignant affect aux normes incorpores par rfrence (par exemple, par lutilisation du verbe devoir qui implique une obligation lgale), leur confre la mme force lgale que les normes classes en Partie 1910. Cest par exemple le cas de la norme de consensus national NFPA 70 qui est enregistre comme document de rfrence dans lAnnexe A de la sous-partie S ( lectricit ) de la Partie 1910 du Titre 29 CFR. La NFPA 70 est lorigine une norme volontaire dveloppe par la NFPA (National Fire Protection Association). Elle est galement dsigne par lacronyme NEC (National Electric Code). En consquence, toutes les dispositions obligatoires du NEC prennent force de loi sous leffet de lOSHA. Normes ANSI LANSI (American National Standards Institute) est lorganisme de normalisation des tatsUnis. Il a pour mission dadministrer et de coordonner le systme de normalisation volontaire du secteur priv aux tats-Unis. Cest un organisme associatif priv, but non-lucratif, regroupant diverses composantes des secteurs priv et public. LANSI nlabore pas lui-mme les normes. Il facilite cette laboration en favorisant le consensus entre des groupes dexperts. Il veille entre autres ce que ces groupes dexperts respectent les principes de base du consensus ainsi quune mthodologie approprie, et quils fassent preuve de lesprit douverture ncessaire. La liste suivante recense une partie des normes de scurit industrielle quil est possible de se procurer auprs de lANSI.

20

SAFEBOOK 4

Normes

Ces normes sont classes en deux catgories : les normes dapplication et les normes de construction. Les normes dapplication dfinissent la faon de mettre en uvre un systme de protection sur une machine. On en trouvera des exemples dans la norme ANSI B11.1, qui apporte des informations sur lutilisation de protections sur les presses mcaniques, ainsi que dans la norme ANSI/RIA R15.06, qui dcrit les dispositifs de scurit applicables aux robots. NFPA (National Fire Protection Association) La NFPA (association nationale de protection contre les incendies) a t cre en 1896. Sa mission est de rduire la menace que font peser les incendies sur la qualit de vie. Pour cela elle encourage llaboration de codes et de normes bass sur un consensus scientifique, la recherche et la formation sur les incendies ainsi que sur les questions de scurit connexes. La NFPA est le promoteur dun grand nombre de normes visant laccomplissement de cette mission. Deux dentre elles sont particulirement importantes pour la scurit industrielle : le National Electric Code (NEC) et lElectrical Standard for Industrial Machinery (ESIM). La NFPA a soutenu le dveloppement du NEC depuis 1911. Le document fondateur du code date de 1897. Il est le rsultat des efforts combins de diverses parties prenantes comme les compagnies dassurance, le secteur lectrique, celui de larchitecture et dautres encore qui sy rattachent. Le NEC a t actualis un grand nombre de fois depuis. En pratique, il est remis jour environ tous les trois ans. LArticle 670 du NEC reprend quelques aspects concernant les machines industrielles. Il renvoie notamment le lecteur la norme NFPA 79 (ou ESIM ) dfinissant les normes lectriques pour les machines industrielles. Cette norme NFPA 79 sapplique aux quipements lectriques et lectroniques, aux appareillages ou aux systmes monts sur des machines industrielles fonctionnant sous des tensions nominales infrieures ou gales 600 volts. Elle a pour objet de dfinir des recommandations dtailles destines garantir la scurit des personnes et des biens, concernant la mise en uvre des quipements lectriques et lectroniques, des appareillages ou systmes faisant partie intgrante des machines industrielles. Officiellement approuve par lANSI en 1962, la NFPA 79 est tout fait comparable dans son contenu la norme CEI 60204-1. Les machines qui ne sont pas spcifiquement concernes par les normes OSHA sont nanmoins tenues dtre exemptes de tous les risques connus susceptibles de causer la mort ou des blessures graves. Ces machines doivent tre conues et entretenues de faon satisfaire ou surpasser les exigences des diverses normes industrielles applicables. Cest normalement la norme NFPA 79 qui sapplique ces machines non spcifiquement concernes par les normes OSHA.

21

SAFEBOOK 4

Systmes de commande de scurit pour machines

Normes canadiennes
Les normes CSA sont le reflet dun consensus national entre les fabricants et les utilisateurs ; cest dire, entre les constructeurs, les consommateurs, les revendeurs, les syndicats, les organisations professionnelles et les agences gouvernementales. Ces normes sont largement utilises dans lindustrie et le commerce. Elles sont souvent reprises par les administrations municipales, provinciales et fdrales dans leurs rglementations propres. Cest particulirement le cas dans les domaines de la sant, de la scurit, du btiment et de la construction, ainsi que dans celui de lenvironnement. Des particuliers, des entreprises et des associations de tout le Canada apportent leur participation llaboration des normes CSA. Ils fournissent leur temps bnvolement au Comit du CSA et soutiennent les objectifs de lassociation en tant que membres donateurs. Les plus de 7 000 bnvoles du Comit et les 2 000 membres donateurs constituent lensemble des membres du CSA. Le Conseil canadien des normes est lorganisme coordonnateur du systme de normes au niveau national. Il est constitu par une fdration dorganismes indpendants et autonomes travaillant en commun pour dfinir et amliorer un systme de normalisation volontaire dans lintrt national.

Normes australiennes
La plupart de ces normes sont trs proches des normes ISO/CEI/EN correspondantes Standards Australia Limited 286 Sussex Street, Sydney, NSW 2001 Tlphone : +61 2 8206 6000 E-mail : mail@standards.org.au Site Internet : www.standards.org.au Pour se procurer des exemplaires des normes : SAI Global Limited 286 Sussex Street, Sydney, NSW 2001 Tlphone : +61 2 8206 6000 Fax : +61 2 8206 6001 E-mail : mail@sai-global.com Site Internet : www.saiglobal.com/shop Pour la liste complte des normes concernes, veuillez vous reporter au catalogue Scurit disponible ladresse : www.ab.com/safety.

22

Stratgie de scurit
Stratgie de scurit
Dun point de vue purement fonctionnel, plus une machine est performante dans lexcution de ses tches de transformation, meilleure elle est. Pourtant, pour quelle soit viable, elle doit galement tre sre. La scurit doit en effet tre prise en compte de faon prioritaire. Pour dfinir une stratgie de scurit efficace, deux tapes cls et interactives sont ncessaires, comme schmatis ci-dessous.

SAFEBOOK 4

EVALUATION DES RISQUES

Reprer toutes les machines de la zone de travail Puis identifier chacune delles Consultation pour information et expertise

LIMITES DE LA MACHINE Est-il possible de dfinir clairement tous les fonctionnements et utilisations de la machine ?

NON

OUI
IDENTIFICATION DU DANGER Identifier chaque situation dangereuse Puis, pour chaque danger ESTIMATION DU RISQUE Apprcier le niveau de risque pour chaque situation dangereuse

REDUCTION DES RISQUES

NON
Traiter le danger en modifiant le concept ou en prenant des mesures supplmentaires Dterminer si les performances et les caractristiques fonctionnelles des mesures de scurit sont adaptes la machine et son type dexploitation

EVALUATION DES RISQUES Le niveau du risque est-il acceptable ? Lanalyse est-elle faite et toutes les mesures de scurit adquates sont-elles prises ?

NON

OUI
FIN DE LANALYSE

STRATEGIE DE SECURITE

23

SAFEBOOK 4

Systmes de commande de scurit pour machines

LVALUATION DES RISQUES est base sur la bonne comprhension des limites et des possibilits fonctionnelles de la machine. Elle doit prendre en compte galement les interventions qui pourront savrer ncessaires sur la machine tout au long de sa vie. La RDUCTION DES RISQUES peut alors tre ralise (si elle est ncessaire) et des mesures de scurit sont dfinies partir des informations collectes dans la phase dvaluation des risques. Ce processus constitue la base de la STRATGIE DE SCURIT destine la machine. Une liste de contrle est ncessaire pour raliser le suivi. Elle permet de sassurer que tous les aspects ont bien t pris en compte et que le principe directeur na pas t dilu dans les dtails. Lensemble du processus doit tre document. Ceci garantit une plus grande rigueur dans la dmarche et permet galement des personnes externes den vrifier les rsultats. Ce chapitre sadresse aussi bien aux constructeurs quaux utilisateurs de machines. Le constructeur doit sassurer que sa machine peut tre utilise en toute scurit. Lvaluation des risques doit commencer ds la phase de conception de la machine. Elle doit prendre en compte prvisionnellement toutes les interventions humaines qui seront susceptibles dtre ralises sur la machine. Cette approche de prise en compte des tches lies lexploitation de la machine ds le stade initial de lvaluation des risques est trs importante. Si lon prvoit, par exemple, quil sera ncessaire deffectuer rgulirement des rglages sur les parties en mouvement de la machine, il doit tre possible danticiper les mesures qui permettront de raliser ces oprations en toute scurit ds la phase de conception. Si ces mesures ne sont pas intgres ds le dbut, il peut savrer difficile, voire mme impossible, de les mettre en uvre ultrieurement. Comme il faudra de toute faon raliser des rglages des lments en mouvement, cette intervention risquera fort dtre effectue dans des conditions non scurises ou inefficaces (ou encore, les deux). Une machine dont toutes les tches dexploitation potentielle auront t prises en considration dans lvaluation des risques sera une machine plus sre et plus performante. Lutilisateur (ou lexploitant) doit sassurer que les machines dans leur environnement dexploitation prsentent toutes les garanties de scurit. Mme si une machine a t dclare sre par son constructeur, il est de la responsabilit de lutilisateur de procder tout de mme une valuation des risques afin de dterminer si cet quipement peut tre effectivement considr comme sr dans son environnement particulier. Les machines sont en effet souvent utilises dans des conditions qui nont pas t prvues par le constructeur. Par exemple, lutilisation dune fraiseuse dans latelier dun lyce professionnel ncessitera des prcautions supplmentaires par rapport son utilisation dans un atelier de mcanique industrielle. Il faut avoir lesprit galement que lorsquun utilisateur industriel fait lacquisition de plusieurs machines lmentaires spares pour les intgrer dans un mme processus de fabrication, il devient de fait le constructeur de la machine combine rsultant de cette intgration. Voyons maintenant les tapes essentielles du processus de dfinition dune stratgie de scurit adapte. La dmarche suivante est applicable aussi bien dans le cadre dun ensemble de production existant que pour une machine neuve indpendante.

24

Stratgie de scurit
valuation des risques
Lerreur serait de considrer lvaluation des risques comme une contrainte. Cest en fait une procdure trs utile. Elle apporte des informations dimportance vitale. Elle permet lutilisateur ou au concepteur de prendre des dcisions rationnelles quant aux options disponibles pour assurer la scurit de la machine. Cette dmarche est traite dans diffrentes normes. Les normes ISO 14121 : ( Principes dapprciation du risque ) et ISO 12100 : ( Scurit des machines Notions fondamentales ) contiennent notamment les recommandations qui sont le plus largement utilises mondialement. Quelle que soit la mthode utilise pour valuer les risques, une quipe pluridisciplinaire obtiendra gnralement un rsultat dont la porte sera plus large et plus nuance quune personne unique. Lvaluation des risques est un processus itratif. Il devra tre renouvel aux diffrentes tapes du cycle de vie de la machine. Les donnes prendre en compte varieront en effet selon la phase du cycle de vie. Par exemple, le fabricant de la machine aura accs pour son valuation des risques tous les dtails concernant les mcanismes internes et les matriaux de construction. Mais il ne pourra faire quune estimation approximative des conditions denvironnement finales dans lesquelles cette machine sera utilise. Lutilisateur effectuant cette mme valuation naura pas, pour sa part, forcment accs aux dtails techniques approfondis, mais il connatra parfaitement toutes les caractristiques de lenvironnement de fonctionnement de la machine. Idalement, le rsultat dune premire valuation servira de point de dpart pour la suivante. Dtermination des limites de la machine Elle suppose la collecte et lanalyse de toutes les informations concernant les pices, les mcanismes et les fonctions dune machine. Il sera galement ncessaire de prendre en compte les diffrents types dinterventions humaines sur la machine ainsi que lenvironnement dans lequel elle sera utilise. Lobjectif est dobtenir une vision claire du fonctionnement la machine et de son mode dutilisation. Lorsque des machines lmentaires se trouvent associes mcaniquement ou travers un mme systme de commande, elles doivent tre considres comme une machine unique ; sauf si elle sont organises en zones dans le cadre dun dispositif de scurit adapt. Il est trs important de prendre en compte toutes les limites et les phases du cycle de vie de la machine (installation, mise en route, maintenance, dsactivation). Son mode normal dutilisation et dexploitation, de mme que les consquences des utilisations non conformes ou des dysfonctionnements raisonnablement prvisibles, doivent galement tre intgrs.

SAFEBOOK 4

25

SAFEBOOK 4

Systmes de commande de scurit pour machines

Identification des tches et des dangers Toutes les sources de danger prsentes par la machine doivent tre identifies et listes par nature et emplacement. Ces sources de danger considrer sont lcrasement, le cisaillement, lentranement, la projection de pices, les fumes, les radiations, les substances toxiques, la chaleur, le bruit, etc. Les rsultats de lanalyse des tches devront tre rapprochs des rsultats de lidentification des dangers. Ceci permettra de mettre en vidence les points de convergence entre un danger et une action humaine, cest dire les situations potentiellement dangereuses. On tablira alors la liste de ces situations potentiellement dangereuses. Il est possible quun mme danger ait des effets de situation dangereuse diffrents selon la qualification des personnes ou la nature de la tche implique. Par exemple, lintervention dun technicien de maintenance expriment et correctement form peut avoir des consquences diffrentes de celle dun agent de nettoyage non qualifi et nayant aucune connaissance de la machine. Dans ce type de situation, si chacun des cas a t enregistr et trait sparment, il peut tre concevable de justifier des mesures de protection diffrentes pour le technicien de maintenance et pour lagent de nettoyage. Si les deux cas nont pas t dissocis lors de lenregistrement et traits sparment, il conviendra de retenir le plus dfavorable. Le technicien de maintenance et lagent de nettoyage bnficieront tous deux alors des mmes mesures de protection. Parfois, il est ncessaire de raliser une valuation des risques sur une machine existante disposant dj de mesures de protection (par exemple, une machine dont les parties en mouvement prsentant un danger sont dj protges par une grille de scurit interverrouillage). Les parties en mouvement constituent un danger potentiel qui pourra devenir un danger rel en cas de dfaillance du dispositif dinterverrouillage de scurit. moins que ce systme dinterverrouillage de scurit ait dj t valid (par exemple, par une valuation des risques ou par une conception conforme une norme en vigueur), il sera donc ignor. Estimation du niveau de risque Cest lun des aspects les plus cruciaux du processus dvaluation des risques. Il existe diffrentes faons daborder ce sujet. Les pages suivantes prsentent les principes de base. Toute machine expose des situations potentiellement dangereuses prsente des risques dvnement dangereux (par exemple, de blessure). Plus le niveau de ces risques sera lev, plus il sera important de prendre des mesures pour y remdier. Pour certains dangers particuliers, le risque pourra tre si faible quil sera possible de le tolrer. Mais, pour dautres types de danger, le niveau du risque sera si lev quil faudra prendre les mesures les plus draconiennes pour sen protger. En consquence, pour dcider bon escient de lopportunit et du niveau des mesures prendre par rapport un risque, il faut pouvoir le quantifier.

26

Stratgie de scurit
Le risque est souvent considr uniquement du point de vue de la gravit des blessures potentielles en cas daccident. Cependant, il convient de prendre en compte la fois la gravit de ces blessures ventuelles ET la probabilit quelles surviennent pour apprcier correctement le niveau de risque existant. La mthode destimation du niveau de risque propose dans les pages qui suivent ne prtend pas tre absolue. Une approche diffrente pourra tre dicte par des circonstances particulires. ELLE EST CONUE UNIQUEMENT COMME UN CANEVAS GNRAL DESTIN FOURNIR UN CADRE DE TRAVAIL MTHODOLOGIQUE ET DOCUMENTAIRE. Le systme dvaluation par points propos utilise une chelle polyvalente. Il pourra, en consquence, ne pas tre ncessairement adapt certaines applications particulires. Le rapport technique ISO/TR 14121-2 Apprciation du risque Lignes directrices pratiques et exemples de mthodes , fournit des conseils pratiques et prsente diffrentes mthodes dapprciation du risque. Les facteurs suivants sont pris en compte : LA GRAVITE DES BLESSURES POTENTIELLES. LA PROBABILIT POUR QUELLES SURVIENNENT. Cette probabilit se dcline en deux facteur distincts : LA FRQUENCE DEXPOSITION. LA PROBABILIT DE BLESSURE. Chaque facteur pris individuellement sera affect dune certaine valeur. Il convient dutiliser toutes les informations et expriences disponibles. Toutes les tapes du cycle de vie de la machine sont prendre en considration. Pour viter de rendre les dcisions trop complexes, celles-ci devront donc tre bases sur le cas le plus dfavorable pour chaque facteur. Il faut galement faire appel au bons sens. Les dcisions doivent considrer ce qui est ralisable, raliste et plausible. Cest ce stade quune approche pluridisciplinaire savre utile. Il ne faudra pas oublier non plus que pour raliser cet exercice, on doit, en gnral, ne pas tenir compte des systmes de protection dj existants. Si lestimation du niveau de risque montre quun systme de protection simpose, des mthodologies, dcrites plus loin dans ce chapitre, pourront tre utilises pour en dterminer les caractristiques ncessaires.

SAFEBOOK 4

27

SAFEBOOK 4

Systmes de commande de scurit pour machines

1. Gravit des blessures potentielles On postulera pour cette estimation que laccident ou lincident peut tre la consquence de lexposition au danger. Ltude approfondie de cette source de danger va permettre didentifier le type de blessure le plus grave quelle puisse engendrer. Rappel : on considre pour cette apprciation que la blessure corporelle est invitable. Seule sa gravit entre en ligne de compte. On prsume galement que loprateur est expos directement au mouvement ou au processus dangereux. La gravit de la blessure sera estime selon lchelle suivante :

10 6 3 1
Mineure Grave Majeure Mortelle

MORTELLE : dcs MAJEURE : (normalement irrversible) Incapacit permanente, perte de la vue, amputation dun membre, dommages pulmonaires, etc. GRAVE : (normalement rversible) Perte de conscience, brlure, fracture, etc. MINEURE : contusions, plaies, petites corchures, etc. Une valeur en points correspondant chacune de ces descriptions, est indique sur le graphique.

Valuation de la gravit

2. Frquence dexposition La frquence dexposition exprime la priodicit selon laquelle loprateur ou le personnel de maintenance se trouve expos au danger. On peut classer la frquence dexposition un danger donn selon trois niveaux :

4 1
Rare

2
Occasionnelle Frquente

FRQUENTE : plusieurs fois par jour. OCCASIONNELLE : quotidiennement. RARE : une fois par semaine ou moins. Une valeur en points correspondant chacune de ces descriptions, est indique sur le graphique.

Valuation de la frquence dexposition

28

Stratgie de scurit
3. Probabilit de blessure On prsume que loprateur est expos directement au mouvement ou au processus dangereux. En considrant la faon dont loprateur interagit avec la machine et certains autres facteurs (la rapidit de dmarrage, par exemple), on peut classer la probabilit de blessure selon quatre niveaux :

SAFEBOOK 4

6 4 1
Peu probable

PEU PROBABLE PROBABLE POSSIBLE CERTAINE

2
Possible Probable Certaine

Une valeur en points correspondant chacune de ces descriptions, est indique sur le graphique.

Valuation de la frquence dexposition

Une fois une valeur attribue chacun des facteurs de risque, ces diffrentes valeurs sont cumules pour fournir lestimation initiale. La somme des trois composants se montera, par exemple, 13. Cependant, il est encore ncessaire de prendre en considration quelques facteurs supplmentaires. (Remarque : cet exemple na pas ncessairement de rapport avec les illustrations prcdentes). Ltape suivante va donc consister affiner lestimation initiale en intgrant des facteurs supplmentaires tels que ceux prsents dans le tableau ci-aprs. Il est frquent quon ne puisse les apprcier convenablement que lorsque la machine est installe son emplacement dfinitif. Facteur type Plus dune personne est expose la source de danger. Prsence prolonge dans la zone dangereuse sans coupure complte de lalimentation. Oprateur sans qualification ni formation. Trs longs intervalles de temps (ex. 1 an) entre deux accs. (Possibilit dapparition progressive et non dtecte de dfauts, particulirement dans les systmes de surveillance).
Facteurs supplmentaires destimation du niveau de risque

Action propose Multiplier le facteur de gravit par le nombre de personnes. Si le temps est suprieur 15 minutes chaque accs, ajouter 1 point au facteur de frquence. Ajouter 2 points la valeur totale. Rajouter des points la valeur du facteur de frquence maximum.

29

SAFEBOOK 4

Systmes de commande de scurit pour machines

Les valeurs attribues aux facteurs supplmentaires concerns sont ensuite ajoutes au total prcdent comme indiqu ci-dessous.

20 18 16 14

20 18 16

1 6

12 10 8 6

2 1 6

14 12 10 8 6

4 2
Valeur finale brute

4 2
Valeur finale ajuste

Rduction du niveau de risque

Il convient maintenant de considrer tour de rle chaque machine et ses niveaux de risques spcifiques, afin de prendre les mesures appropries pour traiter chacune de ses sources de danger. Le tableau suivant prsente de faon indicative une partie du processus documentaire permettant denregistrer les diffrents paramtres de scurit de la machine concerne. Il peut tre utilis comme base de rfrence par les utilisateurs de machines. Les constructeurs ou les fournisseurs de ces machines pourront galement utiliser cette mme prsentation pour attester que lensemble de leur quipement a t valu. Il servira galement de sommaire pour des rapports plus dtaills dvaluation des risques. Lorsquune machine porte dj un marquage CE, la procdure se trouve simplifie. Les dangers propres la machine ont en effet dj t valus par le constructeur et toutes les mesures protectrices ncessaires ont t prises. Mme lorsquun quipement est marqu CE, il peut cependant toujours prsenter des dangers potentiels selon la nature de son application ou du produit quil a traiter. Le constructeur ne pourra en effet avoir pu tout prvoir.

30

Stratgie de scurit
Socit MAYKIT WRIGHT LTD Etablissement Atelier doutillage Usine Est. Date 29/8/95 Profil de loprateur Qualifi Identification et date de lquipement Conformit Numro du Histori- Notes rapport aux que des dvaluation accidents directives des risques
RA302 Aucun Equipement lectrique conforme BS EN 60204 avec arrt durgence (remplac en 1989)

SAFEBOOK 4

Identification du danger

Type de danger

Action requise

Mis en uvre et inspect Rfrence

11/25/94 J Kershaw Rapport n 9567

Tour parallle Bloggs. Aucune N de srie 8390726 revendique Install en 1978

Rotation de mandrin avec protection ouverte

Coupure par enchevtrement mcanique

Installer un interrupteur de scurit

Liquide de coupe

Toxique

Changer pour un type non toxique Fournir des gants

11/30/94 J Kershaw Rapport n 9714 11/30/94 J Kershaw Rapport n 9715 4/13/95 J Kershaw Rapport n 10064

Nettoyage dbarbures Tourelle de fraisage Dir. Mach. Bloggs Dir. CEM N de srie 17304294 Fabrique en 1995 Installe en mai 95 RA416 Aucun Mouvement du bti (vers le mur)

Coupure

Ecrasement

Dplacer la machine pour donner un espace suffisant

Hirarchie des mesures de rduction des risques Trois mthodes de base sont considrer/utiliser, dans lordre de priorit suivant : 1. liminer ou rduire le risque le plus en amont possible (scurit inhrente la conception et la construction de la machine) ; 2. Mettre en place des systmes et des dispositifs de protection ncessaires (par exemple, des grilles de protection interverrouillage, des barrires immatrielles, etc.) pour tous les risques qui nont pas pu tre limins la conception. 3. Informer les utilisateurs sur les risques rsiduels rsultant des failles ventuelles des mesures de protection mises en place. Mentionner les formations particulires qui peuvent tre ncessaires et spcifier les ventuels quipements de protection individuelle utiliser. Les diffrentes mesures de cette liste de priorits doivent tre envisages en partant du niveau suprieur. Elles doivent tre mises en application chaque fois quil est possible de le faire. Ceci conduira en gnral la mise en uvre de plusieurs mesures de protection pour un mme risque. Scurit inhrente la conception Il est possible de prvenir un grand nombre des dangers potentiels lors de la phase de conception de la machine. Il suffira simplement de faire plus spcifiquement attention certains paramtres comme la nature des matriaux, les impratifs daccs, la prsence de surfaces chaudes, les mthodes de transmission, les possibilits de pigeage, les niveaux de tension, etc. Par exemple, sil nest pas ncessaire daccder une zone dangereuse, la solution sera de la protger intrieurement dans la machine ou par une quelconque enceinte externe, ferme et fixe.

31

SAFEBOOK 4

Systmes de commande de scurit pour machines

Systmes et mesures de protection Si, par contre, laccs cette zone dangereuse savre ncessaire, la situation se complique un peu. Il faudra alors sassurer que cet accs nest possible que lorsque la machine ne prsente aucun danger. Des mesures de protection telles que des portes daccs verrouillage de scurit et/ou des systmes interrupteur sont ncessaires. Le choix du dispositif ou du systme de protection utiliser devra tre majoritairement dtermin par les caractristiques de fonctionnement de la machine. Ce critre est extrmement important. Un systme risquant daltrer le rendement de la machine sera en effet plus susceptible dtre dmont ou dsactiv sans autorisation. Dans un tel cas, la scurit de la machine dpendra donc de la mise en uvre dun systme de protection adquat et de son bon fonctionnement, mme en cas de dfaut. Ce bon fonctionnement du systme doit donc tre considr avec attention. Pour chaque type de protection, il existe gnralement un choix entre plusieurs technologies apportant des niveaux de performance variables en matire de surveillance, de dtection ou de prvention des dfauts. De faon idale, chaque systme de protection devrait tre absolument parfait et ne permettre en aucune faon la survenance de conditions dangereuses. En pratique cependant, les limites prsentes des connaissances et des matriaux restreignent cela. Une autre contrainte bien relle est le cot. Pour tenir compte de tous ces facteurs, un juste quilibre est lvidence ncessaire. Le simple bon sens permet de comprendre quil serait ridicule dexiger que le systme de scurit destin une machine risquant, dans le pire des cas, de ne causer que des contusions lgres, soit au mme niveau que celui qui est requis pour assurer le maintien en vol dun avion gros porteur. Dans ces deux cas, les consquences dune dfaillance nauront rien voir. Il est en consquence ncessaire de dfinir un principe permettant de doser limportance des mesures de protection en fonction du niveau de risque dfini lors de la phase dvaluation des risques. Quel que soit le type de dispositif de protection choisi, il ne faut pas oublier quun systme relatif la scurit est susceptible de regrouper un grand nombre de composants. On y trouvera notamment les diffrents dispositifs de protection, le cblage, le systme de coupure dalimentation et parfois mme certains lments du systme de commande oprationnel de la machine. Tous les lments constitutifs de ce systme (les dispositifs de protection, leur installation, leur cblage, etc.) doivent prsenter les caractristiques de performance requises selon leur conception et leur technologie. Les normes CEI/EN 62061 et EN ISO 13849-1 dfinissent une hirarchie de niveaux de performance pour les composants destins la scurit dans les systmes de commande. Elles fournissent par ailleurs dans leurs annexes des mthodes dvaluation des risques permettant de dterminer le niveau dintgrit ncessaire pour les systmes de protection. LEN ISO 13849-1:2008 propose une reprsentation graphique volue des risques dans son Annexe A.

32

Stratgie de scurit
Niveau de performance, PLr P1 F1 S1 F2 Dmarrage S2 F2 F1 P2 P1 P2 P1 P2 P1 a b c d e Elev Contribution la rduction des risques

SAFEBOOK 4

Faible

P2 S = Gravit F = Frquence ou dure dexposition P = Probabilit dvitement

Doit tre dfini pour chaque fonction de scurit !

La CEI 62061 propose galement dans son Annexe A une mthode dvaluation de la forme prsente ci-dessous.
N du document :

Evaluation des risques et mesures de scurit

Produit : Emis par : Date : Consquences Dcs, perte dun il ou dun bras Permanent, perte de doigts Rversible, soins mdicaux Rversible, premiers soins Gravit Se 4 3 2 1

Partie de : Pr-valuation des risques Evaluation intermdiaire des r Suivi dvaluation des risques Probabilit de lvnt de dger, Pr Commun 5 Probable 4 Possible 3 Rarement 2 Ngligeable 1 Moy vi

Zone noire = Mesures de scurit ncessaires Zone grise = Mesures de scurit recommandes

34 SIL 2

57 SIL 2 OM

Classe Cl Frquence et 8 10 11 13 14 15 dure, Fr <= 1 heure SIL 2 SIL 3 SIL 3 >1 h <= jour SIL 1 SIL 2 SIL 3 OM SIL 1 SIL 2 >1 jour <= 2 sem. OM SIL 1 >2 sem. <= 1 an
>1 an

5 5 4 3 2

Impos Poss Prob

N N srie Dger

Source de danger

Se

Fr

Pr

Av

Cl

Mesure de scurit

Commentaires

Lutilisation de lune et lautre de ces mthodes doit donner des rsultats quivalents. Chaque mthode est conue en fonction de lapproche propose par la norme laquelle elle se rattache.

33

SAFEBOOK 4

Systmes de commande de scurit pour machines

Dans les deux cas, il est trs important de respecter rigoureusement la dmarche indique dans le texte de la norme. Le graphique ou le tableau des risques ne doivent pas tre utiliss hors de ce contexte ou de faon trop simpliste. valuation Aprs avoir slectionn la mesure de protection et avant de la mettre en uvre, il est important de refaire une valuation du risque. Cette tape de la procdure est souvent oublie. Il peut se produire en effet, une fois une mesure de protection installe, que loprateur de la machine se sente totalement protg contre le risque envisag lorigine. Sa perception initiale du danger se trouvant ainsi modifie, il pourra tre amen se comporter diffremment vis vis de la machine. Il pourra par exemple avoir tendance sexposer plus frquemment au danger, ou accder plus profondment lintrieur de la machine. Cela signifie quen cas de dfaillance de la mesure de protection, le risque sera encore plus grand que celui envisag initialement. Cest ce risque rel qui doit tre estim. En consquence, lvaluation du risque doit tre effectue nouveau en prenant en compte tout les changements envisageables de comportement du personnel vis vis de la machine. Le rsultat de cette valuation servira vrifier si les mesures de protection dfinies sont bien adaptes dans les faits. Pour plus dinformations, il est recommand de se reporter lAnnexe A de la norme CEI/EN 62061. Formation, quipement de protection individuelle, etc. Il est primordial que les oprateurs reoivent la formation ncessaire sur les procdures de travail scurises applicables leur machine. Cela ne signifie pas autant que les autres mesures doivent tre ngliges. Il nest pas concevable de se contenter simplement de donner un oprateur linstruction de ne pas sapprocher des zones dangereuse (au lieu de mettre en place des protections sur ces zones). Loprateur peut galement tre tenu dutiliser certains quipements de protection individuelle, comme des gants de travail spciaux, des lunettes de protection, un appareil respiratoire, etc. Le concepteur de la machine doit lui spcifier quels sont ces quipements ncessaires. Lutilisation dquipements de protection individuelle ne constitue normalement pas la premire mthode de protection. Elle viendra en complment des mesures voques prcdemment.

34

Stratgie de scurit
Normes De nombreuses normes et rapports techniques fournissent des indications pour lvaluation des risques. Certaines sont de porte gnrale, dautres sattachent des applications particulires. La liste qui suit prsente des normes contenant des informations concernant lvaluation des risques. ANSI B11.TR3 : ( Risk assessment and risk reduction ) Fournit un guide pour lestimation, lvaluation et la rduction des risques associs aux machines-outils. ANSI PMMI B155.1 : ( Safety Requirements for Packaging Machinery and Packaging-Related Converting Machinery ) Dfinit des exigences de scurit propres aux machines de conditionnement et aux machines de conversion pour le conditionnement. ANSI RIA R15.06 : ( Safety Requirements for Industrial Robots and Robot Systems ) Dfinit des rgles de scurit applicables aux robots industriels et aux systmes robotiss. AS 4024.1301-2006 : ( Principles of risk assessment ) Principes dvaluation des risques et CSA Z432-04 ( Safeguarding of Machinery ) Protection des machines. CSA Z434-03 : ( Industrial Robots and Robot Systems General Safety Requirements ) Exigences de scurit gnrales pour les robots industriels et les systmes robotiss. CEI/EN 61508 : Scurit fonctionnelle des systmes lectriques,lectroniques et lectroniques programmables relatifs la scurit. CEI/EN 62061 : Scurit des machines Scurit fonctionnelle des systmes de commande lectriques, lectroniques et lectroniques programmables relatifs la scurit. EN ISO 13849-1 : Scurit des machines Parties relatives la scurit des systmes de commande. EN ISO 14121-1 : Apprciation du risque Principes. ISO TR 14121-2 : Apprciation du risque Lignes directrices pratiques et exemples de mthodes.

SAFEBOOK 4

35

SAFEBOOK 4

Systmes de commande de scurit pour machines

Mesures de protection et quipement complmentaire
Lorsque lvaluation des risques montre quune machine ou un processus prsente un risque de blessure corporelle, la source de danger doit tre limine ou circonscrite. Le moyen dy parvenir dpend du type de la machine et de celui du danger. Les mesures de protection combines aux dispositifs de protection physiques ont pour but dempcher laccs la source du danger ou dempcher tout mouvement dangereux de la machine lorsque laccs doit tre rendu possible. Les grilles de protection verrouillage de scurit, les barrires immatrielles, les tapis de scurit, les commandes bimanuelles et les poignes homme mort sont des exemples de mesures de protection typiques. Les dispositifs et systmes darrt durgence sont associs aux systmes de commande de scurit, mais ils nassurent pas une protection permanente. Ils ne doivent tre considrs que comme des mesures de protection complmentaires. Interdiction daccs par enceinte de protection ferme fixe Si la source du danger se trouve dans une partie de la machine laquelle laccs nest pas ncessaire, elle doit tre isole par une protection fixe de faon permanente la machine. La dpose de ce type de protection doit ncessiter des outils. Ces dispositifs fixes doivent tre capables de 1) rsister lenvironnement dans lequel ils sont utiliss, 2) contenir les projections sil y en a et 3) ne pas tre eux-mmes une source de danger, par exemple, ne pas prsenter de bords coupants. Ces dispositifs de protection fixes peuvent laisser un espace libre lendroit de leur raccordement la machine, ou tre ajours du fait de lutilisation dun treillis mtallique par exemple. Des hublots devront permettre de vrifier le bon fonctionnement de la partie de la machine concerne lorsque ncessaire. Le matriau de ces hublots devra tre choisi avec soin. Laction chimique des huiles de coupe, les rayons ultraviolets et simplement le vieillissement pourront en effet entraner leur dgradation dans le temps. La taille des ouvertures ne doit pas permettre loprateur datteindre la source de danger. Le tableau O-10 de la norme OHSA 1910.217 (f) (4), la norme ISO 13854, le tableau D-1 de la norme ANSI B11.19, le tableau 3 de la norme CSA Z432, ainsi que la norme AS4024.1 fournissent des instructions sur la distance respecter entre ces ouvertures et la source de danger. Dtection daccs Des mesures de protection peuvent tre utilises pour dtecter les accs dans une zone dangereuse. Lorsquil dcide dutiliser la dtection daccs comme mthode de rduction des risques, le concepteur doit tre conscient quun systme de scurit complet est ncessaire. Le dispositif de protection seul ne permet pas une rduction des risques suffisante. Ce systme de scurit sera gnralement constitu de trois lments principaux : 1) un capteur pour dtecter les accs dans la zone dangereuse, 2) un dispositif logique assurant le traitement des signaux en provenance du capteur, contrlant ltat du systme de scurit et

36

quipements et mesures de protection

activant ou dsactivant des dispositifs de sortie, et 3) un dispositif de sortie commandant lactionneur (par exemple, le moteur).

SAFEBOOK 4

Dispositifs de dtection
Il existe de nombreux types de capteurs susceptibles de dtecter la prsence dune personne pntrant dans la zone dangereuse ou se trouvant dans cette zone. Le meilleur choix pour chaque application particulire dpendra de plusieurs facteurs : la frquence daccs ; le dlai de neutralisation de la source de danger ; la ncessit de terminer le cycle de la machine ou non ; le confinement des projections solides, des liquides, des arosols, des vapeurs, etc.

Des protections mobiles adaptes pourront tre interconnectes afin de fournir une protection contre ces projections solides, ces liquides, ces arosols et les autres types de dangers. Ce dispositif est souvent utilis lorsque laccs la zone dangereuse est peu frquent. Les grilles de protection de scurit pourront galement tre maintenues verrouilles de faon interdire laccs tant que la machine est en fonctionnement et lorsquelle ncessite un temps important pour sarrter. Les dispositifs de dtection de prsence, tels que les barrires immatrielles, les tapis et les scrutateurs laser, permettent laccs rapide et facile la zone dangereuse. Ils sont souvent retenus lorsque les oprateurs doivent frquemment accder dans cette zone dangereuse. Ce type de dispositifs ne protge cependant pas contre les projections solides, les arosols, les liquides ou autres dangers similaires. La meilleure mesure de protection sera celle dans laquelle le dispositif ou le systme slectionn offrira une protection maximum pour une gne minimum dans lexploitation courante de la machine. Tous les aspects de lutilisation de la machine doivent tre pris en compte. Lexprience montre en effet quun systme de protection compliqu utiliser est davantage susceptible dtre dmont ou dsactiv. Dispositifs de dtection de prsence Lorsquil sagit de dcider de quelle faon une zone ou une partie de la machine doit tre protge, il est important de bien comprendre quelles sont les fonctions de scurit ncessaires mettre en uvre. En gnral, au moins deux de ces fonctions seront ncessaires. Couper ou dsactiver lalimentation lorsquune personne pntre dans la zone dangereuse. Empcher la remise sous tension ou la ractivation de cette alimentation une fois que la personne se trouve lintrieur de la zone dangereuse. A premire vue, on pourrait penser quil sagit dune seule et mme fonction. Mais il sagit bien en fait de deux fonctions distinctes, mme si elles sont manifestement lies et quelles sont le plus souvent assures par le mme quipement. Pour raliser la premire de ces deux

37

SAFEBOOK 4

Systmes de commande de scurit pour machines

fonction, un dispositif dclencheur sera ncessaire. En dautres termes, il sagira dun dispositif destin dtecter quune personne a partiellement dpass un certain point et envoyer en consquence un signal de coupure de lalimentation. Si la personne en question est en mesure de poursuivre au-del du point de dclenchement et que sa prsence nest en consquence plus dtecte, la deuxime fonction (prvention de la remise sous tension) risquera de ne pas tre assure. Point de dclenchement : Dbut de la dtection Dtect Fin de la dtection Non dtect
Point de dclenchement : Dbut de la dtection Dtect

Source de danger
Source de danger

Accs du corps entier

Accs dune partie du corps

La figure ci-dessus prsente un exemple daccs du corps complet. Le dispositif de dtection/ dclenchement est une barrire immatrielle monte verticalement. Les portes daccs verrouillage de scurit peuvent galement tre considres comme des dispositifs dclencheurs simples lorsque rien nest prvu pour empcher la porte dtre referme aprs que la personne soit entre dans la zone dangereuse. Si laccs du corps complet nest pas possible, cest--dire si la personne ne peut poursuivre au-del du point de dclenchement, sa prsence sera toujours dtecte et la deuxime fonction (prvention de la remise sous tension) sera, dans ce cas, assure. Pour les applications de dtection dune partie du corps seulement, les mmes types de dispositifs seront utiliss pour assurer le dclenchement et la dtection de prsence. La diffrence rside uniquement dans le type de lapplication. Les dispositifs de dtection de prsence sont utiliss pour dtecter les intrusions de personnes. Cette gamme de dispositifs inclut les barrires immatrielles de scurit, les barrires de scurit faisceau unique, les scrutateurs de zone de scurit, les tapis de scurit et les bourrelets de scurit. Barrires immatrielles de scurit On peut dfinir simplement les barrires immatrielles de scurit comme des dtecteurs photolectriques de prsence. Elles sont conues particulirement pour la protection du personnel contre les blessures pouvant tre occasionnes par un mouvement dangereux dune machine. galement appeles dispositifs optolectroniques de protection active ou quipements de protection lectro-sensibles, ces barrires immatrielles offrent une scurit

38

quipements et mesures de protection

optimale tout en autorisant une productivit maximum. Elles constituent de fait une bien meilleure solution en termes dergonomie par rapport aux protections de type mcanique. Elles sont particulirement adaptes aux applications dans lesquelles le personnel doit frquemment accder une zone dangereuse. Les barrires immatrielles sont conues et testes conformment aux normes CEI 61496-1 et -2. Il nexiste pas de version EN harmonise de la Partie 2. LAnnexe IV de la directive europenne relative aux machines impose donc une certification par un laboratoire externe pralablement la mise sur le march sur le territoire de lUnion europenne de toute nouvelle barrire immatrielle. Ces laboratoires externes effectuent ce test de conformit par rapport la norme CEI internationale. LUnderwriters Laboratory a galement adopt la norme CEI 61496-1 comme norme de rfrence pour les tats-Unis. Scrutateurs laser de scurit Les scrutateurs laser de scurit utilisent un miroir pivotant qui diffuse les impulsions lumineuses sur un arc de cercle, crant ainsi un plan de dtection. Lemplacement de lobjet est dtermin par langle de rotation du miroir. Utilisant la technique de mesure du temps de trajet dun faisceau de lumire invisible rflchi, le scrutateur peut galement dtecter la distance qui le spare de lobjet. En intgrant la distance mesure et lemplacement de lobjet, le scrutateur laser peut dterminer la position exacte de cet objet. Tapis de scurit sensibles la pression Ces dispositifs sont utiliss pour la protection dune zone au sol autour dune machine. Un rseau de tapis interconnects peut tre dispos tout autour de la zone dangereuse. Toute pression dtecte en nimporte quel point de ce rseau (par exemple le pas dun oprateur) entranera la coupure de la source dalimentation par le dispositif de contrle du tapis. Les tapis sensibles la pression sont frquemment utiliss dans des zones fermes contenant plusieurs machines, des cellules de fabrication flexible ou autres applications robotiques, par exemple. Lorsquil est ncessaire daccder lintrieur de la cellule (pour le rglage ou lapprentissage du robot par exemple), ils interdisent tout mouvement dangereux au cas o loprateur scarte de la zone de scurit, ou sil doit accder larrire dun quipement. La taille et le positionnement des tapis doivent tenir compte de la distance de scurit. Bourrelets sensibles la pression Ces dispositifs se prsentent sous forme de bordures souples pouvant tre montes sur le rebord dune pice mobile, telle quune table lvatrice ou une porte motorise, prsentant un risque dcrasement ou de sectionnement. Si cette pice mobile vient heurter un oprateur (et inversement), le bourrelet sensible se trouvera comprim et dclenchera la coupure de lalimentation de la machine. Les bourrelets sensibles peuvent galement tre utiliss comme protection en cas de risque de coincement de loprateur. Si cela se produit, le contact avec le bourrelet sensible entranera la coupure de lalimentation de la machine.

SAFEBOOK 4

39

SAFEBOOK 4

Systmes de commande de scurit pour machines

On trouve diffrentes technologies de bourrelets de scurit. Lune des plus rpandue consiste insrer ce qui est en fait un long interrupteur lintrieur du bourrelet. Cette technologie produit des bourrelets rectilignes et utilise gnralement une connectique 4 fils. Les barrires immatrielles, les scrutateurs, les tapis de sol et les bourrelets sensibles sont classs comme dispositifs dclencheurs . Ils ninterdisent pas le passage. Ils se bornent le dtecter . Le maintien de la scurit est totalement dpendant de leur capacit effectuer la dtection des intrusions et couper la source dalimentation. Ils ne conviennent gnralement qu des machines ayant une capacit darrt dans un dlai raisonnablement court aprs la coupure de leur source dalimentation. Du fait quun oprateur peut avancer ou pntrer sans restriction dans la zone dangereuse, il est lvidence impratif que le temps ncessaire larrt du mouvement de la machine soit infrieur celui qui est ncessaire cet oprateur pour atteindre le cur de la zone dangereuse aprs dclenchement du dispositif.

Interrupteurs de scurit
Lorsquil nest pas ncessaire daccder frquemment la machine, les protections de type mobiles (manuvrables) sont gnralement prfres. Le dispositif de protection est interconnect la source dalimentation de lorgane dangereux de telle faon que cette alimentation se trouve dsactive lorsque grille de protection est ouverte. Cette approche suppose le montage dun interrupteur de scurit sur la grille de protection. La commande dalimentation de la source de danger est interface avec le circuit de linterrupteur. La source dalimentation est le plus souvent lectrique, mais elle peut galement tre pneumatique ou hydraulique. Lorsque le mouvement (louverture) de la grille de protection est dtect, linterrupteur de scurit coupe la source dalimentation, soit directement, soit par lintermdiaire dun contacteur de puissance (ou dune vanne). Certains interrupteurs de scurit incorporent en outre un systme de maintien du verrouillage qui bloque la grille en position ferme et interdit son ouverture tant que la machine nest pas passe en conditions de scurit. Dans la majorit des applications, lutilisation combine dune protection mobile et dun interrupteur de scurit, avec ou sans verrouillage, constitue la meilleure solution en termes de fiabilit et de cot. Il existe une grande varit dinterrupteurs de scurit, notamment : les interrupteurs de scurit broche Le principe de ces dispositifs consiste utiliser un actionneur en forme de broche qui pntre ou sort de linterrupteur ; les interrupteurs de scurit came Ces dispositifs se positionnent sur laxe de la charnire dune grille de scurit et sont actionns par louverture de celle-ci ; les interrupteurs de scurit verrouillage Destins aux applications dans lesquelles il est ncessaire de verrouiller la barrire en position ferme ou de retarder son ouverture. Les dispositifs rpondant cette exigence sont appels interrupteurs de scurit verrouillage. Ils conviennent particulirement aux machines dont larrt nest pas instantan. Mais ils peuvent galement apporter un niveau de protection supplmentaire nombre dautres types de machine.

40

quipements et mesures de protection

Interrupteurs de scurit sans contact Ces dispositifs nont pas besoin dun contact physique pour tre actionns. Certaines versions incluent une fonction de codage permettant une meilleure protection contre les modification indsirables. Verrouillages de position (interrupteurs de fin de course) Des actionneurs utilisant une came dplacement linaire ou rotatif constituent gnralement le principe de ces interrupteurs de fin de course (ou de position) mode positif. Ils sont gnralement utiliss sur les grilles de protection coulissantes. Interrupteurs cl captive Les cls captives peuvent servir pour le verrouillage du signal de commande comme pour le verrouillage de lalimentation. Dans le cas dun verrouillage du circuit de commande, linterrupteur de verrouillage envoie une commande darrt un dispositif (relais) intermdiaire. son tour, celui-ci agit sur un autre dispositif permettant de couper lalimentation de lactionneur. Dans le cas dun verrouillage de lalimentation, la commande darrt interrompt directement la source dalimentation des actionneurs de la machine.

SAFEBOOK 4

Dispositifs dinterface oprateur

Fonction darrt Aux tats-Unis, au Canada, en Europe et au niveau international en gnral, il existe une harmonisation des normes dcrivant les catgories darrt des machines ou des systmes de fabrication. Remarque : ces catgories sont cependant diffrentes des Catgories dfinies par la norme EN 954-1 (ISO 13849-1). On se reportera aux normes NFPA 79 et CEI/EN 60204-1 pour des dtails complmentaires. Les arrts sont classs en trois catgories : La Catgorie 0 correspond une coupure instantane de lalimentation des actionneurs de la machine. On considre dans ce cas que larrt nest pas contrl. Une fois lalimentation coupe, aucune action de freinage de type lectrique ne pourra en effet tre utilise. Ceci se traduira par un arrt en roue libre des moteurs jusqu leur immobilisation dfinitive qui surviendra aprs une priode relativement longue. Dans certains cas, des produits en cours de traitement pourront tomber de la machine car ses organes internes de transfert et de maintien ne seront plus aliments. Des moyens darrt mcanique, nutilisant pas dnergie lectrique, peuvent cependant tre utiliss dans le cadre dun arrt de Catgorie 0. Un arrt de Catgorie 0 sera prioritaire sur des arrts de Catgorie 1 ou de Catgorie 2. La Catgorie 1 correspond un arrt contrl avec maintien de lalimentation sur les actionneurs de la machine pour pouvoir forcer cet arrt. Une fois larrt effectif, lalimentation est alors coupe sur les actionneurs. Cette catgorie darrt permet dinterrompre rapidement un mouvement prsentant un danger en utilisant un freinage lectrique, puis de couper lalimentation des actionneurs. La Catgorie 2 correspond un arrt contrl avec maintien de lalimentation sur les actionneurs de la machine. Une procdure darrt de production normale est considre comme un arrt de Catgorie 2. Ces catgories darrt doivent sappliquer chaque fonction darrt. Une fonction darrt dsigne laction ralise par la partie scurit dun systme de commande en rponse un

41

SAFEBOOK 4

Systmes de commande de scurit pour machines

signal dentre. Seules les catgories 0 ou 1 sont concernes. Ces fonctions darrt doivent tre prioritaires sur les fonctions de dmarrage correspondantes. Le choix de la catgorie darrt appliquer chaque fonction darrt doit tre dtermin par lvaluation des risques.

Fonction darrt durgence

La fonction darrt durgence doit tre configure comme un arrt de Catgorie 0 ou 1, en fonction de lvaluation des risques. Elle doit pouvoir tre initie par une action humaine unique. Une fois dclenche, elle sera prioritaire sur toutes les autres fonctions et modes de fonctionnement de la machine. Son objectif est de couper lalimentation le plus vite possible sans crer de dangers supplmentaires. Il ny a pas si longtemps, il tait encore obligatoire dutiliser des composants lectromcaniques cbls pour ces circuits darrt durgence. Les volutions rcentes des normes, comme celles apportes par la CEI 60204-1 et la NFPA 79, ont introduit la possibilit dutiliser pour le circuit darrt durgence des automates de scurit et autres formes de logique lectronique, sous rserve quils soient conformes aux normes applicables comme la CEI 61508. Dispositifs darrt durgence Chaque fois quil existe un risque de danger pour les oprateurs sur une machine, celle-ci doit tre munie dun dispositif darrt durgence facilement et rapidement accessible. Le dispositif darrt durgence doit tre oprationnel en permanence et disponible instantanment. Le pupitre oprateur doit tre quip dau moins un tel dispositif darrt durgence. Des dispositifs supplmentaires peuvent tre implants en dautres endroits selon les besoins. Ces dispositifs darrt durgence se prsentent sous diverses formes. Les interrupteurs boutons-poussoirs et les systmes darrt durgence cble sont des exemples de dispositifs parmi les plus frquemment utiliss. Lorsque le dispositif darrt durgence est actionn, il doit rester enclench. Il ne devra pas tre possible de gnrer la commande darrt tant que ce verrouillage nest pas ralis. Le rarmement de ce dispositif darrt durgence ne doit pas crer de situation dangereuse. Le redmarrage de la machine devra faire lobjet dune action distincte et dlibre de loprateur. Pour plus dinformations sur les dispositifs darrt durgence, consulter les normes ISO/EN 13850, CEI 60947-5-5, NFPA 79 et CEI 60204-1, AS4024.1, Z432-94. Boutons darrt durgence Les dispositifs darrt durgence sont considrs comme des quipements de protection complmentaires. Il nentrent pas dans la catgorie des dispositifs de protection principaux car ils nempchent pas laccs une source de danger et ne dtectent pas lintrusion dans une zone dangereuse. Ils se prsentent le plus souvent sous forme dun bouton-poussoir de couleur rouge ressemblant un champignon et mont sur un botier de couleur jaune. Loprateur peut ainsi taper dessus en cas de danger. Ces dispositifs doivent tre placs aux points stratgiques et en nombre suffisant autour de la machine, de faon quil y en ait toujours un porte de main proximit des zones dangereuses.

42

quipements et mesures de protection

Ces boutons darrt durgence doivent tre facilement accessibles et doivent tre utilisables dans tous les modes de fonctionnement de la machine. Lorsquun bouton-poussoir est utilis comme dispositif darrt durgence, il doit tre de forme champignon (ou de type coup-depoing), de couleur rouge sur un fond jaune. Lorsque ce bouton est actionn, les contacts correspondant doivent changer dtat simultanment son verrouillage en position enfonce. Une nouvelle technique est maintenant utilise avec ces dispositifs darrt durgence. Il sagit de lauto-surveillance. Un contact supplmentaire est alors rajout larrire du dispositif. Il a pour but de contrler la prsence des composants larrire du panneau. On parle alors de bloc de contact auto-surveillance. Il sagit dun contact actionn par un ressort qui se ferme quand le bloc de contact est mis en place sur le panneau. La figure 80 montre ce contact dauto-surveillance mont en srie avec un des contacts de scurit ouverture directe. Arrts durgence cble Dans le cas de machines comme des convoyeurs bande, il est souvent plus pratique et plus efficace dutiliser un systme darrt durgence cble courant tout le long de la zone dangereuse. Ce type de dispositif utilise un cble en acier raccord des interrupteurs verrouillables traction. Ds quune traction est exerce sur le cble dans nimporte quelle direction et nimporte quel point de sa longueur, elle dclenche linterrupteur qui coupe lalimentation de la machine. Ces dispositifs doivent tre capables de dtecter la fois les tensions exerces sur le cble et son ramollissement. La dtection de manque de tension du cble permet de sassurer quil nest pas coup et quil est en tat de fonctionnement normal. La longueur du cble a une incidence sur les performances du dispositif. Pour les petites longueurs, linterrupteur de scurit est mont une extrmit et un ressort de tension est fix lautre extrmit. Pour les grandes longueurs, un interrupteur de scurit doit tre plac chaque extrmit du cble afin de garantir quune action unique de loprateur permette bien de dclencher la commande darrt. La force exerce sur le cble ne doit pas dpasser 200 N. La flche maximum au point milieu de la distance entre deux supports de ce cble ce ne doit par ailleurs pas excder 400 mm. Commandes bimanuelles Lutilisation de commandes ncessitant les deux mains (ou commandes bimanuelles) constitue une solution traditionnellement utilise pour empcher laccs la machine lorsque celle-ci prsente un danger. Deux commandes doivent tre actionnes de faon combine ( moins de 0,5 secondes dintervalle) pour pouvoir dmarrer la machine. Ceci assure que les deux mains de loprateur sont mobilises dans une zone scurise (en loccurrence, sur les commandes). Elles ne peuvent en consquence pas se trouver dans la zone dangereuse. Les commandes doivent tre actionnes de faon continue tant que le danger est prsent. Le fonctionnement de la machine doit cesser ds quune des commandes est relche. Si lune des commandes est relche, lautre devra galement ltre avant de pouvoir redmarrer la machine.

SAFEBOOK 4

43

SAFEBOOK 4

Systmes de commande de scurit pour machines

Tout systme bimanuel est trs largement tributaire de la rigueur de dtection des dfauts par son systme de commande et de surveillance. Il est de ce fait essentiel que des rquisitions trs prcises aient t dfinies pour cela lors de la conception de ce systme. Les performances dun systme de scurit bimanuel sont classes par types selon la norme ISO 13851 (EN 574). Comme on le voit dans le tableau ci-dessous, ces types sont eux-mme rattachs aux Catgories de la norme ISO 13849-1. Les types les plus courants en matire de scurit des machines sont les types IIIB et IIIC. Le tableau suivant montre les relations existant entre les types et les catgories de performance de scurit. Types Prescriptions I II III A X X X X X X B X C X

Activation synchrone Utilisation de la Catgorie 1 (selon lISO 13849-1) Utilisation de la Catgorie 3 (selon lISO 13849-1) Utilisation de la Catgorie 4 (selon lISO 13849-1)

Lorganisation ergonomique du pupitre doit empcher toute manuvre inapproprie (actionnement par la main et le coude, par exemple). Ceci peut tre obtenu par un espacement adapt ou par des crans de sparation. La machine ne doit pas pouvoir enchaner deux cycles conscutifs sans que les deux boutons de commande aient dabord t relchs puis actionns nouveau. Ceci est destin empcher le blocage simultan des deux boutons afin de laisser tourner la machine en continu. Le relchement de lun des deux boutons doit entraner larrt de la machine. Lutilisation dune commande bimanuelle doit tre envisage avec discernement car elle ncarte gnralement pas tous les risques existants. La commande bimanuelle ne protge dautre part que la personne qui lutilise. Cet oprateur doit donc tre mme de surveiller tous les accs la zone dangereuse, les autres personnes ne bnficiant pas ncessairement dune protection. La norme ISO 13851 (EN 574) fournit des recommandations supplmentaires concernant les commandes bimanuelles. Poignes de scurit Les poignes de scurit permettent loprateur de pntrer dans la zone dangereuse lorsque la source de danger est active. Elle ne restera que sil maintient la commande de la poigne de scurit en position dactivation. Ces poignes de scurit peuvent utiliser des interrupteurs deux ou trois positions. Les interrupteurs deux positions sont dsactivs lorsquils ne sont pas actionns et activs lorsquils sont actionns. Les interrupteurs

44

quipements et mesures de protection

trois positions sont dsactivs lorsquils ne sont pas actionns (position 1), activs lorsque leur actionneur est maintenu en position centrale (position 2) et dsactivs lorsquil est pouss au-del de la position mdiane (position 3). De plus, lorsquils repassent de position 3 en position 1, leur circuit de sortie ne doit pas se refermer lors du passage par la position 2. Ces poignes de scurit doivent tre utilises en parallle dautres fonctions de scurit. Un exemple type de leur application est le passage du mouvement en fonctionnement lent rgul. Une fois la machine ainsi place en mode de fonctionnement lent, un oprateur pourra pntrer dans la zone dangereuse en tenant la main la poigne de scurit. Lorsquune poigne de scurit est utilise, un signal doit indiquer quelle est active.

SAFEBOOK 4

Dispositifs logiques
Les dispositifs logiques jouent un rle central dans la partie scurit du systme de commande. Ces dispositifs assurent le contrle et la surveillance du systme de scurit et autorisent le dmarrage de la machine ou lexcution des commandes darrt de cette machine. Il existe toute une gamme de dispositifs logiques permettant de crer une architecture de scurit adapte la complexit et aux fonctionnalits requises par la machine. Des petits relais de surveillance de scurit cbls seront plus conomiques pour les petites machines sur lesquelles un dispositif logique ddi simple est ncessaire pour assurer la fonction de scurit. Des relais de surveillance de scurit modulaires et configurables seront prfrables dans le cas o des dispositifs de protection varis et nombreux, ainsi quune commande de zone minimale, sont requis. Pour les machines de taille moyenne grande, ainsi que pour celles prsentant encore plus de complexit, les systmes programmables avec E/S distribues seront les mieux adapts. Relais de surveillance de scurit Les modules de surveillance de scurit relais de type MSR (monitoring safety relay) jouent un rle cl dans de nombreux systmes de scurit. Ces modules sont gnralement composs de plusieurs relais guidage positif et dun circuit complmentaire destin assurer lexcution de la fonction de scurit. Les relais guidage positif sont des relais spcialiss de forme cubique. Ces relais guidage positif doivent tre conformes aux exigences de performance de la norme EN 50025. Ils ont principalement pour fonction dempcher les contacts normalement ferms et normalement ouverts de se trouver ferms simultanment. Dans les conceptions les plus rcentes, les sorties lectromcaniques sont remplaces par des sorties de scurit statiques. Les relais de surveillance de scurit ralisent diverses vrifications du systme de scurit. A la mise sous tension, ils effectuent un auto-contrle de leurs composants internes. Lorsque les dispositifs dentre sont activs, le relais MSR compare ltat des entres redondantes. Sil est conforme, le relais MSR vrifie les actionneurs externes. Si le rsultat est positif, le relais attend alors un signal de rinitialisation pour activer ses sorties.

45

SAFEBOOK 4

Systmes de commande de scurit pour machines

Le choix du relais de scurit appropri dpend de plusieurs facteurs : le type des dispositifs contrls, le type de rinitialisation effectue, le nombre et le type de sorties. Types dentres Les dispositifs de protection utilisent diffrentes mthodes pour signaler quun dfaut sest produit : Interrupteurs contacts et arrts durgence : contacts mcaniques mono-voie avec un contact normalement ferm, ou deux voies normalement fermes. Le relais MSR doit pouvoir accepter une ou deux voies et permettre la dtection des erreurs de croisement sur les systmes deux voies. Interrupteurs sans contacts et arrts durgence : contacts mcaniques, deux voies, un contact normalement ouvert et un normalement ferm. Le relais MSR doit tre capable de traiter des entres complmentaires. Interrupteurs sortie statique : les barrires immatrielles, les scrutateurs laser et les dispositifs statiques sans contacts ont deux sorties PNP et assurent eux-mmes la dtection des erreurs de croisement. Le relais MSR doit tre capable dignorer la procdure de dtection des erreurs de croisement du dispositif. Tapis sensibles la pression : Ces tapis crent un court-circuit entre deux voies. Le relais MSR doit tre capable de supporter ces courts-circuits rpts. Bourrelets sensibles la pression : certains bourrelets sont conus de la mme faon que les tapis 4 fils. Certains autres utilisent un dispositif deux fils qui cre une variation de rsistance dans le circuit. Le relais MSR doit tre capable de dtecter un court-circuit ou une variation de rsistance. Signal en tension : mesure la FCEM dun moteur pendant la dclration. Le relais MSR doit tre capable de supporter des tensions leves, mais aussi de dtecter les basses tensions lorsque le moteur dclre. Mouvement arrt : le relais MSR doit tre capable de dtecter les flux dimpulsions provenant de capteurs divers et redondants. Commande bimanuelle : le relais MSR doit tre capable de dtecter les entres complmentaires normalement ouvertes et normalement fermes. Il doit pouvoir assurer galement une temporisation de 0,5 s ainsi quun squencement logique. Les relais de surveillance de scurit doivent tre conus pour interfacer spcifiquement chacun de ces types de dispositifs aux caractristiques lectriques diffrentes. Certains relais MSR ont la possibilit de recevoir diffrents types dentres. Mais une fois quun dispositif particulier est slectionn, le relais ne pourra dialoguer quavec lui. Le concepteur doit donc choisir un relais MSR compatible avec le type dentre quil souhaite.

46

quipements et mesures de protection

Impdance dentre Limpdance dentre des relais de surveillance de scurit dtermine le nombre de capteurs pouvant tre raccords au relais et la distance jusqu laquelle ils peuvent tre monts. Par exemple, un relais de scurit aura une impdance dentre maximale autorise de 500 ohms (~). Lorsque limpdance dentre sera suprieure 500 , les sorties ne seront pas actives. Lutilisateur doit donc veiller ce que limpdance dentre reste infrieure la valeur maximum spcifie. La longueur, la section et le type du cblage utiliss affectent limpdance dentre. Nombre de dispositifs dentre (capteurs) La procdure dvaluation des risques sera utilise pour dterminer le nombre de capteurs devant tre raccords chaque unit MSR, ainsi que la frquence de vrification de ces entres. Pour sassurer que les contacteurs darrt durgence et les interrupteurs de scurit sont toujours oprationnels, leur bon fonctionnement doit tre contrl intervalles rguliers, suivant la frquence dfinie lors de lvaluation des risques. Par exemple, une entre de relais MSR deux voies raccorde une grille de protection verrouillage de scurit devant tre ouverte chaque cycle de la machine (cest--dire plusieurs fois par jour) ne justifiera pas ncessairement un contrle spcifique. La raison en est que louverture de la grille de protection dclenchera lauto-contrle par le relais de ses entres et de ses sorties (selon la configuration) afin de dtecter tout ventuel dfaut individuel. Plus la grille de protection sera ouverte frquemment, plus la rigueur de la procdure de contrle sera leve. Autre exemple : les arrts durgence. tant, par dfinition, utiliss principalement en cas durgence, ils sont susceptibles dtre beaucoup moins sollicits. Cest pourquoi leur bon fonctionnement devra tre vrifi suivant un programme de test prvoyant leur actionnement intervalles rguliers. Ce type de contrle du fonctionnement du systme de scurit sappelle un test de scurit. La priodicit de ralisation de ces tests est appele intervalle entre tests de validit. Troisime exemple : les trappes daccs permettant le rglage des machines. Comme les interrupteurs darrts durgence, elles peuvent tre que rarement utilises. L encore, un programme de vrification de la fonction de scurit intervalles rguliers doit tre dfini. Lvaluation des risques permet de dterminer si les capteurs concerns ont besoin dtre contrls et quelle frquence. Plus le niveau de risque est lev, plus les exigences seront importantes pour cette procdure de contrle. Par ailleurs, moins la frquence des contrles automatiques sera leve, plus on devra simposer de contrles manuels frquents. Dtection des erreurs de croisement sur les entres Dans les systmes deux voies, les dfauts provenant de courts-circuits entre les voies, galement appels erreurs de croisement, doivent tre identifis par le systme de scurit. Cette fonction est ralise soit par le capteur, soit par le relais de surveillance de scurit. Les relais de surveillance de scurit utilisant des microprocesseurs, comme avec les barrires immatrielles, les scrutateurs laser et les capteurs sans contact volus, peuvent dtecter ces courts-circuits de diffrentes faons. Lune des mthodes la plus classique de

SAFEBOOK 4

47

SAFEBOOK 4

Systmes de commande de scurit pour machines

dtection de ces erreurs de croisement consiste effectuer un contrle par impulsions dcales. La frquence dimpulsion des signaux de sortie est trs leve. Les impulsions de la voie 1 sont dcales par rapport celles de la voie 2. Si un court-circuit se produit, ces impulsions deviennent simultanes, ce qui peut tre dtect par le dispositif. Les relais de surveillance de scurit lectromcanique utilisent une technique de contrle diffrentiel diffrente : ils contrlent une entre enclenchement et une entre dclenchement. Un court-circuit entre la voie 1 et la voie 2 actionnera le dispositif de protection contre les surintensits et le systme de scurit arrtera la machine. Sorties Les relais de surveillance de scurit peuvent avoir un nombre vari de sorties. Le types de ces sorties permet de dterminer le relais MSR utiliser pour chaque application particulire. La plupart des relais MSR possdent au moins 2 sorties de scurit fonctionnement instantan. Les sorties de scurit de ces relais sont caractrises comme normalement ouvertes. Elles sont par ailleurs considres comme sorties de scurit du fait de leur fonctionnalits de redondance et dauto-contrle interne. Les sorties temporises constituent un second type de sortie. Ces sorties temporises sont gnralement utilises pour les arrts de Catgorie 1, lorsque la machine a besoin dun certain temps pour excuter sa fonction darrt avant dautoriser laccs la zone dangereuse. Les relais MSR possdent galement des sorties auxiliaires. Celles-ci sont gnralement dfinies comme normalement fermes. Puissance de sortie nominale Les caractristiques de puissance de sortie nominales indiquent la capacit de commutation de charge dun dispositif de protection. Habituellement, dans le cas de dispositifs industriels, ces puissances sont dfinies pour des circuits rsistifs ou lectromagntiques (inductifs). Une charge rsistive pourra, par exemple, tre constitue par un lment chauffant. Les charges lectromagntiques sont gnralement constitues par des relais, des contacteurs ou des lectroaimants prsentant un fort caractre inductif. Lannexe A de la norme CEI 60947-5-1 dcrit les caractristiques des diffrentes charges. Ces informations sont galement mentionnes au chapitre Principes du catalogue des quipements de scurit. Code didentification : Le code didentification est constitu dune lettre suivie dun chiffre, par exemple A300. La lettre se rapporte lintensit thermique conventionnelle en botier ferm et indique si ce courant est continu ou alternatif. Dans lexemple, la lettre A indique un courant alternatif de 10 ampres. Le chiffre indique la tension disolation. Dans lexemple, 300 reprsente 300 V. Usage : Les catgories dusage dsignent les types de charges que le dispositif peut commuter. Les catgories dusage selon la norme CEI 60947-5 sont rpertories dans le tableau suivant.

48

quipements et mesures de protection

Usage AC-12 AC-13 AC-14 AC-15 DC-12 DC-13 DC-14 Description de la charge Commande de charges rsistives et statiques avec isolement par opto-coupleurs Commande de charges statiques avec isolement par transformateur Commande de petites charges lectromagntiques (infrieures 72 VA) Charges lectromagntiques suprieures 72 VA Commande de charges rsistives et statiques avec isolement par opto-coupleurs Commande dlectroaimants Commande de charges lectromagntiques pourvues de rsistances de limitation dans leur circuit

SAFEBOOK 4

Intensit thermique, Ith : lintensit thermique conventionnelle en botier ferm correspond la valeur de courant utilise pour les essais dchauffement de lquipement mont dans un botier particulier. Tension (Ue) et intensit (Ie) nominales de fonctionnement : Lintensit et la tension nominales de fonctionnement dfinissent la capacit de commutation, la fermeture comme louverture, en conditions de fonctionnement normal. Les produits Allen-Bradley Guardmaster sont, par exemple, spcifiquement conus pour 125 V c.a., 250 V c.a. et 24 V c.c. Consulter lusine en cas dutilisation des tensions autres que ces valeurs nominales spcifies. VA : les caractristiques VA (Volt-Ampre) dfinissent la puissance apparente nominale de commutation, la fermeture comme louverture du circuit. Exemple n 1 : une classification A150, AC-15 indique que les contacts peuvent fermer un circuit de 7 200 VA. Sous 120 V c.a., ces contacts pourront fermer un circuit avec un courant dappel de 60 A. AC-15 faisant rfrence une charge lectromagntique, ces 60 A ne sappliqueront que pendant une courte dure. Ils correspondent donc au courant dappel de la charge lectromagntique. La puissance de coupure du circuit nest que de 720 VA, car lintensit de la charge inductive en rgime tabli est de 6 A. Cette valeur constitue lintensit de service nominale.

49

SAFEBOOK 4

Systmes de commande de scurit pour machines

Exemple n 2 : une classification N150, DC-13 indique que les contacts peuvent fermer un circuit de 275 VA. Sous 125 V c.a., ces contacts pourront fermer un circuit de 2,2 A. En courant continu, il nexiste pas de courant dappel pour les charges lectromagntiques, comme en courant alternatif. La coupure du circuit supportera galement 275 VA, car lintensit de la charge lectromagntique en rgime tabli est de 2,2 A. Cette valeur constitue lintensit de service nominale. Redmarrage de la machine Si, par exemple, une grille de protection verrouillage de scurit est ouverte alors que la machine est en fonctionnement, le contacteur dinterverrouillage provoquera son arrt. Dans la plupart des cas, il sera impratif que la machine ne puisse pas redmarrer directement sitt la grille referme. Un moyen classique de raliser cela consiste utiliser un systme de dmarrage contacteur verrouillage. Lappui et le relchement du bouton de dmarrage excite momentanment la bobine de commande du contacteur, laquelle ferme les contacts dalimentation. Tant que ces contacts dalimentation seront ferms, la bobine de commande restera alimente (verrouille lectriquement) par lintermdiaire des contacts auxiliaires du contacteur qui sont coupls mcaniquement aux contacts dalimentation. Toute interruption de lalimentation lectrique principale ou du systme de commande entranera la dsactivation de la bobine et louverture des contacts dalimentation principale et des contacts auxiliaires. Le systme dinterverrouillage de la grille de protection est reli au circuit de commande du contacteur. Cela implique que pour redmarrer la machine, il faudra refermer la grille puis ractiver le bouton de dmarrage normal destin rarmer le contacteur et dmarrer la machine. Le paragraphe 3.22.4 de la norme ISO 12100-1 dfinit clairement les conditions de fonctionnement normales de ce systme dinterverrouillage (extrait) : Lorsque la grille est en position ferme, le fonctionnement caractre dangereux de la machine par rapport auquel elle assure sa protection, peut se drouler. Mais la fermeture de la grille ne peut pas, en elle-mme, linitier. Un grand nombre de machines sont dotes de contacteurs simples ou doubles, ayant un fonctionnement identique celui dcrit prcdemment (ou utilisent un systme permettant dobtenir le mme rsultat). Lorsquon installe un dispositif dinterverrouillage de scurit sur une machine existante, il est ncessaire de dterminer si le systme dalimentation de commande lectrique est compatible avec ses caractristiques. Au besoin, il faudra mettre en place des mesures dadaptation complmentaires. Fonctions de rarmement Les relais de surveillance de scurit Guardmaster dAllen-Bradley sont conus soit avec un rarmement manuel surveill, soit avec un rarmement automatique/manuel.

50

quipements et mesures de protection

Rarmement manuel surveill Le rarmement manuel surveill ncessite que ltat du circuit de rarmement soit modifi aprs fermeture de la grille ou du rarmement du contacteur darrt durgence. Les contacts auxiliaires normalement ferms couplage mcanique des commutateurs dalimentation sont branchs en srie avec un bouton-poussoir impulsion. Lorsque la grille a t ouverte, puis referme, le relais de scurit nautorisera pas le redmarrage de la machine tant quil ny a pas eu de changement dtat de ce bouton de rarmement. Ceci est conforme lesprit des exigences de rarmement manuel supplmentaire dfinies par la norme EN ISO 13849-1. Concrtement, la fonction de rarmement doit garantir que les deux contacteurs sont ltat OFF et que les deux circuits dinterverrouillage (et donc les grilles de protection) sont ferms. Elle doit galement garantir que lactionneur de rarmement na pas t, de quelque faon, contourn ou bloqu (puisquun changement de son tat est obligatoire). Si ces tests sont positifs, la machine pourra tre redmarre normalement. La norme EN ISO 13849-1 mentionne comme critre de ce changement dtat le passage de ltat sous tension ltat hors tension. Mais le mme principe de protection pourra galement tre obtenu par laction inverse. Linterrupteur de rarmement devra tre plac en un point permettant loprateur davoir une bonne visibilit sur la source du danger. Ceci afin de lui permettre de vrifier que la zone est totalement dgage avant la remise en route. Rarmement automatique/manuel Certains relais de scurit sont dots dun rarmement automatique/manuel. Le mode de rarmement manuel nest pas surveill et le rarmement se produit lorsquon appuie sur le bouton de dmarrage. Un tel interrupteur de rarmement ne sera pas dtect comme tant en court-circuit ou coinc. Cette approche ne permet donc pas a priori de rpondre aux exigences de rarmement manuel supplmentaire dfinies par la norme EN ISO 13849-1, moins davoir recours des dispositifs complmentaires. De mme, le circuit de rarmement pourra tre pont, permettant un rarmement automatique direct. Lutilisateur doit alors prvoir un autre mcanisme pour empcher le redmarrage de la machine lors de la fermeture de la grille. Un dispositif rarmement automatique ne ncessite aucune action (interrupteur) supplmentaire. Nanmoins, aprs dsactivation du systme, il contrlera systmatiquement lintgrit de celui-ci avant de procder au rarmement. Un systme rarmement automatique ne doit pas en effet tre confondu avec un dispositif dpourvu de toutes fonctionnalits de rarmement. Dans ce dernier cas, le systme de scurit sera directement remis en service aprs sa dsactivation, mais il ny aura pas de contrle de son intgrit. Linterrupteur de rarmement devra tre plac un point permettant loprateur davoir une bonne visibilit sur la source du danger. Ceci afin de lui permettre de vrifier que la zone est totalement dgage avant le redmarrage.

SAFEBOOK 4

51

SAFEBOOK 4

Systmes de commande de scurit pour machines

Protection commande directe Une protection commande directe arrte la machine lorsque la grille est ouverte. Elle la redmarre directement ds que la grille est referme. Lemploi de ces protections commande directe nest permis que dans des conditions trs restreintes. Elles ne peuvent en effet empcher les redmarrages intempestifs, ni les dfaillances dans la procdure darrt, ce qui peuvent savrer extrmement dangereux. Le systme dinterverrouillage doit prsenter le plus haut niveau de fiabilit possible (il est le plus souvent recommand dutiliser un dispositif de verrouillage de grille). Lemploi de telles protections commande directe ne peut tre envisag QUE sur des machines noffrant AUCUNE POSSIBILIT aux oprateurs dintroduire tout ou partie de leur corps dans la zone dangereuse lorsque la protection est ferme. Le dispositif de protection commande directe doit alors tre la seule voie daccs possible la zone dangereuse.

Systmes de commande logique programmables de scurit

Le besoin de flexibilit et dvolutivit dans les applications de scurit a conduit au dveloppement de contrleurs logiques ou automates programmables de scurit. Les automates programmables de scurit apportent aux utilisateurs le mme niveau de flexibilit dans le systme de commande des applications de scurit que celui auquel ils sont habitus avec leurs automates programmables standard. Il existe cependant des diffrences importantes entre les automates standard et de scurit. Les automates de scurit sont disponible sous diffrentes plates-formes afin de rpondre aux exigences dvolutivit, dintgration et de fonctionnalit des systmes de scurit les plus complexes. Des microprocesseurs multiples sont utiliss en redonMicrodance pour grer les E/S, Module dE/S Flash RAM Ports processeur la mmoire et les communiAdresse cations de scurit. Des Donnes circuits de surveillance Commande interne ( chiens de garde ) CHIEN DE GARDE/ effectuent les diagnostics SYNC COMPARAISON et leur analyse. Ce type Adresse darchitecture est dsign par Donnes 1oo2D (lun ou lautre des Commande deux). Lun ou lautre des deux microprocesseurs peut MicroFlash RAM processeur en effet prendre en charge la fonction de scurit. Des diagnostics tendus sont Architecture 1oo2D par ailleurs raliss afin de sassurer que ces deux microprocesseurs travaillent de faon parfaitement synchronise. Chaque circuit dentre est galement contrl en interne selon une frquence trs leve afin de vrifier quil fonctionne correctement. Mme si le dispositif darrt durgence nest actionn

52

quipements et mesures de protection

quune fois par mois, le circuit est ainsi contrl en permanence. Ceci permet de garantir que la commande darrt durgence sera dtecte sans problme par lautomate de scurit.

SAFEBOOK 4

Microprocesseur Adresse Donnes Commande BUS E/S SYNC CHIEN DE GARDE/ COMPARAISON Adresse Donnes Commande Microprocesseur
Schma de principe dun module dentres de scurit

Entre 1 Test Donnes Tampons Entre 2 Test Entre 3 Test

Test Commande Circuit

Les sorties des automates de scurit peuvent tre de type lectromcaniques ou statiques de scurit. Comme les circuits dentre, les circuits de sortie sont contrls en interne selon une frquence trs leve afin de garantir quils pourront couper la sortie concerne sans problme lorsque ncessaire. Si lun des trois circuits est dfectueux, sa sortie sera interrompue par les deux autres et le dfaut sera signal par le circuit de surveillance interne. Lorsque des dispositifs de scurit contacts mcaniques sont employs (arrts durgence, interrupteurs de grille, etc.), lutilisateur peut raliser un test par impulsions pour dtecter les erreurs de croisement. Afin dviter le recours des sorties de scurit coteuses, de nombreux automates de scurit proposent des sorties impulsions ddies qui peuvent tre connectes ces dispositifs contact mcanique. Logiciel Les automates de scurit se programment dune faon trs semblable aux automates standard. Tous les diagnostics complmentaires et les recherches de dfauts mentionns plus haut sont raliss par le systme dexploitation. Le programmeur naura donc mme pas conscience de ces oprations. La plupart des automates de scurit possdent un jeu dinstructions spcial servant crire le programme du systme de scurit. Ces instructions tendent reproduire les fonctions qui seraient ralises par un systme relais de scurit quivalent. Par exemple, linstruction darrt durgence fonctionne dune faon trs similaire un relais MSR 127. Bien que la logique qui sous-tende chacune de ces instructions soit complexe, les programmes de scurit apparaissent comme relativement simples. Le programmeur na en fait qu assembler ces diffrents blocs fonctionnels entre eux. Ces instructions, ainsi que les autres instructions logiques, mathmatiques, de manipulation de donnes, etc., sont certifies par un organisme externe afin de sassurer que leur fonctionnement est cohrent avec les normes en vigueur.

53

SAFEBOOK 4

Systmes de commande de scurit pour machines

Les blocs fonctionnels constituent la mthode principale utilise pour la programmation des fonctions de scurit. En plus des blocs fonctionnels et de la logique relais, les automates de scurit fournissent galement des instructions certifies pour les applications de scurit. Ces instructions de scurit certifies permettent de programmer des comportements particuliers de lapplication. Lexemple suivant prsente une instruction darrt durgence. Accomplir la mme fonction en logique relais ncessiterait environ 16 lignes de programme. Dans la mesure o le comportement logique correspondant est intgr dans linstruction darrt durgence, cette logique intgre na pas besoin dtre teste. Il existe des blocs fonctionnels certifis adapts pratiquement tous les dispositifs de scurit. Une exception cette rgle est cependant constitue par les bourrelets de scurit utilisant la technologie rsistive. Les automates de scurit gnrent par ailleurs une signature qui permet de suivre les modifications apportes au systme. Cette signature englobe gnralement une information sur le programme ainsi que sur la configuration des entres et des sorties et un horodatage. Lorsque le programme est finalis et valid, lutilisateur doit enregistrer cette signature avec les rsultats de validation afin de pouvoir sy reporter ultrieurement. Si le programme doit tre modifi, une nouvelle validation sera ncessaire et une nouvelle signature devra tre enregistre. Le programme peut galement tre verrouill par un mot de passe afin dempcher toute modification non autorise. Avec les systmes logique programmable, le cblage se trouve simplifi par rapport aux systmes relais de surveillance de scurit. Contrairement aux systmes cbls qui ncessitent le raccordement des bornes spcifiques sur les relais de surveillance de scurit, les dispositifs dentre peuvent tre connects nimporte quelle borne dentre, de mme que les dispositifs de sortie peuvent tre connects nimporte quelle borne de sortie. Ces bornes seront ensuite affectes par le logiciel. Automates scurit intgre Les solutions de commande modernes permettent dsormais une intgration totale dans une architecture de commande unique faisant cohabiter les fonctions de commande de scurit et celles de commande standard. La possibilit de raliser une commande de mouvement, de variation de vitesse, de processus, de traitement par lots ou encore squentielle grande vitesse, simultanment une commande de scurit de niveau SIL 3 sur un seul et mme automate apporte des avantages significatifs. Lintgration des commandes standard et de scurit permet lutilisation de technologies et doutils communs. Ceci rduit les cots de conception, dinstallation, de mise en service et de maintenance. La possibilit dutiliser des accessoires de commande communs, des E/S ou des dispositifs de scurit distribus sur des rseaux de scurit, ainsi que des dispositifs dIHM communs, permet de rduire les cots dacquisition et de maintenance, de mme que les temps de dveloppement. Toutes ces fonctionnalits augmentent la productivit et la rapidit dintervention des dpannages. Elles rduisent par ailleurs les cots de formation grce la standardisation.

54

quipements et mesures de protection

Le schma suivant fournit un exemple dintgration de commandes standard et de scurit. Les fonctions de commande standard, non lies la scurit, sont regroupes dans la tche principale (Main Task). Les fonctions de scurit sont regroupes dans la tche de scurit (Safety Task). Toutes ces fonctions standard et de scurit sont isoles les unes des autres. Par exemple, les points de scurit peuvent tre lus directement par le programme standard. Ces points de scurit peuvent tre changs entre des automates GuardLogix par EtherNet, ControlNet ou DeviceNet. Les donnes des points de scurit peuvent tre lues directement par des dispositifs externes, des interfaces homme-machine (IHM), des ordinateurs personnels (PC) ou dautres automates. 1. Les points et le programme standard se comportent de la mme faon quavec un automate ControlLogix standard.

SAFEBOOK 4

Integrated Tasks

2. Les donnes des points standard, quelles soient de type programme ou automate, peuvent tre lues par des dispositifs externes, des IHM, des PC, dautres automates, etc. 3. En tant quautomate intgr, GuardLogix permet de dplacer ( mapper ) des donnes de points standard dans des points de scurit pour tre utilises dans une tche de scurit. Ceci permet aux utilisateurs de vrifier leurs informations dtat depuis le ct standard du GuardLogix. Ces donnes ne doivent cependant pas tre utilises pour commander directement une sortie de scurit. 4. Les points de scurit peuvent tre lus directement par le programme standard. 5. Les points de scurit peuvent tre lus ou crits par le programme de scurit. 6. Les points de scurit peuvent tre changs entre automates GuardLogix par EtherNet.

7. Les donnes de points de scurit, quelles soient de type programme ou automate, peuvent tre lues par des dispositifs externes, des IHM, des PC, dautres automates, etc. Remarque : une fois ces donnes lues, elles sont considres comme des donnes standard, non plus comme des donnes de scurit.

55

SAFEBOOK 4

Systmes de commande de scurit pour machines

Rseaux de scurit
Lutilisation des rseaux de communication en production permet depuis longtemps aux fabricants damliorer leur flexibilit, daugmenter les diagnostics, daccrotre les distances, de rduire les cots dinstallation et de cblage, de faciliter la maintenance et plus gnralement damliorer la productivit. Ces mmes objectifs guident galement le dploiement des rseaux de scurit industriels. Ces rseaux de scurit permettent aux fabricants dimplanter des E/S et des dispositifs de scurit tout autour de leurs machines en les reliant simplement par un unique cble rseau. Ceci limite ainsi les cots dinstallation tout en amliorant la capacit de diagnostic et en permettant une sophistication plus grande des systmes de scurit. Ils autorisent galement des communications scurises entre les contrleurs logiques ou les automates de scurit. Ceci permet aux utilisateurs de rpartir leurs commandes de scurit entre plusieurs systmes intelligents. Les rseaux de scurit nempchent pas les erreurs de communication de se produire. Nanmoins, ils sont capables de dtecter les erreurs de transmission puis de permettre aux dispositifs de scurit de prendre des mesures appropries. Les erreurs de communication dtectables incluent : linsertion de message, la perte de message, la corruption de message, le retard de message, la rptition de message et la squence de message incorrecte. Dans la plupart des applications, lorsquune erreur est dtecte, le dispositif passe dans un tat dsactiv prdfini, traditionnellement dsign par tat de scurit . Le dispositif dentre ou de sortie de scurit est charg de la dtection de ces erreurs de communication et du passage tat de scurit le cas chant. Les premiers rseaux de scurit taient lis un type de support ou une configuration daccs physique spcifiques. Les industriels devaient donc utiliser un matriel ddi (cbles, cartes dinterface rseau, routeurs, passerelles, etc.) qui devenait alors une des composantes de la fonction de scurit. Ces rseaux taient limites puisquils ne prenaient en charge que les communications entre dispositifs de scurit. Ceci impliquait pour lindustriel la ncessit dutiliser plusieurs rseaux diffrents dans le cadre de sa stratgie de commande de machines (un rseau pour les commandes standard et un autre pour les commandes de scurit). Ceci augmentait ainsi les cots dinstallation, de formation et de gestion des pices de rechange. Les rseaux de scurit modernes permettent aux dispositifs de commande de scurit et standard de communiquer par lintermdiaire dun cble rseau unique. CIP (Common Industrial Protocol) Safety est un protocole ouvert standard dfini par lODVA (Open DeviceNet Vendors Association). Il autorise les communications de scurit entre dispositifs de scurit sur des rseaux DeviceNet, ControlNet et EtherNet/IP. CIP Safety tant une extension du protocole CIP standard, les dispositifs standard et de scurit peuvent ainsi coexister sur un mme rseau. Les utilisateurs peuvent galement tablir des passerelles entre diffrents rseaux contenant des dispositifs de scurit. Ceci leur permet de rpartir ces dispositifs de scurit de faon optimiser les temps de rponse en scurit. Plus simplement, ceci leur facilite la distribution de leurs dispositifs de scurit. Tant donn que lexcution du protocole de scurit est dlgue aux dispositifs terminaux (contrleurs logiques et automates de scurit, modules dE/S de scurit, composants de scurit divers), il est possible dutiliser

56

quipements et mesures de protection

des cbles, des cartes dinterfaces rseau, des passerelles et des routeurs standard. Tous ces accessoires deviennent en effet externes la fonction de scurit et la ncessit dun matriel rseau spcialis na ainsi plus de raison dtre.

SAFEBOOK 4

Dispositifs de sortie
Relais de commande et contacteurs de scurit Ces relais de commande et ces contacteurs sont utiliss pour couper lalimentation de lactionneur. Ce sont en fait des relais de commande et contacteurs standard auxquels des fonctions spcialises ont t ajoutes pour les transformer en accessoires de scurit. Ils incorporent en pratique des contacts normalement ferms couplage mcanique destins renvoyer une information sur leur tat vers le dispositif logique. Ce sont ces contacts couplage mcanique qui permettent dassurer la fonction de scurit. Conformment aux normes applicables ce type de configuration, des contacts normalement ferms et des contacts normalement ouverts ne peuvent pas se trouver en position ferme simultanment. On se reportera la norme CEI 60947-5-1 pour le dtail des critres relatifs ces contacts couplage mcanique. Si les contacts normalement ouverts viennent se souder, les contacts normalement ferms doivent rester ouverts dau moins 0,5 mm. Rciproquement, si les contacts normalement ferms viennent se souder, les contacts normalement ouverts doivent rester ouverts. Les systmes de scurit ne doivent pouvoir tre dmarrs qu des emplacements spcifiques. Sur les relais de commande et les contacteurs standard, il est possible de fermer manuellement les contacts normalement ouverts en appuyant sur linduit. Sur les dispositifs de scurit, cet induit est protg contre tout forage manuel afin de limiter le risque de redmarrage imprvu. Sur les relais de commande de scurit, le contact normalement ferm est actionn par la tige de couplage principale. Les contacteurs de scurit utilisent une embase supplmentaire pour le montage des contacts couplage mcanique. Si le bloc contact principal vient se dsolidariser de son embase, les contacts couplage mcanique restent ferms. Les contacts couplage mcanique sont accoupls de faon permanente au relais de commande ou au contacteur de scurit. Sur les plus gros contacteurs, lembase supplmentaire ne permet pas toujours une retransmission prcise de la position de la tige de couplage qui est plus longue. Des contacts miroir (Voir Figure 4.81), situs de chaque ct du contacteur, sont alors utiliss. Le temps de dclenchement de ces relais de commande ou contacteurs doit tre pris en compte pour le calcul des distances de scurit. Un suppresseur de surtensions est souvent plac sur la bobine pour augmenter la dure de vie des contacts de commande. Pour les bobines c.a., cela naffectera pas le temps de dclenchement. Pour les bobines c.c., ce temps de dclenchement sera augment. Ce dlai supplmentaire dpendra du mode de suppression choisi. Les relais de commande et les contacteurs sont prvus pour commuter des charges leves allant de 0,5 A plus de 100 A. Le systme de scurit utilise lui des courants faibles. Le signal de retour gnr par lorgane logique du systme de scurit pourra aller de quelques

57

SAFEBOOK 4

Systmes de commande de scurit pour machines

milliampres une ou plusieurs dizaines de milliampres, gnralement sous 24 V c.c. Les relais de commande et les contacteurs de scurit utilisent des contacts jumels plaqus or pour commuter de faon fiable ces faibles intensits. Protection contre les surcharges Une protection des moteurs contre les surcharges est impose par les normes lectriques. Les diagnostics fournis par ce dispositif de protection contre les surcharges contribuent amliorer non seulement la scurit de lquipement, mais aussi celle de loprateur. Les technologies disponibles de nos jours permettent la dtection de conditions de dfaut comme les surcharges, la perte de phase, les dfauts de terre, le blocage rotor, les interfrences, la sous-charge, les dsquilibres de phase et les surchauffes. La dtection et linformation sur ces conditions anormales pralablement au dclenchement permet damliorer la disponibilit de loutil de production et de protger les oprateurs ainsi que le personnel de maintenance en cas de situations dangereuses imprvues. Variateurs et servovariateurs Des variateurs et servovariateurs de scurit peuvent tre utiliss pour interrompre un mouvement rotatif et raliser un arrt de scurit ou un arrt durgence. Les variateurs c.a. sont considrs comme tant de scurit lorsquils possdent des voies redondantes pour couper lalimentation du circuit de commande de la grille de protection. Une voie correspond au signal de validation. Il sagit dun signal isolant matriellement les entres vers le circuit de commande de la grille. Lautre voie correspond un relais guidage positif destin couper lalimentation du circuit de commande de la grille de protection. Le relais guidage positif renvoie galement un signal dtat au systme logique. Cette approche redondante permet dutiliser un variateur de scurit dans un circuit darrt durgence sans quil soit besoin dun contacteur ddi. Les servovariateurs parviennent ce rsultat dune faon similaire aux variateurs c.a. Ils utilisent galement des signaux de scurit redondants pour leur fonction de scurit. Un premier signal interrompt le circuit de commande entre le variateur et la grille. Un deuxime signal coupe lalimentation du circuit de commande de la grille. Deux relais guidage positif sont utiliss pour couper les alimentations et fournir un retour au dispositif logique de scurit.

Systmes de raccordement
Les systmes de raccordement fournissent une valeur ajoute par le biais de la rduction des cots dinstallation et de maintenance quils impliquent pour les systmes de scurit. La conception devra donc considrer avec attention le mode de raccordement des dispositifs : voie unique, double voie, double voie avec indication et types de dispositifs multiples. Lorsquil sera ncessaire de monter en srie des interrupteurs deux voies, un botier de distribution pourra simplifier linstallation. Grce leur classe de protection IP67, ces botiers peuvent tre monts distance sur la machine. Lorsquun ensemble de dispositifs de types

58

Calculs de distance de scurit

divers doit tre utilis, un botier dE/S ArmorBlock Guard I/O est recommander. Ses entres peuvent en effet tre configures logiciellement de faon accepter diffrents types de dispositifs.

SAFEBOOK 4

Calculs de distance de scurit

Les sources de danger doivent tre neutralises (tat de scurit) avant que loprateur puisse pntrer dans la zone dangereuse. Pour le calcul des distances de scurit, deux grands groupes de normes ont t dvelopps. Ils sont dsigns ainsi dans ce chapitre : ISO EN : (ISO 13855 et EN 999) US CAN (ANSI B11.19, ANSI RIA R15.06 et CAN/CSA Z434-03) Formules La distance de scurit minimale dpend du temps ncessaire pour le traitement de la commande darrt. Elle dpend galement du point jusquauquel loprateur peut accder lintrieur de la zone avant dtre dtect. Les deux principales formules utilises partout dans le monde sont du mme principe et font appel aux mmes paramtres. Leurs diffrences rsident dans les symboles utiliss pour reprsenter leurs variables et dans leurs units de mesure. Ces deux formules sont les suivantes : ISO EN : S= Kx Kx T (Ts + Tc + Tr + Tbm) +C + Dpf

US CAN : Ds =

Dans lesquelles : Ds et S indiquent la distance de scurit minimale entre la zone dangereuse et le point de dtection le plus proche. Angle dapproche Pour calculer la distance de scurit lorsquune barrire immatrielle ou un scrutateur de zone sont utiliss, langle dapproche par rapport au dispositif de dtection doit galement tre pris en considration. Trois types dapproche sont retenues : Normale approche perpendiculaire au plan de dtection ; Horizontale approche parallle au plan de dtection ; Angulaire approche de la zone de dtection selon un certain angle. Constante de vitesse K symbolise la constante de vitesse dans les deux formules. La valeur de cette constante de vitesse dpend de la clrit de mouvement de loprateur (la vitesse de dplacement de ses

59

SAFEBOOK 4

Systmes de commande de scurit pour machines

mains, la vitesse et la longueur de ses pas). En se fondant sur des rsultats de recherches, on peut raisonnablement retenir une valeur de 1 600 mm/s pour la vitesse de dplacement des mains dun oprateur lorsque son corps est stationnaire. Les conditions de lapplication relle sont toutefois prendre en compte. En rgle gnrale, la vitesse dapproche varie entre 1 600 mm/s et 2 500 mm/s. La constante de vitesse approprie doit tre dtermine par lvaluation des risques. Temps darrt T est le temps ncessaire pour arrter totalement le systme. La dure complte, en secondes, va du moment o le signal darrt est gnr jusqu celui o la source de danger est totalement neutralise. Cette dure peut tre dcompose selon diffrentes dimensions (Ts, Tc, Tr et Tbm/Cf. formule US CAN) pour faciliter lanalyse. Ts est la plus longue dure darrt possible de la machine ou de lquipement. Tc est la plus longue dure darrt possible du systme de commande. Tr est le temps de rponse du dispositif de protection, y compris son interface. Tbm est la dure darrt supplmentaire, au del des seuils prdfinis par lutilisateur, autorise au niveau du contrle de freinage avant dtection dune erreur de temps darrt. Tbm est notamment utilis pour les presses mcaniques rotatives. Ts + Tc + Tr sont gnralement mesurs par un dispositif de contrle du temps darrt lorsque ces valeurs ne sont pas prdfinies. Facteurs de pntration Le facteur de pntration est reprsent par les symboles C et Dpf. Il sagit de la distance davancement maximale en direction de la source de danger avant dtection par le dispositif de protection. Le facteur de pntration variera selon le type du dispositif et de lapplication. On se reportera la norme approprie pour dterminer le meilleur facteur de pntration retenir. Dans le cas dune approche normale par rapport une barrire immatrielle ou un scrutateur de zone dont la sensibilit de dtection sera infrieure 64 mm, les normes ANSI et canadiennes utilisent : Dpf = 3,4 x (Sensibilit de dtection 6,875 mm), mais pas moins de 0. Dans le cas dune approche normale par rapport une barrire immatrielle ou un scrutateur de zone, dont la sensibilit de dtection sera infrieure 40 mm, les normes ISO et EN utilisent : C = 8 x (sensibilit de dtection 14 mm), mais pas moins de 0 Ces deux formules ont un point dintersection correspondant une taille dobjet de 19,3 mm. Pour la dtection dobjets infrieurs 19 mm, lapproche US CAN est plus restrictive. En effet, elle impose de placer la barrire immatrielle ou le scrutateur de zone plus loin de la source de danger. Pour la dtection dobjets suprieurs 19,3 mm, cest la norme ISO EN qui est la plus restrictive. Les constructeurs de machines fabriquant pour le march mondial devront retenir le rsultat le plus dfavorable de lapplication de ces deux quations.

60

Calculs de distance de scurit

Applications avec accs travers le champ de dtection Pour la dtection des plus grands objets, les normes US CAN et ISO EN diffrent lgrement en ce qui concerne le facteur de pntration et la sensibilit de dtection. La valeur ISO EN est de 850 mm alors que la valeur US CAN est de 900 mm. Les deux normes diffrent galement au niveau de la sensibilit de dtection des objets. Alors que la norme ISO EN ne permet que 40 70 mm, la norme US CAN autorise jusqu 600 mm. Applications avec accs par dessus le champ de dtection Les deux normes saccordent sur une hauteur de position minimum du faisceau de dtection plac le plus bas de 300 mm. Elles diffrent cependant en ce qui concerne la hauteur de position minimum du faisceau de dtection plac le plus haut. La norme ISO EN stipule 900 mm, alors que la norme US CAN impose 1 200 mm. Ces valeurs de position du faisceau suprieur apparaissent nanmoins discutables. Si lon considre quil sagit dune application avec accs travers le champ de dtection, la hauteur du faisceau de dtection le plus haut devra tre en effet bien suprieure pour tenir compte du cas dun oprateur se trouvant debout. Cependant, sil sagit dune application dans laquelle loprateur peut passer par dessus le plan de dtection, les critres dfinis pour ce type daccs peuvent tre retenus. Faisceaux unique ou multiples Les faisceaux unique ou multiples sont dfinis plus particulirement par les normes ISO EN. Le tableau ci-dessous indique les hauteurs pratiques de faisceaux multiples par rapport au sol. Le facteur de pntration est de 850 mm dans la plupart des cas et 1 200 mm dans le cas de lutilisation dun faisceau unique. Quant elle, lapproche US CAN intgre cela au niveau de ses critres daccs travers le champ de dtection. Les tentatives daccs par dessus, par dessous ou sur le ct dun dispositif faisceaux simples ou multiples devront toujours tre prises en compte par ailleurs. Nombre de faisceaux 1 2 3 4 Hauteur par rapport au sol mm 750 400, 900 300, 700, 1 100 300, 600, 900, 1 200 C mm 1 200 850 850 850

SAFEBOOK 4

Calculs de distance de scurit

Dans le cas dune approche normale par rapport une barrire immatrielle, les modes de calcul de la distance de scurit selon les normes ISO EN et US CAN sont trs voisins. Il existe cependant quelques diffrences. Dans le cas dune approche normale par rapport une barrire immatrielle verticale dont la sensibilit de dtection est au maximum de 40 mm, la dmarche propose par lISO EN ncessite normalement deux tapes. Il faut dabord calculer S en utilisant 2 000 comme constante de vitesse. S = 2 000 x T + 8 x (d -1 4) La valeur minimale que peut prendre S est 100 mm.

61

SAFEBOOK 4

Systmes de commande de scurit pour machines

La deuxime tape est ncessaire lorsque la distance est suprieure 500 mm. Dans ce cas, la valeur de K peut tre rduite 1 600. Avec K = 1 600, la valeur minimale de S sera 500 mm. La norme US CAN utilise quant elle une dmarche en une seule tape : Ds = 1 600 x T * Dpf Ceci conduit des diffrences suprieures 5 % entre les deux normes lorsque le temps de rponse est infrieur 560 ms. Approche angulaire Dans la plupart des installations, les barrires immatrielles et les scrutateurs sont monts verticalement (approche normale) ou horizontalement (approche parallle). Ces montages ne sont pas considrs comme angulaires tant quils sont dans une tolrance de 5 par rapport leur axe normal. Lorsque cet angle devient suprieur 5, des risques potentiels supplmentaires lis aux approches prvisibles (par exemple, le raccourcissement de la distance de dtection) doivent tre pris en considration. En gnral, les angles suprieurs 30 par rapport au plan de rfrence (le sol par exemple) doivent tre associs une approche normale et ceux infrieurs cette valeur une approche parallle. Tapis de scurit Avec les tapis de scurit, la distance de scurit doit prendre en considration la vitesse de dplacement et la foule des oprateurs. Considrant que loprateur se dplace en marchant et que le tapis de scurit est fix au sol, le premier pas de loprateur sur le tapis correspondra un facteur de pntration de 1 200 mm. Si loprateur doit monter sur une plate-forme, ce facteur de pntration pourra tre rduit dune valeur de 40 % de la hauteur de la marche. Exemple Exemple : un oprateur approche normalement dune barrire immatrielle de 14 mm connecte un relais de surveillance de scurit, lui-mme raccord un contacteur dalimentation c.c. avec suppresseur diode. Le temps de rponse du systme de scurit (Tr) est de 20 + 15 + 95 = 130 ms. Le temps darrt de la machine (Ts+Tc) est de 170 ms. Aucun contrle de freinage nest utilis. La valeur Dpf sera de 24,2 mm et la valeur C sera de 0. Le calcul est le suivant : Dpf = 3,4 (14 6,875) = 24,2 mm (1 in) Ds = K x (Ts + Tc + Tr + Tbm) + Dpf Ds = 63 x (0,17 + 0,13 + 0) + 1 Ds = 63 x (0,3) + 1 Ds = 18,9 + 1 Ds = 505 mm C = 8 (14 14) = 0 S=KxT+C S = 1 600 x (0,3) + 0 S = 480 mm

Par consquent, la distance de scurit minimale laquelle la barrire immatrielle devra tre place par rapport la source de danger sera de 508 mm, dans loptique dune utilisation de la machine nimporte o dans le monde.

62

Prvention des remises sous tension accidentelles

Prvention des remises sous tension accidentelles
La prvention des remises sous tension accidentelles est aborde par diverses normes. Cest par exemple le cas de lISO 14118, lEN 1037, lISO 12100, lOSHA 1910.147, lANSI Z244-1, la CSA Z460-05 et lAS 4024.1603. Ces normes ont un leitmotiv commun : la mthode pour empcher toute remise sous tension accidentelle consiste fondamentalement supprimer toute possibilit dalimentation du systme et le verrouiller en position dsactive. Lobjectif est de permettre aux personnes de pntrer en toute scurit dans les zones dangereuses de la machine. Condamnation/signalisation Les machines neuves doivent inclure par construction des dispositifs de coupure verrouillables de leurs alimentations. Cette disposition sapplique tous les types dnergie. Ceci inclut notamment lnergie lectrique, hydraulique, pneumatique, gravitationnelle et laser. La condamnation implique le verrouillage des dispositifs de coupure dnergie. Ce verrouillage ne devra pouvoir tre annul que par la personne layant mis en place ou par un suprieur hirarchique, dans des conditions contrles. Si plusieurs personnes sont appeles travailler conjointement sur une mme machine, chacune de ces personne doit placer son propre verrou sur le dispositif de coupure dnergie. Le propritaire de chaque moyen de verrouillage doit pouvoir tre identifi. Aux tats-Unis, le systme de la signalisation ( tagout ) est une alternative la condamnation ( lockout ) pour les machines anciennes qui nont jamais t quipes de dispositifs de verrouillage. Dans ce cas, la machine est arrte et une tiquette est appose pour prvenir le personnel de ne pas redmarrer la machine tant que la personne qui a appos ltiquette travaille sur la machine. Depuis 1990, les machines devant subir des modifications doivent en profiter pour se mettre en conformit et inclure un dispositif de coupure dnergie verrouillable. Un dispositif de coupure dnergie est un dispositif mcanique empchant physiquement la transmission ou la libration de lnergie. Ce dispositif pourra tre un disjoncteur, un sectionneur, un interrupteur manuel, un combinaison prise/fiche de raccordement ou une vanne de fermeture manuelle. Les dispositifs de coupure lectriques doivent isoler tous les conducteurs dalimentation non raccords la terre. Aucun ple ne doit rester actif individuellement. Lobjectif des systmes de condamnation et de signalisation est dempcher un redmarrage accidentel de la machine. Un redmarrage accidentel peut avoir diffrentes causes : une dfaillance du systme de commande, une action malencontreuse (sur une commande de dmarrage, un capteur, un contacteur ou une vanne), la restauration automatique de lalimentation aprs une priode dinterruption, ou toutes autres causes internes ou externes. Une fois la procdure de condamnation ou de signalisation ralise, la dissipation de lnergie doit tre vrifie.

SAFEBOOK 4

63

SAFEBOOK 4

Systmes de commande de scurit pour machines

Systmes de coupure de scurit Les systmes de coupure de scurit excutent un arrt en rgle de la machine. Ils fournissent galement des moyens de condamnation simples de son alimentation. Cette approche est particulirement adapte des machines de taille importante et des ensembles de production, notamment lorsque les sources dnergie sont multiples et situes un niveau diffrent ou dans un lieu loign. Interrupteurs de charge Pour lisolation locale de dispositifs lectriques, des interrupteurs permettant la coupure et le verrouillage de lalimentation de ces dispositifs peuvent tre placs juste en amont. Les interrupteurs de charge Srie 194E sont un exemple de produits capables dassurer un tel isolement avec verrouillage. Systmes cls captives Les systmes cls captives sont une autre mthode permettant de raliser une condamnation. Le premier niveau dun systme cls captives consiste, dans la plupart des cas, en un dispositif de coupure de lnergie. Lorsque cet interrupteur est coup au moyen dune cl primaire , lalimentation lectrique de la machine se trouve coupe simultanment sur tous les conducteurs dalimentation non relis la terre. La cl primaire peut alors tre retire et emmene sur le lieu o laccs la machine est ncessaire. Divers composants peuvent tre ajouts pour rpondre des besoins de condamnation plus complexes. Mesures alternatives la condamnation Les procdures de condamnation et de signalisation doivent tre utilises pour le dpannage et de la maintenance des machines. Les interventions dans le cadre des oprations normales de production sont, quant elles, supposes tre couvertes par les mesures de protection en place. La nuance entre le dpannage et la maintenance et les oprations normales de production nest cependant pas toujours claire. Certains rglages mineurs et tches dentretien courant, effectus dans le cadre des oprations normales de production, ne ncessitent pas ncessairement une condamnation de la machine. On citera par exemple, les chargements et dchargements de matires et de produits, les changements et les rglages mineurs doutils, le graissage et llimination des dchets. Ces tches doivent avoir un caractre routinier, rptitif et faire partie intgrante du processus dexploitation de lquipement dans le cadre de la production. Le travail doit nanmoins tre effectu en utilisant des moyens de protections alternatifs, comme des dispositifs de protection physique, dont lefficacit soit garantie. Ces dispositifs de protection physique incluent notamment les grilles verrouillage de scurit, les barrires immatrielles et les tapis de scurit. Lorsque ces derniers sont utiliss en liaison avec un systme logique de scurit et des dispositifs de sorties appropris, les oprateurs pourront accder en toute scurit aux zones dangereuses de la machine dans le cadre des tches dexploitation normales et des oprations dentretien mineures.

64

Systmes de commande de scurit et scurit fonctionnelle

Systmes de commande de scurit
Introduction Quest-ce quun systme de commande de scurit (souvent dsign par lacronyme anglais SRCS) ? Il sagit de la partie du systme de commande dune machine ayant pour objet de prvenir lapparition de conditions dangereuses. Il peut sagir dun systme spcifique externe ou il peut tre intgr au systme normal de commande de la machine. Son degr de complexit peut aller dun systme simple (par exemple un interrupteur de verrouillage sur grille de protection et un interrupteur darrt durgence monts en srie avec la bobine de commande dun contacteur de puissance) un systme composite intgrant la fois des dispositifs simples et des dispositifs complexes communicant entre eux logiciellement ou matriellement. Les systmes de commande de scurit sont conus pour excuter des fonctions de scurit. Le systme doit continuer fonctionner correctement dans toutes les situations prvisibles. Quest-ce quune fonction de scurit, comment concevoir un systme de scurit et comment lidentifier ensuite ? Fonction de scurit Une fonction de scurit est assure par les composants de scurit du systme de commande de la machine. Elle a pour but de placer ou de maintenir lquipement protg ltat de scurit par rapport un danger particulier. Un dfaillance de la fonction de scurit peut entraner laugmentation immdiate du risque dutilisation de lquipement, cest--dire dune situation dangereuse. Une machine doit prsenter au moins un danger potentiel, autrement ce nest pas une machine. On parle de situation dangereuse lorsquune personne est expose un danger. Une situation dangereuse nimplique pas ncessairement que la personne soit blesse. Cette personne peut en effet tre capable de reconnatre le danger et dviter les blessures. La personne expose peut cependant ne pas tre consciente du danger. Le danger peut aussi provenir dun redmarrage accidentel. La tche principale du concepteur du systme de scurit est donc de prvenir les situations dangereuses et dempcher les redmarrages accidentels. La fonction de scurit peut souvent tre dtermine par des contraintes multi-critres. Par exemple, la fonction de scurit lie une grille de protection verrouillage de scurit est caractrise par trois critres : 1. la source du danger contenu par la grille de protection ne peut tre active tant que la barrire nest pas ferme ; 2. louverture de la grille doit entraner la coupure de la source du danger si elle est active au moment o cela se produit ; 3. la fermeture de la grille ne doit pas ractiver la source du danger contenu par elle.

SAFEBOOK 4

65

SAFEBOOK 4

Systmes de commande de scurit pour machines

Lors de la dfinition dune fonction de scurit destine une application spcifique, le mot danger devra tre remplac par la description de la source de danger spcifique. Cette source de danger ne doit pas tre confondue avec ses consquences. Lcrasement, le sectionnement de membres et les brlures sont les consquences dun danger. Une source de danger sera par exemple constitue par un moteur, un vrin, un couteau, une torche, une pompe, un faisceau laser, un robot, un organe effecteur, une bobine solnode, une vanne ou tout autre type dactionneur ou de danger mcanique li la gravit. On trouve souvent la formule lors de ou pralablement une sollicitation de la fonction de scurit dans la littrature relative aux systmes de scurit. Quest-ce donc quune sollicitation de la fonction de scurit ? Il pourra sagir par exemple de louverture dune grille de protection verrouillage de scurit, linterruption dune barrire immatrielle, le fait de marcher sur un tapis de scurit ou de lappui sur un bouton darrt durgence. Lattente de loprateur est que la source du danger soit dsactive ou quelle le reste si elle est dj coupe. La fonction de scurit est excute par les divers composants de scurit du systme de commande de la machine. Elle nest pas excute par un dispositif unique, par exemple uniquement la grille de protection. Le dispositif dinterverrouillage de cette grille a pour objet envoyer un signal de commande un dispositif logique qui, son tour, va dsactiver lactionneur. La fonction de scurit commence donc par lmission dune commande et se termine par son excution. Le systme de scurit doit tre conu avec un niveau dintgrit adapt aux risques prsents par la machine. Plus ces risques sont importants, plus les niveaux dintgrit devront tre levs pour garantir lefficacit de la fonction de scurit. Les systmes de scurit des machines peuvent tre classifis selon le niveau de performance correspondant leur capacit excuter leurs fonctions de scurit ; ou, en dautres termes, suivant leur niveau dintgrit de scurit fonctionnelle.

Scurit fonctionnelle des systmes de commande

Important : les normes et les rquisitions abordes dans cette section sont relativement nouvelles. Des commissions de travail sont encore en train den finaliser certains aspects. Ils concernent notamment la clarification et les interconnexions de certaines de ces normes. Il est donc possible que des modifications de certaines informations fournies dans ces pages interviennent. Pour tre inform des dernires volutions, on se reportera ladresse : http://www.ab.com/safety. Quest-ce que la scurit fonctionnelle ? La scurit fonctionnelle est une composante du systme de scurit global. Elle est dtermine par la capacit de raction conforme des processus ou des quipements aux signaux dentre. La norme CEI TR 61508-0 fournit les exemples suivants pour mieux comprendre la signification de la scurit fonctionnelle. Lutilisation dun protecteur thermique log dans les bobinages dun moteur lectrique pour couper lalimentation de ce dernier en cas de sur-

66

Systmes de commande de scurit et scurit fonctionnelle

chauffe est un exemple de scurit fonctionnelle. Mais utiliser pour les fils de ces bobinages un niveau disolation leur permettant de supporter des tempratures leves nest pas un exemple de scurit fonctionnelle (bien que ce soit quand mme un exemple de mesure de scurit destin protger le moteur contre le mme danger). titre dexemple complmentaire, comparons une barrire de protection simple une grille de protection verrouillage de scurit. On ne peut pas considrer que la barrire de protection simple assure une scurit fonctionnelle . Pourtant elle prvient les accs la source de danger de la mme faon que la grille de protection verrouillage de scurit. La grille de protection verrouillage de scurit est par contre typiquement un dispositif de scurit fonctionnelle. En effet, lorsque cette grille est ouverte, son mcanisme dinterverrouillage envoie un signal dentre au systme charg de maintenir la scurit de linstallation. De mme, un quipement de protection individuelle (EPI) sera utilis comme mesure de protection pour amliorer la scurit du personnel. Mais cet EPI ne sera cependant pas considr comme un dispositif de scurit fonctionnelle. Le terme de scurit fonctionnelle a t introduit par la norme CEI 61508:1998. Depuis, on a tendance lassocier seulement aux systmes de scurit programmables. Cest une erreur. La scurit fonctionnelle peut sappliquer de nombreux dispositifs entrant dans la composition de systmes de scurit. Des dispositifs comme des barrires immatrielles de scurit, des relais de scurit, des automates de scurit, des contacteurs de scurit et des variateurs de scurit peuvent tre interconnects pour constituer un systme de scurit qui accomplira une fonction de scurit particulire. Cest le principe mme de la scurit fonctionnelle. Par consquent, un systme de commande lectrique scurit fonctionnelle est parfaitement apte matriser les dangers crs par les parties en mouvement des machines. Deux types de paramtres sont considrer pour la mise en uvre dun systme de scurit fonctionnelle : la fonction de scurit ; lintgrit de scurit.

SAFEBOOK 4

Lvaluation des risques joue un rle cl pour la dfinition de ces paramtres ou exigences de scurit fonctionnelle. Lanalyse des tches et des dangers conduit llaboration des exigences fonctionnelles de scurit (cest dire, la fonction de scurit). La quantification des risques permet de mettre en vidence les exigences dintgrit de la scurit (cest dire, le niveau dintgrit de scurit ou le niveau de performance). Les quatre principales normes de scurit fonctionnelle des machines en vigueur sont les suivantes : 1. CEI/EN 61508 Scurit fonctionnelle des systmes lectriques, lectroniques et lectroniques programmables relatifs la scurit . Cette norme regroupe les rquisitions et les prescriptions applicables la conception des systmes et sous-systmes lectroniques et programmables complexes. Cette norme a un caractre gnrique. Elle nest donc pas limite au secteur des machines.

67

SAFEBOOK 4

Systmes de commande de scurit pour machines

2. CEI/EN 62061 Scurit des machines Scurit fonctionnelle des systmes de commande lectriques, lectroniques et lectroniques programmables relatifs la scurit . Cette norme est la version spcifique aux machines de la prcdente norme CEI/EN 61508. Elle dfinit les exigences applicables la conception des systmes de commande lectriques relatifs la scurit des machines, ainsi qu la conception des sous-systmes et dispositifs de moindre complexit. Elle stipule que les sous-systmes complexes ou programmables devront tre conformes la norme CEI/EN 61508. 3. EN ISO 13849-1:2008 Scurit des machines Parties des systmes de commande relatives la scurit . Cette norme est destine fournir une transition directe avec les Catgories dfinies par lancienne norme EN 954-1. 4. CEI 61511 Scurit fonctionnelle Systmes quips pour la scurit et destins aux industries de procds . Cette norme est la transposition spcifique au secteur des industries de process de la norme CEI/EN 61508. Les normes de scurit fonctionnelle reprsentent un pas en avant significatif. Elles permettent daller au-del des exigences relatives la fiabilit de la commande et au systme des Catgories de la prcdente version de la norme ISO 13849-1:1999 (EN 954-1:1996). Ces catgories ne disparaissent pas totalement pour autant. Elles sont toujours prsentes dans la nouvelle version de la norme EN ISO 13849-1. Celle-ci utilise cependant le concept de scurit fonctionnelle et introduit une nouvelle terminologie et de nouvelles exigences. Elle prsente des ajouts et des diffrences significatifs par rapport lancienne version EN 954-1 (ISO 13849-1:1999). Dans ce chapitre, EN ISO 13849-1 fait rfrence la version actuelle de la norme (lEN ISO 13849-1:2008, qui reprend le texte de la norme ISO 13849-1:2006). Normes CEI/EN 62061 et EN ISO 13849-1:2008 Les normes CEI/EN 62061 et ISO/EN 13849-1 concernent toutes deux les systmes de commande lectrique relatifs la scurit. Il est prvu quelles soient terme regroupes en une seule norme utilisant une terminologie commune. Toutes deux permettent de parvenir au mme rsultat, mais elles font appel des mthodes diffrentes. Leur finalit est de fournir aux utilisateurs une possibilit de choix en fonction de leur situation particulire. Ces utilisateurs peuvent donc dcider dutiliser lune ou lautre. Elles sont, de plus, harmoniss sous la Directive Machines europenne. Ces deux normes conduisent dfinir des niveaux de scurit comparables, quils soient rfrencs SIL ou PL . Leurs diffrences mthodologiques leur permettent de sadapter aux spcificits des utilisateurs auxquels elles sont destines.

68

Systmes de commande de scurit et scurit fonctionnelle

La mthodologie utilise par la norme CEI/EN 62061 autorise la mise en uvre de fonctionnalits de scurit complexes. Elles peuvent tre dployes dans le cadre darchitectures systme qui ntaient pas envisages jusqualors. Lobjectif de la norme ISO 13849-1 est doffrir une solution plus directe et moins complexe pour des fonctionnalits de scurit plus conventionnelles, dployes dans le cadre darchitectures systmes classiques. Llment qui diffrencie le plus ces deux normes est leur champ dapplication respectif. La norme CEI/EN 62061 est limite aux seuls systmes lectriques. Tandis que la norme ISO/EN 13849-1 sapplique aussi bien aux systmes pneumatiques, hydrauliques et mcaniques, quaux systmes lectriques. Rapport technique conjoint sur les normes CEI/EN 62061 et EN ISO 13849-1 Un rapport conjoint a t prpar par la CEI et lISO afin de permettre aux utilisateurs des deux normes de sy retrouver. Il prcise la relation entre les deux normes et explique comment tablir la correspondance entre les niveaux de performance PL (Performance level) de la norme EN ISO 13849-1 et les niveaux dintgrit de scurit SIL (Safety Integrity Level) de la norme CEI.EN 62061, que cela soit au niveau des systmes ou des sous-systmes. Afin de dmontrer que les deux normes aboutissent aux mmes rsultats, le rapport donne un exemple de systme de scurit calcul selon la mthodologie de chacune dentre elles. Ce rapport clarifie galement plusieurs points qui avaient conduit des interprtations diffrentes. Lun de ces points les plus critiques est certainement la question de lexclusion de dfauts. En gnral, lorsquun niveau de performance PLe est requis pour la mise en uvre dune fonction de scurit par un systme de commande de scurit, il nest pas normal de jouer uniquement sur les exclusions de dfauts pour obtenir ce niveau de performance. Cela dpendra de la technologie utilise et de lenvironnement de travail prvu. Il est donc essentiel que les concepteurs attachent une importance accrue la dfinition des exclusions de dfauts lorsque les exigences de niveau de performance PL augmentent. En rgle gnrale, lexclusion de dfauts ne pourra pas se faire sur le ct mcanique des dtecteurs de position lectromcaniques et des interrupteurs manuels (ex. : dispositifs darrt durgence) si lon veut garantir un niveau de performance PLe dans la conception du systme de commande de scurit. Les exclusions de dfaut susceptibles dtre attaches des conditions de dfaut mcanique particulires (par exemple, lusure, la corrosion, les ruptures) sont dfinies dans le tableau A.4 de la norme ISO 13849-2. Par exemple, un systme dinterverrouillage de porte devant garantir un niveau de performance PLe, devra avoir un facteur de tolrance aux pannes minimum de 1 (par exemple, en utilisant deux dtecteurs de position mcaniques conventionnels). Il nest en effet normalement pas admissible dexclure des dfauts tels que des ruptures dactionneurs de contacts ce niveau de performance. Cependant, il peut tre envisag dexclure des dfauts comme un court-circuit dans le cblage dun panneau de commande conu conformment aux normes applicables.

SAFEBOOK 4

69

SAFEBOOK 4

Systmes de commande de scurit pour machines

SIL et CEI/EN 62061 La norme CEI/EN 62061 dfinit de faon combine lampleur du risque rduire et la capacit du systme de commande rduire ce risque, en termes de niveaux dintgrit de scurit SIL (Safety Integrity Level). Il existe 3 niveaux SIL applicables au secteur des machines. Le niveau le plus faible est SIL 1, le plus lev est SIL 3. Tant donn que la classification SIL est galement utilise dans dautres secteurs industriels comme la ptrochimie, la production dnergie et le transport ferroviaire, la norme CEI/EN 62061 trouve toute son utilit lorsque des machines sont utilises dans ces secteurs. Des risques plus importants encore peuvent exister dans dautres secteurs comme les industries de process. Cest pour cette raison que la norme CEI 61508, ainsi que la norme CEI 61511 spcifique au secteur des procds, incluent un niveau SIL 4. Un niveau SIL est applicable une fonction de scurit. Les sous-systmes composant le systme charg dassurer cette fonction de scurit doivent avoir des caractristiques SIL compatibles. On parlera parfois dans ce cas du niveau SIL maximum des sous-systmes ou SIL CL (SIL Claim Limit). Une tude complte et approfondie de la norme CEI/EN 62061 est ncessaire avant de pouvoir lappliquer correctement. PL et EN ISO 13849-1:2008 La norme EN ISO 13849-1:2008 nutilise pas lacronyme SIL, mais celui de PL (pour Performance Level, niveau de performance). Les classifications PL et SIL sont comparables de nombreux gards. Il existe cinq niveaux PL. PLa est le plus faible et PLe est le plus lev. Comparaison des niveaux PL et SIL Ce tableau prsente les quivalences approximatives entre les classifications PL et SIL lorsquelles sappliquent des structures de circuit de scurit classiques. PL (niveau de performance) a b c d e PFHd (probabilit de dfaillance dangereuse par heure) 105 <104 3 x 106 <105 10 <3 x 10
6 6

SIL (niveau dintgrit de la scurit) Aucun 1 1 2 3

107 <106 108 <107

Correspondance approximative entre les niveaux PL et SIL

70

Conception de systme selon la norme EN ISO 13849-1:2008

IMPORTANT : le tableau prcdent est fourni titre informatif uniquement. Il NE DOIT PAS tre utilis comme base pour effectuer des conversions. La totalit des exigences de chacune de ces normes doit tre prises en considration.

SAFEBOOK 4

Conception de systme selon lEN ISO 13849 et SISTEMA

Une tude complte et approfondie de la norme EN ISO 13849-1:2008 est ncessaire avant de pouvoir lappliquer correctement. Ce qui suit ne constitue quun aperu sommaire. Cette norme dfinit des rgles pour la conception et lintgration de composants de scurit dans un systme de commande, notamment au niveau de certains aspects logiciels. La norme concerne le systme de scurit dans son ensemble, mais elle peut galement tre applique aux composants de ce systme. Logiciel SISTEMA de calcul du niveau PL SISTEMA est un outil logiciel destin limplmentation de la norme EN ISO 13849-1. Son utilisation simplifie trs largement la mise en uvre de cette norme. SISTEMA est lacronyme de Safety Integrity Software Tool for the Evaluation of Machine Applications (logiciel de calcul dintgrit de scurit pour lvaluation des applications machines). Il a t dvelopp par le BGIA allemand et est libre de droits. Il ncessite la saisie de divers types de donnes relatives la scurit fonctionnelle, dcrites plus loin dans ce chapitre. Ces donnes peuvent tre entres manuellement ou automatiquement par le biais dune bibliothque de donnes SISTEMA propre un fabricant (SISTEMA Data Library). La bibliothque de donnes SISTEMA de Rockwell Automation est disponible au tlchargement, ainsi quun lien vers le site de tlchargement de SISTEMA, ladresse : www.discoverrockwellautomation.com/safety Prsentation de la norme EN ISO 13849-1 Cette norme a un champ dapplication trs vaste car elle sapplique toutes les technologies, notamment : lectrique, hydraulique, pneumatique et mcanique. Bien que la norme ISO 13849-1 puisse tre utilise pour des systmes complexes, elle renvoie galement le lecteur aux normes CEI 62061 et CEI 61508 pour les systmes logiciels intgrs complexes. Voyons quelles sont les diffrences fondamentales entre lancienne norme EN 954-1 et la nouvelle norme EN ISO 13849-1. Lancienne norme dfinissait des Catgories [B, 1, 2, 3 ou 4]. La nouvelle norme dfinit des niveaux de performance PL [a, b, c, d ou e]. Le concept de Catgories est conserv mais des exigences supplmentaires sont satisfaire avant de pouvoir revendiquer un niveau PL pour un systme.

71

SAFEBOOK 4

Systmes de commande de scurit pour machines

Lensemble des paramtres peut tre list de faon simplifie comme suit : Larchitecture du systme. Ceci recouvre principalement ce qui tait prcdemment dfini par les Catgories. Les donnes de fiabilit requises pour les composants du systme. Le taux de couverture des tests de diagnostic DC (Diagnostic Coverage) du systme. Il reprsente le niveau de surveillance des dfauts dans le systme. La protection contre les dfaillances de cause commune. La protection contre les dfauts systmatiques. Le cas chant, les exigences particulires au niveau logiciel.

Nous reviendrons plus en dtail sur ces facteurs ultrieurement. Mais avant cela, il est important de bien comprendre les intentions et les principes de base de la norme dans son ensemble. Il est clair ce stade quil y a beaucoup de nouveaux concepts assimiler. Mais les dtails prendront plus de sens une fois bien compris les objectifs et la raison dtre de cette nouvelle norme. Premirement, pourquoi une nouvelle norme tait-elle ncessaire ? Il est vident que les technologies applicables aux systmes de scurit des machines ont progress et se sont modifies considrablement au cours des dix dernires annes. Jusqu un temps relativement rcent, les systmes de scurit taient bass sur lutilisation dquipements simples prsentant des modes de dfaillance trs faciles prvoir. Les dernires annes ont vu lapparition croissante de dispositifs lectroniques et programmables de plus en plus complexes dans les systmes de scurit. Ceci a eu un effet favorable sur les cots, la flexibilit et la compatibilit. Mais cela sest traduit galement par le fait que les normes en vigueur ntaient plus adaptes. Pour savoir si un systme de scurit est suffisant, il faut en savoir plus sur ce systme. Cest pourquoi la nouvelle norme demande plus dinformations. Alors que les systmes de scurit font de plus en plus appel une approche de type bote noire , leur conformit aux normes devient cruciale. Ces normes doivent donc tre capables dinterroger pertinemment la technologie. Pour accomplir cela, elles doivent pouvoir intgrer tous les facteurs fondamentaux concernant la fiabilit, la dtection des dfauts et lintgrit architecturale et systmique. Cest lobjectif de la norme EN ISO 13849-1. Pour parcourir de faon logique lensemble de cette norme, les motivations de deux types dutilisateurs fondamentalement diffrents doivent tre pris en compte : les concepteurs de sous-systmes de scurit et les concepteurs de systmes de scurit proprement-dits. Dans les faits, un concepteur du sous-systme (typiquement, un fabricant de composants de scurit) sera soumis un niveau de complexit suprieur. Il devra en effet fournir toutes les informations ncessaires pour garantir au concepteur de systme que son sous-systme prsente une intgrit adapte au systme que celui-ci envisage. Cela ncessitera concrtement un certain nombre dessais, danalyses et de calculs. Les rsultats devront tre prsents sous la forme requise par la norme.

72

Conception de systme selon la norme EN ISO 13849-1:2008

Le concepteur de systme (typiquement, un concepteur ou un intgrateur de machines) utilisera les donnes du sous-systme pour effectuer des calculs relativement simples afin de dterminer le niveau de performance (PL) global de son systme. Le niveau de performance ncessaire PLr sera utilis pour dterminer le niveau de performance requis pour la fonction de scurit. Pour dterminer ce niveau PLr, la norme propose un graphe des risques permettant dintgrer les facteurs de gravit des blessures, de frquence dexposition et de possibilit dvitement propres lapplication.

SAFEBOOK 4

P1 F1 S1 F2 Dmarrage S2 F2 F1 P2 P1 P2 P1 P2 P1 P2
Graphe des risques selon lAnnexe A de la norme EN ISO 13849-1

a b c d e
S1 P1 F1 S2 F2 P2 P2 P1

Catgories B 1 2 3 4

Graphe des risques selon lAnnexe B de la norme EN 945-1

Le rsultat obtenu sera le niveau PLr. Les utilisateurs de lancienne norme EN 954-1 reconnatront cette approche. Mais ils noteront que la ligne S1 est dsormais subdivise, contrairement au graphique utilis par cette norme. Ceci pourra ventuellement impliquer la ncessit de reconsidrer lintgrit des mesures de scurit qui taient prises jusqualors pour les niveaux de risque les moins levs. Il reste cependant un aspect trs important de la nouvelle norme aborder. Nous savons dsormais grce cette norme quel niveau de performance devrait avoir le systme et galement comment dterminer son niveau prsent. Mais nous ne savons pas ce quil doit faire. Nous devons donc dfinir ce que doit tre la fonction de scurit. Il apparat vident que la fonction de scurit doit tre adapte la tche. Comment donc sassurer quelle lest ? Comment la norme nous aide-t-elle le vrifier ? Il est important de bien comprendre que la fonction raliser ne peut tre dtermine que par les caractristiques spcifiques lapplication relle. Ceci peut tre considr comme la phase de dfinition du concept de scurit. Elle ne pourra pas tre totalement couverte par la norme car celle-ci ne peut pas connatre toutes les caractristiques des applications particulires. Ceci sapplique souvent galement au constructeur de machines. Il fabrique en effet les machines, mais il ne connat pas forcment les conditions exactes dans lesquelles elles seront utilises. La norme apporte cependant une aide en proposant une liste regroupant un grand nombre de fonctions de scurit couramment utilises (par exemple, la fonction darrt de scurit initie

73

SAFEBOOK 4

Systmes de commande de scurit pour machines

par un dispositif de protection, la fonction dinhibition, la fonction de dmarrage/redmarrage) et en indiquant certaines des exigences gnralement associes ces fonctions. Lutilisation dautres normes, comme lEN ISO 12100 : (Principes de base pour la conception), et lEN ISO 14121 : (valuation des risques), est fortement recommandes ce stade. Il existe galement un grand nombre de normes adaptes spcifiquement certains types de machines et qui fournissent des solutions ddies pour ces machines. Dans les normes europenne (EN), elles sont dsignes par normes de type C . Certaines dentre elles ont des quivalents directs dans les normes ISO. Nous avons donc mis en vidence que ltape de dfinition du concept de scurit tait influence par le type de la machine, mais aussi par les caractristiques de lapplication et de lenvironnement dans lequel elle est dploye. Le constructeur de machine devra anticiper au maximum ces facteurs pour dfinir son concept de scurit. Les conditions dutilisation normales (cest dire, prvues) devront en consquence tre indiques dans le manuel utilisateur. Lutilisateur de la machine devra pour sa part sassurer quelles sont compatibles avec ses conditions dutilisation relles. Nous avons dsormais une description de la fonction de scurit. Grce lannexe A de la norme, nous avons galement dfini le niveau de performance ncessaire PLr pour les composants de scurit du systme de commande (parfois dsigns par lacronyme anglais SRP/CS) qui seront chargs de mettre en uvre cette fonction. Nous devons maintenant concevoir le systme proprement-dit et nous assurer quil est conforme au niveau PLr. Un facteur dcisif du choix de la norme de rfrence utiliser (EN ISO 13849-1 ou EN/CEI 62061) sera la complexit de la fonction de scurit. Dans la majorit des cas, en ce qui concerne les machines, la fonction de scurit sera relativement simple et la norme EN ISO 13849-1 sera loption la mieux adapte. Les donnes de fiabilit, le taux de couverture des tests de diagnostic (DC), larchitecture systme (Catgorie), les dfaillances de cause commune et, ventuellement, les contraintes logicielles seront prises en compte pour lvaluation du niveau de performance PL. Ce qui suit nest quune description simplifie destine uniquement fournir un aperu de la dmarche. Il est important davoir bien lesprit quabsolument toutes les dispositions incluses dans le texte de la norme doivent tre intgres. Il existe cependant une aide pour cela. Le logiciel SISTEMA est l pour apporter une assistance au niveau documentaire et celui des calculs. Il est capable galement de produire un dossier technique. Au moment de la publication de ce document, SISTEMA tait disponible en allemand et en anglais. Dautres langues devraient tre ajoutes prochainement. Le BGIA, dveloppeur de SISTEMA, est un organisme de recherche et dessais bas en Allemagne et qui fait autorit. Il est particulirement impliqu dans la rsolution des problmes scientifiques et techniques lis la scurit dans le cadre des politiques dassurance obligatoire et de prvention des accidents en Allemagne. Il collabore avec des organismes ddis lhygine et la scurit au travail dans plus de 20 pays. Les experts du BGIA, en liaison avec leurs collgues du BG, ont largement particip la rdaction des normes EN ISO 13849-1 et CEI/EN 62061.

74

Conception de systme selon la norme EN ISO 13849-1:2008

La bibliothque de donnes de composants de scurit Rockwell Automation conue pour SISTEMA est disponible sur : www.discoverrockwellautomation.com/safety Quelle que soit la faon dont le calcul du niveau PL est effectu, il est important de partir de bonnes bases. Nous devons aborder notre systme de la mme faon que la norme. Commenons donc par cela. Structure du systme Tout systme peut tre dcompos selon ses composants de base ou sous-systmes . Chaque sous-systme possde sa propre fonction discrte. La plupart des systmes peuvent tre dcomposs en trois fonctions de base : entre, traitement logique et actionnement (certains systmes simples nutilisent pas de traitement logique). Les groupes de composants qui assurent ces fonctions constituent les sous-systmes.

SAFEBOOK 4

Sous-systme dentre

Sous-systme de programme

Sous-systme de sortie

Tout systme peut tre dcompos selon ses composants de base ou sous-systmes . Chaque sous-systme possde sa propre fonction discrte. La plupart des systmes peuvent tre dcomposs en trois fonctions de base : entre, traitement logique et actionnement (certains systmes simples nutilisent pas de traitement logique). Les groupes de composants qui assurent ces fonctions constituent les sous-systmes. Sous-systme dentre Sous-systme de sortie

Interrupteur de fin de course

Contacteur de scurit

Interrupteur de scurit et contacteur de scurit

Un exemple de systme lectrique simple mono-voie est prsent ci-dessus. Il nest constitu que dun sous-systme dentre et dun sous-systme de sortie.

75

SAFEBOOK 4

Systmes de commande de scurit pour machines

Sous-systme dentre Sous-systme logique Sous-systme de sortie

Interrupteur de fin de course

SmartGuard 600

Sortie vers dautres systmes

Contacteur de scurit

Interrupteur de scurit, automate de scurit et contacteur de scurit

Le systme ci-dessus est un peu plus complexe car il fait appel un traitement logique. Lautomate de scurit pourra lui-mme avoir une tolrance interne aux dfauts (par exemple, grce lutilisation dune deuxime voie). Mais le systme global sera toujours limit une seule voie cause de lunique interrupteur de fin de course et de lunique contacteur de scurit. Sous-systme dentre Sous-systme logique Sous-systme de sortie

Interrupteur de fin de course Systme de scurit deux voies

SmartGuard 600

Contacteur de scurit

Si lon reprend les architectures de base prsentes dans les schma prcdent, on constate quil y a galement dautres points prendre en compte. Dabord, combien de voies le systme possde-t-il ? Un systme mono-voie sera en dfaut si lun de ses sous-systmes est en dfaut. Un systme deux voies (galement appel redondant) devra prsenter deux dfauts, un sur chaque voie, avant que le systme ne soit en dfaut. tant donn quil utilise deux voies, il peut tolrer un dfaut sur lune dentre elles et continuer fonctionner. Le schma ci-dessus prsente un tel systme deux voies.

76

Conception de systme selon la norme EN ISO 13849-1:2008

Il est vident quun systme deux voies aura moins de chance de tomber en panne et de provoquer une situation dangereuse quun systme mono-voie. Mais il est possible de le rendre encore plus fiable (pour ce qui est de sa fonction de scurit) si nous lui incluons des fonctionnalits de diagnostic afin de dtecter les dfauts potentiels. Naturellement, une fois un dfaut dtect, il sera ncessaire galement dy ragir et de placer le systme ltat de scurit. Le schma suivant montre lajout de fonctionnalits de diagnostic au systme par lintermdiaire de techniques de surveillance interne. Sous-systme dentre Sous-systme logique
Surveillance

SAFEBOOK 4

Sous-systme de sortie

Surveillance Surveillance

Interrupteur de fin de course

SmartGuard 600

Contacteur de scurit

Systme de scurit deux voies avec diagnostics

Un systme comprend gnralement (mais pas ncessairement toujours) deux voies sur tous ses sous-systmes. Nous constatons sur lexemple que chaque sous-systme possde deux sous-voies . La norme parle de blocs pour dsigner cette configuration. Un sous-systme deux voies possde au minimum deux blocs et un sous-systme une voie au minimum un bloc. Il peut se produire que certains systmes utilisent une combinaison de blocs une et deux voies. Si nous voulons analyser de faon plus approfondie le systme en exemple, nous devons nous intresser particulirement aux composants de ces blocs. Le logiciel SISTEMA utilise le terme d lments pour les dsigner.

77

SAFEBOOK 4

Systmes de commande de scurit pour machines

Elment

Sous-systme dentre

Elment Bloc

Sous-systme logique

Sous-systme de sortie

VOIE 1

Surveillance Surveillance Couplage Contacts

VOIE 2

Couplage Contacts

Bloc

Surveillance

Interrupteur de fin de course Elment Elment

SmartGuard 600 Diagnostics

Contacteur de scurit Diagnostics

Dcomposition dun systme de scurit deux voies avec diagnostics

Dans ce nouveau schma, le sous-systme des interrupteurs de fin de course est prsent dcompos selon ses lments. Le sous-systme du contacteur de sortie est lui dcompos selon ses blocs. Quant au sous-systme logique, il nest pas dcompos. Les fonctions de surveillance relatives aux interrupteurs de fin de course aussi bien quaux contacteurs sont excutes par lautomate. En consquence, les cadres dlimitant les sous-systmes dinterrupteurs de fin de course et de contacteur sont reprsents en lger chevauchement sur le cadre dlimitant le sous-systme logique. Ce principe de dcomposition lmentaire du systme est retenu dans la mthodologie propose par la norme EN ISO 13849-1 ainsi que dans le principe de structuration du systme de base utilis par SISTEMA. Cependant, il est important de noter quil existe quelques diffrences infimes entre les deux. La norme nest pas restrictive quant la mthodologie. Cependant, dans sa mthode simplifie destimation du niveau PL, la premire tape consiste normalement dcomposer la structure du systme en voies et en blocs sur chacune de ces voie. Avec SISTEMA, le systme sera habituellement dcompos en sous-systmes. La norme ne se rfre pas explicitement au concept de sous-systme. Son utilisation par SISTEMA permet cependant dobtenir une approche plus comprhensible et plus intuitive. Il ny a bien sr aucun effet sur le rsultat final. SISTEMA et la norme utilisent des principes et des formules de calcul identiques. Il est galement intressant de noter que lapproche par sous-systmes est galement utilise par la norme EN/CEI 62061.

78

Conception de systme selon la norme EN ISO 13849-1:2008

Le systme que nous avons utilis comme exemple nest autre que lun des cinq types darchitecture systme de base mentionns par la norme. Toute personne familire avec le systme des Catgories identifiera cet exemple comme typique de la Catgorie 3 ou 4. La norme se base en effet sur les catgories originales de la norme EN 954-1 pour la dfinition de ses cinq types darchitecture systme. Elle les appelle catgories darchitecture dsigne . Les exigences propres ces catgories sont presque (mais pas tout fait) identiques celles de la norme EN 954-1. Les catgories darchitecture dsigne sont reprsentes dans les figures suivantes. Il est important de noter quelles peuvent sappliquer un systme complet aussi bien qu un sous-systme. Ces schmas ne doivent pas tre compris uniquement comme la reprsentation dune structure physique. ils sont plutt considrer comme la reprsentation graphique des exigences conceptuelles.

SAFEBOOK 4

Dispositif dentre
Architecture dsigne de Catgorie B

Programme

Dispositif de sortie

Larchitecture dsigne de catgorie B doit utiliser des principes de scurit de base (voir lannexe de la norme EN ISO 13849-2). Le systme ou le sous-systme peut tre mis en dfaut en cas dapparition dune seule dfaillance. Voir la norme EN ISO 13849-1 pour lensemble des exigences applicables.

Dispositif dentre
Architecture dsigne de Catgorie 1

Programme

Dispositif de sortie

Larchitecture dsigne de catgorie 1 prsente la mme structure que celle de catgorie B. Elle peut galement tre mis en dfaut en cas dapparition dune seule dfaillance. Mais, tant donn quelle est tenue dutiliser des principes de scurit plus volus que la catgorie B (voir lannexe de la norme EN ISO 13849-2), lvnement sera moins probable que pour cette catgorie. Voir la norme EN ISO 13849-1 pour lensemble des exigences applicables.

79

SAFEBOOK 4

Systmes de commande de scurit pour machines

Dispositif dentre

Cblage

Programme

Cblage

Dispositif de sortie

Surveillance

Test
Architecture dsigne de Catgorie 2

Test Sortie

Larchitecture dsigne de catgorie 2 doit utiliser des principes de scurit de base (voir lannexe de la norme EN ISO 13849-2). Une fonction de diagnostics de surveillance par lintermdiaire de tests fonctionnels du systme ou du sous-systme, doit galement tre prvue. Ces tests doivent tre effectus au dmarrage, puis priodiquement selon une frquence correspondant au moins cent tests pour chaque sollicitation de la fonction de scurit. Le systme ou le sous-systme peut tout de mme tre mis en dfaut si dune seule dfaillance se produit entre les tests fonctionnels. Mais cela aura gnralement moins de chance de se produire que dans le cas de la catgorie 1. Voir la norme EN ISO 13849-1 pour lensemble des exigences applicables.

Dispositif dentre

Cblage

Programme

Cblage

Dispositif de sortie

Surveillance Surveillance croise

Dispositif dentre

Cblage

Programme

Cblage

Dispositif de sortie

Surveillance
Architecture dsigne de Catgorie 3

Larchitecture dsigne de catgorie 3 doit utiliser des principes de scurit de base (voir lannexe de la norme EN ISO 13849-2). Elle est soumise galement la contrainte que le systme ou le sous-systme ne soit pas mis en dfaut en cas dapparition dune seule dfaillance. Cela signifie que le systme devra prsenter une tolrance une dfaillance unique pour sa fonction de scurit. La faon la plus classique de rpondre cette exigence est dutiliser une architecture deux voies, comme illustr ci-dessus. De plus, il est galement demand que, chaque fois que cest possible, cette dfaillance unique soit dtecte. Cette

80

Conception de systme selon la norme EN ISO 13849-1:2008

exigence est identique celle impose originellement pour la Catgorie 3 par la norme EN 954-1. Dans ce contexte, linterprtation de lexpression chaque fois que cest possible stait avre parfois problmatique. Elle signifiait en effet que la Catgorie 3 pouvait accepter aussi bien un systme redondant mais sans dtection de dfauts (souvent appel de faon image mais juste redondance aveugle ) quun systme redondant dans lequel tous les dfauts isols soient dtects. Cette question a t rgle par la norme EN ISO 13849-1. Celle-ci impose en effet dapprcier la qualit de couverture des tests de diagnostic (DC). Nous pouvons constater que plus la fiabilit [MTTFd] du systme sera leve, plus ce taux DC sera faible. Cependant, il est clair galement que ce taux DC devra tre au moins de 60 % pour une architecture dsigne de catgorie 3.

SAFEBOOK 4

Dispositif dentre

Cblage

Programme

Cblage

Dispositif de sortie

Surveillance Surveillance croise

Dispositif dentre

Cblage

Programme

Cblage

Dispositif de sortie

Surveillance
Architecture dsigne de Catgorie 4

Larchitecture dsigne de catgorie 4 doit utiliser des principes de scurit de base (voir lannexe de la norme EN ISO 13849-2). Elle est soumise un ensemble de contraintes semblables celles applicables la Catgorie 3. Mais elle impose un niveau de surveillance plus lev, cest dire un taux de couverture des tests de diagnostic suprieur. Ceci est indiqu par les pointills en gras qui reprsentent les fonctions de surveillance. Sur le fond, la diffrence entre les Catgories 3 et 4 est la suivante : pour la Catgorie 3 la plupart des dfauts doivent tre dtects, alors que pour la Catgorie 4 tous les dfauts individuels doivent ltre systmatiquement. Le taux de couverture des tests de diagnostic doit, dans ce cas, tre au moins de 99 %. Mme des dfauts combins ne doit pas pouvoir provoquer de dfaillance dangereuse. Donnes de fiabilit La norme EN ISO 13849-1 utilise des donnes de fiabilit quantifies pour le calcul du niveau PL que devra assurer la partie scurit dun systme de commande. Ceci reprsente une diffrence significative par rapport la norme EN 954-1. La premire interrogation que cela soulve est : o pouvons-nous obtenir ces donnes ? Il est toujours possible dutiliser des donnes provenant de tables de fiabilit prouves. Mais la norme indique clairement que la source privilgier est le fabricant. Dans cet esprit, Rockwell Automation met disposition les informations pertinentes concernant ses produits sous forme dune bibliothque de donnes pour SISTEMA. Ces donnes seront galement publies sous dautres formes en temps utile.

81

SAFEBOOK 4

Systmes de commande de scurit pour machines

Avant de poursuivre, nous devons examiner les types de donnes ncessaires et galement comprendre comment elles peuvent tre produites. Le type de donnes idalement requis par la norme (et par SISTEMA) pour dterminer le niveau de performance PL est la probabilit de dfaillance dangereuse par heure PFH. Il sagit de la mme variable que celle dsigne par lacronyme PFHd dans la norme CEI/EN 62061. PL (niveau de performance) a b c d e PFHd (probabilit de dfaillance dangereuse par heure) 105 <104 3 x 106 <105 106 <3 x 106 10 <10
7 6

SIL (niveau dintgrit de scurit) Aucun 1 1 2 3

108 <107

Le tableau ci-dessus montre le rapport entre la valeur PFH et les niveaux PL et SIL. Pour certains sous-systmes, le PFH peut tre obtenu directement auprs du fabricant. Cela facilite grandement les choses pour le calcul. Le fabricant devra gnralement avoir effectu des calculs et/ou des tests relativement complexes sur ses sous-systmes afin dtre en mesure de fournir cette information. Lorsque cette donne nest pas disponible, la norme EN ISO 13849-1 propose une alternative simplifie. Elle est base sur lutilisation de la dure moyenne de fonctionnement avant dfaillance dangereuse (MTTFd) dans le cas dun systme mono-voie. Le niveau PL (et donc le PFH) du systme ou du sous-systme peut ensuite tre calcul en utilisant la mthodologie et les formules de la norme. Ceci sera mme ralis plus facilement encore laide de SISTEMA. Remarque : il est important de retenir que, pour un systme deux voies (avec ou sans diagnostics), il nest pas permis dutiliser le rapport 1/PFHd pour dterminer le MTTFd dans le cadre de la norme EN ISO 13849-1. Cette norme ne fait rfrence en effet quau MTTFd dun systme mono-voie. Cette valeur sera diffrente de celle du MTTFd combin des deux voies dun sous-systme deux voies. Si le PFHd dun sous-systme deux voies est connu, il suffit de lentrer directement dans SISTEMA. MTTFd dun systme mono-voie Cette valeur reprsente le temps moyen avant lapparition dun dfaut pouvant entraner la dfaillance de la fonction de scurit. Elle est exprime en annes. Il sagit de la valeur moyenne des MTTFd des blocs de chaque voie. Elle peut sappliquer un systme aussi bien qu un sous-systme. La norme fournit la formule suivante pour le calcul de la moyenne des MTTFd de tous les lments utiliss dans un systme ou un sous-systme mono-voie.

82

Conception de systme selon la norme EN ISO 13849-1:2008

A ce niveau, la valeur ajoute de SISTEMA apparat vidente. Il fait gagner en effet aux utilisateurs un temps prcieux dans la consultation des tableaux et le calcul de ces formules puisque ces tches sont ralises par le logiciel. Les rsultats finaux peuvent tre imprims sous forme dun rapport en plusieurs pages. (Formule D1 de la norme EN ISO 13849-1) 1 1 nj = = MTTFd i=1 MTTFdi j=1 MTTFdj Dans la plupart des systmes deux voies, celles-ci sont identiques. En consquence, le rsultat de la formule peut sappliquer lune ou lautre voie. Si les voies du systme ou du sous-systme sont diffrentes, la norme fournit une autre formule pour traiter ce cas.

SAFEBOOK 4

MTTFd =

2 MTTFdC1 +MTTFdC2 3

1 1 1 + MTTFdC1 MTTFdC2

Elle revient en fait faire la moyenne des deux moyennes. A des fins de simplification, il est galement permis dutiliser uniquement la valeur de voie la plus dfavorable. La norme classe le MTTFd selon trois niveaux, comme indiqu ci-dessous : valuation du MTTFd de chaque voie Faible Moyen lev
Niveaux MTTFd

Plage de valeurs MTTFd pour chaque voie 3 ans <= MTTFd <10 ans 10 ans <= MTTFd <30 ans 30 ans <= MTTFd <100 ans

Il est noter que la norme EN ISO 13849-1 limite le MTTFd pratique dun sous-systme mono-voie 100 ans maximum, mme si les valeurs relles dtermines par le calcul peuvent savrer parfois bien suprieures. Comme nous le verrons plus loin, la valeur MTTFd ainsi obtenue sera ensuite combine avec la Catgorie darchitecture dsigne et le taux DC de couverture des tests de diagnostic afin dobtenir une estimation provisoire du niveau PL. Le terme provisoire est utilis ici parce que dautres exigences, notamment lintgrit systmatique et les mesures contre les causes de dfaillance communes, devront encore tre satisfaites lorsque cela est ncessaire.

83

SAFEBOOK 4

Systmes de commande de scurit pour machines

Mthodes de dtermination des donnes Il est maintenant ncessaire dexaminer un peu plus en dtail comment les fabricants dterminent leurs donnes de PFHd ou de MTTFd. La comprhension de ce processus est essentielle pour pouvoir utiliser bon escient ces donnes constructeur. Les composants peuvent tre regroups en trois types fondamentaux : Mcaniques (lectromcaniques, mcaniques proprement-dits, pneumatiques, hydrauliques, etc.) lectroniques (utilisant notamment des semi-conducteurs) Logiciels Il existe des diffrences fondamentales entre les mcanismes de dfaillance commune de ces diffrents types de technologies. Sur le fond, on peut les rsumer de la faon suivante : Technologie mcanique : La dfaillance sera proportionnelle la fois la fiabilit intrinsque et au taux dutilisation. Plus le taux dutilisation sera lev, plus les composants auront une chance de se trouver altrs et de tomber en panne. Il convient de noter que ce facteur ne constitue pas la seule cause de dfaillance, mais moins de limiter le temps et les cycles de fonctionnement, il sera prdominant. Il va de soit quun contacteur ayant un cycle de commutation dune fois toutes les dix secondes garantira un fonctionnement fiable bien moins longtemps que le mme contacteur fonctionnant une seule fois par jour. Les dispositifs de type matriel incorporent gnralement des composants conus individuellement pour une utilisation spcifique. Ces composants ont t forms, mouls, couls, usins, etc. Puis ils ont t combins entre eux au moyen daccessoires de couplage, de ressorts, daimants, de bobines lectriques, etc. afin de constituer un mcanisme. Etant donn que ces composants de base ne disposent gnralement pas dhistorique dutilisation dans dautres applications, il ne sera pas possible dobtenir des donnes de fiabilit prexistantes les concernant. Lestimation du PFHd ou du MTTFd pour un mcanisme est normalement bas sur des tests. Les deux normes EN/CEI 62061 et EN ISO 13849-1 mettent en avant une procdure de test dnomme B10d. Dans ce test B10d, un certain nombre dchantillons du dispositif (gnralement au moins dix) sont tests dans des conditions reprsentatives. Le nombre moyen de cycles de fonctionnement obtenus avant que 10 % de ces chantillons prsentent une dfaillance entranant une situation dangereuse, est dsign comme valeur B10d. En pratique, il sera frquent que les chantillons tombant en panne passent en fait dans un tat assurant toujours le maintien des conditions de scurit. Dans ce cas alors, la norme indique que la valeur B10d (danger) peut tre considre comme gale deux fois la valeur B10 (de scurit).

84

Conception de systme selon la norme EN ISO 13849-1:2008

Technologie lectronique : Il nexiste dans ce cas aucune dtrioration physique due la prsence de pices en mouvement. Si lon suppose un environnement de fonctionnement conforme aux caractristiques lectriques, de temprature et autres spcifies, la cause de dfaillance principale dun circuit lectronique sera lie la fiabilit intrinsque de ses composants (ou, plus exactement, leur manque de fiabilit). De nombreuses raisons peuvent tre lorigine de la dfaillance de composants individuels : imperfections introduites pendant la fabrication, surtensions excessives, problmes de connexion mcanique etc. En gnral, les dfaillances de composants lectroniques sont difficiles prvoir par analyse et elles apparaissent comme tant de nature alatoire. En consquence, le test dun dispositif lectronique en laboratoire ne rvlera pas ncessairement de profils types de dfaillance long terme. Pour dterminer la fiabilit de ces dispositifs lectroniques, il faudra donc gnralement avoir recours lanalyse et au calcul. Il est possible de trouver des donnes pertinentes pour les composants spcifiques dans des tableaux de donnes de fiabilit. Il est galement possible de dterminer les modes de dfaillance dangereux dun composant par lanalyse. Il est admis et courant de faire une moyenne pondre entre les modes de dfaillance de scurit (50 %) et dangereux (50 %) du composant. Cela produit gnralement un rsultat de type plutt conservateur . La norme CEI 61508 fournit des formules pouvant tre utilises pour le calcul de la probabilit globale de dfaillance dangereuse PFH ou PFD du dispositif (cest dire, du soussystme). Ces formules sont trs complexes et prennent en compte (lorsquapplicable) la fiabilit du composant, les risques de dfaillance de cause commune (coefficient bta), le taux de couverture des tests de diagnostic (DC), lintervalle entre les tests fonctionnels et lintervalle entre les tests de validit. La bonne nouvelle est que ces calculs complexes seront normalement raliss par le fabricant du dispositif ! Les deux normes EN/CEI 62061 et EN ISO 13849-1 acceptent que le PFHd dun sous-systme soient calcul selon les formules de la norme CEI 61508. Le rsultat de ce calcul pourra tre utilis directement selon lannexe K de la norme EN ISO 13849-1 ou dans loutil de calcul SISTEMA.

SAFEBOOK 4

85

SAFEBOOK 4

Systmes de commande de scurit pour machines

Technologie logicielle : Les dfaillances logicielles sont par nature intrinsquement systmiques. Tout dfaut sera d la faon dont le logiciel a t conu, crit ou compil. Par consquent les dfaillances ne pourront tre causes que par le systme dans lequel elles se produisent, et non par son utilisation. Pour matriser ces dfaillances, il faut donc matriser le systme. Les deux normes CEI 61508 et EN ISO 13849-1 dfinissent des rgles et des mthodologies pour cela. Il nest pas ncessaire dentrer dans le dtail ici. On retiendra simplement quelles utilisent un modle en V classique. Le logiciel intgr est un point non ngligeable pour le concepteur du dispositif. Lapproche traditionnelle consiste dvelopper le logiciel intgr conformment aux mthodes formelles dfinies dans la partie 3 de la norme CEI 61508. En ce qui concerne le programme dapplication, cest dire le logiciel permettant lutilisateur de dialoguer avec le systme, la plupart des dispositifs de scurit programmables sont fournis avec des blocs fonctions ou des sous-programmes certifis . Cela simplifie les tches de validation du programme dapplication. Car il ne faut pas oublier quune fois ce programme dapplication termin, il devra toujours tre valid. La faon dont les blocs sont relis entre eux et paramtrs doit tre contrle et valide par rapport la tche prvue. Les deux normes EN ISO 13849-1 et CEI/EN 62061 fournissent des recommandations pour cette procdure.

Caractristiques des fonctions de scurit

Caractristiques du logiciel de scurit

Validation

Validation

Logiciel valid

Conception du systme

Test dintgration

Conception du module

Test du module

Rsultat Vrification
Modle en V pour le dveloppement du logiciel

Codage

86

Conception de systme selon la norme EN ISO 13849-1:2008

Couverture de diagnostic Nous avons dj abord ce point lorsque nous avons trait des Catgories darchitecture dsigne 2, 3 et 4. Ces Catgories requirent en effet certains tests de diagnostic afin de vrifier que la fonction de scurit est toujours active. Lexpression taux de couverture des tests de diagnostic (traditionnellement dsign par DC) est utilise pour caractriser lefficacit de ces tests. Il est important de raliser que le taux DC nest pas bas uniquement sur le nombre de composants pouvant prsenter une dfaillance dangereuse. Il prend en compte le taux de dfaillance dangereuse total. Le symbole est utilis pour dsigner ce taux de dfaillance . DC exprime la relation entre les taux dapparition des deux types suivants de dfaillance dangereuse : Les dfaillances dangereuses dtectes [dd], cest--dire les dfauts susceptibles de provoquer ou de conduire une perte de la fonction de scurit, mais qui sont dtects. Aprs cette dtection, une fonction de raction au dfaut entranera le passage du dispositif ou du systme ltat de scurit. La dfaillance dangereuse [d], cest--dire lensemble des dfauts pouvant potentiellement provoquer ou conduire une perte de la fonction de scurit. Elle inclut donc les dfauts dtects et ceux qui ne le sont pas. videmment, les dfauts qui sont rellement dangereux sont ceux qui ne sont pas dtects (dsigns par du). La valeur DC est fournie par la formule : DC = dd/d (exprim en pourcentage). La dfinition du taux de couverture de diagnostic DC est commune aux normes EN ISO 13849-1 et EN/CEI 62061. Cependant, la faon de le calculer diffre. La seconde norme propose un calcul bas sur lanalyse du mode de dfaillance, alors que lEN ISO 13849-1 offre une mthode simplifie utilisant des tables de rfrence. Diverses techniques de diagnostic courantes y sont listes avec, en regard, le taux DC quelles sont supposes permettre dobtenir. Dans certains cas, une analyse rationnelle reste cependant ncessaire. Pour certaines de ces techniques en effet, le taux de couverture des tests de diagnostic DC obtenu sera fonction de la frquence laquelle le test est effectu. Cette approche a t parfois critique comme tant trop imprcise. Dans la pratique, lestimation du taux DC sera influence par un grand nombre de variables. Quelle que soit la technique utilise, le rsultat ne pourra donc en gnral pas prtendre un autre qualificatif quapproximatif.

SAFEBOOK 4

87

SAFEBOOK 4

Systmes de commande de scurit pour machines

Il est cependant important de savoir que les tables de rfrence de la norme EN ISO 13849-1 sont le produit de recherches extensives ralises par le BGIA partir des rsultats fournis par des techniques de diagnostic prouves sur des applications relles. Dans un esprit de simplification, la norme rpartit les valeurs DC selon quatre niveaux defficacit de base : <60 % = nul de 60 % <90 % = faible de 90 % <99 % = moyen 99 % = lev Cette approche par niveaux defficacit plutt quen valeurs de pourcentage spcifiques peut galement tre considre comme plus raliste en termes de prcision. Loutil SISTEMA utilise les mmes tables de rfrence que la norme. Avec le dveloppement de lutilisation de composants lectroniques complexes dans les dispositifs de scurit, le facteur DC devient de plus en plus important. Il est penser que les volutions futures des normes apporteront des approfondissements sur ce point. En attendant, une analyse technique rationnelle et un peu de bon sens devraient tre suffisants pour faire le choix optimal du niveau defficacit DC. Dfaillance de cause commune Dans la plupart des systmes ou sous-systmes deux voies (cest dire, ne tolrant quun seul dfaut), le principe du diagnostic est bas sur le postulat quil ne se produira pas de dfaillances dangereuses sur les deux voies en mme temps. Lexpression en mme temps peut tre formule de faon plus exacte ainsi : dans lintervalle entre les tests de diagnostic . Si cet intervalle entre les tests de diagnostic est raisonnablement court (par exemple, infrieur huit heures), il est raisonnable de considrer que deux dfauts distincts et non lis auront peu de chance de se produire dans ce laps de temps. Cependant, la norme prcise clairement quil faut bien sassurer que les possibilits dapparition du dfaut soient distinctes et non lies. Par exemple, si la dfaillance dun composant peut entraner de faon prvisible la dfaillance dautres composants, la rsultante de ces diffrents dfauts combins sera considre comme un dfaut unique. Il est galement possible quun vnement entranant la dfaillance dun composant particulier soit susceptible de provoquer la dfaillance dautres composants. Cest ce quon appelle une dfaillance de cause commune (habituellement dsigne par lacronyme CCF). La propension dapparition dune dfaillance CCF est habituellement symbolise par le coefficient bta ().

88

Conception de systme selon la norme EN ISO 13849-1:2008

Il est trs important que les concepteurs de sous-systmes et de systmes soient sensibiliss aux possibilits dapparition de dfaillances CCF. Il existe de nombreux types de dfaillances CCF et, par consquent, de nombreuses faons de les viter. La norme EN ISO 13849-1 propose une alternative raisonnable entre les extrmes que constituent une trop grande complexit et une trop grande simplification. De la mme faon que la norme EN/CEI 62061 qui adopte, quant elle, une approche essentiellement qualitative. Elle propose une liste de mesures reconnues comme efficaces dans la prvention des dfaillances CCF. N 1 2 3 4 5 6 Mesure contre les dfaillances de cause commune Sparation/isolement Diversification Conception/application/exprience valuation/analyse Comptence/formation Environnement Note 15 20 20 5 5 35

SAFEBOOK 4

Systme dvaluation des dfaillances de cause commune

Un nombre appropri de ces mesures devra tre mis en uvre dans la conception du systme ou du sous-systme. On pourra rtorquer lgitimement que le seul recours cette liste nest certainement pas suffisant pour prvenir tout risque dapparition de dfaillances CCF. Nanmoins, si lesprit de cette liste est bien compris, il apparatra clairement que son premier objectif est dinciter le concepteur analyser les risques dapparition de dfaillances CCF et mettre en uvre les mesures de prvention appropries en fonction de la technologie et des caractristiques de lapplication prvue. Lutilisation de la liste force prendre en compte un certain nombre de techniques fondamentales permettant dobtenir une efficacit maximum. La diversit des modes de dfaillance et des comptences de conception seront ainsi mises en vidence. Loutil SISTEMA de BGIA se base galement sur les tables de rfrence de dfaillances CCF de la norme. Il les prsente sous une forme trs pratique utiliser.

89

SAFEBOOK 4

Systmes de commande de scurit pour machines

Dfauts systmatiques Nous avons dj voqu la question de la quantification des donnes de fiabilit de scurit dans le cadre du MTTFd et de la probabilit de dfaillance dangereuse. Cependant, cette question a dautres ramifications. Lorsque nous avons utilis ces termes, nous faisions rfrence quaux dfauts alatoires par nature. En effet, la norme CEI/EN 62061 parle spcifiquement de probabilit de dfaillance matrielle alatoire (ou PFHd). Mais il existe un type de dfauts, gnriquement appels dfauts systmatiques , qui peuvent dcouler derreurs commises au niveau de la conception ou du processus de fabrication. Un exemple classique en est fourni par les erreurs de programmation logicielle. Dans son Annexe G, la norme dfinit des mesures destines viter ces erreurs (et donc les dfaillances induites). Ces mesures incluent des dispositions telles que lutilisation de matriaux et de techniques de fabrication adapts, des revues de conception, lanalyse et la modlisation sur ordinateur. Il existe galement des vnements prvisibles et des caractristiques susceptibles dapparatre dans lenvironnement dutilisation qui pourront provoquer des dfaillances si leurs effets potentiels ne sont pas sous contrle. LAnnexe G propose galement des mesures ce niveau. Par exemple, il est facile de prvoir quil pourra se produire des pertes occasionnelles dalimentation. En consquence, la mise hors tension des composants devra entraner la mise en scurit du systme. Ces mesures peuvent sembler relever du simple bon sens, et cest le cas. Elles nen sont pas moins essentielles. Toutes les autres rquisitions de la norme deviennent sans objet si la surveillance et la prvention des dfaillances systmatiques ne sont pas considres avec limportance quelles mritent. Cela ncessite parfois galement des mesures de mme type que celles utilises pour le contrle des dfaillances matrielles alatoires (afin de garantir le niveau de PFHd souhait), comme les tests de diagnostic automatiques et lutilisation de matriels redondants. Exclusion de dfauts Lun des outils fondamentaux pour lanalyse des systmes de scurit est lanalyse des dfaillances. Le concepteur et lutilisateur doivent comprendre comment le systme de scurit va fonctionner en prsence de dfauts. De nombreuses techniques existent pour raliser cette analyse. Citons par exemple, lanalyse de larbre des dfaillances, des modes de dfaillance, de leurs effets et de leur criticit, lanalyse de larborescence des vnements et la revue des charge et des rsistances. Au cours de cette analyse, il sera possible de dcouvrir certains dfauts ne pouvant pas tre dtects par les tests de diagnostic automatiques ( moins dimpliquer des cots conomiques disproportionns). De plus, la probabilit dapparition de ces dfauts pourra tre rendue extrmement faible grce lutilisation de mthodes de limitation au niveau de la conception, de la construction et des tests. Dans ces conditions, certains dfauts pourront tre exclus du champ de surveillance. Lexclusion de dfaut consiste ngliger dlibrment un dfaut dont la probabilit dapparition dans le systme de commande de scurit (SRCS) sera ngligeable.

90

Conception de systme selon la norme EN ISO 13849-1:2008

La norme ISO 13849-1:2006 autorise lexclusion de dfauts sur la base de limprobabilit technique de son apparition, de lexprience technique gnralement reconnue et des exigences techniques relatives lapplication. La norme ISO 13849-2:2003 fournit quant elle des exemples et des justifications dexclusion de certains dfauts dans des systmes lectriques, pneumatiques, hydrauliques et mcaniques. Les exclusions de dfauts doivent tre dclares et justifies de faon dtaille dans la documentation technique. Il sera dans certains cas impossible deffectuer lvaluation un systme SRCS sans admettre que certains dfauts doivent tre exclus. Pour plus dinformations sur lexclusion de dfauts, se reporter la norme ISO 13849-2. Plus le niveau de risque devient important, plus la justification de lexclusion de dfauts devient rigoureuse. En gnral, lorsquun niveau de performance PLe est requis pour la mise en uvre dune fonction de scurit par un systme de commande de scurit, il nest pas normal de jouer uniquement sur les exclusions de dfauts pour obtenir ce niveau de performance. Cela dpendra de la technologie utilise et de lenvironnement de travail prvu. Il est donc essentiel que les concepteurs attachent une importance accrue la dfinition des exclusions de dfauts lorsque les exigences de niveau de performance PL augmentent. Par exemple, un systme dinterverrouillage de porte devant garantir un niveau de performance PLe, devra avoir un facteur de tolrance aux pannes minimum de 1 (par exemple, en utilisant deux dtecteurs de position mcaniques conventionnels). Il nest en effet normalement pas admissible dexclure des dfauts tels que des ruptures dactionneurs de contacts ce niveau de performance. Cependant, il peut tre envisag dexclure des dfauts, comme un court-circuit dans le cblage dun panneau de commande conu conformment aux normes applicables. Niveau de performance (PL) Le niveau de performance est une valeur discrte qui dfinit la capacit des composants de scurit du systme de commande excuter une fonction de scurit. Pour valuer le niveau de performance obtenu par la mise en uvre de lune des cinq architectures dsignes, les donnes suivantes sont ncessaire concernant le systme (ou le sous-systme) : La valeur MTTFd (dure moyenne de fonctionnement avant dfaillance dangereuse de chaque voie) Le taux DC (couverture de diagnostic) LArchitecture (la Catgorie)

SAFEBOOK 4

91

SAFEBOOK 4

Systmes de commande de scurit pour machines

Le schma suivant prsente une mthode graphique pour dterminer le niveau PL en combinant ces facteurs. Le tableau se trouvant la fin de ce document prsente les rsultats tabulaires des diffrents modles de Markov qui sont lorigine de ce schma. On se rfrera ce tableau lorsquune estimation plus prcise est ncessaire.

Niveau de performance

a b c d e
DCmoyAucun DCmoyAucun DCmoyFaible DCmoyMoyen DCmoyFaible DCmoyMoyen DCmoylev

Cat B

Cat 1

Cat 2

Cat 2

Cat 3

Cat 3

Cat 4

MTTFd Faible MTTFd Moyen MTTFd lev

Dtermination graphique du niveau de performance PL

Dautres conditions sont galement satisfaire pour atteindre le niveau PL requis. Elles comprennent les dispositions relatives aux dfaillances de cause commune, aux dfaillances systmatiques, aux conditions ambiantes et au temps de mission. Si la valeur PFHd du systme ou du sous-systme est connue, le tableau 10.4 (dans lAnnexe K de la norme) peut tre utilis pour dduire le niveau PL. Conception et combinaison de sous-systmes Des sous-systmes ayant un niveau PL valid peuvent tre combins simplement dans un systme global laide du tableau 10.3. Le principe de ce tableau est simple comprendre. Premirement, la valeur du systme est celle de son sous-systme le plus faible. Deuximement, plus il y a de sous-systmes, plus la possibilit de pannes est grande.

92

Conception de systme selon la norme EN ISO 13849-1:2008

PLlow a Nlow >3 3 >2 2 >2 2 >3 3 >3 3 PL non autoris a a b b c c d d e
Calcul du niveau de performance PL dans le cas de sous-systmes associs en srie

SAFEBOOK 4

Dans le systme prsent ci-dessous en exemple, les niveaux de performances les plus faibles sont ceux des sous-systmes 1 et 2. Tous deux sont en effet de niveau PLb. En consquence, en suivant la ligne b (au niveau de la colonne PLlow), puis la ligne infrieur ou gal 2 (au niveau de la colonne Nlow) sur le tableau, nous trouvons que le niveau PL global du systme est b (dans la colonne PL). Si les trois sous-systmes taient de niveau PLb, le niveau PL global obtenu serait PLa.

Sous-systme 1

Sous-systme 2

Sous-systme 3

PLb

PLb

PLc

Combinaison de sous-systmes en srie dans un systme de niveau PLb

Validation La validation joue un rle trs important dans les processus de dveloppement et de mise en service du systme de scurit. La norme ISO/EN 13849-2:2003 dfinit les rgles de cette validation. Elle fait appel un plan de validation et propose pour raliser ces validations des techniques de test et danalyse, comme lanalyse de larbre des dfaillances ou lanalyse des modes de dfaillance, de leurs effets et de leur criticit (AMDEC). La plupart de ces exigences sappliquent gnralement au fabricant du sous-systme plutt qu son utilisateur. Mise en service de la machine Lors de la phase de mise en service du systme ou de la machine, la validation des fonctions de scurit doit tre excute dans tous les modes de fonctionnement. Elle doit inclure toutes les situations normales ainsi que les situations anormales prvisibles. Les diffrentes combinaisons dentres et de squences de fonctionnement doivent galement tre prises en compte. Cette procdure est importante. Il est en effet ncessaire de toujours vrifier ladquation du systme aux conditions de fonctionnement et denvironnement relles. Certaines de ces conditions en effet peuvent savrer diffrentes de celles qui avaient prvues lors de la conception.

93

SAFEBOOK 4

Systmes de commande de scurit pour machines

Conception du systme selon la norme CEI/EN 62061
La norme CEI/EN 62061, Scurit des machines Scurit fonctionnelle des systmes de commande lectriques, lectroniques et lectroniques programmables relatifs la scurit , est la version adapte spcifiquement aux machines de la norme CEI/EN 61508. Elle dfinit les rgles applicables la conception des systmes de commande lectriques relatifs la scurit pour ces machines. Elle sapplique galement la conception des sous-systmes et des dispositifs peu complexes. Lvaluation des risques dbouche sur une stratgie de rduction des risques. Celle-ci permet son tour didentifier les fonctions de commande de scurit ncessaires. Ces fonctions doivent tre dcrites en intgrant les lments suivants : les spcifications des exigences fonctionnelles ; les spcifications des exigences dintgrit de scurit. Les exigences fonctionnelles regroupent un certain nombres de points comme la frquence de fonctionnement, le temps de rponse ncessaire, les modes de fonctionnement, les cycles de travail, les conditions dutilisation et les fonctions de raction aux dfauts. Les exigences dintgrit de scurit sont classes selon diffrents niveaux appels niveaux dintgrit de scurit SIL (Safety Integrity Level). En fonction de la complexit du systme, tout ou partie des lments du tableau ci-dessous devront tre pris en compte pour dterminer si la configuration du systme est conforme la classification SIL ncessaire. lments prendre en compte pour la classification SIL Probabilit de dfaillance dangereuse par heure Tolrance aux pannes matrielles Proportion de dfaillances non dangereuses Intervalle entre tests de validit Intervalle entre tests de diagnostic Sensibilit aux dfaillances de cause commune Taux de couverture des tests de diagnostic
lments prendre en compte pour la dtermination du niveau SIL

Symbole PFHd Pas de symbole SFF T1 T2 DC

Sous-systmes Le terme sous-systme a une signification particulire dans la norme CEI/EN 62061. Cest le premier niveau de la dcomposition dun systme en sous-parties qui, si elles viennent se mettre en dfaut, entraneront la dfaillance de la fonction de scurit. Par consquent, si

94

Conception de systme selon la norme CEI/EN 62061

deux interrupteurs redondants sont utiliss dans un systme, ces interrupteurs ne constituent pas individuellement un sous-systme. Cest lensemble de ces deux interrupteurs et les ventuelles fonction de diagnostic associes qui constitue le sous-systme. Probabilit de dfaillance dangereuse par heure (PFHd) La norme CEI/EN 62061 utilise les mmes mthodes de base que celles prsentes dans le chapitre relatif la norme EN ISO 13849-1 pour dterminer le taux de dfaillance au niveau des composants. Des dispositions et des mthodes identiques sappliquent aux composants mcaniques et lectroniques. Dans la norme CEI/EN 62061 il nest cependant pas fait rfrence une valeur MTTFd exprime en annes. Le taux de dfaillance horaire () sera calcul soit directement, soit au moyen, ou partir, de la valeur B10 selon la formule suivante : = 0,1 x C/B10 (dans laquelle C = nombre de cycles de fonctionnement par heure) Il existe une diffrence de mthodologie significative entre les deux normes pour la dtermination du PFHd total dun sous-systme ou dun systme. Une analyse des composants doit ici tre ralise afin de dterminer la probabilit de dfaillance des sous-systmes. Des formules simplifies sont fournies pour le calcul des architectures courantes de sous-systme (dcrites plus loin). Lorsque ces formules ne sont pas adaptes, il sera ncessaire dutiliser des mthodes de calcul plus complexes, comme les modles de Markov. Les probabilits de dfaillance dangereuse (PFHd) de chaque sous-systme seront alors additionnes pour dterminer le PFHd total du systme. Le tableau 15 (Tableau 3 dans la norme) peut alors tre utilis pour dterminer le niveau dintgrit de scurit SIL adapt cette valeur de PFHd. DssB = (1-)2 x De1 x De2 x T1 + x (De1 + De2)/2 Les formules correspondant cette architecture prennent en compte une disposition en parallle des lments du sous-systme et agrgent les deux lments suivants provenant du tableau prcdent : le coefficient (bta) exprime la sensibilit aux dfaillances de cause commune SIL (niveau dintgrit de scurit) 3 2 1
Probabilit de dfaillance dangereuse par rapport aux niveaux SIL

SAFEBOOK 4

PFHd (probabilit de dfaillance dangereuse par heure) 108 <107 107 <106 106 <105

95

SAFEBOOK 4

Systmes de commande de scurit pour machines

Les donnes de PFHd dun sous-systme sont gnralement fournies par le fabricant du matriel. Les informations relatives aux composants et systmes de scurit de Rockwell Automation sont disponibles sous diffrentes formes, et notamment ladresse : www.discoverrockwellautomation.com/safety La norme CEI/EN 62061 tablit clairement galement que des tables de donnes de fiabilit peuvent tre utiliss le cas chant. Pour les dispositifs lectromcaniques peu complexes, le mcanisme dapparition de panne est gnralement li au nombre et la frquence des oprations plutt quau temps simplement. En consquence, dans le cas de ces composants, les donnes sont obtenues partir de tests types (comme par exemple, le test B10 dcrit dans le chapitre sur la norme EN ISO 13849-1). Des informations relatives lapplication, comme le nombre de cycles de fonctionnement attendus par an, seront alors ncessaires pour convertir la valeur B10d, ou les donnes similaires, en PFHd. Remarque : la relation suivante est gnralement vrifie (sous rserve de lapplication ventuelle dun facteur de conversion des annes en heures) : PFHd = 1/MTTFd Cependant, il faut toujours avoir lesprit que, pour un systme deux voies (avec ou sans diagnostics), il nest pas permis dutiliser le rapport 1/PFHd pour calculer le paramtre MTTFd requis par la norme EN ISO 13849-1. Cette norme fait en effet rfrence au MTTFd uniquement dans le cadre de systmes mono-voie. Cest une valeur trs diffrente du MTTFd rsultant de la combinaison des deux voies dun sous-systme deux voies. Contraintes architecturales La particularit essentielle de la norme CEI/EN 62061 est la division du systme de scurit en sous-systmes. Le niveau dintgrit de scurit de son matriel pouvant tre revendiqu par un sous-systme est non seulement limit par son PFHd, mais aussi par sa tolrance aux dfauts matriels et sa proportion de dfaillances non dangereuse (SFF). La tolrance aux dfauts matriels dfinit la capacit du systme excuter sa fonction en prsence de dfauts. Une tolrance aux dfauts gale zro signifie que la fonction ne sera plus excute ds lors quun seul dfaut se produira. Une tolrance aux dfauts de un autorisera le soussystme excuter sa fonction en prsence dun dfaut unique. La proportion de dfaillances non dangereuses (SFF) reprsente la fraction du nombre de dfauts total nentranant pas de dfaillance dangereuse. La combinaison de ces deux lments constitue ce quon appelle la contrainte architecturale. Elle dtermine le niveau SIL maximum ralisable ou SIL CL. Le tableau suivant prsente cette relation entre la contrainte architecturale et le niveau SIL CL. Un sous-systme (et donc son systme) doit respecter la fois les exigences de PFHd et les contraintes architecturales. De mme quil doit satisfaire toutes les autres dispositions applicables de la norme.

96

Conception de systme selon la norme CEI/EN 62061

Proportion de dfaillances non dangereuses (SFF) <60 % 60 % <90 % 90 % <99 % 99 %
Contraintes architecturales et niveaux SIL

SAFEBOOK 4

Tolrance aux pannes matrielles 0 Non autoris sauf exception particulire SIL 1 SIL 2 SIL 3 1 SIL 1 SIL 2 SIL 3 SIL 3 2 SIL 2 SIL 3 SIL 3 SIL 3

Par exemple, une architecture de sous-systme possdant une tolrance un seul dfaut et une proportion de dfaillances non dangereuses de 75 % sera limite un niveau maximal SIL 2, quelle que soit sa probabilit de dfaillance dangereuse. Lorsque des sous-systmes sont combins, le niveau SIL global du systme SRCS rsultant sera limit un niveau infrieur ou gal au niveau SIL CL le plus bas de tous les sous-systmes participant la fonction de commande de scurit. Ralisation du systme Pour calculer la probabilit de dfaillance dangereuse, chaque fonction de scurit doit tre dcompose en blocs fonctionnels qui seront ensuite utiliss comme base des sous-systmes. La conception traditionnelle dun systme destin lexcution dune fonction de scurit consiste en un dispositif de dtection connect un dispositif logique lui-mme connect un actionneur. Ceci constitue une disposition en srie de ces sous-systmes. Comme nous lavons vu prcdemment, si nous pouvons dterminer la probabilit de dfaillance dangereuse de chaque sous-systme et connatre son niveau SIL CL, il sera alors facile de calculer la probabilit de dfaillance du systme en additionnant les probabilits de dfaillance de chacun de ses sous-systmes. Ce principe est illustr ci-dessous.

SOUS-SYSTME 1
Dtection de position
Critres fonctionnels et dintgrit CEI/EN 62061 Contraintes architecturales

SOUS-SYSTME 2
Rsolution de programme
Critres fonctionnels et dintgrit CEI/EN 62061 Contraintes architecturales

SOUS-SYSTME 3
Actionneurs de sortie
Critres fonctionnels et dintgrit CEI/EN 62061 Contraintes architecturales

SIL CL 2 PFHd = 1x107

SIL CL 2 PFHd = 1x107

SIL CL 2 PFHd = 1x107 + PFHd 3 + 1x107

= PFHd 1 + PFHd 2 = 1x107 + 1x107 = 3x107 c.--d., convenant SIL 2

97

SAFEBOOK 4

Systmes de commande de scurit pour machines

Si, par exemple, nous souhaitons obtenir un niveau SIL 2, chaque sous-systme doit avoir un niveau dintgrit maximum SIL CL dau moins SIL 2. La somme des probabilits de dfaillance dangereuse (PFHd) du systme ne doit par ailleurs pas dpasser les limites indique dans le prcdent tableau Probabilit de dfaillance dangereuse par rapport aux niveaux SIL . Conception de sous-systme selon la norme CEI/EN 62061 Lorsque le concepteur du systme utilise des composants dj prt lemploi dans des sous-systmes conformes la norme CEI/EN 62061, les choses deviennent beaucoup plus simples car les exigences propres la conception des sous-systmes ne sappliqueront pas dans ce cas. Ces exigences sont, en gnral, dj intgres par le fabricant du dispositif (sous-systme). Cest un avantage car elles sont bien plus complexes que celles requises pour la conception du systme proprement-dit. La norme CEI/EN 62061 impose que les sous-systmes complexes comme les automates de scurit soient conformes la norme CEI 61508 ou aux autres normes applicables. Cela implique que les dispositifs utilisant des composants lectroniques programmables complexes bnficieront de toute la rigueur de la norme CEI 61508. Or, son application est parfois trs stricte et exigeante. Par exemple, lvaluation de la probabilit de dfaillance dangereuse (PFHd) dun sous-systme complexe peut savrer un processus trs complexe faisant appel des techniques comme les modles de Markov, les schmas fonctionnels de fiabilit ou lanalyse de larbre des dfaillances. La norme CEI/EN 62061 dfinit des rgles applicables la conception des sous-systmes de moindre complexit. Sont habituellement concerns des composants lectriques relativement simples, comme les interrupteurs dinterverrouillage et les relais de surveillance de scurit lectromcaniques. Les exigences ne sont pas aussi pointues que celles de la norme CEI 61508. Mais leur application peut cependant savrer trs dlicate. La norme CEI/EN 62061 retient quatre architectures de sous-systme logique et propose des formules de calcul correspondantes. Celles-ci peuvent tre utilises pour valuer la probabilit de dfaillance dangereuse (PFHd) dun sous-systme de faible complexit. Ces architectures sont purement des reprsentations logiques. Elles ne doivent pas tre considres comme des architectures physiques. Ces quatre architectures sont rsumes dans les schmas suivants. Pour les architectures de sous-systme de base reprsentes ci-dessous, les probabilits de dfaillance dangereuse sajoutent simplement les unes aux autres.

98

Conception de systme selon la norme CEI/EN 62061

Sous-systme A Elment 1 du sous-systme De1 Elment n du sous-systme Den

SAFEBOOK 4

Architecture de sous-systme logique de type A

DssA= De1 + . . . + Den PFHDssA = DssA x 1h (lambda) est utilis pour indiquer le taux de dfaillance. Lunit de mesure de ce taux de dfaillance est le nombre de dfaillances par heure. D indique le taux de dfaillances dangereuses. DssA dsigne quant lui le taux de dfaillance dangereuse du sous-systme A ; cest la somme des taux de dfaillance des lments individuels, e1, e2, e3, en inclus. La probabilit de dfaillance dangereuse est multiplie par 1 heure pour crer la probabilit de dfaillance par heure. Le schma suivant prsente un systme tolrance de dfaut unique sans fonction de diagnostic. Lorsque larchitecture na ainsi quune tolrance de dfaut unique, il existe un risque potentiel de dfaillance de cause commune prendre en considration. Les effets des dfaillances de cause commune sont brivement dcrits plus loin dans ce chapitre. Sous-systme B Elment 1 du sous-systme De1 Elment 2 du sous-systme De2
Architecture de sous-systme logique de type B

Dfaillance de cause commune

DssB = (1-)2 x De1 x De2 x T1 + x (De1 + De2)/2 PFHDssB = DssB x 1h Les formules propres cette architecture intgrent la disposition en parallle des lments du sous-systme et agrgent les deux lments suivants provenant du prcdent tableau lments prendre en compte pour la dtermination du niveau SIL .

99

SAFEBOOK 4

Systmes de commande de scurit pour machines

la sensibilit aux dfaillances de cause commune (bta) ; T1 lintervalle entre les tests de validit ou la dure vie (la plus petite valeur des deux). Les tests de scurit sont conus pour dtecter les dfauts et les dtriorations de fonctionnement du sous-systme de scurit afin de permettre sa restauration ventuelle. En pratique, cela signifiera gnralement son remplacement (cela correspond au concept de temps de mission de la norme EN ISO 13849-1). Le schma suivant est la reprsentation fonctionnelle dun systme tolrance zro dfaut avec fonction de diagnostic. La couverture de diagnostic est utilise pour rduire la probabilit de pannes matrielles dangereuses. Les tests de diagnostic sont ralis automatiquement. La dfinition du taux de couverture des tests de diagnostic est la mme que dans la norme EN ISO 13849-1. Il sagit du rapport entre le taux de dfaillances dangereuses dtectes et le taux de dfaillances dangereuses global. Sous-systme C Elment 1 du sous-systme De1 Elment n du sous-systme Den

Fonction(s) de diagnostic
Architecture de sous-systme logique de type C

DssC = De1 (1-DC1)+ . . . + Den (1-DCn) PFHDssC = DssC x 1h Ces formules incluent le taux de couverture des tests de diagnostic (DC) pour chacun des lments du sous-systme. Les taux de dfaillances de chaque sous-systme sont diminus de la valeur du taux de couverture des tests de diagnostic correspondante. Ci-dessous est prsent le quatrime exemple darchitecture de sous-systme. Ce soussystme a une tolrance de dfaut unique et inclut une fonction de diagnostic. Le risque potentiel de dfaillance de cause commune doit galement tre pris en considration avec les systme tolrance de dfaut unique.

100

Conception de systme selon la norme CEI/EN 62061

Sous-systme D Elment 1 du sous-systme De1

SAFEBOOK 4

Dfaillance de cause commune

Fonction(s) de diagnostic

Elment 2 du sous-systme De2

Architecture de sous-systme logique de type D

Si les lments du sous-systme sont diffrents, les formules suivantes sont utilises : DssD = (1 )2 { De1 x De2 x (DC1 + DC2) x T2/2 + De1 x De2 x (2- DC1 DC2) x T1/2 } + x (De1 + De2)/2 PFHDssD = DssD x 1h Si les lments du sous-systme sont identiques, les formules suivantes sont utilises : DssD = (1 )2 {[ De2 x 2 x DC] x T2/2 + [De2 x (1-DC)] x T1 }+ x De PFHDssD = DssD x 1h On remarquera que les deux formules utilisent un paramtre supplmentaire, lintervalle de diagnostic T2. Il sagit simplement dun contrle priodique de la fonction. Il est moins complet que le test de validit. titre dexemple, nous prendrons les valeurs suivantes et nous considrerons que les lments du sous-systme sont diffrents : = 0,05 De = 1 x 106 dfauts/heure T1 = 87 600 heures (10 ans) T2 = 2 heures DC = 90 % PFHDssD = 5.791E-08 pannes dangereuses par heure. On se trouve donc dans la plage correspondant au niveau SIL 3

101

SAFEBOOK 4

Systmes de commande de scurit pour machines

Effet de lintervalle entre les tests de validit La norme CEI/EN 62061 indique quun intervalle entre tests de validit PTI (Proof Test Interval) de 20 ans est souhaitable (mais non obligatoire). Voyons leffet de cet intervalle entre les tests de validit sur le systme. Si nous recalculons la formule avec T1 = 20 ans, nous obtenons une valeur PFHDssD = 6.581E-08. Ce rsultat se trouve toujours dans la plage requise pour le niveau SIL 3. Pour son calcul du taux de dfaillance dangereuse global, le concepteur gardera lesprit que ce sous-systme particulier doit tre combin dautres sous-systmes. Analyse des effet des dfaillances de cause commune Voyons maintenant leffet que les dfaillances de cause commune ont sur le systme. Supposons que nous prenions des mesures supplmentaires et que notre valeur (bta) passe 1 % (0,01), alors que lintervalle entre tests de validit reste 20 ans. Le taux de dfaillance dangereuse passera alors 2.71E-08. Ceci signifie que le sous-systme sera ainsi mieux adapt une utilisation dans un systme SIL 3. Dfaillance de cause commune (CCF) Une dfaillance de cause commune est cause par un ensemble de dfauts caractre dangereux ayant une cause identique. Les informations relatives aux dfaillance de cause commune sont gnralement ncessaires uniquement au concepteur du sous-systme, habituellement son fabricant. Elles sont utilises dans la formule prcdemment fournie pour lestimation de la valeur PFHd dun sous-systme. Elles ne sont gnralement pas ncessaire au niveau de la conception du systme. LAnnexe F de la norme CEI/EN 62061 propose une approche simple pour estimer la valeur CCF. Le tableau suivant prsente un rsum de la mthode dvaluation utilise. N 1 2 3 4 5 6 Mesure contre les dfaillances de cause commune Sparation/isolement Diversification Conception/application/exprience valuation/analyse Comptence/formation Environnement Note 25 38 2 18 4 18

Grille dvaluation des mesures contre les dfaillances de cause commune

Des points sont attribus pour chaque mesure spcifique mise en uvre contre les pannes dorigine commune. Ces points sont totaliss pour dterminer le coefficient de dfaillance de

102

Conception de systme selon la norme CEI/EN 62061

cause commune, tel que prsent dans le tableau suivant. Ce coefficient bta est utilis pour la modlisation des sous-systme afin d ajuster le taux de dfaillance. Note globale <35 35 65 65 85 85 100
Coefficient bta de dfaillance de cause commune

SAFEBOOK 4

Coefficient de dfaillance de cause commune () 10 % (0,1) 5 % (0,05) 2 % (0,02) 1 % (0,01)

Taux de couverture des tests de diagnostic (DC) Des tests de diagnostic automatiques sont utiliss pour rduire la probabilit de dfaillances matrielles dangereuses. Lidal serait de pouvoir dtecter toutes les dfaillances matrielles dangereuses. Mais en pratique, la valeur maximale est fixe 99 % (cest dire 0,99). Le taux de couverture des tests de diagnostic est le rapport entre la probabilit de dfaillances dangereuses dtectes et la probabilit de dfaillances dangereuses totale. Probabilit de dfaillances dangereuses dtectes, DD DC = ---------------------------------------------------------------------------Probabilit de dfaillances dangereuses totale, Dtotal La valeur DC sera toujours comprise entre zro et un. Tolrance aux dfauts matriels La tolrance aux dfauts matriels reprsente le nombre de dfauts quun sous-systme peut supporter avant de provoquer une dfaillance dangereuse. Par exemple, une tolrance aux dfauts matriels de 1 signifie que 2 dfauts pourront entraner la perte de la fonction de commande de scurit (mais pas un dfaut seul). Gestion de la scurit fonctionnelle La norme fixe des rgles de contrle des activits techniques et de gestion affrentes lexploitation dun systme de commande de scurit lectrique.

103

SAFEBOOK 4

Systmes de commande de scurit pour machines

Intervalle entre tests de validit Lintervalle entre tests de validit reprsente la dure au bout de laquelle il sera ncessaire de recontrler entirement le sous-systme ou de le remplacer afin de garantir quil soit toujours ltat comme neuf . En pratique, dans le secteur des machines, ceci est obtenu par remplacement. Lintervalle entre tests de validit est donc gnralement assimil la dure de vie. La norme EN ISO 13849-1:2008 parle, elle, de Temps de mission. Un test priodique est un contrle destin dtecter les dfauts et les dtriorations dun systme de commande de scurit. Il doit permettre la restauration de ce systme dans un tat aussi proche que possible de son tat neuf. Ce test priodique doit pouvoir dtecter 100 % des dfaillances dangereuses. Les voies spares doivent tre testes sparment. A linverse des tests de diagnostic qui sont automatiques, les tests de validit sont gnralement raliss manuellement et hors ligne. Du fait de leur caractre automatique, les tests de diagnostic sont effectus frquemment, alors que les tests de validit sont raliss ponctuellement. Par exemple, le cblage dun dispositif dinterverrouillage mont sur une grille de protection pourra tre contrl automatiquement pour y dtecter dventuels courts-circuits et coupures de circuits au moyen dun test de diagnostic (par exemple, par impulsions). Lintervalle entre tests de validit doit tre spcifi par le fabricant. Parfois, le fabricant fournit diffrents intervalles entre tests de validit. Proportion de dfaillances non dangereuses (SFF) La proportion de dfaillances non dangereuses est similaire au taux de couverture des tests de diagnostic, mais elle prend de plus en compte la propension inhrente au systme se mettre en scurit en cas dapparition de dfaut. Par exemple, lorsquun fusible grille, il y a apparition dun dfaut. Mais il est trs probable que ce dfaut ne se traduira que par une coupure du circuit. Dans la plupart des cas, il sagira donc dune dfaillance non dangereuse . La valeur SFF exprime le rapport : (somme des dfaillances non dangereuses plus nombre de dfaillances dangereuses dtectes) sur (somme des dfaillances non dangereuses plus nombre de dfaillances dangereuses dtectes et non dtectes). Il est important de retenir que les seuls types de dfaillances pris en considration ici sont ceux qui ont un effet sur la fonction de scurit. La plupart des dispositifs mcaniques peu complexes, comme les boutons darrt durgence ou les dispositifs dinterverrouillage, possdent (intrinsquement) une certaine proportion de dfaillances non dangereuses. La plupart des dispositifs lectroniques de scurit sont conus de faon redondante et avec des fonctionnalits dauto-contrle. Une valeur SFF suprieure 90 % y est donc courante. Elle rsultera cependant le plus souvent totalement du taux de couverture des tests de diagnostic. La valeur SFF est normalement fournie par le fabricant.

104

Conception du systme selon la norme CEI/EN 62061

La proportion de dfaillances non dangereuses (SFF) peut tre calcule laide de lquation suivante : SFF = ( S + DD)/( S + D) dans laquelle : S = nombre de dfaillances non dangereuses ; S + D = nombre de dfaillances total ; DD = nombre de dfaillances dangereuses dtectes ; D = nombre de dfaillances dangereuses. Dfaillance systmatique La norme dfinit des rgles pour maintenir sous contrle et viter les dfaillances systmatiques. Les dfaillances systmatiques sont diffrentes des dfaillances matrielles alatoires. Celles-ci sont des pannes pouvant survenir nimporte quel moment et qui rsultent gnralement dune dgradation des composants matriels. Les types de dfaillance systmatique les plus courants sont les erreurs de conception du logiciel, les erreurs de conception du matriel, les erreurs de spcification de paramtres et de procdure de fonctionnement. Voici quelques exemples de mesures prendre pour viter ces dfaillances systmatiques : slection, combinaison, disposition, assemblage et installation appropris des composants ; utilisation de bonnes pratiques dingnierie ; respect des caractristiques et des instructions de montage du fabricant ; respect de la compatibilit entre les composants ; prise en compte des conditions denvironnement ; utilisation de matriaux appropris.

SAFEBOOK 4

105

SAFEBOOK 4

Systmes de commande de scurit pour machines

Systmes de commande de scurit, considrations relatives la structure
Prsentation Ce chapitre aborde les aspects et les principes gnraux de type structurels prendre en considration lors de la conception dun systme de commande de scurit, quelle que soit la norme suivie. Il reprend majoritairement lapproche par Catgories de lancienne norme EN 954-1. Ces Catgories sintressent en effet principalement la structure des systmes de commande. Catgories de systmes de commande Les catgories de systmes de commande ont t introduites par lancienne norme EN 954-1:1996 (ISO 13849-1:1999). Elles sont cependant toujours frquemment utilises pour dcrire les systmes de commande de scurit et font toujours partie intgrante de la norme EN ISO 13849-1, comme nous lavons vu au chapitre Systmes de commande de scurit et scurit fonctionnelle . Il existe cinq catgories dcrivant la performance de raction aux dfauts dun systme de commande de scurit. On se reportera au tableau 19 pour le rsum de ces catgories. Les remarques suivantes sont formuler concernant ce tableau. Remarque 1 : la Catgorie B ne propose aucune mesure de scurit particulire par ellemme, mais elle constitue la base pour les autres catgories. Remarque 2 : une srie de plusieurs dfaillances dues une cause dorigine commune ou aux consquences invitables dune dfaillance initiale, doit tre considre comme une dfaillance unique. Remarque 3 : le nombre de dfauts pris en compte peut se limiter deux dfauts combins si cela est justifi. Mais, dans le cas de circuits complexes (systmes microprocesseur par exemple), il peut savrer ncessaire de prendre en compte un plus grand nombre de dfauts combins. La Catgorie 1 vise la prvention des dfaillances. Celle-ci est obtenue par lutilisation de principes de conception, de composants et de matriaux adapts. Les lments-cls pour cette catgorie sont la simplicit du principe et de la conception, ainsi que la stabilit et le comportement dans le temps des matriaux. Les Catgories 2, 3 et 4 supposent que les pannes soient dtectes dans le cas o elles ne peuvent pas tre prvenues, et que des mesures appropries soient prises. La redondance, la diversification et la surveillance sont les lments-cls pour ces catgories. La redondance est la duplication dune mme technique de protection. La diversification consiste utiliser deux techniques diffrentes. La surveillance consiste contrler ltat des dispositifs de scurit, puis dclencher des actions appropries selon cet tat. La mthode habituellement utilise (mais pas ncessairement la seule) pour raliser cette surveillance est le ddoublement des fonctions de scurit critiques et la comparaison de leur fonctionnement.

106

Systmes de commande de scurit, considrations relatives la structure

Rsum des exigences
CATGORIE B (voir Remarque 1)
La partie des systmes de commande relative la scurit et/ou leur quipement de protection ainsi que ses composants, doit tre conue, fabrique, slectionne et assemble conformment aux normes applicables de faon pouvoir rsister aux contraintes attendues. Les principes de scurit de base doivent tre appliqus.

SAFEBOOK 4

Comportement du systme
Lorsquune dfaillance se produit, elle peut entraner la perte de la fonction de scurit.

CATGORIE 1
Les exigences de la Catgorie B sappliquent avec en plus lutilisation de principes et de composants de scurit prouvs.

Comme indiqu pour la Catgorie B mais avec une fiabilit suprieure de la fonction de scurit. (Plus la fiabilit est leve, plus la probabilit de dfaillance est faible.) La perte de la fonction de scurit est dtecte par le contrle. Lapparition dun dfaut entre deux contrles priodiques peut conduire la perte de la fonction de scurit.

CATGORIE 2
Les exigences de la Catgorie B ainsi que lutilisation dun principe de scurit prouv sont applicables. La ou les fonction(s) de scurit sont contrles au dmarrage de la machine et priodiquement par le systme de commande. Si un dfaut est dtect, la mise en scurit de la machine doit tre effectue ou, si cest impossible, une alarme doit tre dclenche. La norme EN ISO 13849-1 postule que la frquence de test est au moins 100 fois suprieure la frquence de sollicitation. De mme, elle postule que la valeur MTTFd du dispositif de test externe est suprieure la moiti de celle de lquipement test.

CATGORIE 3 (voir Remarques 2 et 3)

Les exigences de la Catgorie B ainsi que lutilisation dun principe de scurit prouv sont applicables. Le systme doit tre conu de telle sorte que lapparition dun dfaut unique sur nimporte lequel de ses composants ne puisse entraner la perte de la fonction de scurit. Lorsque cest ralisable, ce dfaut unique devra pouvoir tre dtect.

La fonction de scurit reste assure mme en prsence dun dfaut unique. Certains dfauts, mais pas ncessairement tous, sont dtects. Une accumulation de dfauts non dtects peut conduire la perte de la fonction de scurit.

CATGORIE 4 (voir Remarques 2 et 3)

Les exigences de la Catgorie B ainsi que lutilisation dun principe de scurit prouv sont applicables. Le systme doit tre conu de telle sorte que lapparition dun dfaut unique sur nimporte lequel de ses composants ne puisse entraner la perte de la fonction de scurit. Ce dfaut unique devra pouvoir tre dtect lors de lappel de la fonction de scurit ou avant lappel suivant. Si cette dtection est impossible, une accumulation de dfauts ne devra pas conduire la perte de la fonction de scurit.

La fonction de scurit reste toujours active, mme en cas de dfaillances multiples. Les dfauts seront dtects temps pour empcher la perte des fonctions de scurit.

107

SAFEBOOK 4

Systmes de commande de scurit pour machines

Catgorie B La catgorie B dfinit les critres de base pour tout systme de commande, quil soit de scurit ou non. Un systme de commande doit pouvoir fonctionner dans lenvironnement pour lequel il prvu. Le concept de fiabilit fournit une base pour la caractrisation des systmes de commande. La fiabilit est en effet dfinie comme la probabilit pour un dispositif dexcuter la fonction pour laquelle il a t conu dans un laps de temps dfini et dans des conditions attendues. La Catgorie B nimpose que la mise en uvre de principes de scurit lmentaires. La norme ISO 13849-2 dfinit les principes de scurit de base pour les systmes lectriques, pneumatiques, hydrauliques et mcaniques. Les critres de scurit lectriques peuvent tre rsums ainsi : Choix, combinaison, disposition, montage et installation conformes (cest--dire, suivant les instructions du fabricant) Compatibilit des composants en termes de tension et dintensit Tenue aux conditions ambiantes Utilisation du principe de coupure des alimentations Suppression des transitoires Limitation du temps de rponse Protection contre les redmarrages accidentels Fixation scurise des capteurs (exemple : montage des dispositifs dinterverrouillage) Protection du circuit de commande (conformment aux normes NFPA 79 et CEI 60204-1) Continuit de masse conforme

Le concepteur doit slectionner, installer et assembler les composants selon les instructions du fabricant. Ces dispositifs doivent tre capables de fonctionner avec toutes les valeurs de tension et dintensit nominales prvisibles dans linstallation. Les conditions ambiantes prvisibles, comme la compatibilit lectromagntique, la rsistance aux vibrations, la tenue aux chocs, la rsistance aux contaminants et aux projections, doivent galement tre prises en considration. Le principe de coupure des alimentations doit tre respect. Une protection contre les transitoires doit tre installe sur les bobines de contacteur. Le moteur doit tre protg contre les surcharges. Le cblage et la mise la terre doit tre conformes aux normes lectriques applicables. Catgorie 1 La catgorie 1 impose au systme de respecter les conditions de la catgorie B et dutiliser des composants de scurit prouvs. Quentend-on par composants de scurit et comment peut-on tre sr quils sont prouvs ? La norme ISO 13849-2 apporte une rponse ces questions dans le cas des systmes mcaniques, hydrauliques, pneumatiques et lectriques. LAnnexe D concerne plus particulirement les composants lectriques.

108

Systmes de commande de scurit, considrations relatives la structure

Ces composants sont considrs comme prouvs sils ont dj t utiliss avec succs dans de nombreuses applications similaires. Les nouveaux composants de scurit sont considrs comme prouvs sils ont t conus et tests en accord avec les normes applicables. Composant prouv Interrupteur activation en mode positif (ouverture directe) Dispositif darrt durgence Fusible Disjoncteur Contacteurs Contacts couplage mcanique Contacteur auxiliaire (par exemple, contacteur, relais de commande, relais guidage positif) Transformateur Cble Dispositifs dinterverrouillage Thermostat Pressostat Dispositif ou quipement CPS ( commutation de commande et de protection) Automate programmable Norme CEI 60947-5-1 ISO 13850, CEI 60947-5-5 CEI 60269-1 CEI 60947-2 CEI 60947-4-1, CEI 60947-5-1 CEI 60947-5-1 EN 50205 CEI 60204-1, CEI 60947-5-1 CEI 60742 CEI 60204-1 ISO 14119 CEI 60947-5-1 CEI 60947-5-1 + normes pneumatiques et hydrauliques CEI 60947-6-2 CEI 61508, CEI 62061

SAFEBOOK 4

109

SAFEBOOK 4

Systmes de commande de scurit pour machines

Si lon veut utiliser des composants prouvs dans un systme de catgorie B, cela signifie quil faudra remplacer les dtecteurs de position traditionnels par des interrupteurs broche ouverture directe. Cela impliquera galement de surdimensionner le contacteur pour une meilleure protection contre le risque de soudage des contacts. Le schma ci-joint montre les modifications apL1 L2 L3 portes un systme SCP K1 Dmarrage SCP simple de Catgorie B Aux pour le faire passer en K1 Catgorie 1. Le disposiArrt tif dinterverrouillage et InterOP le contacteur jouent un rupteur rle cl dans la coupure broche Grille de lalimentation sur ferme Moteur lactionneur, lorsquil est (danger) ncessaire daccder TS K1 Contacteur la source de danger. Terre Le dispositif dinterverrouillage broche est Systme de scurit simple de Catgorie 1 conforme la norme CEI 60947-5-1 relative aux contacts ouverture directe. Ceci est symbolis sur le schma par la flche dans un cercle. Grce lutilisation de composants prouvs, la probabilit de coupure dalimentation est plus grande dans la Catgorie 1 que dans la Catgorie B. Lutilisation de ces composants prouvs a pour objectif dempcher la perte de la fonction de scurit. Malgr ces amliorations, un dfaut unique peut toujours cependant entraner la perte de la fonction de scurit.
+V

Les systmes de catgories B et 1 ont une simple finalit de prvention. Leur conception est destine viter une situation dangereuse. Lorsque cette simple prvention ne permet pas une rduction suffisante des risques, une dtection des dfauts doit tre utilise en sus. Les Catgories 2, 3 et 4 permettent cette dtection de dfauts, avec des niveaux dexigence croissants dans la rduction des risques.

110

Systmes de commande de scurit, considrations relatives la structure

Catgorie 2 En plus de respecter les critres de la Catgorie B et dutiliser des principes de scurit prouvs, un systme de scurit de Catgorie 2 doit utiliser un dispositif de test. Ces tests doivent permettre de dtecter tous dfauts sur la partie scurit du systme de commande. Lorsquaucun dfaut nest dtect, le systme peut fonctionner normalement. Si des dfauts sont dtects, le test doit mettre une commande. Lorsque cest possible, cette commande doit faire passer la machine ltat de scurit. Cblage Cblage

SAFEBOOK 4

Entre

Programme

Sortie

Dtection de dfaut raisonnablement applicable Test Test Sortie

Le test doit permettre une dtection de dfauts raisonnablement simple mettre en uvre. Le dispositif de test peut faire partie intgrante du systme de scurit ou tre un quipement spar. Les tests doivent tre effectus : la mise sous tension initiale de la machine ; avant le dmarrage de la source de danger ; priodiquement si cela est jug ncessaire par lvaluation des risques. Remarque : la norme EN ISO 138491-1 considre que le test de la fonction de scurit doit tre effectu selon un ratio de 100 pour 1 par rapport aux sollicitations de cette fonction. Lexemple prsent ne permettrait pas de satisfaire ces exigences. Lutilisation des termes lorsque cest possible et raisonnablement simple indique bien quil est admis que toutes les dfauts ne puissent pas tre dtects. Etant donn quil sagit dun systme mono-voie (cest--dire, seul un fil reliant le capteur dentre au sous-systme logique, puis celui-ci lactionneur en sortie), un seul dfaut peut ainsi provoquer la perte de la fonction de scurit. Dans certains cas, la Catgorie 2 ne pourra donc pas tre totalement applicable un systme de scurit, du fait que tous les composants ne peuvent pas tre vrifis.

111

SAFEBOOK 4

Systmes de commande de scurit pour machines

+V SCP Dmarrage K1 Aux

L1

L2

L3 SCP

Arrt Relais de surveillance Interrupteur broche TS Terre

Systme de scurit de Catgorie 2

K1 OP

Grille ferme

K1

Contacteur

Moteur (danger)

Le schma prsente un systme simple de Catgorie 1 qui a t amlior pour tre conforme la Catgorie 2. Un relais de surveillance de scurit (MSR) assure la fonction de test. A la mise sous tension, le relais MSR effectue une vrification de ses composants internes. Si aucun dfaut nest dtect, ce relais vrifie linterrupteur broche en surveillant le cycle de fonctionnement de ses contacts. Si aucun dfaut nest dtect et que la grille de protection est ferme, le relais MSR vrifie alors le dispositif de sortie, cest--dire les contacts lis mcaniquement au contacteur principal. Si aucun dfaut nest dtect et que ce contacteur est dsactiv, le relais activera sa propre sortie interne et connectera la bobine K1 au bouton darrt. partir de ce moment, les composants standard du systme de commande de la machine et son circuit de dmarrage/arrt/verrouillage seront disponibles pour arrter ou dmarrer la machine. Louverture de la grille de protection dsactivera la sortie du relais MSR. Lorsque la grille sera referme, le relais recommencera ses vrifications du systme de scurit. Si aucune panne nest dtecte, le relais MSR ractivera sa sortie interne. Ce relais de surveillance de scurit permet ainsi au circuit dtre conforme la Catgorie 2 grce sa capacit effectuer des tests sur le dispositif dentre, le dispositif logique (cest dire, sur lui-mme) et sur le dispositif de sortie. Ces tests sont alors raliss lors de la mise sous tension initiale et avant le dmarrage de la source de danger. Du fait des capacits logiques intrinsques de ce type de dispositif, un systme de scurit pourra tre conu conformment la Catgorie 2 en utilisant un automate. Comme indiqu lors de la prsentation prcdente de la Catgorie 1, la justification du caractre prouv de cet automate (y compris de ses capacits de test) constituera cependant le dfi. Pour les systmes de scurit complexes demandant une classification en Catgorie 2, un automate de scurit conforme la norme CEI 61508 devra tre substitu lautomate standard.

112

Systmes de commande de scurit, considrations relatives la structure

Le schma prsente un exemple de systme SCP complexe utilisant un TS automate de scurit. Arrt K1 Un automate de scuTS Sw1 Pour la scurit rit est considr Sw2 Entre ProSortie comme prouv si K2 gramme Sw3 sa conception est K3 conforme aux normes TS applicables. Les K1 K2 contacts mcaniqueK3 ment lis des contacTerre teurs de sortie sont Systme de scurit complexe de Catgorie 2 relis lentre de lautomate pour les tests. Ces contacts peuvent tre branchs en srie sur une mme borne de raccordement dentre ou sur des bornes de raccordement dentre individuelles, selon la nature du programme logique.
+V SCP Dmarrage

SAFEBOOK 4

Bien que des composants de scurit prouvs soient utiliss, un seul dfaut se produisant entre les tests de diagnostic peut entraner la perte de la fonction de scurit. Par consquent, les systmes de Catgorie 2 ne sont utiliss que pour des applications prsentant un risque faible. Lorsquune tolrance aux dfauts plus leve est requise, le systme de scurit devra donc se conformer la Catgorie 3 ou 4. Catgorie 3 En plus de respecter les critres de la Catgorie B et dutiliser des procds de scurit prouvs, un systme de scurit de Catgorie 3 ncessite que la fonction de scurit puisse tre excute mme en prsence dun dfaut unique. Ce dfaut doit tre dtect au moment ou avant la sollicitation suivante de la fonction de scurit, lorsque cela est raisonnablement simple raliser. Nous retrouvons nouveau ici lexpression lorsque raisonnablement simple . Il est donc admis que certains dfauts pourront ne pas tre dtects. Tant que ces dfauts non dtects nentranent pas la perte de la fonction de scurit, celle-ci peut tre classifie en Catgorie 3. Cependant, une accumulation de dfauts non dtects pourra entraner la perte de la fonction de scurit. Entre Cblage Cblage Programme Sortie Dtection de dfaut raisonnablement applicable Entre Cblage Programme Cblage Sortie Le schma ci-joint permet de comprendre le principe dun systme de Catgorie 3. Un systme redondant combin un dispositif de surveillance croise raisonnablement simple et la supervision des sorties, sera utilis pour garantir le bon fonctionnement de la fonction de scurit.

113

SAFEBOOK 4

Systmes de commande de scurit pour machines

+V SCP Dmarrage K1 Aux K2 Aux L1 L2 L3 SCP

Ch2 Ch1

Arrt K1 Relais Ch1 de surveillance Ch2

K2 OP

Grille ferme

Interrupteur broche TS K1 K2 TS Moteur (danger)

Terre Contacteurs
Systme de scurit de Catgorie 3

Le schma prsente un systme de Catgorie 3. Un jeu de contacts redondants est ajout linterrupteur de scurit broche. Le relais MSR possde lui-mme en interne des circuits redondants qui se surveillent rciproquement. Un jeu de contacteurs redondants coupe lalimentation du moteur. Les contacteurs sont surveills par le relais MSR de faon raisonnablement simple par le biais des contacts lis mcaniquement. La dtection des dfauts doit sappliquer chaque partie du systme de scurit, ainsi quaux connexions (cest--dire en fait, lensemble du systme). Quels sont les modes de dfaillance dun interrupteur broche double voie ? Quels sont les modes de dfaillance du relais MSR ? Quels sont les modes de dfaillance des contacteurs K1 et K2 ? Quels sont les modes de dfaillance du cblage ? Linterrupteur de scurit broche est quip de contacts ouverture directe. Nous en dduisons donc que louverture de la grille de protection se traduit par louverture dun contact ferm. Ceci rsout un mode de dfaillance. Existe-t-il dautres modes de dfaillance ? Le contact ouverture est gnralement dot dun ressort de rappel. Si la tte du dispositif est retire ou casse, les contacts de scurit reviendront donc en position ferme (de scurit) par laction du ressort. De nombreux dispositifs dinterverrouillage sont conus avec des ttes amovibles pour faciliter leur installation dans des applications diverses. La tte peut ainsi tre retire et place dans deux quatre positions diffrentes. Un dfaut peut se produire si les vis de fixation de la tte ne sont pas serres correctement. Dans ce cas, les vibrations de la machine risqueront de provoquer leur dvissage complet. La tte de commande nexercera plus de pression sur les contacts de scurit et ces contacts se

114

Systmes de commande de scurit, considrations relatives la structure

fermeront du fait de la pousse du ressort. En consquence, louverture de la grille de protection nouvrira pas les contacts de scurit et une dfaillance dangereuse se produira. Le mcanisme de fonctionnement de linterrupteur doit galement tre examin. Quelle est la probabilit pour que la dfaillance dun seul composant entrane la perte de la fonction de scurit ? Une pratique courante consiste utiliser des interrupteurs broche double contact dans les circuits de Catgorie 3. Cet utilisation doit donc tre lie lexclusion du dfaut douverture des contacts de scurit de linterrupteur. Cest ce quon appelle une exclusion de dfaut . Elle sera aborde plus loin dans ce chapitre. Un relais de surveillance de scurit (MSR) est souvent dj valu par son fabricant et se voit affect une Catgorie (et/ou un niveau PL ou SIL CL). Les possibilits offertes par ces relais MSR incluent souvent une double voie, la surveillance croise, la surveillance de dispositifs externes et la protection contre les courts-circuits. Il nexiste aucune norme particulire fournissant des recommandations sur la conception ou lutilisation de ces relais de surveillance de scurit. Lvaluation des relais MSR a pour but de dfinir leur capacit a excuter leur fonction de scurit conformment la norme EN ISO 13849-1 ou lancienne norme EN 954-1. La classification dun relais MSR doit tre identique ou suprieure la classification du systme dans lequel il est employ. Lutilisation de deux contacteurs permet de sassurer que la fonction de scurit est bien assure par les dispositifs de sortie. Avec sa protection contre les surcharges et les courtscircuits, la probabilit de panne dun contacteur cause du soudage de ses contacts est faible. Mais elle nest pas nulle. Un contacteur pourra galement tre dfaillant du fait du maintien de ses contacts de commutation dalimentation en position ferme en raison dun induit bloqu. Si lun des contacteurs gnre une dfaillance dangereuse, le second pourra toujours couper lalimentation de la source de danger. Ce relais MSR dtectera le contacteur dfaillant lors du dmarrage du cycle suivant de la machine. Lorsque la grille de protection sera referme et que le bouton de dmarrage sera enfonc, les contacts couplage mcanique du contacteur dfaillant resteront ouverts et le relais MSR ne pourra pas fermer ses contacts de scurit, ce qui rvlera le dfaut. Pannes non dtectes Avec une structure de systme de Catgorie 3, il peut toujours exister des dfauts ne pouvant pas tre dtects. Nanmoins, ils ne devront pas, en tant que tels, entraner la perte de la fonction de scurit. Lorsque des dfauts sont dtects, nous devons dautre part savoir si, dans certaines circonstances, ils pourraient tre masqus ou acquitts de faon involontaire par laction dautres dispositifs au sein du systme.

SAFEBOOK 4

115

SAFEBOOK 4

Systmes de commande de scurit pour machines

+V SCP Dfaut de cblage dans le systme Sw2 Sw3 Ch2 Ch1 Relais Ch1 de surveillance Ch2 K2 OP K1 Aux
Dmarrage

L1 L2 L3 SCP

K2 Aux

Sw1

Arrt

K1

TS Terre
Raccordement en srie de dispositifs dentre

K1

K2

TS

Moteur (danger)

Contacteurs

Le schma ci-dessus prsente une pratique courante de raccordement de dispositifs multiples un relais de surveillance de scurit. Chaque dispositif contient deux contacts ouverture (normalement ferms). Ces dispositifs peuvent tre constitus par une combinaison dinterrupteurs dinterverrouillage ou de boutons darrt durgence. Cette approche permet de rduire le cot du cblage puisque ces capteurs sont monts en srie. Mais, supposons quun court-circuit se produise sur lun des contacts (Sw2 sur le schma). Ce dfaut peut-il tre dtect ? Si linterrupteur Sw1 (ou Sw3) est ouvert, les circuits des deux voies Ch1 et Ch2 seront ouverts et le relais MSR coupera lalimentation de la source de danger. Si alors Sw3 est ouvert puis referm, le dfaut sur ses contacts ne sera pas dtect car il ny aura pas de changement dtat du relais MSR. Les deux voies Ch1 et Ch2 resteront donc ouvertes. Si alors Sw1 (ou Sw3) est ferm, la source de danger pourra tre ractive par une simple pression sur le bouton de dmarrage. Dans ces circonstances, le dfaut naura pas entran la perte de la fonction de scurit mais il naura pas t dtect. Il restera prsent dans le systme et lapparition dun dfaut ultrieur (un court-circuit sur le deuxime contact de Sw2) pourrait entraner cette fois la perte de la fonction de scurit.

116

Systmes de commande de scurit, considrations relatives la structure

Si Sw2 a t uniquement ouvert et ferm, sans activation des autres interrupteurs, la voie Ch1 souvre et la voie Ch2 reste ferme. Le relais MSR met la source de danger hors tension du fait de louverture de Ch1. Lorsque Sw2 se ferme. le moteur ne pourra pas tre redmarr en appuyant sur le bouton de dmarrage. Ceci sexplique par le fait que Ch2 ne sest pas ouverte. Le dfaut est ainsi dtect. Cependant, si pour une quelconque raison, Sw1 (ou Sw3) vient alors souvrir et se refermer, les circuits des deux voies Ch1 et Ch2 seront ouverts puis referms. Cette squence simulera un acquittement du dfaut et entranera un rarmement involontaire du relais MSR. Ceci pose la question du taux de couverture des tests de diagnostic (DC) pouvant tre revendiqu par les interrupteurs individuels dans une telle structure (dans le cadre de la norme EN ISO 13849-1 ou de la CEI 62061). la date de publication de ce document, il nexiste pas de recommandations spcifiques dfinitives sur ce sujet. Mais un taux DC de 60 % est gnralement retenu condition que les interrupteurs soient tests individuellement une frquence approprie, de faon permettre de rvler les dfauts ventuels. Sil est prvisible quun ou plusieurs interrupteurs ne seront jamais tests individuellement, alors leur taux DC devrait tre fix comme tant zro. Au moment de la publication de ce document, la norme EN ISO 13849-2 est en cours de rvision. Lorsque sa nouvelle version sera publie, il est donc possible quelle apporte dautres instructions sur ce point. Le raccordement en srie de contacts mcaniques est limit la Catgorie 3. Il peut en effet conduire la perte de la fonction de scurit en raison dune accumulation de dfauts. Dun point de vue pratique, la rduction du taux DC (et donc de la valeur SFF) limite les niveaux PL et SIL maximum pouvant tre obtenus PLd et SIL 2. Il est intressant de noter que ces caractristiques spcifiques aux structures de Catgorie 3 ont toujours ncessit une attention particulire. Mais, avec les rcentes normes de scurit fonctionnelle, elles deviennent vritablement sensibles.

SAFEBOOK 4

117

SAFEBOOK 4

Systmes de commande de scurit pour machines

L1 L2 L3 +V SCP 24 V c.c. Arrt durgence Dmarrage Alimentation de commande de barrire Arrt

Relais de surveillance Ch1

Ch1 Ch2

Comm Ch2 Terre Activation

Circuit de commande de barrire

Variateur de frquence de scurit

Variateurs de scurit avec arrt durgence de Catgorie 3

Moteur (danger)

Le schma prsente un circuit de Catgorie 3 utilisant un variateur de frquence de scurit. La combinaison des rcents dveloppements technique en matire de variateurs et des volutions des normes EN/CEI 60204-1 et NFPA 79, permet dutiliser des variateurs dits de scurit dans les circuits darrt durgence sans quil soit ncessaire de rajouter un sectionneur lectromcanique sur lactionneur (le moteur, par exemple). Une pression sur linterrupteur darrt durgence ouvre les sorties du relais MSR. Ceci envoie un signal darrt au variateur, supprime le signal de validation et coupe lalimentation de la commande de gchette. Le variateur excute un arrt de Catgorie 0 (coupure instantane de lalimentation du moteur). Cette fonction est dsigne par arrt scuris du couple . Le variateur est class en Catgorie 3 parce quil utilise des signaux redondants pour couper lalimentation du moteur, le signal de validation et celui dun relais guidage positif. Le relais guidage positif est un moyen raisonnablement simple de fournir un signal en retour lactionneur. Le variateur lui-mme est analys pour contrler quun dfaut unique ne puisse pas entraner la perte de la fonction de scurit.

118

Systmes de commande de scurit, considrations relatives la structure

+V SCP Dmarrage K1 Aux K2 Aux L1 L2 L3 SCP

SAFEBOOK 4

Ch2 Ch1

Arrt K1 Relais de surveillance

Ch1 Ch2

K2 OP

Grille ferme

Interrupteur broche TS K1 K2 TS Moteur (danger) Dfaut de cblage dans le systme

Terre Contacteurs
Exemple derreur de cblage

Le schma ci-dessus prsente un exemple derreur de cblage ; en loccurrence, un courtcircuit entre la sortie de scurit de la voie 2 du relais MSR et la bobine du contacteur K1. Tous les composants fonctionnent normalement. Cette erreur de cblage pourra stre produite avant la mise en service de la machine ou ultrieurement, lors doprations de maintenance ou dvolutions du systme. Ce dfaut peut-il tre dtect ? Dans cette exemple, le dfaut ne peut pas tre dtect par le systme de scurit. Fort heureusement, il nest pas de nature en lui-mme provoquer la perte de la fonction de scurit. Ce dfaut, ainsi que celui qui en dcoule entre la voie Ch1 et K2, doit tre dtect au moment de la mise en service ou des vrifications suivant lintervention de maintenance. La liste des exclusions de dfauts admissibles fournie dans le tableau D4 de lAnnexe D de la norme EN ISO 13849-2 indique clairement que ce type de dfauts peut tre exclu si lquipement est mont lintrieur dune armoire lectrique et que cette armoire aussi bien que ses cblages sont conformes aux rquisitions de la norme CEI/EN 60204-1. Le rapport technique conjoint sur lEN ISO 13849-1 et la CEI 62061 indique galement clairement que cette exclusion de dfauts peut tre accepte jusquaux niveaux PLe et SIL 3 inclus. Elle peut galement sappliquer la Catgorie 4.

119

SAFEBOOK 4

Systmes de commande de scurit pour machines

Un dfaut de cblage entre voies dans le systme +V SCP OSSD1 OSSD2 K1 Aux Dmarrage K2 Aux L1 L2 L3 SCP

Arrt K1

Emetteur Rcepteur Relais de surveillance Ch1 Ch2 OP K2

TS Terre
Erreur de cblage entre voies sur un systme barrires immatrielles

K1

K2

TS

Moteur (danger)

Contacteurs

Le schma montre un exemple de systme de scurit utilisant des barrires immatrielles (sorties OSSD) Le systme de scurit peut-il dtecter ce dfaut ? Le relais MSR ne pourra pas dtecter ce dfaut parce que les entres restent alimentes par la ligne (+V). Dans cet exemple, lerreur de cblage pourra cependant tre dtecte par la barrire immatrielle. Certaines barrires immatrielles utilisent en effet une technique de dtection de dfaut appele test impulsions. Avec ce type de barrire, la dtection du dfaut sera immdiate et les sorties seront coupes. Sur dautres types, la dtection se fera lorsque la barrire immatrielle est initialise. Lorsque la barrire tentera dactiver ses sorties, le dfaut sera dtect et les sorties resteront dsactives. Dans les deux cas, la source de danger restera dsactive tant que le dfaut sera prsent. Dtection de dfaut par impulsions Les circuits de scurit sont conus pour vhiculer le courant lorsque le systme de scurit est actif et que la source de danger est protge matriellement. Le test par impulsions est une technique consistant faire chuter lintensit du circuit zro pendant un trs bref intervalle. Ce temps de coupure est trop court pour que le circuit de scurit ait le temps de ragir et de dsactiver la source de danger. Mais il est suffisamment long pour tre dtect par un systme microprocesseur. Les impulsions sont dcales les unes par rapport aux autres sur chacune des voies. Si un court-circuit par croisement se produit, le microprocesseur dtectera les impulsions sur les deux voies et enverra une commande darrt de la source de danger.

120

Systmes de commande de scurit, considrations relatives la structure

Catgorie 4 Comme la Catgorie 3, la Catgorie 4 exige que le systme soit conforme aux rquisitions de la Catgorie B, quil respecte les principes de scurit et soit capable dexcuter la fonction de scurit en prsence dune accumulation de dfauts. A linverse de la Catgorie 3 dans laquelle une telle accumulation de dfauts peut entraner la perte de la fonction de scurit, la Catgorie 4 impose que la fonction de scurit puisse tre excute mme en prsence de plusieurs dfauts. Lorsquon parle daccumulation de dfauts, 2 suffisent normalement. Mais 3 dfauts au minimum peuvent savrer ncessaires pour certains systmes. Entre Cblage Programme Cblage Sortie Surveillance obligatoire pour la dtection des dfauts Entre Cblage Programme Cblage Sortie La figure ci-contre prsente le schma de principe type dun systme de Catgorie 4. Un contrle des deux dispositifs de sortie et une surveillance croise sont exigs de faon systmatique et non uniquement lorsque cela est raisonnablement possible . Ce point permet de diffrencier la Catgorie 4 de la Catgorie 3.

SAFEBOOK 4

+V SCP Dmarrage K1 Aux K2 Aux L1 L2 L3 SCP

Ch2 Ch1

Arrt K1 Relais Ch1 de surveillance Ch2

K2 OP

Grille ferme

Interrupteur broche TS K1 K2 TS Moteur (danger)

Terre Contacteurs
Systme de Catgorie 4 avec exclusion de dfaut sur linterrupteur de scurit broche

Le schma ci-dessus prsente un exemple de circuit de Catgorie 4 utilisant une exclusion de dfaut pour linterrupteur broche. Lexclusion de dfaut permet dignorer un ventuel dfaut douverture des contacts de linterrupteur broche. Lexclusion de dfaut doit tre justifie techniquement et doit tre enregistre dans la documentation du systme. Les critres de justification techniques pourront tre la vitesse et lalignement de lactionneur, la prsence de dispositifs darrt mcaniques ou dune tte de commande de scurit.

121

SAFEBOOK 4

Systmes de commande de scurit pour machines

Si le concepteur du systme de scurit souhaite monter des interrupteurs broche mais ne veut pas faire dexclusion de dfaut sur ces interrupteurs, il devra alors utiliser deux de ces interrupteurs broche pour tre conforme la Catgorie 4. Le relais de surveillance de scurit devra lui-mme tre conforme la Catgorie 4, et les deux contacteurs de sortie utilisant des contacts couplage mcanique, devront tre surveills. La diversification des mthodes de dtection pourra alors tre utilise pour rduire encore plus la probabilit de perte de la fonction de scurit en mode commun ou en cas de dfaillance de cause commune. Lun des deux interrupteurs de scurit broche pourra tre utilis en mode ngatif. Un tel interrupteur fonctionnant en mode ngatif ne sera acceptable que si le deuxime interrupteur utilise des contacts ouverture directe ( action positive). Le schma suivant prsente un exemple de cette approche complmentaire. Dans cette approche, le relais MSR doit donc tre prvu pour accepter les entres normalement ouvertes et normalement fermes.
Mode ngatif +V SCP Ch1 Dmarrage K1 Aux K2 Aux L1 L2 L3 SCP

Arrt K1

Grille ferme

Relais de surveillance Interrupteurs broche Ch2 TS

Ch1 Ch2

K2 OP

K1

K2

TS

Moteur (danger)

Terre
Systme de Catgorie 4 avec interrupteurs de scurit broche redondants complmentaires

Contacteurs

Caractristiques nominales des composants et du systme Le concept de catgorie est utilis aussi bien pour la classification des composants de scurit (dispositifs) que pour celle des systmes. Ceci cre une certaine confusion quil sera possible de clarifier travers ltude des composants et de leurs possibilits. En analysant les exemples prcdents, on constate quun composant comme un interrupteur de scurit class en Catgorie 1 peut tre utilis tout seul dans un systme de Catgorie 1 et quil peut galement tre utilis dans un systme de Catgorie 2 si une surveillance de son fonctionnement est prvue en plus. Il pourra galement tre incorpor dans un systme de Catgorie 3 ou 4 sil est

122

Systmes de commande de scurit, considrations relatives la structure

mont en double et quune fonction de diagnostic est assure par un relais de surveillance de scurit. Certains composants, comme les relais de surveillance et les automates de scurit programmables, ont leur propre systme de diagnostic interne et effectuent un auto-contrle afin de garantir leur bon fonctionnement. Ils peuvent donc tre classs directement parmi les composants de scurit compatibles avec les Catgories 2, 3 et 4 sans besoin de mesures supplmentaires. Considrations relatives aux dfauts et leur exclusion Lanalyse de scurit implique lanalyse approfondie des dfauts potentiels. Une anticipation trs prcise du comportement du systme de scurit en cas dapparition de ces dfauts sera galement ncessaire. Les normes ISO 13849-1 et ISO 13849-2 fournissent des dtails sur les critres et les exclusions de dfauts. Si un dfaut produit la dfaillance en srie dautres composants, ce dfaut dorigine et tous les autres dfauts conscutifs seront considrs comme un seul et mme dfaut. Si plusieurs dfauts rsultent dune mme cause, ces diffrents dfauts seront considrs comme un seul et mme dfaut. Cest ce quon appelle une dfaillance de cause commune. Lapparition de plusieurs dfauts simultans est considre comme trs improbable. Elle ne sera pas prise en considration dans cette analyse. On postule habituellement quun seul dfaut pourra se produire entre les sollicitations de la fonction de scurit, condition que les intervalles entre les appels de cette fonction ne soient pas trop longs. Exclusions de dfauts Lancienne norme EN 954-1, et les normes plus rcentes EN ISO 13849-1 et CEI 62061 permettent toutes de recourir lexclusion de dfauts dans le processus de dtermination de la classe dun systme de scurit, sil peut tre dmontr que lapparition de ces dfauts particuliers est extrmement improbable. Lorsque des exclusions de dfauts sont ainsi ralises, il est important quelles soient rigoureusement justifies et quelles soient valables pour toute la dure de vie du systme de scurit. Plus le niveau de risque gr par le systme de scurit est lev, plus la justification requise pour lexclusion dun dfaut devra tre stricte. Ceci a toujours provoqu une certaine confusion sur les types de dfauts pouvant tre exclus ou non. Comme nous lavons dj vu dans ce chapitre, les rcentes versions des normes et leurs documents dapplication ont apport des clarifications sur certains aspects de ce problme. En gnral, lorsquun niveau PLe ou SIL 3 est requis pour la mise en uvre dune fonction de scurit par un systme de scurit, il nest pas normal de jouer uniquement sur les exclusions de dfauts pour obtenir ce niveau de performance. Cela dpendra de la technologie utilise et de lenvironnement de travail prvu. Il est donc essentiel que les concepteurs attachent une importance accrue la dfinition des exclusions de dfauts lorsque les exigences de niveau

SAFEBOOK 4

123

SAFEBOOK 4

Systmes de commande de scurit pour machines

PL ou SIL augmentent. Par exemple, une exclusion de dfauts ne pourra pas tre utilise sur le ct mcanique des dtecteurs de position lectromcaniques et des interrupteurs manuels (par exemple, un dispositif darrt durgence) afin dobtenir une classification PLe ou SIL 3 du systme. Les exclusions de dfaut susceptibles dtre attaches des conditions de dfaut mcanique particulires (par exemple, lusure, la corrosion, les ruptures) sont dfinies dans le tableau A.4 de la norme ISO 13849-2. Par exemple, un systme dinterverrouillage de grille devant garantir un niveau PLe ou SIL 3 devra avoir un facteur de tolrance aux dfauts minimum de 1 (par exemple, en utilisant deux dtecteurs de position mcaniques conventionnels). Il nest en effet normalement pas admissible dexclure des dfauts tels que des ruptures dactionneurs de contacts ce niveau de performance. Cependant, il peut tre envisag dexclure des dfauts, comme un court-circuit dans le cblage dun panneau de commande conu conformment aux normes applicables. Des informations complmentaires sur les exclusions de dfauts seront fournies par la prochaine rvision de la norme EN ISO 13849-2. Catgories darrt selon les normes CEI/EN 60204-1 et NFPA 79 Lorsquon parle de systme de commande de scurit, le terme Catgorie est utilis dans deux significations diffrentes, ce qui cre une confusion regrettable. Jusqu prsent, nous avons principalement parl des catgories de scurit telles quelles ont t dfinies par la norme EN 954-1. Elles correspondent une classification des performances dun systme de scurit par rapport certaines conditions de dfaut. Mais, il existe galement une classification dite des catgories darrt dfinie par les normes CEI/EN 60204-1 et NFPA 79. Elle consiste en trois Catgories darrt. La Catgorie darrt 0 : impose la coupure immdiate de lalimentation sur les actionneurs. Ce type darrt est parfois qualifi de non contrl. Dans certains cas en effet, le mouvement pourra prendre un temps notable avant de cesser, par exemple dans le cas dun moteur tournant en roue libre avant de sarrter dfinitivement. La Catgorie darrt 1 : impose le maintien de lalimentation jusqu larrt complet du moteur afin de pouvoir le freiner lectriquement, puis la coupure de cette alimentation ensuite. La Catgorie darrt 2 : nimpose pas la coupure de lalimentation de lactionneur. Il est noter que seules les catgories darrt 0 ou 1 peuvent tre utilise en cas darrt durgence. Le choix entre ces deux catgories doit tre dtermin par lvaluation des risques. Tous les exemples de circuits prsents jusqu prsent dans ce chapitre utilisaient une Catgorie darrt 0. Une Catgorie darrt 1 aurait ncessit une sortie temporise sur le relais de coupure dalimentation terminal. Une grille verrouillage de scurit est souvent associe un dispositif darrt de Catgorie 1. Ceci permet de maintenir cette grille en position ferme tant que la machine nest pas rendue ltat de scurit (cest dire, totalement arrte).

124

Systmes de commande de scurit, considrations relatives la structure

Arrter une machine sans se proccuper du type dautomate programmable utilis peut affecter le redmarrage et entraner une dtrioration grave des outils et de la machine. Un automate standard (non class de scurit) ne peut pas en effet tre utilis pour une fonction darrt de scurit. Par consquent, dautres solutions doivent tre envisages. Les deux solutions dcrites la suite sont envisageable : 1. Relais de scurit action retarde Un relais de scurit avec des sorties action instantane et temporise est utilis. Les sorties action instantane sont raccordes aux entres du dispositif programmable (par exemple, lautomate) et les sorties temporises sont raccordes au contacteur. Lorsque linterrupteur de scurit est actionn, les sorties instantanes du relais de scurit changent dtat, indiquant au systme programmable quil peut procder larrt selon la squence normale. Aprs quun dlai court mais suffisant pour lexcution de ce processus se soit coul, la sortie temporise du relais de scurit change dtat et coupe le contacteur principal. Remarque : le calcul du temps darrt complet devra prendre en compte la temporisation des sorties du relais de scurit. Ceci est particulirement important pour la dtermination du positionnement des dispositifs en fonction de la distance de scurit. 2. Automates programmables de scurit Les fonctions logiques et de temporisation ncessaires peuvent tre mises en uvre facilement laide dun automate (de scurit) ayant un niveau dintgrit de scurit appropri. En pratique, cest ce que ralise un automate de scurit comme le SmartGuard ou le GuardLogix. Exigences relatives aux systmes de commande de scurit aux USA Aux tats-Unis, les exigences concernant les systmes de commande de scurit sont dcrites dans un certain nombre de normes diffrentes. Deux dentre elles mergent particulirement : lANSI B11.TR3 et lANSI R15.06. Le rapport technique ANSI B11.TR3 dfinit ainsi quatre niveaux qui sont caractriss par leur capacit de rduction des risques. Les caractristiques de ces diffrents niveaux sont prsentes la suite. Niveau de rduction des risques le plus faible Selon la norme ANSI B11.TR3, les dispositifs de protection fournissant le niveau de rduction des risques le plus faible incluent les dispositifs lectriques, lectroniques, hydrauliques ou pneumatiques ainsi que les systmes de commande associs utilisant une configuration mono-voie. Lobligation dutiliser des dispositifs de scurit homologus est implicite dans la liste des rquisitions. Ceci correspond trs troitement la Catgorie 1 de la norme ISO 13849-1.

SAFEBOOK 4

125

SAFEBOOK 4

Systmes de commande de scurit pour machines

Niveau de rduction des risques intermdiaire/faible Selon la norme ANSI B11.TR3, les dispositifs de protection fournissant le niveau de rduction des risques intermdiaire/faible incluent les systmes de commande redondants pouvant tre contrls manuellement afin de vrifier le bon fonctionnement du systme de scurit. Si lon sen tient strictement aux exigences de base pour ce niveau, le systme doit utiliser une redondance simple. Lutilisation dune fonction de vrification nest pas obligatoire. Sans cette fonction de vrification, lun des composants de scurit redondants pourra tomber en panne et le systme de scurit ne sen apercevra pas. Ceci revient donc un systme mono-voie. Ce niveau de rduction des risques correspondra donc la Catgorie 2 lorsquil utilise une fonction de vrification. Niveau de rduction des risques intermdiaire/lev Selon la norme ANSI B11.TR3, les dispositifs de protection fournissant le niveau de rduction des risques intermdiaire/lev incluent les systmes de commande redondants avec autocontrle au dmarrage, afin de vrifier le bon fonctionnement du systme de scurit. Pour les machines qui sont dmarres chaque jour, cette procdure dauto-contrle apporte une amlioration significative de lintgrit de scurit par rapport aux systmes purement redondants. Pour les machines qui fonctionnent 24 heures par jour 7 jours sur 7, lautocontrle napportera au mieux quune amlioration marginale. Lutilisation dun systme de contrle priodique du systme de scurit permet dassimiler ces exigences celles de la Catgorie 3. Niveau de rduction des risques le plus lev La norme ANSI B11.TR3 confre le niveau le plus lev de rduction des risques aux systmes de commande redondants auto-contrle permanent. La procdure dauto-contrle doit vrifier en permanence le bon fonctionnement du systme de scurit. Le dfi pour le concepteur du systme de scurit sera donc de dfinir ce qui doit tre contrl en permanence. De nombreux systmes de scurit neffectuent leurs vrifications quau dmarrage et lorsquune requte est adresse au systme de scurit. A linverse, certains composants excutent un auto-contrle permanent. Les barrires immatrielles, par exemple, activent et dsactivent squentiellement leurs LED. Etant donn que cet auto-contrle est permanent, si un dfaut est dtect, la barrire immatrielle dsactive ses sorties avant quune requte ne soit adresse au systme de scurit. Les relais et les automates de scurit microprocesseur sont dautres exemples de composants excutant un auto-contrle permanent. Lexigence dauto-contrle permanent du systme de commande na pas pour objectif de limiter le choix des composants aux seuls barrires immatrielles et dispositifs logiques microprocesseurs. La vrification doit se faire au dmarrage et aprs chaque requte adresse au systme de scurit. Ce niveau de rduction des risques est conu pour tre assimil la Catgorie 4 de la norme ISO 13849-1.

126

Systmes de commande de scurit, considrations relatives la structure

Normes relatives aux robots : tats-Unis/Canada Les normes relatives aux robots aux tats-Unis (lANSI RIA R15.06) et au Canada (la CSA Z434-03) sont trs similaires. Toutes deux possdent quatre niveaux, similaires aux Catgories de la norme EN 954-1:1996, et qui sont dcrits ci-dessous. Simple Se situant au niveau dexigences le plus faible, les systmes de commande de scurit simples doivent tre conus et raliss en utilisant des circuits mono-voie conformes. Ils peuvent galement tre programmables. Au Canada, ce niveau est de plus limit aux applications de signalisation et dannonciation. Le dfi pour le concepteur du systme de scurit sera donc de dfinir ce qui est conforme . Quest-ce quun systme mono-voie conforme ? Par rapport quoi ce systme sera-t-il conforme ? Le niveau Simple se rapproche le plus de la Catgorie B de la norme EN 954-1:1996. Mono-voie Le niveau immdiatement suprieur sapplique un systme de commande de scurit monovoie : utilisant un dispositif de type matriel ou logiciel/firmware de scurit ; incluant des composants de scurit homologus ; utilis conformment aux recommandations du fabricant ; utilisant une conception de circuit prouve.

SAFEBOOK 4

Un exemple de conception de circuit prouve sera un dispositif lectromcanique mono-voie normalement ferm qui signalera larrt du robot en labsence de tension. Sagissant dun systme mono-voie, la dfaillance dun seul composant peut entraner la perte de la fonction de scurit. Ce niveau se rapproche le plus de la Catgorie 1 de la norme EN 9541:1996. Dispositif logiciel/firmware de scurit Bien que les systmes de type matriel aient t traditionnellement la mthode privilgie de protection des robots, les dispositifs de type logiciel/firmware deviennent une option de plus en plus retenue en raison de leur capacit prendre en charge des systmes complexes. Les dispositifs de type logiciels/firmware (contrleurs logiques programmables ou automates de scurit) sont autoriss condition dtre homologus de scurit. Cette homologation impose que la dfaillance dun seul composant ou du firmware de scurit nentrane pas la perte de la fonction de scurit. Lorsquun dfaut est dtect, toute poursuite du fonctionnement automatique du robot est empche jusqu ce que le dfaut soit acquitt.

127

SAFEBOOK 4

Systmes de commande de scurit pour machines

Pour obtenir sa classification de scurit, le dispositif logiciel/firmware doit tre test par un laboratoire agr par rapport une norme en vigueur. Aux tats-Unis, lOSHA tient jour une liste des laboratoires dessai agrs au niveau national ( NRTL ). Au Canada, le Conseil canadien des normes (CCN) tient jour une liste similaire. Mono-voie avec surveillance Les systmes de commande de scurit mono-voie avec surveillance doivent se conformer aux rquisitions applicables aux systmes mono-voie. ils doivent tre homologus de scurit et tre contrls. Le contrle de la fonction de scurit doit tre excut au dmarrage de la machine et intervalles rguliers pendant le fonctionnement. Un contrle automatique est prfrable un contrle manuel. Cette fonction de contrle doit autoriser le fonctionnement lorsquaucune panne nest dtecte ou elle doit gnrer une commande darrt dans lautre cas. Une alarme doit tre mise si une source de danger persiste aprs la cessation du mouvement. Lopration de contrle ne doit, bien videmment, pas crer de situation dangereuse par elle-mme. Aprs une dtection de dfaut, le robot doit demeurer ltat de scurit tant que ce dfaut nest pas rectifi. Le niveau Mono-voie avec surveillance se rapproche le plus de la Catgorie 2 de la norme EN 954-1:1996. Fiabilit de commande Le plus haut niveau de rduction des risques selon les normes applicables aux robots, aux tats-Unis comme au Canada, est obtenu par des systmes de commande de scurit respectant des critres de fiabilit de commande. Les systmes de commande de scurit garantissant la fiabilit de commande sont des architectures double voie avec surveillance. La fonction darrt du robot ne doit pas tre empche par la dfaillance dun seul composant, y compris de la fonction de surveillance elle-mme. Cette fonction de surveillance doit gnrer une commande darrt lors de la dtection dun dfaut. Une alarme doit tre mise si une source de danger persiste aprs la cessation du mouvement. Le systme de scurit doit demeurer ltat de scurit tant que le dfaut nest pas rectifi. Il est prfrable que le dfaut soit dtect lors de son apparition. Si cela nest pas possible obtenir, ce dfaut devra tre dtect lors de la sollicitation suivante du systme de scurit. Les dfaillances de cause commune doivent tre prises en considration sil existe une probabilit significative quelles se produisent. Au Canada, il existe deux exigences supplmentaires par rapport aux tats-Unis. Premirement, les systmes de commande de scurit doivent tre indpendants des systmes de commande programmables standard. Deuximement, le systme de scurit ne doit pas pouvoir tre facilement dsactiv ou contourn sans que cela soit dtect. Les systmes garantissant la fiabilit de commande se rapprochent des Catgories 3 et 4 de la norme EN 954-1:1996.

128

Systmes de commande de scurit, considrations relatives la structure

Commentaires sur la fiabilit de commande Laspect le plus important de ce concept de fiabilit de commande est la tolrance aux dfauts. Les textes indiquent comment le systme de scurit doit ragir en prsence dun seul dfaut , de tout dfaut unique ou de toute dfaillance dun seul composant . Il en dcoule trois considrations trs importantes concernant les dfauts : (1) Tous les dfauts ne sont pas ncessairement dtects, (2) lajout du mot composant soulve la question du cblage et (3) ce cblage fait partie intgrante du systme de scurit. Les erreurs de cblage peuvent entraner la perte de la fonction de scurit. Lobjectif de la fiabilit de commande est clairement de permettre lexcution de la fonction de scurit mme en prsence dun dfaut. Si ce dfaut est dtect, le systme de scurit doit excuter une mesure de scurit, avertir de la prsence du dfaut et empcher le fonctionnement de la machine jusqu ce que le dfaut soit rectifi. Si le dfaut nest pas dtect, la fonction de scurit doit quand mme pouvoir tre excute en cas de sollicitation.

SAFEBOOK 4

129

SAFEBOOK 4

Systmes de commande de scurit pour machines

Exemple dapplication utilisant SISTEMA
Cet exemple dapplication va nous permettre de voir comment cbler, configurer et programmer un systme base dun automate Compact GuardLogix et dE/S PointGuard I/O contrlant deux zones de scurit. Chacune de ces zones est protge par un interrupteur de scurit unique qui, lorsquil est actionn, envoie un signal de coupure de lalimentation de cette zone sur une paire de contacteurs redondants. Le dispositif est identique pour les deux zones. Ces deux zones sont galement protges par un dispositif darrt durgence gnral qui, lorsquil est actionn, envoie un signal darrt de scurit dans les deux directions. Remarque : cet exemple na quun caractre dillustration. En raison de la diversit des variables et contraintes propres chaque installation particulire, Rockwell Automation ne saurait tre tenu pour responsable ou redevable des ventuelles consquences de son application en conditions relles. Caractristiques et avantages Compact GuardLogix permet aux applications standard et de scurit dtre excutes par un seul automate. Les E/S standard et de scurit peuvent tre regroupes sur un adaptateur Ethernet unique. Ltat de la scurit et les diagnostics peuvent tre facilement transfrs de lapplication de scurit lapplication standard afin dtre affichs sur lIHM. De mme, ils peuvent tre transfrs vers dautres dispositifs distants par Ethernet. Lapplication dcrite ici peut tre largie et incorpore dans une application client.

Description Cette applications est destine la surveillance de deux zones. Chacune de ces zones est protge par un interrupteur de scurit SensaGuard. Si lune des grilles est ouverte, les contacteurs de sortie sont dsactivs, ce qui arrtera toute machine appartenant cette zone. Le rarmement est manuel. Les deux zones sont galement protges par un interrupteur darrt durgence gnral. Si cet arrt durgence est actionn, les deux jeux de contacteurs sont dsactivs. Fonction de scurit Chaque interrupteur de scurit SensaGuard est raccord une paire dentres de scurit sur un module 1734-IB8S (POINTGuard I/O). Ce module dE/S communique avec lautomate de scurit Compact GuardLogix (1768-L43S) via le protocole CIP Safety sur un rseau EtherNet/IP. Le programme de scurit du processeur de scurit contrle ltat des entres de scurit au moyen dune instruction de scurit pr-certifie dnomme DCS (Dual Channel Input Stop Entre darrt deux voies). Ce programme de scurit est excut en parallle dans le cadre dune architecture 1oo2 . Lorsque toutes les conditions sont remplies, la

130

Exemple dapplication utilisant SISTEMA

grille de scurit de trouve ferme, aucun dfaut nest dtect sur les modules dentre, larrt durgence gnral nest pas dclench, et le bouton-poussoir de rarmement est enfonc. Un deuxime bloc fonctionnel certifi dnomm CROUT (Configurable Redundant Output sortie redondante configurable) contrle ltat des dispositifs de commande terminaux constitus par une paire de contacteurs redondants type 100S. Lautomate renvoie alors un signal de sortie au module 1734-OBS pour activer une paire de sorties destines activer les contacteurs de scurit. La fonction darrt durgence gnrale est galement contrle par une instruction DCS. Si larrt durgence gnral est actionn, il coupe lalimentation des deux zones. Nomenclature Cet exemple dapplication utilise les composants suivants. Rfrence Description Interrupteur SensaGuard Plastique, RFID, sans contact Bouton-poussoir de rarmement 800F Mtallique, protg, bleu, R, fixation mtallique verrouillage, 1 contact N.O., standard Contacteurs de scurit Srie 100S-C Module passerelle EtherNet/IP CompactLogix Processeur CompactLogix L43, 2 Mo de mmoire standard, 0,5 Mo de mmoire de scurit Alimentation, entre 120/240 V c.a., sortie 3,5 A sous 24 V c.c. Cache de terminaison droit Adaptateur Ethernet 24 V c.c. Socle pour module avec bornier CEI vis amovible Module dentres de scurit Module de sorties de scurit Switch Ethernet non administr Stratix 2000 Quantit

SAFEBOOK 4

440N-Z21SS2A

800FM-G611MX10

100S-C09ZJ23C 1768-ENBT 1768-L43S

2 1 1

1768-PA3 1769-ECR 1734-AENT 1734-TB 1734-IB8S 1734-OB8S 1783-US05T

1 1 1 4 2 1 1

131

SAFEBOOK 4

Systmes de commande de scurit pour machines

Installation et cblage Pour des informations plus dtailles sur linstallation et le cblage, on se reportera aux manuels fournis avec les produits ou tlchargeables sur : http://literature.rockwellautomation.com Aperu du systme Le module dentres 1734-IB8S surveille les entres des deux interrupteurs SensaGuard. Le SensaGuard utilise des sorties OSSD qui ralisent un test priodique des sorties. Ainsi, ce sont les sorties OSSD qui vrifient lintgrit du cblage entre linterrupteur SensaGuard et les entres de scurit. Les sorties utilises pour les tests impulsion sont configures en sources 24 V. Le dispositif de commande terminal est constitu par une paire de contacteurs de scurit type 100S, reprs K1 et K2. Ces contacteurs sont commands par lintermdiaire du module de sortie de scurit 1734-OBS. Ils sont cbls en redondance et sont tests au dmarrage afin de dtecter tout dfaut ventuel. Ce test de dmarrage consiste v8rifier le circuit de retour sur lentre 2 (I2), avant que les contacteurs ne soient activs. Pour cela, une instruction de sortie redondante configurable CROUT est utilise. Le systme est rarm par le boutonpoussoir impulsion, PB1. Cblage
Rinitialisation de dfaut PB2 Rinitialisation PB1 1734-IB8S
I0 I1 14 I3 16 15 I0 17 I2 I1 I3

Arrt durgence

Interrupteur

Interrupteur

Actionneur

Actionneur

Blanc Rose Gris Bleu Marron Rouge Jaune

Blanc Rose Gris Bleu Marron Rouge Jaune

I2

COM COM COM COM COM COM T0 T1 T2 T3M T0 T1

O0

O1 O4 O3 O6

O5

K1 K2
O2 O7

K3 K4

COM COM COM COM

M
1734-OB8S

COM COM COM COM

132

Exemple dapplication utilisant SISTEMA

Configuration Lautomate Compact GuardLogix est configur laide du logiciel RSLogix 5000, version 18 ou suprieure. Il convient dabord de crer un nouveau projet et y ajouter les modules dE/S. Puis, on configurera ces modules dE/S pour les types dentres et de sorties adquats. Ce document na pas pour objet de fournir la description dtaille de chacune de ces tapes. La connaissance de lenvironnement de programmation RSLogix est prsuppose. Configuration de lautomate et ajout des modules dE/S Suivre ces tapes : 1. Dans le logiciel RSLogix 5000, crer un nouveau projet.

SAFEBOOK 4

2. Dans la fentre Controller Organizer (arborescence de lautomate), ajouter le module 1768-ENBT au dossier 1768 Bus .

133

SAFEBOOK 4

Systmes de commande de scurit pour machines

3. Slectionner ce module 1768-ENBT et cliquer sur OK.

4. Donner un nom au module, taper son adresse IP, puis cliquer sur OK. Nous utilisons ladresse 192.168.1.8 dans cet exemple. Mais la vtre pourra tre diffrente.

134

Exemple dapplication utilisant SISTEMA

5. Ajouter ladaptateur 1734-AENT en cliquant avec le bouton droit de la souris sur le module 1768-ENBT dans la fentre Controller Organizer (arborescence de lautomate) et en slectionnant New Module (nouveau module).

SAFEBOOK 4

6. Slectionner ladaptateur 1734-AENT et cliquer sur OK.

135

SAFEBOOK 4

Systmes de commande de scurit pour machines

7. Donner un nom au module, taper son adresse IP, puis cliquez sur OK. Nous utilisons ladresse 192.168.1.11 dans cet exemple. Mais la vtre pourra tre diffrente. 8. Cliquer sur Change (modifier).

9. Dans le champ Chassis Size (taille du chssis), slectionner 4 pour ladaptateur 1734-AENT et cliquer sur OK. La taille du chssis correspond au nombre de modules qui seront insrs dans ce chssis. Ladaptateur 1734-AENT tant considr comme se trouvant lemplacement 0, pour deux modules dentres et un module de sorties, la taille du chssis sera donc 4. 10. Dans le fentre Controller Organizer (arborescence de lautomate), cliquer avec le bouton droit de la souris sur ladaptateur 1734-AENT et slectionner New Module (nouveau module).

136

Exemple dapplication utilisant SISTEMA

11. Dvelopper le niveau Safety (scurit), slectionner le module 1734-IB8S et cliquer sur OK.

SAFEBOOK 4

12. Dans la bote de dialogue New Module (nouveau module), nommer le dispositif CellGuard_1 et cliquer sur Change (modifier).

137

SAFEBOOK 4

Systmes de commande de scurit pour machines

13. Lorsque la bote de dialogue Module Definition (dfinition du module) souvre, rgler le champ Input Status (tat dentre) sur Combined Status-Power (tat-alimentation combins) et cliquer sur OK. 14. Fermer la bote de dialogue Module Properties (proprits du module) en cliquant sur OK. 15. Rpter les tapes 10 14 pour ajouter un deuxime module dentres de scurit 1734-IB8S et un module de sorties de scurit 1734-OB8S.

Configuration des modules dE/S Suivre cette procdure pour la configuration dun module dE/S POINT Guard I/O. 1. Dans la fentre Controller Organizer (arborescence de lautomate), cliquer avec le bouton droit de la souris sur un module 1734-IB8S et slectionner Properties (proprits). 2. Cliquer sur Input Configuration (configuration dentre) et configurer le module comme illustr.

138

Exemple dapplication utilisant SISTEMA

3. Cliquer sur Test Output (sortie de test) et configurer le module comme illustr.

SAFEBOOK 4

4. Cliquer sur OK. 5. Dans la fentre Controller Organizer (arborescence de lautomate), cliquer avec le bouton droit de la souris sur le deuxime module 1734-IB8S et slectionner Properties (proprits). 6. Cliquer sur Input Configuration (configuration dentre) et configurer le module comme illustr.

7. Cliquer sur Test Output (sortie de test) et configurer le module comme illustr.

139

SAFEBOOK 4

Systmes de commande de scurit pour machines

8. Cliquer sur OK. 9. Dans la fentre Controller Organizer (arborescence de lautomate), cliquer avec le bouton droit de la souris sur le module 1734-OB8S et slectionner Properties (proprits). 10. Cliquer sur Output Configuration (configuration de sortie) et configurer le module comme illustr.

11. Cliquer sur OK.

140

Exemple dapplication utilisant SISTEMA

Programmation Linstruction Entre darrt deux voies DCS contrle les dispositifs de scurit double entre dont la fonction principale est dassurer larrt de scurit dune machine. Ce pourront tre, par exemple, un arrt durgence, une barrire immatrielle ou une grille de protection. Linstruction peut activer la sortie 1 ( Output 1 ) uniquement lorsque les deux voies dentre de scurit ( Channel A et Channel B ) sont actives, conformment la dfinition du paramtre Input Type (type dentre), et que les actions de rarmement adquates ont t excute. Linstruction DCS contrle la cohrence entre les deux voies dentre ( Equivalent Active High ), puis dtecte et pige les dfauts lorsquune incohrence est dtecte pendant une dure suprieure au temps de divergence configur (en ms). Linstruction de sortie redondante configurable CROUT commande et contrle les sorties redondantes. Le temps de rponse du retour de sortie est configurable. Linstruction prend en charge les signaux de retour positifs et ngatifs. Le programme de la routine de contrle des sorties de scurit empche la ractivation de ces sorties si la voie dentre se rinitialise automatiquement, ce qui procure une fonctionnalit danti arrimage pour le rarmement du circuit.

SAFEBOOK 4

141

SAFEBOOK 4

Systmes de commande de scurit pour machines

Rinitialisation sur front descendant La norme EN ISO 13849-1 stipule que les fonctions de rinitialisation des instructions doivent tre excutes sur le front descendant des signaux. Pour se conformer cette exigence, il convient dajouter une instruction One Shot Falling (impulsion monostable sur front descendant) au code de rinitialisation, comme illustr ci-dessous.

Donnes de fonctionnement Lorsquelles sont configures correctement, toute les fonctions de scurit peut tre affectes dune classification de scurit PLe, CAT 4 conformment la norme EN ISO 13849.1 2008. Les calculs sont bass sur un fonctionnement de 16 heures par jour pendant 360 jours par an avec manuvre de la grille de protection une fois par heure. Ceci donne un total de 5 760 manuvres par an. La fonction darrt durgence gnrale est teste une fois par mois.

142

Exemple dapplication utilisant SISTEMA

Chacune des fonctions relatives la grille de protection peut tre reprsente comme ci-dessous.

SAFEBOOK 4

K1 100S SensaGuard SS1

1734-IB8S

1768-L43S

1734-OB8S

K2 100S

Sous-Systme 1

Sous-Systme 2

Sous-Systme 3

Sous-Systme 4

Sous-Systme 5

143

SAFEBOOK 4

Systmes de commande de scurit pour machines

La fonction darrt durgence peut tre reprsente comme suit.

ArUrgence 1 S1

K1 100S

1734-IB8S

1768-L43S

1734-OB8S

ArUrgence 1 S2

K2 100S

Sous-Systme 1

Sous-Systme 2

Sous-Systme 3

Sous-Systme 4

Sous-Systme 5

Cet exemple, son fichier de calcul SISTEMA et le programme dapplication pour RSLogix 5000 peuvent tre tlchargs ladresse : www.discoverrockwellautomation.com

144

Exemple dapplication utilisant SISTEMA

Pour plus dinformations sur les produits utiliss dans cet exemple, se rfrer la bibliothque de documentations en ligne de Rockwell Automations en utilisant les numros de publication indiqus ci-dessous. Le site www.ab.com fournit galement un aperu gnral des produits. Ladresse de la bibliothque en ligne est : www.theautomationbookstore.com Publication Automates Compact GuardLogix Manuel utilisateur Publication : 1768-UM002 Description Informations relatives la configuration, au fonctionnement et la maintenance des automates Compact GuardLogix

SAFEBOOK 4

Modules dE/S de scurit POINT Guard I/O Informations relatives linstallation, la Notice dinstallation et Manuel utilisateur configuration et au fonctionnement des Publication : 1734-UM013 modules POINT Guard I/O Systmes base dautomates GuardLogix Manuel de rfrences de scurit Publication : 1756-RM093 Informations dtailles sur les exigences respecter pour atteindre et maintenir les diffrents niveaux de scurit dans des systmes automate GuardLogix. Informations dtailles sur les jeux dinstructions destines aux applications de scurit GuardLogix. Guide de prise en main tape par tape des outils de conception, de programmation et de diagnostic du kit Safety Accelerator Toolkit. Catalogue exhaustif des produits de scurit avec exemples dapplication et dautres informations utiles

Manuel de rfrences de jeux dinstructions pour applications de scurit GuardLogix. Publication : 1756-RM095 Jeu doutils Safety Accelerator Toolkit pour systmes de scurit GuardLogix Guide de mise en route Publication : IASIMP-QS005 Catalogue des composants de scurit Publication : S117-CA001A

Rockwell Automation a dvelopp un catalogue dexemples dapplication du mme type. Il peut tre tlcharg depuis la bibliothque de documentations en ligne. Accder au site et taper SAFETY-AT dans le champ de recherche, aprs avoir affich Publication Number dans le menu droulant. Des calculs SISTEMA et des programmes dapplication RSLogix 5000 sont disponibles pour certaines applications. Ils peuvent tre tlchargs ladresse : www.discoverrockwellautomation.com

145

Probabilit moyenne de dfaillance dangereuse par heure (1/h) et niveau de performance (PL) correspondant MTTFd pour chaque voie Cat. B PL PL Cat. 2 Cat. 2 PL Cat. 3 PL Cat. 4 PL Cat. 1 PL Cat. 3 PL en annes DCmoy. = nul DCmoy. = nul DCmoy. = faible DCmoy. = moyen DCmoy. = faible DCmoy. = moyen DCmoy. = lev
2,58 x 105 2,33 x 10
5 5 5 5 5 5 6 6

3 1,99 x 105 1,79 x 10 1,62 x 10 1,48 x 105 1,33 x 105 8,39 x 106 7,58 x 10
6 6 6 6

3,80 x 105 a 1,13 x 10 1,03 x 10 9,37 x 106 b 3,89 x 106 3,48 x 10 3,15 x 10 2,80 x 10 2,47 x 10 b b 4,45 x 106 4,02 x 10 3,57 x 10 b
6 6 6 6 6 6 6

a 1,26 x 105 a 5,41 x 10 4,86 x 10 4,40 x 106 b b b c c 2,20 x 106 1,95 x 106 b b 3,21 x 10 b 4,53 x 106 4,04 x 106 3,64 x 10 b
6 6 6 6

a 6,09 x 106 b b b a a a a a a 6,91 x 10 6,21 x 10 5,53 x 10 4,98 x 106 b b b b b b b b b b b a

SAFEBOOK 4

3,3 2,13 x 10 1,95 x 105 1,76 x 105 1,60 x 10

5 5 5 6 6 5 5 5

3,46 x 10 a a a a 1,20 x 10 1,10 x 10 9,87 x 10 8,80 x 10 7,93 x 106 7,10 x 106 6,43 x 10
6 6

3,6

3,17 x 10

3,9

2,93 x 105

4,3

2,65 x 105

4,7 1,47 x 10 1,33 x 10 1,19 x 10 1,08 x 105 9,75 x 106 8,87 x 10

6 6 6

2,43 x 10 a a a a b b b 5,71 x 10 5,14 x 10 b b b b

5,1

2,24 x 10

5,6

2,04 x 10

Systmes de commande de scurit pour machines

146
7,94 x 10 7,18 x 10 6,44 x 106 5,84 x 106 5,33 x 10
6

6,2

1,84 x 10

6,8

1,68 x 105

c c 1,74 x 10 1,53 x 10 b 1,36 x 10

6 6 6

7,5

1,52 x 105

8,2

1,39 x 10

c c c 2,81 x 106 c 1,18 x 106 c

9,1

1,25 x 10

10

1,14 x 10

11

1,04 x 105

12

9,51 x 105

b b 3,01 x 10
6

2,49 x 106 2,23 x 10 b 1,82 x 10

6 6

c c c

1,04 x 106 9,21 x 10 7,44 x 10

7 7

c d d

13 4,53 x 10 4,21 x 10

8,78 x 10

15

7,61 x 10

16

7,31 x 10

2,77 x 10

1,67 x 10

6,76 x 10

Probabilit moyenne de dfaillance dangereuse par heure (1/h) et niveau de performance (PL) correspondant MTTFd pour Cat. 2 Cat. 4 chaque voie Cat. B PL PL PL Cat. 2 PL Cat. 3 PL Cat. 3 PL PL Cat. 1 en annes DCmoy. = nul DCmoy. = nul DCmoy. = faible DCmoy. = moyen DCmoy. = faible DCmoy. = moyen DCmoy. = lev
3,68 x 106 2,37 x 106 2,06 x 10
6 6 6 6 7 7

18 1,41 x 106 1,22 x 10 1,07 x 10 9,47 x 107 8,04 x 107 6,94 x 10

7 7 7 7

6,34 x 106 3,26 x 10

6 6

b 5,67 x 107 4,85 x 10 4,21 x 10 3,70 x 107 3,10 x 107 2,65 x 10 2,30 x 10 2,01 x 10 1,78 x 10 d d 3,35 x 107 2,93 x 10 2,52 x 10 d
7 7 7 7 7 7 7

b b c 1,82 x 10 1,62 x 106 1,39 x 106 1,21 x 10

6 6 7 7

c c c c c c c 5,94 x 10 5,16 x 10 4,53 x 10 3,87 x 107 d d d d d d d d d d d d d d d d 1,54 x 107 1,34 x 107 d d 2,13 x 10 d
7

c c c d d d d

20 2,93 x 10 2,65 x 106 2,32 x 106

6 6 6 6

5,71 x 10

22 c c c c 1,06 x 10 9,39 x 10 8,40 x 10 7,34 x 107 6,49 x 107 5,80 x 10

7 7

5,19 x 10

24

4,76 x 106

27 b 2,06 x 10
6 6 6 6

4,23 x 106

30 b 1,85 x 10 1,67 x 10 1,53 x 10 1,37 x 106 1,24 x 106 1,13 x 10

6 6 7

3,80 x 10

9,54 x 108 8,57 x 10 7,77 x 10 7,11 x 10 d d

8 8 8

e e e e 6,37 x 108 5,76 x 108 e e

33 b c c c c c 1,02 x 10 9,06 x 10 8,17 x 107 7,31 x 107 6,61 x 10

7 7 7

3,46 x 10 c c c c c c 5,10 x 10 4,43 x 10 d d d d d d 5,28 x 10

36

3,17 x 10

Conception de systme selon la norme EN ISO 13849-1:2008

147
6 6 6

39

2,93 x 10

43

2,65 x 106

47

2,43 x 106

51

2,24 x 10

1,19 x 10 1,03 x 10 d 1,84 x 107 d 8,84 x 10

7 7 8

d d e 7,68 x 108 e

5,26 x 10 4,73 x 10 4,22 x 10

8 8 8

e e e 3,80 x 108 e

56 c c c c c 5,88 x 10 c

2,04 x 10

62

1,84 x 10

68

1,68 x 106

3,90 x 107 3,40 x 107 3,01 x 10 2,61 x 10 2,29 x 10

7 7 7

75
6 6 6

1,52 x 106

d d d d

1,57 x 107 1,35 x 10 1,14 x 10 1,01 x 10

7 7 7

d d d d

6,62 x 108 5,79 x 10 4,94 x 10 4,29 x 10

8 8 8

e e e e

3,41 x 108 3,08 x 10 2,74 x 10 2,47 x 10

8 8 8

e e e e

82

1,39 x 10

91

1,25 x 10

SAFEBOOK 4

100

1,14 x 10

SAFEBOOK 4

Systmes de commande de scurit pour machines

148

Publication : SAFEBK-RM002B-FR-P Mars 2011

Remplace la publication : SAFEBK-RM002A-FR-P

2011 Rockwell Automation, Inc. Tous droits rservs.