PSA PEUGEOT - CITROËN

E03.18.051.G
Normes Biens d'Equipement

ICS : 25.040.01, 13;110

MACHINES ET INSTALLATIONS INDUTRIELLES
AUTOMATISME
REGLES DE MISE EN ŒUVRE ELECTRIQUE ET LOGICIELLE
DES FONCTIONS DE SECURITE
Page 1/17
Cette norme REMPLACE la norme GE03-051G

AVANT-PROPOS
Le présent document a été élaboré afin d'assurer l'homogénéité de réalisation et de mise en œuvre électrique et
logicielle des fonctions de sécurité.
Dans le cadre de toute réalisation électrique, un soin particulier doit être apporté aux fonctions concernant la
sécurité des personnes et des matériels. Dans tous les cas, la réglementation en vigueur doit être respectée et ne
fera l’objet d’aucune dérogation.
• Les textes bleus en italique constituent des informations destinées à accompagner les règles.
1. Les textes noirs précédés d'un numéro constituent les règles. Chacune d'elle doit être appliquée et
autocontrôlée par le fournisseur intégrateur.
Un glossaire des termes utilisés dans cette norme est fourni dans la norme E03.65.015.G.
Un support de formation est associé à cette norme SI 2116, en complément de la partie analyse des risques :
formation ARISQ SS 0433 (accessible aussi aux fournisseurs de bien d'équipement).
2. Le contrôle de la bonne application de ce document est à réaliser en utilisant le support de contrôle du guide
GE03-006G :
• L'application des règles précédées de la puce AF est à contrôler dans l'analyse fonctionnelle,
• L'application des règles précédées de la puce DE est à contrôler dans le dossier électrique,
• L'application des règles précédées de la puce RE est à contrôler dans la réalisation électrique,
• L'application des règles précédées de la puce PR est à contrôler dans le programme.

Rédacteur Vérificateur Approbateur

Fréderic TOURNUT Voir la liste des intervenants Laurent MAUGUY

DTI/DITV/ISP/IMAI/AUT/ATA/MAU DTI/DITV/ISP/IMAI/AUT/ATA

Date Signature Date Signature Date Signature

01/06/2007 01/06/2007

OR : 15/03/2007 B : 01/06/2007 Réseau de compétence : 04A USAGE INTERNE

 PSA PEUGEOT - CITROËN
REGLES DE MISE EN ŒUVRE DES FONCTIONS DE SECURITE E03.18.051.G 2/17

HISTORIQUE

Indice Date Nature des modifications

OR 15/03/2007 Création de la norme

A 20/03/2007 Mise à jour de la liste des intervenants.

B 01/06/2007 Complément apporté à la règle 66.

INTERVENANTS
Les personnes suivantes ont participé à la rédaction et/ou à la vérification de cette norme :
DTI/DITV/ISP/IMAI/AUT/ATA/VSA Gérard GREMAUD, Thierry ROLLAND
DTI/DITV/ISP/IMAI/AUT/BOME Olivier LABERNARDIERE
DTI/DITV/ISP/IMAI/AUT/BOMG/FM Jean Luc DUQUESNE
DTI/DITV/ISP/IMAI/AUT/EMFE Van Qui NGUYEN
DTI/DITV/ISP/IMAI/AUT/FERV Michel CABIOCH
DTI/DITV/ISP/IMAI/AUT/MONV Laurent POIRIER,
DTI/DITV/ISP/IMAI/AUT/PEMO Michel ARIAS
DTI/DITV/ISP/IMAI/AUT/VIG Miguel Angel PEREZ FERNANDEZ
DTI/DITV/RHN/NCF Sylvain BIGOT

OR : 15/03/2007 B : 01/06/2007 Réseau de compétence : 04A USAGE INTERNE

 PSA PEUGEOT - CITROËN
REGLES DE MISE EN ŒUVRE DES FONCTIONS DE SECURITE E03.18.051.G 3/17

SOMMAIRE

1. OBJET ET DOMAINE D’APPLICATION 4

2. DOCUMENTS DE REFERENCE 4
2.1. NORMES 4
2.1.1. Normes PSA 4
2.1.2. Normes Externes 4
2.2. REGLEMENTATIONS 5
2.3. AUTRES DOCUMENTS 5
2.4. EXPRESSION SUR DOCUMENTS 5
3. TERMINOLOGIE ET DEFINITION 5
3.1. DEFINITIONS 5
3.2. SIGLES 5
4. PRINCIPES GENERAUX 6
5. PRESCRIPTIONS SUR LE MATERIEL 7
5.1. CAPTEURS DE TRAITEMENT DE LA SECURITE 7
5.2. RELAIS UTILISES POUR LA SECURITE 7
5.2.1. Bloc logique de sécurité 7
6. PRINCIPES STANDARDS DE TRAITEMENT DE LA SECURITE 8
6.1. CATEGORIES D'ARRET 8
6.1.1. Arrêt de catégorie 0 8
6.1.2. Arrêt de catégorie 1 8
6.1.3. Arrêt de catégorie 2 8
6.2. REARMEMENT 8
6.3. DEMARRAGE D’UNE INSTALLATION 8
6.4. REDONDANCE 9
6.5. AUTOCONTROLE 9
6.5.1. Si l'automatisme est géré sans automate programmable 9
6.5.2. Si l'automatisme est gere par un automate 9
6.5.3. Validation des sorties de la logique programmée 10
6.6. MODES DE MARCHE 10
6.6.1. Sélecteurs de mode de marche 10
6.6.2. Mode manuel 11
6.7. CIRCUITS DE PUISSANCE EQUIPES DE VARIATEURS 11
6.8. CONTROLE DE ROTATION 11
6.9. INTERVERROUILLAGE 12
6.10. ASSERVISSEMENTS DE SECURITE ENTRE EQUIPEMENTS LIES 12
6.10.1. Cas de plusieurs Equipements liées 12
6.10.2. Cas de plusieurs Equipements liées, mode dégradé 12
6.11. GESTION DES GROUPES DE SECURITE 12
7. FONCTIONS DE SECURITE 14
7.1. COUPURE D'URGENCE 14
7.2. ARRET D’URGENCE 14
7.3. RIDEAUX 14
7.3.1. Points Spécifiques au rideau installé à un poste de travail d'un opérateur 14
7.4. EQUIPEMENTS DE PROTECTION SENSIBLES 15
7.4.1. Barrage immatériel (barrière immatérielle, scrutateur laser) 15
7.4.2. Tapis sensible 16
7.5. COMMANDE BIMANUELLE POUR OPERATEUR DE FABRICATION 17
7.6. CONTROLES D'ACCES ET CARTERISATIONS 17
7.6.1. Portillons d’accès verrouillés et interverrouillés 17
7.6.2. Portillons d’accès a transfert de clé 17

OR : 15/03/2007 B : 01/06/2007 Réseau de compétence : 04A USAGE INTERNE

 PSA PEUGEOT - CITROËN
REGLES DE MISE EN ŒUVRE DES FONCTIONS DE SECURITE E03.18.051.G 4/17

1.OBJET ET DOMAINE D’APPLICATION

Ce document définit les principes essentiels de mise en œuvre électrique et logicielle des fonctions de
sécurité. Ce document est applicable pour tout équipement de travail acheté par PSA Peugeot Citroën.

2.DOCUMENTS DE REFERENCE
2.1.NORMES
2.1.1.NORMES PSA
E03.15.605.G Installations électriques générales - Machines et installations industrielles - Standard des
matériels électriques et électroniques
E03.65.036.G Machines et installations industrielles – Automatisme – Règles de conception et de
réalisation des logiciels.
E03.03.250.G Machines et installations industrielles – Dossiers électriques – Réalisation en CAO -
Contenu des documents
E03.65.015.G Machines et installations industrielles – Automatisme – Référentiel technique transversal
E03.65.038.G Machines et installations industrielles – Automatisme – Règles de rédaction de l'analyse
fonctionnelle, de l'analyse organique et du manuel opérateur
GE03-006G Guide de réception des équipements électriques des machines et installations industrielles.
Partie 5 : contrôle de la sécurité

2.1.2.NORMES EXTERNES
EN 294 Sécurité des machines - Distances de sécurité pour empêcher l'atteinte des zones
dangereuses par les membres supérieurs.
EN ISO 13850 Sécurité des machines - Équipement d'arrêt d'urgence, aspects fonctionnels - Principes de
conception.
EN 574 Sécurité des machines - Dispositifs de commande bimanuelle - Aspects fonctionnels.
Principes de conception
EN 953 Sécurité des machines - Protecteurs - Prescriptions générales pour la conception et la
construction des protecteurs fixes et mobiles
EN 954-1 Sécurité des machines - Parties des systèmes de commande relatives à la sécurité - Partie
1 : principes généraux de conception
EN 999 Sécurité des machines - Positionnement des équipements de protection en fonction de la
vitesse d'approche des parties du corps
EN 1050 Sécurité des machines - Principes pour l'appréciation du risque
EN 1088 Sécurité des machines - Dispositifs de verrouillage associés à des protecteurs - Principes
de conception et de choix
EN ISO 12100-1 Sécurité des machines - Notions fondamentales, principes généraux de conception - Partie
1 : terminologie de base, méthodologie
EN ISO 12100-2 Sécurité des machines - Notions fondamentales, principes généraux de conception - Partie
2 : principes techniques
EN 60204-1 Sécurité des machines - Équipement électrique des machines - Partie 1 : prescriptions
générales

OR : 15/03/2007 B : 01/06/2007 Réseau de compétence : 04A USAGE INTERNE

 PSA PEUGEOT - CITROËN
REGLES DE MISE EN ŒUVRE DES FONCTIONS DE SECURITE E03.18.051.G 5/17

2.2.REGLEMENTATIONS
Directive 98/37 /CE Directive concernant le rapprochement des législations des états membres relatives aux
(*2006/42/CE) machines.
Décret 88-1056 Décret pris pour l'exécution des dispositions du livre II du code du travail (titre III : hygiène,
sécurité et conditions du travail) en ce qui concerne la protection des travailleurs dans les
établissements qui mettent en œuvre des courants électriques.

2.3.AUTRES DOCUMENTS
AUT_STD_505 Fonctionnalités et sécurité pour portillons d’accès et protecteurs mobiles.
AUT_STD_997 Diagnostic portillons - Analyse fonctionnelle et organique.

2.4.EXPRESSION SUR DOCUMENTS

Sans objet

3.TERMINOLOGIE ET DEFINITION
Un dictionnaire (glossaire) des principaux termes et leurs définitions utilisés au sein de la Direction Technique et
Industrielle, dans le domaine des automatismes, est fournie dans la norme E03.65.015.G
3.1.DEFINITIONS
Sans objet

3.2.SIGLES
Sans objet

OR : 15/03/2007 B : 01/06/2007 Réseau de compétence : 04A USAGE INTERNE

 PSA PEUGEOT - CITROËN
REGLES DE MISE EN ŒUVRE DES FONCTIONS DE SECURITE E03.18.051.G 6/17

4.PRINCIPES GENERAUX
3. En préalable à toute étude de mise en œuvre électrique et logicielle de fonctions de sécurité, doivent être
impérativement rédigés et validés :
• AF l'analyse des risques de l'installation
• AF le découpage fonctionnel et le graphe de sécurité de l'installation selon la norme E03.65.038.G
4. DE Les composants à utiliser pour la mise en œuvre électrique des fonctions de sécurité sont ceux du
standard E03.15.605.G.
5. DE RE Les composants utilisés sont mis en œuvre selon les prescriptions du constructeur de matériel. Le
fournisseur doit pouvoir apporter la preuve de la bonne mise en œuvre du matériel en fournissant les fiches de
labellisation ou documents assimilés quand ils existent.
Les principes standards de mise en œuvre électrique et logicielle proposés dans ce document ne tiennent pas
compte des modes de marches et d'arrêts de l'installation.
Chaque principe standard de mise en œuvre électrique et logicielle est abordé séparément (la sécurité complète
d'une installation est obtenue en assemblant ces principes).
Ce document ne se substitue pas aux normes définissant la sécurité ni aux normes de choix et d’intégration du
matériel de sécurité, ni à la directive machine.
6. DE Lors du déclenchement d'une fonction de sécurité (arrêt d'urgence, portillons, arrêt cycle, barrières
immatérielles, …), on doit laisser sous tension de façon permanente :
• la signalisation (voyants, IHM)
• les automates, commandes numériques et autres équipements spécifiques
• les entrées y compris codeurs et capteurs de mesure (ceci permet la prise en compte des phénomènes
d’inertie)
• les liaisons de communication

OR : 15/03/2007 B : 01/06/2007 Réseau de compétence : 04A USAGE INTERNE

 PSA PEUGEOT - CITROËN
REGLES DE MISE EN ŒUVRE DES FONCTIONS DE SECURITE E03.18.051.G 7/17

5.PRESCRIPTIONS SUR LE MATERIEL

7. DE Les matériels doivent être choisis pour permettre une durée de vie mécanique et électrique minimale de 6
ans dans les conditions nominales d'utilisation définies au cahier des charges de l'affaire (cadence, temps
d'ouverture, milieu ambiant,…).

5.1.CAPTEURS DE TRAITEMENT DE LA SECURITE

8. DE Le câblage d'un capteur traitant la sécurité doit être tel que la rupture d'un conducteur ne provoque pas la
perte de la fonction de sécurité.
• DE PR Le bon fonctionnement de tout capteur de traitement de la sécurité doit être vérifié à chaque
sollicitation Ce contrôle peut être fait par l'automate.
• DE L'information électrique doit être à 1 quand la sécurité est active, y compris pour la fonction de
contrôle.
9. DE Tous les fins de course mécanique utilisés dans le cadre de la sécurité sont des fins de course à
manœuvre positive d'ouverture.
Ils sont repérés par ce Symbole :
10. DE Les fins de course à levier à galet ou à tige sont interdits en utilisation sans redondance pour une fonction
de sécurité personnel.
11. RE Dans tous les cas l'intégration d'un fin de course de sécurité doit respecter les angles, les vitesses et
profondeurs d'attaque définies dans les préconisations constructeurs.
Action mécanique négative
12. DE En sécurité le mode négatif n'est jamais utilisé seul.
Action mécanique positive
13. DE Le mode positif peut être utilisé seul en catégories de commande 1 et 2
Actions mécaniques négative + positive combinées
14. DE La combinaison du mode positif et du mode négatif mécaniques doit être utilisée en catégories de
commande 3 et 4

5.2.RELAIS UTILISES POUR LA SECURITE

15. DE Tous les relais utilisés pour la sécurité ainsi que les blocs auxiliaires sont obligatoirement à contacts liés.
5.2.1.BLOC LOGIQUE DE SECURITE
16. DE L'utilisation d'un bloc logique de sécurité implique le raccordement des fonctions de sécurité, en priorité,
directement sur les contacts prévus à cet effet.
17. DE Si le nombre de contacts du bloc logique de sécurité n'est pas suffisant ou si les caractéristiques des
contacts ne sont pas adaptées, il faut utiliser les additifs de ces blocs ou relayer les contacts des blocs de
sécurité par des relais supplémentaires.
18. DE L'utilisation de relais supplémentaires (à contacts liés) nécessite l'obligation de contrôler ces relais par le
bloc de sécurité et d'envoyer une information de diagnostic à l'automate pour chaque relais.

OR : 15/03/2007 B : 01/06/2007 Réseau de compétence : 04A USAGE INTERNE

 PSA PEUGEOT - CITROËN
REGLES DE MISE EN ŒUVRE DES FONCTIONS DE SECURITE E03.18.051.G 8/17

6.PRINCIPES STANDARDS DE TRAITEMENT DE LA SECURITE

6.1.CATEGORIES D'ARRET
19. AF La catégorie d'arrêt de chaque mouvement ou actionneur est conforme à l'analyse des risques.
6.1.1.ARRET DE CATEGORIE 0
20. DE Cette catégorie d’arrêt est utilisée en cas de coupure d’urgence.
Cette catégorie d’arrêt est utilisée sur les systèmes à faible inertie et ne nécessitant pas le maintien temporaire de
la puissance.
6.1.2.ARRET DE CATEGORIE 1
Cette catégorie d’arrêt est utilisée sur les systèmes avec inertie (ex : entraînement par variateur de vitesse) et les
systèmes nécessitant le maintien temporaire de la puissance (ex : ouverture des pinces de soudage pendant la
soudure).
La coupure d’alimentation des actionneurs concernés est faite de manière temporisée (contact temporisé à la
retombée du relais de marche)
21. AF RE La valeur de la temporisation est déterminée par le temps d’arrêt de(s) actionneur(s) concerné(s).
22. DE La technologie de la temporisation ne doit pas permettre un déréglage « excessif ».
6.1.3.ARRET DE CATEGORIE 2
Arrêt contrôlé, arrêt en maintenant l'alimentation aux actionneurs, l'alimentation en énergie n'est pas coupée.
Ce type d’arrêt n’est utilisé que pour les actionneurs où le fait de couper l’énergie présente un risque plus important
que de laisser en énergie, par exemple pour des aimants porteurs de pièces, pour des systèmes de blocage de
tige de vérin,…

6.2.REARMEMENT
23. DE Le réarmement manuel de chaque organe de sécurité est obligatoire après son déclenchement sauf pour
les barrières immatérielles, où il peut être automatique s'il n'y a pas de risque d'enfermement (ce point doit être
défini dans l'analyse des risques).
24. RE Le réarmement devra être placé au plus près de l'organe de sécurité.
25. AF Les organes de commande de réarmement et de redémarrage sont définis dans l'analyse fonctionnelle.
26. RE Le réarmement placé au plus près permet de s'assurer qu'il n'y a pas d'ambiguïté sur l'organe à réarmer et
que la zone protégée par l'organe est à nouveau en sécurité.
Certains organes ont leur fonction de réarmement intégrée (ex : bouton d'arrêt d'urgence, portillon,…).

6.3.DEMARRAGE D’UNE INSTALLATION

27. DE Si l'autocontrôle de la fonction de sécurité a été fait par le câblage, le (re)démarrage doit être fait par le
câblage.
Si l'autocontrôle a été fait par l'automate le (re)démarrage peut être fait par l'automate
28. DE RE Si on ne voit pas la totalité de l’installation depuis le poste de commande, chaque mise en marche doit
être précédée d’un avertissement sonore et/ou visuel.
Le contrôle sur site permet de vérifier la visibilité depuis le poste de commande.
La personne exposée doit avoir le temps de s’opposer au démarrage de l’installation avant qu’il ne soit effectif.
Se référer à l’exigence décrite au § 1.2.2 (organe de commande) de la directive machine 98/37/CE.
29. DE PR Le relâchement de l'organe de démarrage doit être contrôlé après chaque sollicitation.
Le contrôle peut être fait par le câblage ou le programme
30. DE PR Chaque organe de démarrage doit être diagnostiqué.

OR : 15/03/2007 B : 01/06/2007 Réseau de compétence : 04A USAGE INTERNE

 PSA PEUGEOT - CITROËN
REGLES DE MISE EN ŒUVRE DES FONCTIONS DE SECURITE E03.18.051.G 9/17

6.4.REDONDANCE
31. DE PR Pour les catégories de commande 3 et 4 (suivant EN954-1) la redondance est obligatoire.
L'organe qui assure la redondance peut être commun à plusieurs fonctions.
Pour garantir « la redondance » deux moyens de coupure doivent être intégrés en série dans le circuit de
puissance des actionneurs, par exemple :
- un contacteur, un variateur
- deux contacteurs.
32. DE PR L'ensemble du circuit de la fonction de sécurité doit être redondant des capteurs jusqu'aux organes de
commande de puissance des actionneurs inclus.
• L'un des deux organes de puissance peut être remplacé par un protecteur inter-verrouillé.
Exemple : protection par un contacteur et une barrière physique (rideau), l’ouverture du rideau est conditionnée par
la retombée du contacteur et inversement, la fermeture du contacteur est conditionnée par la fermeture du rideau.
33. DE Pour les capteurs la redondance associe les modes positif et négatif pour éviter la défaillance en mode
commun.
34. DE PR Chaque organe intégré dans le circuit de sécurité est diagnostiqué
Dans le cas de sous ensemble homologué la règle peut ne pas être applicable, par exemple, protecteur motorisé
livré avec son coffret de commande.
35. La redondance du circuit de commande :
• DE est totalement effectuée en câblé, elle est dite homogène.
ou
• DE PR est effectuée en câblé plus programmé, elle est dite diversitaire,
• DE PR le canal programmé est traité en logique positive
L'état logique 1 de l'entrée automate correspond à l'état "en sécurité" de la machine.
• DE les organes de sécurité sont munis de 2 contacts identiques, l'un pour le câblé et l'autre pour le
programmé.

6.5.AUTOCONTROLE
36. DE PR A partir de la catégorie de commande 2 (suivant EN954-1) l'autocontrôle est obligatoire.
37. DE PR Si l'organe qui assure la redondance est commun à plusieurs fonctions, il est autocontrôlé et la
détection de sa défaillance provoque la mise en sécurité de tous les actionneurs qui en dépendent.
6.5.1.SI L'AUTOMATISME EST GERE SANS AUTOMATE PROGRAMMABLE
38. DE La sécurité est traitée par des blocs logiques de sécurité (redondance, autocontrôle)
39. DE Le redémarrage est commandé par un bouton "marche" dont le relâchement est contrôlé par le bloc
logique de sécurité.
40. DE En cas de défaut les conditions de marche sont perdues et le défaut est signalé.
6.5.2.SI L'AUTOMATISME EST GERE PAR UN AUTOMATE
6.5.2.1.Utilisation de bloc logique de sécurité
41. DE Dans ce cas la fonction sécurité (redondance, autocontrôle) est gérée par le bloc logique de sécurité
• DE PR L’automate est utilisé pour la visualisation (signalisation de l’état du bloc logique de sécurité et de
la fonction de sécurité activée)
• PR Pour empêcher le redémarrage lors du réarmement l’automate doit aussi remettre à zéro ses sorties.
Lorsque la fonction de sécurité a été réarmée, l'automate peut gérer le redémarrage.

OR : 15/03/2007 B : 01/06/2007 Réseau de compétence : 04A USAGE INTERNE

 PSA PEUGEOT - CITROËN
REGLES DE MISE EN ŒUVRE DES FONCTIONS DE SECURITE E03.18.051.G 10/17

6.5.2.2.Utilisation de relayage classique

42. DE Les relais utilisés sont conformes au chapitre prescription sur le matériel.
43. DE PR A chaque démarrage de l'équipement de travail, les contrôles à la retombée des relais utilisés pour la
sécurité sont effectués. Si un défaut est détecté deux actions sont à prévoir :
• DE PR bloquer les conditions de marche
• PR envoyer un message de défaut.
44. Le bon fonctionnement de chaque fonction de sécurité est contrôlé par l'automate à chaque sollicitation.
• DE Un contact de chaque organe de sécurité et de chaque relais élémentaire est câblé en entrée
automate.
• PR Le programme vérifie en permanence la cohérence des deux. Si un défaut est détecté trois actions
sont à prévoir :
• bloquer les conditions de marche
• envoyer un message de défaut.
• Gérer l'acquittement du défaut dans des conditions sûres
• PR Les équations de contrôle des fonctions de sécurité sont écrites dans le traitement combinatoire
d'entrée du groupe de sécurité concerné (conformément à la norme E03.65.036.G).
6.5.3.VALIDATION DES SORTIES DE LA LOGIQUE PROGRAMMEE
45. DE PR Les sorties sont réparties en trois groupes selon le type de coupure à leur appliquer :
• Sorties non coupées par une sécurité : arrêt de catégorie 2
signalisations, sorties liées à un arrêt de catégorie 2, échanges d’information, actionneurs où le fait de couper
l’énergie présente un risque plus important que de laisser en énergie, par exemple pour des aimants porteurs de
pièces, pour des systèmes de blocage de tige de vérin, les systèmes venturis, .
• Sorties à coupure instantanée lors du déclenchement d'une sécurité : arrêt de catégorie 0.
• Sorties à coupure retardée lors du déclenchement d'une sécurité : arrêt de catégorie 1
utilisé sur les systèmes avec inertie (ex : entraînement par variateur de vitesse) et les systèmes nécessitant le
maintien temporaire de la puissance (ex : pas d’ouverture des pinces de soudage pendant la soudure
46. PR Pour chacun de ces trois groupes d’alimentation, il existe une condition permanente de marche. Cette
information est utilisée dans le traitement combinatoire de sortie de chaque actionneur
Pour certains types d'actionneurs, il peut être utile de prendre en compte la coupure retardée de la commande
logicielle, afin de ne pas générer de défauts propres à ces actionneurs.

6.6.MODES DE MARCHE
6.6.1.SELECTEURS DE MODE DE MARCHE
47. DE Si le changement de mode de marche provoque la neutralisation de certains dispositifs de sécurité le
sélecteur de mode de marche est obligatoirement à clé verrouillable dans chaque position.
48. DE Le numéro de la clé à utiliser est défini dans l'analyse fonctionnelle
Se référer à l’exigence décrite au § 1.2.5 de la directive machine 98/37/CE.
Ce point est applicable pour tous les sélecteurs de mode de marche
49. AF Le mode local distance est autorisé s'il n'entraîne pas de risque particulier.
Ce mode est une OPTION. Il est lié à l’existence d’un pupitre de commande à distance ou d’une télécommande à
distance.
50. DE Lorsqu'un mode d'exploitation neutralise une fonction de sécurité le composant utilisé pour la neutralisation
est traité en logique câblée pour interdire la marche automatique.

OR : 15/03/2007 B : 01/06/2007 Réseau de compétence : 04A USAGE INTERNE

 PSA PEUGEOT - CITROËN
REGLES DE MISE EN ŒUVRE DES FONCTIONS DE SECURITE E03.18.051.G 11/17

6.6.2.MODE MANUEL
51. DE PR Si les commandes peuvent être faites depuis plusieurs pupitres, un seul doit être actif à un instant
donné (voir EN 60204-1 § 9.2.7.5)
52. AF Dans tous les cas, les commandes manuelles doivent être sans danger pour l'opérateur.
Le mode manuel peut être de deux types : Les mouvements manuels se font de manière cyclés ou non. Si le
mode manuel est sans condition de cycle, c’est l'opérateur qui prend sous sa responsabilité l'exécution des
mouvements en veillant notamment à gérer les interférences.
53. Lorsque le mode manuel neutralise certains dispositifs de protection (exemple : porte ouverte, …) :
• L'opérateur doit avoir la maîtrise du mouvement commandé
• AF Le temps d’arrêt doit être inférieur au temps d’accès des parties en mouvement (ce point doit être
pris en compte dans l’analyse des risques).
• AF RE Le pupitre de commande manuelle doit permettre la vue dégagée sur les mécanismes
actionnés. Si ce n'est pas possible un pupitre déporté doit être prévu.
• AF DE Lors de l'utilisation de pupitre portatif, c’est l’opérateur qui est à proximité qui pilote le
mouvement.
• AF DE Sur un pupitre portatif, les deux mains de l'intervenant doivent être occupées pour effectuer
la commande du mouvement sauf dans les cas définis par l'analyse des risques.
• DE PR En marche manuelle il y a impossibilité de commander un mouvement par l'action d'un capteur.
• PR Lors d'une commande manuelle, il n’y a pas d’enchaînement automatique des mouvements.
• DE PR Impossibilité de maintenir un mouvement sans action volontaire
La commande manuelle d'un mouvement doit être maintenue pendant tout le mouvement.
• AF DE PR Limitation contrôlée des vitesses et/ou des couples à des valeurs non dangereuses
Pour les cas où ce n'est pas possible (ex : mouvements pneumatiques) ce point est à traiter par un autre moyen
par exemple éloignement du pupitre.
Dans tous les cas, le principe de contrôle de la limitation est à définir par l'analyse des risques
• DE La commande d'un mouvement manuel ne peut pas être faite uniquement sous contrôle de l'automate.
Par exemple utilisation d’un bouton câblé dans la commande du mouvement. Se référer à la note ministérielle du
27 mai 1998 et aux commentaires de la directive européenne 98/37/CE § 1.2.7 (édition 1999) qui interdisent le
traitement des fonctions de sécurité par du LOGICIEL uniquement.

6.7.CIRCUITS DE PUISSANCE EQUIPES DE VARIATEURS

54. AF DE Avec accès opérateur à chaque cycle, l'installation est mise en sécurité par un blocage mécanique du
mobile
• DE Le système de blocage mécanique est contrôlé électriquement et le contrôle autorise l'accès à la zone
dangereuse.
55. AF DE La mise en sécurité d’un axe vertical (ou incliné) piloté par variateur (ou non) n'est pas faite en utilisant
le frein de parking du moteur comme élément de sécurité.
56. AF DE Pour les zones de passage ou autres coupures "occasionnelles" la mise en sécurité du variateur se fait
de la même manière que lors d’un arrêt d’urgence. : Catégorie d’arrêt 1 et ouverture du contacteur variateur
suivant E03.03.250.G.

6.8.CONTROLE DE ROTATION
57. AF DE Ce système est obligatoire pour les mouvements à inertie : dont le temps d'arrêt est supérieur au temps
d'accès au danger depuis le portillon (point d'accès).
58. AF DE Le contrôle de rotation respecte la catégorie de système de commande définie dans l'analyse des
risques.

OR : 15/03/2007 B : 01/06/2007 Réseau de compétence : 04A USAGE INTERNE

 PSA PEUGEOT - CITROËN
REGLES DE MISE EN ŒUVRE DES FONCTIONS DE SECURITE E03.18.051.G 12/17

59. AF DE PR Ce système est associé à des protecteurs interverrouillés.

60. AF Le contrôle de rotation est fait soit sur le moteur soit sur le mobile. Le choix est déterminé par l'analyse des
risques.
• DE Si le contrôle est fait sur le mobile, il est fait en sécurité positive
• AF Le contrôle de rotation ne peut être fait sur le moteur que si la liaison mécanique est fiable (interdit lors
de liaison à courroie, chaîne, …, autorisé en liaison directe type vecobloc, …).
Si le contrôle de rotation est fait sur le moteur, le contrôle peut être fait électriquement par des mesures de courant
et de tension.

6.9.INTERVERROUILLAGE
61. AF DE PR Si la mise en sécurité de l'équipement nécessite des actions complémentaires (engagement d'un
verrou, contrôle de l'arrêt effectif d'un mobile, …) :
• ces actions doivent être prises en compte dans la gestion de l'autorisation d'accès suivant la catégorie de
sécurité définie dans l'analyse des risques.
• il est interdit d'utiliser des équipements de protection sensibles

6.10.ASSERVISSEMENTS DE SECURITE ENTRE EQUIPEMENTS LIES

6.10.1.CAS DE PLUSIEURS EQUIPEMENTS LIEES
Ceci s'applique dans le cas de 2 équipements indépendants électriquement mais liés mécaniquement
(manutention, process, etc.),
62. DE L'information câblée de marche est envoyée d'un équipement vers l'autre
63. DE La perte de l'information de marche assure la mise en arrêt immédiat des mouvements en interférence.
• DE PR En fonction de l'analyse des risques, l'énergie sur l'entité en attente peut être conservée mais le
cycle est bloqué en sécurité par la non présence de l'information de marche (coupure des actionneurs en
hard, raz des sorties, etc.).
• PR Pour le diagnostic, l’entité « esclave » signale " Arrêt de sécurité machine XX ".
64. DE PR Lorsque l'information de marche réapparaît et si l'analyse des risques l'autorise, l'entité en attente peut
reprendre automatiquement son fonctionnement normal.
Dans le cas ou seule une installation agit sur l'autre, les informations sont à envoyer uniquement dans un sens.
6.10.2.CAS DE PLUSIEURS EQUIPEMENTS LIEES, MODE DEGRADE
65. DE Si deux équipements sont liés et qu'il est prévu de fonctionner sur l'un et que l'autre est hors tension,
chaque équipement fournit directement des contacts des boutons d'arrêt d'urgence à l'autre.
66. DE Si plus de deux équipements sont liés et que le fonctionnement est prévu alors que l'un est hors tension,
l'arrêt d'urgence doit être intégré dans un coffret dont l'alimentation est indépendante.
• DE La gestion de l'arrêt d'urgence dans le coffret est bi-canal.
• DE Un contact de chacun des deux relais est mis à disposition de chacun des équipements concernés.
• DE PR Chaque équipement contrôle le bon fonctionnement des deux contacts qu'il reçoit.
Si un coffret n'est pas utilisé, une zone spécifique, peut être réservée à cet effet dans une armoire à conditions que
l'alimentation soit à proximité de l'interrupteur principal, que le câblage soit orange et que la fonction soit protégée,
sectionnable et raccordée en amont de l'interrupteur principal.

6.11.GESTION DES GROUPES DE SECURITE

67. AF DE Quel que soit le système de sécurité employé et la catégorie du système de commande à respecter, le
périmètre du groupe de sécurité dépend du découpage fonctionnel de l’installation.
68. AF DE Tout organe de sécurité appartient à un groupe de sécurité.

OR : 15/03/2007 B : 01/06/2007 Réseau de compétence : 04A USAGE INTERNE

 PSA PEUGEOT - CITROËN
REGLES DE MISE EN ŒUVRE DES FONCTIONS DE SECURITE E03.18.051.G 13/17

69. DE Les groupes de sécurité sont conformes au graphe de sécurité de l'analyse fonctionnelle.
70. AF DE La catégorie de système de commande à respecter est définie par l’analyse des risques.
71. DE Privilégier le traitement des fonctions de sécurité sans utiliser de relais intermédiaire en exploitant au
maximum les contacts disponibles des composants de sécurité (d'un bouton arrêt d'urgence par exemple,...)
72. DE Un organe de sécurité qui doit être relayé (besoin de plusieurs contacts) est câblé sur un relais élémentaire
et sur une entrée automate.
73. DE Pour chaque groupe de sécurité une sortie automate "validation groupe de sécurité" (relayée si besoin de
beaucoup de contacts) est insérée dans le traitement en logique câblée.
74. DE Les organes de sécurité non relayés, les relais élémentaires et les " validation groupe de sécurité " sont
utilisés pour la gestion des relais de groupe de sécurité.
75. DE Chaque relais de groupe de sécurité contrôle l'état de l'ensemble des sécurités de son groupe
76. DE PR Tout relais de groupe de sécurité doit être désactivé en logique câblée et programmée si l'un des GS
de niveau supérieur est désactivé.
77. DE Les sorties automate de commande des EPO doivent être réparties sur les cartes de sorties en fonction
des GS auxquelles elles appartiennent.
Découpage à mettre aussi en œuvre dans le cadre de l'utilisation des E/S déportées.
78. DE PR Lorsqu'un mode d'exploitation entraîne la neutralisation d'une fonction de sécurité, le composant utilisé
pour la neutralisation doit être contrôlé, surveillé et diagnostiqué par l'automate.
79. DE PR La fonction de neutralisation doit être de la même catégorie (suivant EN954-1) que la fonction de
sécurité qu'elle neutralise.

OR : 15/03/2007 B : 01/06/2007 Réseau de compétence : 04A USAGE INTERNE

 PSA PEUGEOT - CITROËN
REGLES DE MISE EN ŒUVRE DES FONCTIONS DE SECURITE E03.18.051.G 14/17

7.FONCTIONS DE SECURITE
7.1.COUPURE D'URGENCE
80. DE Le système de coupure d'urgence est l'interrupteur de l'armoire principale (poignée rouge sur fond jaune +
repérage).
Le système de coupure d'urgence est obligatoire

7.2.ARRET D’URGENCE
L'arrêt d'urgence est obligatoire pour arrêter toutes les situations dangereuses d’une installation.
L’arrêt d’urgence est demandé par la norme européenne EN 60204-1, il est imposé par la directive européenne
98/37/CE du 22 juin 1998.
La finalité du dispositif d'arrêt d'urgence ne doit pas tenir lieu de protecteur.
81. AF Les actions et le périmètre de l'arrêt d'urgence doivent être conformes à celles décrites dans l'analyse des
risques
Les catégories d'arrêt doivent répondre à l'analyse des risques : L’arrêt du mouvement dangereux doit être le plus
rapide possible sans créer de risque supplémentaire
82. DE PR Le périmètre de l'arrêt d'urgence doit être conforme au groupe de sécurité défini dans l'analyse
fonctionnelle.
83. DE L’arrêt d’urgence doit être réalisé en logique câblée.
Une défaillance de l’automatisme, quelle qu'elle soit, ne doit pas compromettre son exécution.
84. DE L'arrêt d'urgence doit agir sur les organes de commande de puissance des actionneurs.
85. DE Les opérations déclenchées par un ordre d'arrêt d'urgence ne doivent pas dépendre du bon
fonctionnement du reste de l'équipement
86. AF Les opérations déclenchées par un ordre d'arrêt d'urgence ne doivent pas mettre le personnel en danger.
87. DE PR Chaque organe d'arrêt d'urgence doit être diagnostiqué.
88. L’arrêt d’urgence doit être :
• RE facilement accessible.
• DE à manœuvre positive d’ouverture, à blocage mécanique et infraudable.
89. DE Une fois l'arrêt d'urgence actionné, le système de commande doit rester dans son état jusqu'à ce que
l'arrêt d'urgence soit réarmé manuellement.

7.3.RIDEAUX
90. AF Dans tous les cas la protection de la personne par l'utilisation d'une barrière physique fixe est privilégiée
91. AF Le rideau est privilégié par rapport aux barrages immatériels dans les cas suivants : associé à un contrôle
de rotation, parties mobiles à proximité de l'accès, risque de projection, suivant EN 953 (sécurité des
machines, conception des protecteurs fixes et mobiles).
92. DE En cas de risque les rideaux sont équipés de système évitant le phénomène d’écrasement (bi-manuelle,
bord sensible, moteur couple, …)
7.3.1.POINTS SPECIFIQUES AU RIDEAU INSTALLE A UN POSTE DE TRAVAIL D'UN
OPERATEUR
93. S'il y a risque d'enfermement, la zone intérieure est équipée d'un système évitant les phénomènes dangereux :
• AF DE PR un bouton anti-enfermement (fonction arrêt d'urgence de l'installation et ouverture du rideau) à
disposition de celui qui est enfermé
• AF DE Surveillance de la zone par un système par balayage.

OR : 15/03/2007 B : 01/06/2007 Réseau de compétence : 04A USAGE INTERNE

 PSA PEUGEOT - CITROËN
REGLES DE MISE EN ŒUVRE DES FONCTIONS DE SECURITE E03.18.051.G 15/17

94. DE La position fermée du rideau est contrôlée par deux (quatre pour les doubles portes) capteurs montés en.
combinaison du mode positif et du mode négatif mécaniques
95. DE PR La perte d'un des deux capteurs coupe la commande de tous les actionneurs situés dans le groupe de
sécurité protégé par le rideau.
96. DE PR Le bouton de validation du travail opérateur provoque la fermeture du rideau.
97. DE PR Le redémarrage de l'équipement est automatique lorsque le rideau est contrôlé fermé.
98. PR Le contrôle du bon fonctionnement du bouton de validation opérateur autorise la commande de fermeture
du rideau.
99. DE PR Le rideau conserve sa position ou son mouvement lors du déclenchement d'une sécurité de zone (Arrêt
d'urgence ou portillon).
100. DE PR Les énergies des pré-actionneurs et actionneurs du rideau ne sont pas coupées par l'arrêt d'urgence.

7.4.EQUIPEMENTS DE PROTECTION SENSIBLES

101. AF Dans tous les cas la protection de la personne par l'utilisation d'une barrière physique fixe est privilégiée
102. AF Le barrage matériel est privilégié par rapport aux protections sensibles dans les cas suivants : parties
mobiles à proximité de l'accès, risque de projection, suivant EN 953 (sécurité des machines, conception des
protecteurs fixes et mobiles).
7.4.1.BARRAGE IMMATERIEL (BARRIERE IMMATERIELLE, SCRUTATEUR LASER)
103. DE PR Le franchissement du barrage immatériel provoque la mise en sécurité de tous les actionneurs du
groupe de sécurité concerné.
104. RE L'intégration du barrage immatériel empêche son contournement
105. RE La fonction de réarmement est implantée au plus près du barrage immatériel pour garantir un réarmement
sans risque d'enfermement.
7.4.1.1.Utilisation d'une barrière immatérielle a un poste operateur
106. RE Tous les moyens sont mis en œuvre pour éviter le risque d'enfermement dans la zone dangereuse
Le positionnement horizontal d’une barrière immatérielle ou en biais peut résoudre ce problème
107. AF Un scrutateur laser n'est utilisé à la place de la barrière immatérielle que si le risque d'enfermement
subsiste ou si l'ergonomie du poste l'impose.
108. DE PR Il n’y a jamais inhibition du fonctionnement de la barrière immatérielle.
109. DE PR Le bouton de validation du travail opérateur provoque le réarmement de la barrière.
110. DE PR Le redémarrage de l'équipement est automatique lorsque la barrière est réarmée.
111. DE PR Le contrôle du bon fonctionnement du bouton de validation opérateur autorise le réarmement de la
barrière immatérielle.
112. AF DE L’information "autorisation d’accès" est signalée par un voyant ou une verrine
113. AF DE Le réarmement et le franchissement de la barrière immatérielle sont signalés par un voyant ou une
verrine
7.4.1.2.Utilisation d'un scrutateur laser a un poste operateur
114. AF Le scrutateur laser est utilisé pour des détections surfaciques et périmétriques. Il ne doit être utilisé que
dans l'impossibilité de mettre un barrage immatériel.
115. DE RE Le scrutateur doit être configuré en réarmement automatique. Les relais de sécurité associés, eux, ne
sont pas réarmés automatiquement.
Pour vérifier les limites de zone du scrutateur.
116. RE Le programme du scrutateur est fourni à l'utilisateur le jour de la réception de la fonction de sécurité.
117. RE La version programme fournie est facilement identifiable.

OR : 15/03/2007 B : 01/06/2007 Réseau de compétence : 04A USAGE INTERNE

 PSA PEUGEOT - CITROËN
REGLES DE MISE EN ŒUVRE DES FONCTIONS DE SECURITE E03.18.051.G 16/17

118. RE Après cette fourniture le programme ne doit plus être modifié par l'intégrateur.
7.4.1.3.Utilisation d'une barrière immatérielle en "anti-intrusion"
119. AF Il faut privilégier la conception de l'équipement qui permet l'intégration de la barrière sans inhibition.
120. AF RE La fonction de réarmement peut être implantée à l'intérieur de l'espace contrôlé.
• Dans ce cas la fonction de réarmement n'est active que si l'accès normal est ouvert.
L'implantation à l'intérieur est intéressante quand la visibilité de la zone dangereuse n'est pas suffisante depuis
l'extérieure. Elle évite que le bouton soit accessible par toute personne non habilitée. Elle oblige l'accès à la zone
protégée par l'accès normal.
121. AF DE Si la barrière est installée entre deux enceintes protégées contiguës, il existe une fonction de
réarmement pour chaque enceinte.
122. AF DE Le franchissement de la barrière immatérielle a le même effet qu'un arrêt d'urgence.
7.4.1.3.1.barrière immatérielle en "ANTI-INtrusion" Avec gestion de l'inhibition
123.AF DE Il faut privilégier la conception de l'équipement qui permet, d'utiliser les barrières à système de gestion
de l'inhibition intégrée.
124. DE Toutes les barrières sont équipées d'une fonction forçage du réarmement en présence de la charge
("override").
Cette fonction permet le redémarrage après coupure secteur ou défaut de la barrière.
125. DE RE Le système de détection du mobile est conçu de manière à ce qu'il ne soit pas neutralisable facilement
ou accidentellement.
126. RE L'inhibition est dimensionnée au plus juste quel que soit la pièce à traiter.
127. RE le système de détection est fiable et bien réglé.
128. DE PR Le système d'inhibition ne réduit pas la catégorie de système de commande de la fonction anti-
intrusion.
129. AF Une procédure de remise en production après incident (intrusion, coupure alimentation, arrêt de la charge
dans le passage, …) existe.
130. AF DE L'inhibition n'est pas signalée par verrine.
7.4.2.TAPIS SENSIBLE
Le tapis sensible est aussi nommé plancher sensible
Les prescription ci dessous sont appliquées également aux filet contrôlés électriquement
131. RE L'intégration du tapis sensible empêche son contournement
132. DE PR La sollicitation du tapis sensible provoque la mise en sécurité de tous les actionneurs du groupe de
sécurité concerné.
133. AF RE La fonction de réarmement est implantée au plus près du tapis sensible pour garantir un réarmement
sans risque d'enfermement.
134. AF DE La fonction de réarmement peut être implantée à l'intérieur de l'espace contrôlé.
• Dans ce cas la fonction de réarmement n'est active que si l'accès normal est ouvert.
L'implantation à l'intérieur est intéressante quand la visibilité de la zone dangereuse n'est pas suffisante depuis
l'extérieure. Elle évite que le bouton soit accessible par toute personne non habilitée. Elle oblige l'accès à la zone
protégée par l'accès normal.
135. AF DE Si le tapis sensible est installé entre deux enceintes protégées contiguës, il existe une fonction de
réarmement pour chaque enceinte.
136. AF DE Le franchissement du tapis sensible a le même effet qu'un arrêt d'urgence.

OR : 15/03/2007 B : 01/06/2007 Réseau de compétence : 04A USAGE INTERNE

 PSA PEUGEOT - CITROËN
REGLES DE MISE EN ŒUVRE DES FONCTIONS DE SECURITE E03.18.051.G 17/17

7.5.COMMANDE BIMANUELLE POUR OPERATEUR DE FABRICATION

137. AF DE Le poste de chargement peut être équipé de plusieurs commandes bi-manuelles (plusieurs
opérateurs). Il est envisagé dans ce cas de pouvoir neutraliser une ou plusieurs commandes (se référer au cahier
des charges de lot).
138. AF DE La commande bimanuelle repérée 1 ne peut jamais être neutralisée.
139. AF DE Pour chaque commande bimanuelle neutralisable, un voyant allumé signale à l’opérateur qu’il est en
sécurité, c’est à dire que sa commande est en service.
140. AF DE PR La neutralisation respecte la catégorie du système de commande de la fonction commande bi
manuelle.
141. AF DE PR Le relâchement d'une des commandes bimanuelles provoque la mise en sécurité de tous les
actionneurs du groupe de sécurité concerné.
142. RE La commande bi manuelle est fixée à une distance respectant la sécurité de l'opérateur ou au minimum
son "rayon d'action" ne permet pas d'accéder à la zone dangereuse.

7.6.CONTROLES D'ACCES ET CARTERISATIONS

7.6.1.PORTILLONS D’ACCES VERROUILLES ET INTERVERROUILLES
143. DE Les portillons installés sont référencés dans le standard des matériels électriques E03.15.605.G.
144. DE RE A défaut les composants utilisés sont ceux référencés dans le standard des matériels électriques
E03.15.605.G. et leur mise en œuvre est conforme au document AUT_STD_505.
145. DE PR Les mises en œuvre électrique et logicielle sont conformes au document AUT_STD_997 : Diagnostic
portillons - Analyse fonctionnelle et organique.
146. DE PR A défaut la mise en œuvre est conforme au paragraphe "utilisation d'un bloc logique de sécurité" du
chapitre "principe de réalisation de l'autocontrôle".
147. AF DE PR Pour les ateliers de mécanique, les trappes de changement d'outil sont contrôlées comme les
portillons.
7.6.2.PORTILLONS D’ACCES A TRANSFERT DE CLE
148. AF L'utilisation de ce principe est définie par l'analyse des risques.
149. AF L'utilisation de ce principe est limitée aux ambiances sévères ateliers des usines DMB traitement
thermique, broyeurs de copeaux, …

OR : 15/03/2007 B : 01/06/2007 Réseau de compétence : 04A USAGE INTERNE