Vous êtes sur la page 1sur 12
Ingénieurs en Sécurité Industrielle Risques et Précautions liés au Matériel INSTRUMENTATION - RÉGULATION -
Ingénieurs en Sécurité Industrielle Risques et Précautions liés au Matériel INSTRUMENTATION - RÉGULATION -

Ingénieurs en

Sécurité Industrielle

Risques et Précautions liés au Matériel

INSTRUMENTATION - RÉGULATION - AUTOMATISMES SÛRETÉ DES AUTOMATES PROGRAMMABLES

DD 66--55//BB

I FONCTION DES AUTOMATES PROGRAMMABLES

-

1

1 - L'automate et la sécurité

1

2 - Niveaux d'action

 

2

II RISQUES LIÉS AUX AUTOMATES

-

3

1 -

Risques

internes

3

2 - Risques externes

4

3 - Principales causes d'accidents liées à l'utilisation d'automates programmables

4

III FIABILISATION DES SYSTÈMES À BASE D'AUTOMATES PROGRAMMABLES

-

5

1 - Différentes possibilités de fiabilisation

5

2 -

Sécurités internes

5

3 -

Redondance

6

4 - Choix d'une procédure en cas de défaillance

8

IV UTILISATION D'AUTOMATES DÉDIÉS À LA SÉCURITÉ "APIdS"

-

11

IR AUT - 02476_A_F - Rév. 1

Ce document comporte 12 pages

27/06/2005

2005 ENSPM Formation Industrie - IFP Training

1 D D 6 6 - - 5 5 / / B B I -

1

DD 66--55//BB

I -

FONCTION DES AUTOMATES PROGRAMMABLES

L'automate programmable est une des technologies utilisées pour assurer l'automatisation d'un processus. Sa particularité est d'être configurable par programmation ce qui lui assure une grande souplesse. Un câblage reste nécessaire pour tout ce qui lui est externe : les entrées (capteurs), les sorties (préactionneurs ou actionneurs).

Capteur de position A.V Arrêt d'urgence Puissance Relais de commande du moteur Moteur Automate D
Capteur
de position
A.V
Arrêt d'urgence
Puissance
Relais de
commande
du moteur
Moteur
Automate
D IRA 188 A

1 -

L'AUTOMATE ET LA SÉCURITÉ

L'automatisation, en soit, améliore la sécurité dans la mesure où elle éloigne l'homme des zones à risques, au moins durant les phases normales d'exploitation.

En contrepartie l'opérateur a tendance à moins connaître son installation et en particulier ses réactions durant les phases anormales.

Tout automatisme comporte une branche spécifique dédiée à la sécurité qui peut, elle-même, créer des risques. Les études de sûreté de fonctionnement sont là pour minimiser ces risques.

02476_A_F

2 D D 6 6 - - 5 5 / / B B 2 -

2

DD 66--55//BB

2 -

NIVEAUX D'ACTION

On distingue trois niveaux dans le contrôle d'une installation de fabrication :

niveau 1 : conduite de l'installation en marche normale, assurée généralement par une SNCC

niveau 2 : sécurité si le système de niveau 1 n'arrive pas à maintenir la conduite du processus dans des plages normales de fonctionnement ; le système de niveau 2 qui

provoque des actions (arrêt/marche, ouverture/fermeture,

) peut être :

• un automate programmable

• un relayage de sécurité (relais à seuil)

• une sécurité câblée

niveau 3 : protection, assurées par les soupapes de sécurité, les disques de rupture,

les fusibles,

qui agissent en dernier ressort pour éviter l'accident

Niveau 1 : conduite Niveau 3 : protection • Régulation • Surpervision par analyseurs •
Niveau
1
: conduite
Niveau
3
: protection
• Régulation
• Surpervision par analyseurs
• Optimisation
• Automatismes du procédé
• Séquences d'opération
Régulateurs
Capteur
SNCC
API
de tableau
process
Capteur de
Niveau
2
: sécurité
sécurité
Automatismes de sécurité
Relayages de sécurité
Sécurités câblées
API
Relais à seuil
Interlocks
D IRA 182 A

02476_A_F

3 D D 6 6 - - 5 5 / / B B II -

3

DD 66--55//BB

II -

RISQUES LIÉS AUX AUTOMATES

L'utilisation d'automates programmables a apporté de nouveaux types de risques.

1 -

RISQUES INTERNES

Comme tout équipement, un automate programmable peut avoir des pannes internes (claquage de composants électroniques, fusion de fusibles, par exemple) ou des défaillances liées à des perturbations :

– chocs, vibrations, température excessive

– attaques chimiques des isolants, humidité, poussières

– perturbations électriques : variations excessives de tension, coupures, impulsions et parasites, électricité statique, coups de foudre,

Tout cela peut provoquer des altérations, pas toujours destructrices heureusement, se concrétisant par des basculements inopinés de mémoires, des ordres de sortie aberrants, des déréglages des temporisations, des désordres dans le déroulement t séquentiel du programme.

Il est donc impératif de respecter les conditions d'environnement et de service indiquées par les constructeurs qui se basent eux-mêmes sur des normes internationales.

Exemple de spécifications sur la tension d'alimentation

Caractéristiques

 

Tension nominale

24 VCC

48 VCC

110-127 VCA

220-240 VCA

Plage de fonctionnement

19,2 à 30 V

38,4 à 60 V

90

à 140 V

180 à 264 V

Fréquences limites

47

à 63 Hz

47 à 63 Hz

Micro coupure

durée

10 ms

10 ms

 

10

ms

10

ms

(valeur typique)

répétition

1 Hz

1 Hz

1 Hz

1 Hz

Taux d'harmonique

 

10

%

10

%

Ondulation résiduelle incluse

5 % maxi

5 % maxi

 

02476_A_F

4 D D 6 6 - - 5 5 / / B B 2 -

4

DD 66--55//BB

2 -

RISQUES EXTERNES

En plus des perturbations externes citées précédemment, peuvent être classés dans des risques externes :

– des aléas de programmation qui peuvent n'apparaître qu'après des mois de fonctionnement si leur probabilité d'occurrence est faible

– des modifications de programme insuffisamment étudiées sur le plan analyse du risque. Cette facilité de modifier un programme (y compris en marche), qui est un grand atout des automates programmables, se trouve ici être une source de danger

– et comme dans tout automatisme, des pannes de capteurs ou des pannes d'actionneurs, des coupures de câbles,

PRINCIPALES CAUSES D'ACCIDENTS LIÉES À L'UTILISATION D'AUTOMATES PROGRAMMABLES

Une étude, présentée en 1996, portant sur 89 accidents récents a donné les résultats suivants :

   

Nombre de

 

Nature de défaillance

défaillances

Moyens de prévention

1

Capteur

34

%

 

2

Actionneur

23

%

 

3

Alimentation électrique

15

%

Respecter les spécifications constructeur

4

Relation homme/système

15

%

Revoir l'ergonomie du système Former le personnel

5

Automate programmable

10

%

(Voir possibilités de fiabilisation)

 

Non-indépendance système

   

6

sécurité vis-à-vis du système de conduite

3 %

Revoir l'étude de sécurité

Note 1

Les causes 1 et 2 sont indépendantes de l'utilisation d'un automate programmable.

Note 2

La cause 4 peut être complexe. Une mauvaise ergonomie peut entraîner des erreurs d'interprétation, surtout si la formation du personnel au système est insuffisante.

Note 3

La cause 6 s'intitule défaillance de mode commun. Par exemple : utilisation d'une même vanne pour assurer la conduite normale et la protection.

3

-

02476_A_F

5 D D 6 6 - - 5 5 / / B B III -

5

DD 66--55//BB

III -

FIABILISATION DES SYSTÈMES À BASE D'AUTOMATES PROGRAMMABLES

1 DIFFÉRENTES POSSIBILITÉS DE FIABILISATION

-

L'utilisation d'automates programmables doit assurer la sûreté de fonctionnement des installations, c'est-à-dire assurer à la fois continuité du service et la sécurité des personnes et des biens.

Il existe pour cela une série de solutions qui peuvent être combinées entre elles, selon les nécessités ressortant de l'analyse des risques :

– sécurités internes

– redondance

– procédure en cas de défaillance

2 SÉCURITÉS INTERNES

-

Elles sont réalisées par des programmes particuliers d'auto-contrôles surveillant le bon déroulement des opérations au sein de l'automate :

– "chiens de garde" ("watchdogs") surveillant les temps d'exécution des différentes phases du programme, et donnant un ordre adéquat en cas d'anomalie (remise à zéro, redémarrage d'une temporisation, ordre de rempli vers une position sécurité)

– contrôle de la cohérence d'une information binaire au moyen du "bit de parité"

Exemple : l'automate n'utilisant que 7 bits par octet, le huitième bit est utilisé pour indiquer si le nombre de bits à 1 parmi les 7 est pair ou impair.

11010111 D IRA 199 A
11010111
D IRA 199 A

Bit de parité

Le bit de parité est à 1 car il y a un nombre impair de bits à 1 dans la série des 7. L'automate contrôle la cohérence de ces deux informations.

01010110 D IRA 198 A
01010110
D IRA 198 A

Bit de parité

Il y a 4 bits à 1 donc le bit de parité est à zéro.

– contrôle de discordance sur des entrées redondantes

– contrôle des continuités des liaisons entre les différents blocs constitutifs de l'automate

– contrôle des valeurs des tensions d'alimentation, de la tension des batteries de sauvegarde

– protection de l'automate par découplage des Entrées/Sorties au moyen de coupleurs optoélectroniques ou de relais de séparation

02476_A_F

6 D D 6 6 - - 5 5 / / B B Entr é

6

DD 66--55//BB

Entrée venant du capteur

6 D D 6 6 - - 5 5 / / B B Entr é e
Visualisation de l'état de l'entrée Coupleur optoélectronique Entrée dans l'automate Sortie de
Visualisation de l'état de l'entrée
Coupleur optoélectronique
Entrée dans l'automate
Sortie de l'automate
Vers l'actionneur
Relais électromécanique
de découplage
3 -
REDONDANCE
D IRA 193 A
D IRA 197 A

La redondance consiste à multiplier, par 2, par 3, voire plus, les composants de l'automatisme, de telle façon qu'il soit "tolérant aux fautes", c'est-à-dire capable de continuer à assurer sa mission malgré la présence de certaines défaillances.

La redondance se présente sous de multiples formes, selon ce qui est recherché.

a - Redondance totale ou partielle

La redondance peut être totale : elle touche toute la chaîne de l'automatisme, des capteurs aux actionneurs, en passant par la partie commande logique.

La redondance partielle ne porte que sur une partie du système : capteurs, processeurs de l'automate, mémoires de l'automate, actionneurs.

b - Redondance active ou passive

La redondance est dite active lorsque tous les éléments redondants travaillent simultanément. La défaillance d'un élément le bloque en situation telle qu'il laisse son (ou ses) homologues travailler normalement.

02476_A_F

7 D D 6 6 - - 5 5 / / B B La redondance

7

DD 66--55//BB

La redondance active assure donc la sécurité et la disponibilité du système.

E

donc la sécurité et la disponibilité du système. E AUTOMATE 1 S AUTOMATE 2 D IRA
AUTOMATE 1 S AUTOMATE 2 D IRA 194 A
AUTOMATE 1
S
AUTOMATE 2
D IRA 194 A

Redondance active

La redondance est dite passive lorsque les éléments redondants sont en attente, en secours, et ne travaillent qu'en cas de défaillance de leur homologue. Toutefois, un automate en secours peut être en fonctionnement simultané avec son homologue, mais ne donne aucun ordre tant qu'il n'est pas "activé" par la défaillance du premier.

La redondance passive n'améliore que la disponibilité.

E

AUTOMATE 1 AUTOMATE 2 inactif en secours D IRA 195 A
AUTOMATE 1
AUTOMATE 2
inactif en secours
D IRA 195 A

Redondance passive

S

c - Redondance matérielle et/ou logicielle

La redondance faite sur le matériel peut être du type homogène, si tous les composants sont de même technologie ou du type hétérogène, si plusieurs technologies sont utilisées. Par exemple le système primaire peut être un automate programmable, les autres sous forme de relayage électromécanique.

La redondance peut être réalisée sous forme de plusieurs logiciels gouvernant le même automate programmable.

E

Programme 1 Logique de décision Programme 2 S Automate unique D IRA 196 A
Programme 1
Logique
de
décision
Programme 2
S
Automate unique
D IRA 196 A

Redondance logicielle

Il est possible aussi de mélanger les redondances matérielles et logicielles.

02476_A_F

8 D D 6 6 - - 5 5 / / B B 4 -

8

DD 66--55//BB

4 -

CHOIX D'UNE PROCÉDURE EN CAS DE DÉFAILLANCE

Les techniques décrites ci-dessus sont à compléter par le choix d'une procédure à suivre en cas de détection d'anomalies.

En effet, même s'il a été choisi une installation tolérante aux fautes, il est impératif d'être prévenu de la présence d'une anomalie afin de pouvoir la réparer au plus vite.

Mais tous les systèmes ne sont pas tolérants aux fautes et il est donc nécessaire d'avoir prévu à l'avance comment faire évoluer l'installation pour assurer au moins la sécurité. Ceci découle de l'étude de sécurité.

C'est le comportement orienté.

Un premier choix, au niveau de la conception, est de décider si l'installation doit continuer à fonctionner, à plein régime ou en régime dégradé, ou si elle doit s'arrêter.

L'automatisme assurant la sécurité doit donc être prévu pour orienter l'installation vers un régime donné, selon le type de défaillance constaté.

a - Exemple de redondance d'ordre 2

Les deux systèmes fonctionnent simultanément en échangeant en permanence les états de leurs entrées et de leurs sorties.

Si les résultats concordent, une "logique de décision" les valide et les sorties peuvent être activées.

Si les résultats divergent, le système recherche la panne par un programme de tests internes et la logique de décision inhibe la chaîne en défaut, donne l'alarme pour lancer la réparation (intervention humaine), mais laisse travailler l'autre chaîne normalement.

E

AUTOMATE 1 Logique de S décision AUTOMATE 2 Échange registre E/S D IRA 301 A
AUTOMATE 1
Logique
de
S
décision
AUTOMATE 2
Échange registre E/S
D IRA 301 A

Redondance d'ordre 2 avec logique de décision

Si les tests internes n'arrivent pas à trouver la panne, alors la logique de décision lance la procédure orientée de mise en sécurité de l'installation (arrêt ou mise au ralenti ou autre selon des programmes bien définis).

02476_A_F

9 D D 6 6 - - 5 5 / / B B b -

9

DD 66--55//BB

b - Exemple de redondance avec vote majoritaire

La redondance est d'ordre supérieur à 2. Il est ici de 3 et la redondance est matérielle. Dans cet exemple, la sortie validée, en cas de discordance, sera celle qui résulte du vote majoritaire, c'est-à- dire 2 sur 3.

A B C UC UC UC A B C ABC A B C A B
A
B
C
UC
UC
UC
A
B
C
ABC
A
B
C
A
B X B
C X C
X A
VOTEUR
E
S
BUS
ENTRÉES
SORTIES
D IRA 189 A

Redondance d'ordre 3 avec vote majoritaire

Il est à noter que la redondance n'est pas totale, car les capteurs et les actionneurs ne sont pas dupliqués. Dans cet exemple, le vote a lieu sur les sorties. Il existe des systèmes avec 3 logiciels et vote majoritaire sur les ordres, avant les sorties.

02476_A_F

10 D D 6 6 - - 5 5 / / B B c -

10

DD 66--55//BB

c - Exemple de sécurité orientée à la coupure

La détection de défaut et la commande d'ouverture par l'un des deux automates suffit au passage de l'action de mise en sécurité.

Sécurité active : le circuit est fermé en état normal. S1 E1 AUTOMATE 1 S
Sécurité active : le circuit est fermé en état normal.
S1
E1
AUTOMATE 1
S
E2
AUTOMATE 2
S2
D IRA 190 A

d - Exemple de sécurité orientée à l'émission

La sortie est activée, même en cas de discordance, grâce à la sortie logique OU représentée par 2 contacts en parallèle.

Sécurité passive : le circuit est ouvert à l'état normal.

E1

E2

S1 AUTOMATE 1 AUTOMATE 2 S2 D IRA 300 A
S1
AUTOMATE 1
AUTOMATE 2
S2
D IRA 300 A

02476_A_F

11 D D 6 6 - - 5 5 / / B B IV -

11

DD 66--55//BB

IV -

UTILISATION D'AUTOMATES DÉDIÉS À LA SÉCURITÉ "APIdS"

Une évolution actuelle est d'utiliser des automates programmables spéciaux appelés APIdS (Automates Programmables Industriels dédiés à la Sécurité).

Les constructeurs, conscients des problèmes de sécurité liés à l'utilisation d'automates programmables , proposent des appareils spécifiques, dans lesquels sont intégrés des techniques et technologies permettant de résoudre les inconvénients cités plus haut.

La philosophie de base est principalement d'utiliser des composants particulièrement fiables et d'intégrer des redondances matérielles et logicielles.

Toutefois, ces automates ne sont pas encore agréés officiellement, les spécialistes n'étant toujours pas d'accord sur les modalités de l'agrément lui-même. Les doutes portent surtout sur la partie logicielle et sur le fait que la facilité de modification d'un programme, atout majeur des automates programmables par ailleurs, est ici au contraire considérée comme un risque grave.

Exemple d'APIdS

Cet automate utilise trois processeurs de fabricants différents. C'est une redondance partielle hétérogène, d'ordre 3.

Entrée

Structure de l'APIdS de Pilz

Comparateur Module de Unité centrale d'entrée sécurité Processeur A Interface Sortie Processeur B &
Comparateur
Module
de
Unité centrale
d'entrée
sécurité
Processeur A
Interface
Sortie
Processeur B
&
machine
Processeur C
Affichage
D IRA 191 A

02476_A_F