Vous êtes sur la page 1sur 12

D6

Risques et Précautions liés au Matériel

INSTRUMENTATION - RÉGULATION - AUTOMATISMES -5/B


SÛRETÉ DES AUTOMATES PROGRAMMABLES
Ingénieurs en
Sécurité Industrielle

I - FONCTION DES AUTOMATES PROGRAMMABLES.............................................................. 1

1 - L'automate et la sécurité .................................................................................................................. 1


2 - Niveaux d'action ...............................................................................................................................2

II - RISQUES LIÉS AUX AUTOMATES .......................................................................................... 3

1 - Risques internes...............................................................................................................................3
2 - Risques externes .............................................................................................................................4
3 - Principales causes d'accidents liées à l'utilisation d'automates programmables ............................. 4

III - FIABILISATION DES SYSTÈMES À BASE D'AUTOMATES PROGRAMMABLES.................. 5


1 - Différentes possibilités de fiabilisation .............................................................................................5
2 - Sécurités internes.............................................................................................................................5
3 - Redondance .....................................................................................................................................6
4 - Choix d'une procédure en cas de défaillance ..................................................................................8

IV - UTILISATION D'AUTOMATES DÉDIÉS À LA SÉCURITÉ "APIdS"........................................ 11

Ce document comporte 12 pages


IR AUT - 02476_A_F - Rév. 1 27/06/2005

 2005 ENSPM Formation Industrie - IFP Training


1
D 6 -5/B

I- FONCTION DES AUTOMATES PROGRAMMABLES

L'automate programmable est une des technologies utilisées pour assurer l'automatisation d'un processus. Sa
particularité est d'être configurable par programmation ce qui lui assure une grande souplesse. Un câblage
reste nécessaire pour tout ce qui lui est externe : les entrées (capteurs), les sorties (préactionneurs ou
actionneurs).

Capteur
de position

A.V
Arrêt d'urgence

mate
A uto

Puissance

Relais de
commande
du moteur
D IRA 188 A

Moteur

1- L'AUTOMATE ET LA SÉCURITÉ
L'automatisation, en soit, améliore la sécurité dans la mesure où elle éloigne l'homme des zones à
risques, au moins durant les phases normales d'exploitation.

En contrepartie l'opérateur a tendance à moins connaître son installation et en particulier ses réactions
durant les phases anormales.

Tout automatisme comporte une branche spécifique dédiée à la sécurité qui peut, elle-même, créer
des risques. Les études de sûreté de fonctionnement sont là pour minimiser ces risques.

02476_A_F

 2005 ENSPM Formation Industrie - IFP Training


2
D 6 -5/B

2- NIVEAUX D'ACTION
On distingue trois niveaux dans le contrôle d'une installation de fabrication :

– niveau 1 : conduite de l'installation en marche normale, assurée généralement par une


SNCC
– niveau 2 : sécurité si le système de niveau 1 n'arrive pas à maintenir la conduite du
processus dans des plages normales de fonctionnement ; le système de niveau 2 qui
provoque des actions (arrêt/marche, ouverture/fermeture, ...) peut être :
• un automate programmable
• un relayage de sécurité (relais à seuil)
• une sécurité câblée
– niveau 3 : protection, assurées par les soupapes de sécurité, les disques de rupture,
les fusibles, ... qui agissent en dernier ressort pour éviter l'accident

Niveau 1 : conduite Niveau 3 : protection

• Régulation
• Surpervision par analyseurs
• Optimisation
• Automatismes du procédé
• Séquences d'opération

Capteur Régulateurs
SNCC API
process de tableau

Capteur de
sécurité Niveau 2 : sécurité

• Automatismes de sécurité
• Relayages de sécurité

• Sécurités câblées
D IRA 182 A

API Relais à seuil Interlocks

02476_A_F

 2005 ENSPM Formation Industrie - IFP Training


3
D 6 -5/B

II - RISQUES LIÉS AUX AUTOMATES


L'utilisation d'automates programmables a apporté de nouveaux types de risques.

1- RISQUES INTERNES
Comme tout équipement, un automate programmable peut avoir des pannes internes (claquage de
composants électroniques, fusion de fusibles, par exemple) ou des défaillances liées à des
perturbations :
– chocs, vibrations, température excessive
– attaques chimiques des isolants, humidité, poussières
– perturbations électriques : variations excessives de tension, coupures, impulsions et
parasites, électricité statique, coups de foudre, ...

Tout cela peut provoquer des altérations, pas toujours destructrices heureusement, se concrétisant par
des basculements inopinés de mémoires, des ordres de sortie aberrants, des déréglages des
temporisations, des désordres dans le déroulement t séquentiel du programme.

Il est donc impératif de respecter les conditions d'environnement et de service indiquées par les
constructeurs qui se basent eux-mêmes sur des normes internationales.

Exemple de spécifications sur la tension d'alimentation

Caractéristiques

Tension nominale 24 VCC 48 VCC 110-127 VCA 220-240 VCA

Plage de fonctionnement 19,2 à 30 V 38,4 à 60 V 90 à 140 V 180 à 264 V

Fréquences limites — — 47 à 63 Hz 47 à 63 Hz

Micro coupure durée 10 ms 10 ms 10 ms 10 ms


(valeur typique) répétition 1 Hz 1 Hz 1 Hz 1 Hz

Taux d'harmonique — — 10 % 10 %

Ondulation résiduelle incluse 5 % maxi 5 % maxi — —

02476_A_F

 2005 ENSPM Formation Industrie - IFP Training


4
D 6 -5/B

2- RISQUES EXTERNES
En plus des perturbations externes citées précédemment, peuvent être classés dans des risques
externes :

– des aléas de programmation qui peuvent n'apparaître qu'après des mois de


fonctionnement si leur probabilité d'occurrence est faible

– des modifications de programme insuffisamment étudiées sur le plan analyse du


risque. Cette facilité de modifier un programme (y compris en marche), qui est un grand
atout des automates programmables, se trouve ici être une source de danger

– et comme dans tout automatisme, des pannes de capteurs ou des pannes


d'actionneurs, des coupures de câbles, ...

3 - PRINCIPALES CAUSES D'ACCIDENTS LIÉES À L'UTILISATION D'AUTOMATES


PROGRAMMABLES
Une étude, présentée en 1996, portant sur 89 accidents récents a donné les résultats suivants :

Nombre de
Nature de défaillance Moyens de prévention
défaillances

1 Capteur 34 %

2 Actionneur 23 %

Respecter les spécifications


3 Alimentation électrique 15 %
constructeur

Revoir l'ergonomie du système


4 Relation homme/système 15 %
Former le personnel

5 Automate programmable 10 % (Voir possibilités de fiabilisation)

Non-indépendance système
6 sécurité vis-à-vis du système 3% Revoir l'étude de sécurité
de conduite

Note 1

Les causes 1 et 2 sont indépendantes de l'utilisation d'un automate programmable.

Note 2

La cause 4 peut être complexe. Une mauvaise ergonomie peut entraîner des erreurs d'interprétation,
surtout si la formation du personnel au système est insuffisante.

Note 3

La cause 6 s'intitule défaillance de mode commun. Par exemple : utilisation d'une même vanne pour
assurer la conduite normale et la protection.

02476_A_F

 2005 ENSPM Formation Industrie - IFP Training


5
D 6 -5/B

III - FIABILISATION DES SYSTÈMES À BASE D'AUTOMATES PROGRAMMABLES

1- DIFFÉRENTES POSSIBILITÉS DE FIABILISATION


L'utilisation d'automates programmables doit assurer la sûreté de fonctionnement des installations,
c'est-à-dire assurer à la fois continuité du service et la sécurité des personnes et des biens.

Il existe pour cela une série de solutions qui peuvent être combinées entre elles, selon les nécessités
ressortant de l'analyse des risques :
– sécurités internes
– redondance
– procédure en cas de défaillance

2- SÉCURITÉS INTERNES
Elles sont réalisées par des programmes particuliers d'auto-contrôles surveillant le bon déroulement
des opérations au sein de l'automate :

– "chiens de garde" ("watchdogs") surveillant les temps d'exécution des différentes


phases du programme, et donnant un ordre adéquat en cas d'anomalie (remise à zéro,
redémarrage d'une temporisation, ordre de rempli vers une position sécurité)

– contrôle de la cohérence d'une information binaire au moyen du "bit de parité"

Exemple : l'automate n'utilisant que 7 bits par octet, le huitième bit est utilisé pour
indiquer si le nombre de bits à 1 parmi les 7 est pair ou impair.D IRA 199 A

1 1 0 1 0 1 1 1
Bit de parité

Le bit de parité est à 1 car il y a un nombre impair de bits à 1 dans la série des 7.
L'automate contrôle la cohérence de ces deux informations.
D IRA 198 A

0 1 0 1 0 1 1 0
Bit de parité

Il y a 4 bits à 1 donc le bit de parité est à zéro.

– contrôle de discordance sur des entrées redondantes


– contrôle des continuités des liaisons entre les différents blocs constitutifs de l'automate
– contrôle des valeurs des tensions d'alimentation, de la tension des batteries de
sauvegarde
– protection de l'automate par découplage des Entrées/Sorties au moyen de coupleurs
optoélectroniques ou de relais de séparation

02476_A_F

 2005 ENSPM Formation Industrie - IFP Training


6
D 6 -5/B

Entrée venant du capteur

Visualisation de l'état de l'entrée

Coupleur optoélectronique

D IRA 193 A
Entrée dans l'automate

Sortie de l'automate
Vers l'actionneur

Relais électromécanique D IRA 197 A


de découplage

3- REDONDANCE
La redondance consiste à multiplier, par 2, par 3, voire plus, les composants de l'automatisme, de telle
façon qu'il soit "tolérant aux fautes", c'est-à-dire capable de continuer à assurer sa mission malgré la
présence de certaines défaillances.

La redondance se présente sous de multiples formes, selon ce qui est recherché.

a - Redondance totale ou partielle

La redondance peut être totale : elle touche toute la chaîne de l'automatisme, des capteurs aux
actionneurs, en passant par la partie commande logique.

La redondance partielle ne porte que sur une partie du système : capteurs, processeurs de
l'automate, mémoires de l'automate, actionneurs.

b - Redondance active ou passive

La redondance est dite active lorsque tous les éléments redondants travaillent simultanément. La
défaillance d'un élément le bloque en situation telle qu'il laisse son (ou ses) homologues travailler
normalement.

02476_A_F

 2005 ENSPM Formation Industrie - IFP Training


7
D 6 -5/B

La redondance active assure donc la sécurité et la disponibilité du système.

AUTOMATE 1

E S

D IRA 194 A
AUTOMATE 2

Redondance active

La redondance est dite passive lorsque les éléments redondants sont en attente, en secours, et ne
travaillent qu'en cas de défaillance de leur homologue. Toutefois, un automate en secours peut être en
fonctionnement simultané avec son homologue, mais ne donne aucun ordre tant qu'il n'est pas "activé"
par la défaillance du premier.
La redondance passive n'améliore que la disponibilité.

AUTOMATE 1

E S

D IRA 195 A
AUTOMATE 2
inactif en secours

Redondance passive

c - Redondance matérielle et/ou logicielle


La redondance faite sur le matériel peut être du type homogène, si tous les composants sont de
même technologie ou du type hétérogène, si plusieurs technologies sont utilisées. Par exemple le
système primaire peut être un automate programmable, les autres sous forme de relayage
électromécanique.
La redondance peut être réalisée sous forme de plusieurs logiciels gouvernant le même automate
programmable.

Programme 1
Logique
de
décision
E Programme 2 S
D IRA 196 A

Automate unique

Redondance logicielle

Il est possible aussi de mélanger les redondances matérielles et logicielles.

02476_A_F

 2005 ENSPM Formation Industrie - IFP Training


8
D 6 -5/B

4- CHOIX D'UNE PROCÉDURE EN CAS DE DÉFAILLANCE


Les techniques décrites ci-dessus sont à compléter par le choix d'une procédure à suivre en cas de
détection d'anomalies.

En effet, même s'il a été choisi une installation tolérante aux fautes, il est impératif d'être prévenu de la
présence d'une anomalie afin de pouvoir la réparer au plus vite.

Mais tous les systèmes ne sont pas tolérants aux fautes et il est donc nécessaire d'avoir prévu à
l'avance comment faire évoluer l'installation pour assurer au moins la sécurité. Ceci découle de l'étude
de sécurité.

C'est le comportement orienté.

Un premier choix, au niveau de la conception, est de décider si l'installation doit continuer à


fonctionner, à plein régime ou en régime dégradé, ou si elle doit s'arrêter.

L'automatisme assurant la sécurité doit donc être prévu pour orienter l'installation vers un régime
donné, selon le type de défaillance constaté.

a - Exemple de redondance d'ordre 2

Les deux systèmes fonctionnent simultanément en échangeant en permanence les états de leurs
entrées et de leurs sorties.

Si les résultats concordent, une "logique de décision" les valide et les sorties peuvent être activées.

Si les résultats divergent, le système recherche la panne par un programme de tests internes et la
logique de décision inhibe la chaîne en défaut, donne l'alarme pour lancer la réparation (intervention
humaine), mais laisse travailler l'autre chaîne normalement.

AUTOMATE 1
Échange registre E/S

Logique
E de S
décision
D IRA 301 A

AUTOMATE 2

Redondance d'ordre 2 avec logique de décision

Si les tests internes n'arrivent pas à trouver la panne, alors la logique de décision lance la procédure
orientée de mise en sécurité de l'installation (arrêt ou mise au ralenti ou autre selon des programmes
bien définis).

02476_A_F

 2005 ENSPM Formation Industrie - IFP Training


9
D 6 -5/B

b - Exemple de redondance avec vote majoritaire

La redondance est d'ordre supérieur à 2. Il est ici de 3 et la redondance est matérielle. Dans cet
exemple, la sortie validée, en cas de discordance, sera celle qui résulte du vote majoritaire, c'est-à-
dire 2 sur 3.

A B C

UC UC UC

A
BUS

A B C A B C
ENTRÉES

SORTIES

A XA B XB C XC
VOTEUR D IRA 189 A

E S

Redondance d'ordre 3 avec vote majoritaire

Il est à noter que la redondance n'est pas totale, car les capteurs et les actionneurs ne sont pas
dupliqués. Dans cet exemple, le vote a lieu sur les sorties. Il existe des systèmes avec 3 logiciels et
vote majoritaire sur les ordres, avant les sorties.

02476_A_F

 2005 ENSPM Formation Industrie - IFP Training


10
D 6 -5/B

c - Exemple de sécurité orientée à la coupure

La détection de défaut et la commande d'ouverture par l'un des deux automates suffit au passage de
l'action de mise en sécurité.

Sécurité active : le circuit est fermé en état normal.

S1
E1 AUTOMATE 1

D IRA 190 A
E2 AUTOMATE 2
S2

d - Exemple de sécurité orientée à l'émission

La sortie est activée, même en cas de discordance, grâce à la sortie logique OU représentée par 2
contacts en parallèle.

Sécurité passive : le circuit est ouvert à l'état normal.

S1
E1 AUTOMATE 1
D IRA 300 A

E2 AUTOMATE 2
S2

02476_A_F

 2005 ENSPM Formation Industrie - IFP Training


11
D 6 -5/B

IV - UTILISATION D'AUTOMATES DÉDIÉS À LA SÉCURITÉ "APIdS"


Une évolution actuelle est d'utiliser des automates programmables spéciaux appelés APIdS (Automates
Programmables Industriels dédiés à la Sécurité).

Les constructeurs, conscients des problèmes de sécurité liés à l'utilisation d'automates programmables ,
proposent des appareils spécifiques, dans lesquels sont intégrés des techniques et technologies permettant
de résoudre les inconvénients cités plus haut.

La philosophie de base est principalement d'utiliser des composants particulièrement fiables et d'intégrer des
redondances matérielles et logicielles.

Toutefois, ces automates ne sont pas encore agréés officiellement, les spécialistes n'étant toujours pas
d'accord sur les modalités de l'agrément lui-même. Les doutes portent surtout sur la partie logicielle et sur le
fait que la facilité de modification d'un programme, atout majeur des automates programmables par ailleurs,
est ici au contraire considérée comme un risque grave.

Exemple d'APIdS

Cet automate utilise trois processeurs de fabricants différents. C'est une redondance partielle hétérogène,
d'ordre 3.

Structure de l'APIdS de Pilz

Comparateur
Module de
d'entrée Unité centrale sécurité

Processeur A
Interface

Sortie
Entrée Processeur B &
machine

Processeur C
D IRA 191 A

Affichage

02476_A_F

 2005 ENSPM Formation Industrie - IFP Training

Vous aimerez peut-être aussi