Vous êtes sur la page 1sur 9

G uide d’achat

SÛRETÉ INDUSTRIELLE

Automates de sécurité

Les automates de sécurité remplacent avantageusement les fonctions de sécurité à base de logique câblée. Ils réduisent les coûts de câblage, apportent des fonctions de diagnostic, facilitent la maintenance et la modification des installations. Mais attention à bien faire la distinction entre les produits prévus pour la sécurité des machines et ceux prévus pour la sécurité des process (continus ou batch). En cas de défaut, les premiers visent l’arrêt de la machine à tout prix, tandis que les seconds doivent laisser la possibilité d’agir sur le process pour le recadrer.

assurent que l’opérateur est à son poste avant de pouvoir démarrer une opération, ainsi que les poignées “homme mort”, qui acti- vent des modes particuliers pour la mainte- nance ou le dépannage d’une machine dan- gereuse (en limitant la vitesse du bras d’un robot, par exemple). Dès que l’un de ces capteurs de sécurité remonte un défaut, l’alimentation de la ma- chine doit être coupée le plus rapidement possible. Une machine doit d’ailleurs être conçue de telle manière que les pièces tour- nantes soient freinées ou bloquées en l’ab- sence de courant. Mais il faut être sûr que l’information de la détection du défaut par- vienne à remonter jusqu’à la machine. Pour cela, c’est toute la chaîne de sécurité qui doit être attentivement étudiée. Les capteurs de sécurité sont conçus pour être moins sujets aux pannes que des capteurs classiques. Ils utilisent des composants spéciaux qui pré- sentent une meilleure résistance mécanique (en étant moins sujets au vieillissement) et une conception électrique particulière (l’in- formation est systématiquement doublée). Mais pour le reste de la chaîne de sécurité, c’est à l’industriel qu’il revient de faire des choix en fonction de la dangerosité et de la taille de l’application.

Dans le domaine de la sécurité machines, plusieurs formats sont disponibles, depuis les automates compacts
Dans le domaine
de la sécurité
machines, plusieurs
formats sont
disponibles, depuis
les automates
compacts jusqu’aux
systèmes modulaires
(comme ici au
centre de la photo).
Hima

L orsque l’on évoque les automates

de sécurité, il faut faire dès le

départ la distinction entre deux

Afin de protéger l’opérateur qui pilote une

machine, celle-ci doit pouvoir être arrêtée à

la

moindre détection de panne ou de danger.

A

l’inverse, sur un processus continu, assurer

la

sécurité des opérateurs et des installations

consiste justement à ne pas arrêter le pro- cédé à la moindre déviation. On s’attache plutôt à respecter une succession d’étapes coordonnées pour effectuer l’arrêt dans des conditions sûres. C’est pourquoi l’on appli- que un principe de “tolérance aux fautes” (fonctionnement malgré la présence d’un défaut), tandis que l’on parle uniquement de “gestion des modes d’arrêt” pour les ap- plications machines.

La sécurité des machines

Pour assurer la sécurité des opérateurs (et dans une moindre mesure protéger les ins-

tallations), les considérations de disponibi- lité sont mises à l’écart. Au moindre doute,

la production est interrompue pour éviter

tout risque de blessure. Pour cela, les instal- lations sont équipées de nombreux disposi- tifs de détection. C’est ce que l’on appelle les “fonctions de sécurité”. Il peut s’agir de cap- teurs situés dans la machine (des boutons d’arrêt d’urgence ou des capteurs de fin de course, par exemple), ou de dispositifs qui repèrent la présence d’un opérateur dans une zone dangereuse: interrupteurs placés sur les portes, barrières immatérielles et tapis de détection. On inclut également tous les équipements de forçage (ou “bypass”): les pédales et les commandes bimanuelles, qui

grandes familles d’applications.

On trouve d’un côté les produits utilisés pour assurer la sécurité des machines (et des chaînes de fabrication en général) et, de l’autre, les produits spécialisés dans la sécu-

rité des process continus. Les différences entre les deux sont nombreuses, tant du point de vue des performances, de la tolé-

rance aux pannes que de la logique de pro- grammation. Les normes, surtout, sont dif- férentes d’un secteur à

l’autre (même s’il est

souvent possible d’ef- fectuer quelques paral- lèles). Seul point com- mun entre ces solutions: leur finalité. Dès qu’il s’agit de sé-

curité, on pense tou- jours en premier lieu à protéger les hommes. Viennent ensuite la protection des installa- tions, puis celle de l’environnement.

S’il existe une telle dif- férence entre les solu- tions machines et pro- cess, c’est que le concept même de sécurité est envisagé de manière totalement opposée.

L’essentiel

On distingue deux grandes familles d’automates de sécurité, selon qu’ils s’adressent à des applications “machines” ou “process”.

Les normes sont différentes entre les deux secteurs. Les produits diffèrent aussi par leurs performances, leur niveau de redondance, leur modularité et leurs fonctions de diagnostic.

Remplaçants d’une approche à base de logique câblée, les automates de sécurité apportent davantage d’ouverture, réduisent les coûts de câblage et facilitent la maintenance.

Siemens
Siemens

Logique programmable ou simple relais de sécurité ?

Première question à se poser: l’application est-elle suffisamment complexe pour justi- fier l’emploi d’un automate de sécurité? Si non, elle peut peut-être se satisfaire d’une solution à base de relais de sécurité. Il s’agit de relier chaque capteur à un relais, ce dernier étant relié aux autres de manière à assurer le déclenchement de l’arrêt de la machine sous certaines conditions. On parle de “logique à relais” ou encore de “logique câblée”. Cette solution présente l’inconvénient d’un coût de câblage important. D’autant plus impor- tant lorsque les capteurs sont éloignés de l’armoire où sont intégrés les relais. « Les coûts de câblage sont souvent négligés, or il s’agit toujours d’un des principaux postes de dépense pour la sécurité machines », commente Francis Bossu, responsable marketing France pour l’offre sécurité machines et relais chez Schneider Electric. Avec un automate de sécu- rité, le câblage est réduit car les informations passent dans la plupart des cas par un bus de données. De plus, le branchement des entrées se fait sans contrainte particulière puisque la configuration s’effectue entièrement de ma- nière logicielle. Pour faire son choix entre logique câblée et système à base d’automate, on étudiera donc d’abord la taille de l’application, en portant

une attention particulière au nombre de zones à surveiller. En effet, on préférera opter pour une solution à base d’automates dès lors qu’une application fait intervenir plu- sieurs zones de sécurité distinctes. En gardant à l’esprit que toute fonction même com- plexe peut être réalisée par de la logique câblée (c’est d’ailleurs cette logique que l’on reproduit lorsque l’on programme un auto- mate). Il sera tout à fait possible, par exem- ple, de concevoir des applications complexes telles que le “muting” d’une barrière imma- térielle de sécurité (cette fonction distingue une pièce en transit sur un tapis roulant et d’un opérateur). Et cela d’autant plus aisé- ment que la plupart des fabricants d’équipe- ments de sécurité proposent des modules spécialement conçus pour leurs produits, et qui simplifient le câblage. Il est également possible de monter un certain nombre de relais en série, de telle sorte que le déclen- chement de n’importe laquelle des fonctions de sécurité entraîne l’arrêt de la machine. Mais encore une fois, dès lors qu’une instal- lation comporte plusieurs zones intercon- nectées, l’architecture se complique et devient vite difficile à réaliser et à maintenir en logi- que câblée. Il faut notamment que certaines machines continuent de fonctionner même si un interrupteur a été déclenché ailleurs. Dans le cas d’une chaîne de production, par exemple, il faut pouvoir libérer et sécuriser

Depuis le début des années 2000, les automates de sécurité s’intègrent aux plates-formes des systèmes de contrôle. Des architectures centralisées qui peuvent atteindre les mêmes niveaux de sécurité que les systèmes séparés, mais qui diminuent le nombre de câbles parcourant l’usine.

des zones les unes après les autres, au fur et à mesure de la progression du produit sur la chaîne. Et dans le cas d’opérations de main- tenance, il peut être utile de mêler le muting des barrières immatérielles avec la gestion d’une poignée homme mort, tout en con- trôlant des gâches temporisées (pour inter- dire l’accès à une machine tant que les par- ties tournantes ne sont pas totalement arrêtées).

L’importance du diagnostic

Le principal point faible de la logique câblée, outre son coût, est qu’elle n’apporte aucune fonction de diagnostic. En effet, avec plu- sieurs boutons d’arrêt d’urgence reliés en série à un seul module (ou relais) de sécu- rité, il est impossible de savoir lequel a été déclenché (et quand il a été déclenché). Le redémarrage de la machine peut être forte- ment retardé, surtout si ces boutons d’arrêt d’urgence sont répartis sur de grandes dis- tances, et on perd en productivité. A l’in- verse, en optant pour un automate de sécu- rité qui centralise toutes les fonctions en une application unique, on accède à des possibi- lités de gestion beaucoup plus avancées. Un automate de sécurité connecté au système de supervision affichera l’état du système en temps réel, avec des informations sur le bou- ton ou l’interrupteur qui vient d’être déclen- ché. Mais il sera aussi utile à la traçabilité:

relié à un serveur de stockage des données, il établira un historique de tous les change- ments d’états et de toutes les alarmes, mais aussi gardera en mémoire le nom des per- sonnes qui ont apporté des modifications à l’installation. Enfin, l’automate de sécurité assure l’horodatage des alarmes. Lorsqu’un grand nombre d’alarmes est généré, il est utile de savoir laquelle a été à l’origine du problème. « Au final,grâce à la hausse en produc- tivité ainsi qu’à la réduction de la quantité de câbles et du temps d’installation, on estime que le passage d’une solution à base de logique câblée à une solution avec automate de sécurité conduit à des économies en temps et en argent de l’ordre de 15 et 25 % », dé- clare Frédéric Jeanparis,responsable produits automates de sécurité chez Siemens. Reste

G uide d’achat

L’aspect normatif : la directive machines La norme européenne EN 954-1 est sur le point

L’aspect normatif : la directive machines

La norme européenne EN 954-1 est sur le point d’être définitive- ment remplacée. Elle définissait des catégories de sécurité adaptées davantage à la logique câblée qu’aux architectures à base d’automates. L’application des nouvelles normes EN ISO 13849-1 et EN 62061 sera obligatoire à partir de 2010. La norme EN ISO 13849-1 présente des principes généraux de conception relative à la sécurité des machines. Elle reprend le concept de niveaux de sécurité introduit en 1996 par la 954-1, mais y ajoute celui de niveaux de performance (PL, pour Performance Level). Ces derniers sont déterminés en fonction de la durée d’utilisation prévue de la machine et du type d’architec-

ture mis en place. La norme EN 62061 fournit aux constructeurs de machines des indications sur les moyens d’atteindre ces niveaux de performances. Elle innove par sa vision globale de la chaîne de sécurité. Cela passe par la prise en compte des caractéristiques propres à chacun des éléments de la chaîne. Désormais, choisir des équipements certifiés individuellement par leurs fabricants n’est plus une garantie d’atteindre un niveau donné de sécurité. La conception de l’application doit prendre en compte les MTBF (temps moyens avant panne) et MTTR (temps moyens de réparation) de tous les équipements électriques et électroniques utilisés dans la machine.

à l’industriel de choisir l’automate de sécurité le plus adapté à son application.

Différents formats d’automates de sécurité

Les constructeurs d’automates de sécurité proposent deux grandes catégories de pro- duits: les automates compacts et les auto- mates modulaires. Les versions compactes s’installent sur rail-DIN ou se montent direc- tement dans la machine. Elles proposent un nombre d’Entrées/Sorties (E/S) faible et

Les réseaux de sécurité Les automates de sécurité utilisent un réseau spécifique pour piloter les

Les réseaux de sécurité

Les automates de sécurité utilisent un réseau spécifique pour piloter les capteurs et actionneurs de sécurité, gérer les blocs d’E/S déportés et remonter des informations de diagnostic. Les principaux constructeurs d’automates proposent des protocoles dérivés de leurs réseaux traditionnels, qu’il s’agisse de bus de terrain ou de réseaux basés sur Ethernet. Dans la plupart des cas, le réseau de sécurité utilise le même support physique que pour le réseau d’automatismes. Les trames de sécurité sont vues à la fois par l’automate de contrôle et l’automate de sécurité. L’avantage étant que l’automate de contrôle peut tirer profit d’être ainsi averti au plus tôt d’un défaut pour lancer des procédures d’arrêt sans risquer d’endommager la machine. Mais il ne peut agir directement sur les fonctions spécifiques à la sécurité. Les trames de sécurité restent entièrement de la responsabilité de l’automate de sécurité. Il s’agit de trames spécifiques incluant une série d’autocontrôles. Les automates doivent vérifier qu’il s’agit bien d’une trame de sécurité, qu’elle est intègre, mais aussi qu’ils la reçoivent au bon moment. Sur un bloc d’E/S classique, par exemple, il est difficile de détecter la rupture d’un câble. A l’inverse, un automate de sécurité se met en défaut et génère une alarme dès que le signal n’est plus réceptionné.

relativement figé. “Relativement”, car les derniers modèles du marché présentent des voies configurables, c’est-à-dire que l’on peut utiliser en tant qu’entrée ou en tant que sortie selon les besoins. La configuration se fait par le logiciel fourni avec l’automate. On réservera les automates compacts aux appli- cations ayant des besoins faibles en nombre d’E/S ainsi qu’aux applications fortement distribuées (plusieurs îlots distants). Et il va de soi que le fait d’avoir un nombre d’En- trées/Sorties fixe limite les possibilités d’évolution de l’architecture. Les automates modulaires, inversement, pourront évoluer avec les besoins de l’appli- cation. De par leur conception (un châssis à installer dans un rack, sur lequel se connec- tent des cartes d’alimentation, des cartes processeur et des cartes d’E/S), ils prennent en charge un très grand nombre d’E/S (plu- sieurs dizaines de milliers). Ce qui les destine aux applications les plus complexes. Quel que soit le format choisi, reste la pos- sibilité d’employer des blocs d’E/S déportés. Il s’agit de modèles très proches de ceux uti- lisés pour les E/S classiques, mais ils bénéfi- cient d’une redondance sur tous leurs ports (les entrées comme les sorties). L’avantage est de n’avoir qu’un câble à tirer pour aller vers une zone de production distante, diffi- cile d’accès ou soumise à des conditions environnementales rigoureuses. C’est pour- quoi,comme pour les boîtiers d’E/S déportés classiques, il existe chez certains construc- teurs des versions particulièrement robustes, étanches à l’eau et à la poussière (indice de protection IP67).

Intégrer l’automate de sécurité dans l’automate de contrôle ?

La possibilité de regrouper fonctions d’auto- matismes et fonctions de sécurité au sein d’un même système est d’actualité. Sur ce point, plusieurs écoles s’affrontent. Pour

Schmersal
Schmersal

Les systèmes modulaires sur rail DIN offrent l’avantage d’une grande flexibilité, que ce soit en nombre d’Entrées/Sorties ou en redondance. Les unités centrales peuvent être doublées, de même que les modules d’alimentation ou de communication.

Frédéric Jeanparis (Siemens), « c’est en choisis- sant une architecture commune pour les automatismes et la sécurité que les gains sont les plus importants ». Les produits intégrés se présentent sous la forme de cartes de sécurité à insérer dans le châssis utilisé pour l’application de contrôle. Elles restent facilement identifiables dans le châssis car elles sont de couleurs différentes. Premiers arguments en faveur de cette inté- gration: une réduction encore plus poussée du câblage, un encombrement diminué (on utilise le même châssis), et le fait d’utiliser un seul environnement logiciel. En effet, les constructeurs qui proposent des architectures intégrées font de même pour leurs ateliers de développement. Il s’agit le plus souvent de modules spécialement dédiés à la sécurité qui sont rajoutés au logiciel d’automatismes. Les temps de conception s’en trouvent

G uide d’achat

Offre des principaux fournisseurs

 

Marque

Référence

Norme

Nombre d’E/S

Protocole

Temps

Modularité

Dimensions,

Tension

Fixation

Principales

Principales

(distributeur)

de sécurité

réseau

de cycle

poids

d’alim.

caractéristiques

applications

ABB

Triguard

SIL 3 selon CEI 61508

Jusqu’à

Liaison série

NC

Oui, modules

Par carte :

24

Vcc ou

Châssis

Triple redondance,

Process critiques, ESD, F&G, BMS,

SC300E

9

500 E/S

multipro-

à 32 ou 64 E,

28

x 365,8 x

110/240

19’’

cartes remplaçables

   

tocole

 

16

ou 32 S,

394

mm

Vca

à

chaud

turbines

32

E ana, 4 S

   

ana, 8 timers

Asteel Sensor

Série SE (SEM - SEE - SES)

Catégorie 4

4

E et 1 S, 2 S

NC

NC

Oui,

Modules de

24

Vcc

Rail DIN

Mini-automate

Sécurité machines

selon

signalisation et 4 E paramétrables de réarmement

modules E

22,5 mm de

“safetyhub”

EN 954-2

(jusqu’à 26)

largeur

compact et

 

et S

économique, jusqu’à

3

modules par CPU

B & R Automation

X20

SIL 3 selon IEC 61508, PL “e” selon EN 13849-1

Sur modules

Powerlink

De 3 à

Oui, gamme

87,5 x 99 x 75

24

Vcc

Rail DIN

Fonctionnement

Sécurité machines

SafeLOGIC

d’E/S

Safety

50

ms

de modules Safe X20 et Safe X67 (de

mm

sans ventilateur, mémoire 2 à 8 Mo, liaison Powerlink

et installations

     

2

à 8 E/S TOR)

redondante

BochRexroth

IndraMotion

SIL 2 ou SIL 3

Local : 512 E/S (TOR et ana),

Sercos 3, Profibus,

8

ms

Oui, gamme

175,9 x 129,5 x

24

Vcc

Rail DIN

Plate-forme

Sécurité machines

MLC L45

de modules

97

mm

commune et outil logiciel unique, fonctions de simulation

L65

selon CEI 61508

8

E/S rapides

DeviceNet, Ethernet UDP et IP

d’E/S

Emerson

Delta V SLS

SIL 3 selon

 

16

E/S

Bus Delta V

50

ms

Non

83,8 x 105,5 x

24

Vcc

Châssis

Solution économique, atelier logiciel commun avec la solution Delta V, possibilité de redondance

Process équipés

1508

CEI 61508

configurables (en entrées ou en sorties, TOR ou analogiques)

 

110

mm,

redon-

Delta V

de SNCC Delta V

0,6 kg

dant

Fiessler

FPSC

SIL 3

 

32

E, 12 S, 2 E

Profibus-

NC

2

versions

127

x 390 x

De 19

Rail DIN

Version fixe

Sécurité machines

(Sorelia)

(CEI 61508),

compteur,

DP,

 

80

mm,

à

30 Vcc

(ref FPSC-B) ou

catégorie 4

2

liaisons série

Ethernet

1,65 kg

modulaire (ref FPSC- AD) avec modules de 8 à 24 E, de 0 à

(EN 954-1),

 

PL “e”

(EN 13849-1)

4

S, de 0 à 8 E/S ana

GE Fanuc

SafetyNet

SIL 2 selon CEI 61508

Sur modules d’E/S (jusqu’à 64 par contrôleur)

Modbus TCP

NC

Oui, modules avec 8 E/S TOR ou 8 E/S analogiques

NC

24

Vcc,

Rail DIN

Modules E/S

Applications machines et

et RTU,

ou de 85

ou

remplaçables

 

Profibus PA

à

264 Vca

montage

sans changer

process, fonctions ESD, F&G et BMS

 

mural

les branchements

GMR

SIL 3 selon CEI 61508

Sur modules

Modbus TCP

NC

Oui, gamme

NC

NC

Rail DIN

Redondance double ou triple du contrôleur

Applications de process, fonctions ESD, F&G et BMS

d’E/S

et RTU,

d’E/S

 

Profibus PA

déportées sur

bus Genius

   

Hima France

HiMatrix

SIL 3

8

E et 8 S

Safe-

20

ms

Non, gamme

95

x 114 x

24

Vcc

Rail DIN

Solution compacte

Applications

F20

(CEI 61508),

 

ethernet,

 

d’E/S

140

mm

ou

process et

SIL 4

Modbus,

déportées

750

g

montage

machines avec

transports,

Profibus,

 

mural

faible nombre

catégorie 4

Interbus,

d’E/S

(EN 954-1)

Ethernet/IP

HiQuad

SIL 3 selon CEI 61508, catégorie 4 selon EN 954-1

Sur modules

Profibus DP,

NC

Oui, gamme

NC

24

Vcc,

Châssis

Nombreux modules

Applications

H41q

d’E/S

Modbus

de modules

48

Vcc,

19’’

de communication, existe en version H51q (jusqu’à

process de taille

RTU, Safe-

d’E/S

115

Vca

moyenne

ethernet,

ou

OPC

230

Vca

4

096 points d’E/S)

HiMax

SIL 3 selon CEI 61508, catégorie 4 selon EN 954-1

Sur cartes d’E/S (jusqu’à 200 E/S par système)

Safe-

50

ms

Oui, gamme

310

x 29 x

NC

Châssis

Redondance jusqu’à

Process critiques

ethernet,

pour

de modules

230

mm (pour

19’’ pour

des architectures

et/ou grand

Profisafe,

1

000 E/S

d’E/S

chaque carte)

10, 15 ou 18 cartes

quadruplées,

nombre d’E/S,

 

Fieldbus,

insertion des cartes

fonctions ESD,

Modbus TCP

 

à

chaud

F&G, BMS,

 

et RTU,

 

turbines, pipelines

EtherNet/IP

Liste non exhaustive

G uide d’achat

Offre des principaux fournisseurs (suite)

 

Marque

Référence

Norme

Nombre d’E/S

Protocole

Temps

Modularité

Dimensions,

Tension

Fixation

Principales

Principales

(distributeur)

de sécurité

réseau

de cycle

poids

d’alim.

caractéristiques

applications

ICS Triplex

Regent

 

Sur modules

Liaison

De 100 à

Oui, gamme

NC

24

Vcc,

Châssis

Jusqu’à 15 CPU par

Process (pétrole,

+Plus

d’E/S (jusqu’à

série,

350

ms

de modules

110

ou

19’’

réseau, systèmes

gaz et énergie),

500 E/S pour une CPU)

3

protocole

selon

d’E/S

220

Vca

centralisés, triple redondance

fonctions ESD, F&G et BMS

R2,

Modbus

l’appli.

Trusted

SIL 3 selon CEI 61508

Sur modules

Modbus,

De 40 à

Oui, gamme

NC

24

Vcc,

Châssis

Jusqu’à 64 modules

Process critiques,

d’E/S (jusqu’à

Ethernet

250

ms

de modules

110

ou

19’’

CPU par réseau,

nucléaire,

 

500 E/S pour une CPU)

5

TCP/IP, OPC

selon

d’E/S

220

Vca

architectures tripliquées, datation des erreurs à la ms

fonctions ESD,

l’applica-

F&G, BMS

 

tion

et turbines

Aadvance

SIL 3 selon CEI 61508

Sur modules d’E/S (jusqu’à 500 E/S pour une CPU)

Modbus,

De 10 à

Oui, gamme

NC

24

Vcc,

Rail DIN

Jusqu’à 64 modules

Process critiques

Ethernet

60

ms

de modules

110

ou

CPU par réseau,

(dont nucléaire,

 

TCP/IP,

selon les

d’E/S

220

Vca

systèmes distribués, architectures tripliquées

pipeline et HIPPS), fonctions ESD, F&G, BMS, turbines

OPC, HART

applica-

 

tions

Jokab Safety

Pluto AS-i

SIL 3

12

E/S + bus AS-i

AS-i,

33

ms +

Oui, jusqu’à

 

45

x 84 x

24

Vcc

Rail DIN

Solution compacte

Sécurité machines

(CEI 61508),

pour E/S

Profibus DP,

temps

32

modules

120

mm

 

catégorie 4

déportées

DeviceNet,

d’exécut°

CPU par

(EN 954-1)

CANopen,

du progr.

système

Ethernet

Pluto B46

SIL 3

46

E/S

Profibus DP,

23

ms +

Oui, jusqu’à

 

90

x 84 x

24

Vcc

Rail DIN

Solution compacte

Sécurité machines

(CEI 61508),

DeviceNet,

temps

32

modules

120

mm

 

catégorie 4

CANopen,

d’exécut°

CPU par

(EN 954-1)

Ethernet

du progr.

système

Mitsubishi

QS001CPU

SIL 3

024 E/S par module CPU

1

CC

link,

NC

Oui

 

De 110

Rail DIN

Flexibilité importante, avec

Sécurité machines

Electric

(CEI 61508),

Ethernet

ou

catégorie 4

 

220

Vca

notamment des modules à 1 E et 1 S

(EN 954-1)

Omron

NE1A

SIL 3 selon CEI 61508, catégorie 4 selon EN 954-1

16

E et 8 S

DeviceNet

Variable

Oui, jusqu’à

90,4 x 111,1

De 20 à

Rail DIN

24 types de

Sécurité machines

(ref CPU01) ou

Safety ou

selon

32

modules

x

114,1 mm

26

Vcc

fonctions prédéfinies, jusqu’à

(emballage,

40

E et 8 S

version

l’applica-

E/S (soit

   

notamment)

(ref CPU02),

autonome

tion

400

E et

254 fonctions

4

sorties test

136

S)

par programme

Pilz

PSSuniversal

SIL 3

Jusqu’à 32 E et 32 S

Safetybus,

NC

Oui, gamme de modules E/S TOR et analogique

NC

24

Vcc

Rail DIN

Pilotage d’E/S

Sécurité machines

(CEI 61508),

Profibus,

 

standard (non

et installations,

catégorie 4

 

Profinet,

sécurisées), atelier

compatibilité

(EN 954-1)

Interbus,

logiciel unique

CANopen

DeviceNet

 

PSS 3047-3

SIL 3

32

E et 15 S +

Safetybus,

NC

Non, E/S déportées avec 6 E ana

 

87

(ou 160,2)

24

Vcc

Montage

Solution compacte,

Sécurité

(CEI 61508),

bus pour E/S déportées

Profibus

x

246,4

 

mural

plus de 150 blocs

machines,

catégorie 4

x

162 mm

prédéfinis, atelier logiciel unique

compatibilité

(EN 954-1)

     

CANopen

PSS 3006

SIL 3

E, 2 E tests + bus pour E/S déportées

6

Safetybus,

NC

Non, jusqu’à 8 064 E/S décentralisées

123

x 246,4

24

Vcc

Montage

Solution compacte,

Sécurité machines

SB2

(CEI 61508),

Profibus,

x

162 mm

 

mural

plus de 150 blocs fonctions prédéfinies, atelier logiciel unique

catégorie 4

Interbus,

 

(EN 954-1)

 

ControlNet,

 

DeviceNet

Rockwell

GuardLogix

SIL 3

Sur modules

DeviceNet,

NC

Oui, gamme

NC

NC

Sur

Intégré à la plate- forme ControlLogix de Rockwell, E/S locales ou déportées

Pour applications

Automation

(CEI 61508),

d’E/S

EtherNet/IP

d’E/S Guard

0,32 kg

châssis

pilotées par

catégorie 4

I/O

Control-

un automate

(EN 954-1)

Logix

ControlLogix

SmartGuard

SIL 3

16

E, 8 S,

DeviceNet,

NC

Oui, gamme

 

99

x 90,4 x

De 11 à

Rail DIN

Solution compacte

Pour applications

600

(CEI 61508),

4

entrées test

Ethernet

d’E/S Guard

131,4 mm

25

Vcc

et économique

distribuées avec un grand nombre d’E/S

catégorie 4

I/O

470

g

 

(EN 954-1)

GuardPLC

SIL 3

20

ou 24 E, 8 ou

DeviceNet,

NC

Non, gamme

Différentes

De 20,4 à

Montage

4 facteurs de forme avec différentes configurations d’E/S

Applications

(CEI 61508),

16

S, 8 E ana,

EtherNet/IP,

d’E/S

dimensions

28,8 Vcc

mural

multizone avec

catégorie 4

8

S ana,

Modbus

déportées

selon les

entrées TOR

(EN 954-1)

2

compteurs

RTU et

Guard I/O

références

 

et analogiques

Profibus DP

Liste non exhaustive

G uide d’achat

Offre des principaux fournisseurs (suite)

 

Marque

Référence

Norme

Nombre d’E/S

Protocole

Temps

Modularité

Dimensions,

Tension

Fixation

Principales

Principales

(distributeur)

de sécurité

réseau

de cycle

poids

d’alim.

caractéristiques

applications

Schmersal

PROTECT-

SIL 3

Sur modules E/S (jusqu’à 246 E et 244 S)

Profibus,

22

ms

Oui, gamme

45

x 100 x

24

Vcc

Rail DIN

Solution modulaire

Sécurité machines

Elan

PSC

(CEI 61508),

DeviceNet,

de modules

80

mm

 

et très compacte,

(emballage et

catégorie 4

CC-Link

d’E/S

210

g

atelier logiciel unique

agroalimentaire,

(EN 954-1),

   

notamment)

PL “e”

 

(EN 13849-1)

Schneider

Modicon

SIL 3

Jusqu’à 1000 E/S TOR et analogiques

Ethernet,

15

ms

Non, gamme d’E/S déportées TOR et ana

72

x 150 x

24

Vcc

Rail DIN

Solution compacte

Sécurité machines et process simples

Electric

XPSMF

(CEI 61508),

Modbus

120

mm

 

et modulaire

catégorie 4

TCP,

   

(EN 954-1),

 

Modbus,

PL “e”

afeethernet

 

(EN 13849-1)

Modicon

SIL 3 selon CEI 61508

Jusqu’à 5000 E/S TOR et analogiques

Ethernet,

100

ms

Oui, gamme

120

x 260 x

220

Vca

Châssis

Solution à haute

Grandes applications de process : BMS, ESD, infrastructures

Quantum

Modbus TCP

avec

d’E/S

105

mm

19“

disponibilité (redondance totale, atelier logiciel unique (Unity)

SIL

 

redon-

déportées

 
 

dance

TOR et

analogique

 

Sick

UE410

Catégorie 4 selon l’EN 954-1 et SIL 3 selon l’EN 61508

Sur modules E/S (jusqu’à 96 E/S par CPU)

Profibus DP,

NC

 

Oui, jusqu’à 12 modules E/S par CPU

22,5 x 96,5 x 114,4 mm de 100 à 200 g

24

Vcc

Rail DIN

Solution modulaire, intégration transparente dans les bus de terrain les plus utilisés

Sécurité

Flexi Soft

CANOpen,

   

machines,

EtherNet/IP,

installations

 

Ethernet,

   

petites

Profinet I/O,

à moyennes

 

DeviceNet,

 

ModBus TCP

Siemens

Distributed

SIL 3

Sur modules E/S

Profibus,

NC

 

Oui, modules

60

x 119,5 x

24

Vcc

Châssis ET

Solution intégrée

Sécurité

Safety

(CEI 61508),

ProfiNet

 

à

8 E et 4 S

75

mm

 

200

avec modules pour

machines,

ET200S

catégorie 4

 

200

g

variation de vitesse et départs moteur

applications

(EN 954-1)

 

distribuées

F-Systems

SIL 3

Sur modules E/S

Profibus DP

NC

 

Oui, modules

50

x 290 x

24

Vcc

Châssis

2

CPU par unité

Sécurité process

S7400F

(CEI 61508),

 

à

8 ou 24 E,

219

mm

 

S7, 4 à

centrale, atelier

catégorie 4

à

8 ou 10 S,

990

g

18

empla-

logiciel unique

(EN 954-1)

à

6 E ana

 

cements

F-Systems

SIL 3

Sur modules E/S

Profibus DP

NC

 

Oui, modules

50

x 290 x

24

Vcc

Châssis

3

CPU par unité

Sécurité process avec tolérance

S7400FH

(CEI 61508),

 

à

8 ou 24 E,

219

mm

 

S7, 4 à

centrale, atelier

catégorie 4

à

8 ou 10 S,

990

g

18

empla-

logiciel unique

de pannes (haute disponibilité)

(EN 954-1)

à

6 E ana

 

cements

Smartscan

Integron 22

Catégorie 4

7

E, 4 S, 8 timers

NC

5

ms

Non

90

x 70 x

De 22 à

Rail DIN

 

Sécurité machines

(Accmas)

(EN 954-1)

   

60

mm

28

Vcc

Integron 52

Catégorie 4

 

18

E, 8 S,

NC

5

ms

Oui

90

x 160 x

De 22 à

Rail DIN

 

Sécurité machines

(EN 954-1)

32

timers,

 

60

mm

28

Vcc

2

compteurs

   

Invensys

Tricon

SIL 3 selon CEI 61508

Sur modules E/S (jusqu’à 2850 E/S par CPU)

Modbus RTU et TCP, Open TCP, TSAA, Peer to Peer, OPC

De 30 à

Oui, gamme

NC

24

ou

Châssis

architecture 2oo3D

Sécurité de

Triconex

500

ms

d’E/S fixes

48

Vcc,

19’’

à

haute disponibilité

process, fonctions

 

selon

ou déportées

120

ou

 

ESD, F&G, BMS,

 

l’applica-

230

Vca

HIPPS, turbines, nucléaire

tion

 

Trident

SIL 3 selon CEI 61508

Sur modules E/S (jusqu’à 640 E/S par CPU)

Modbus RTU et TCP, Open TCP, TSAA, Peer to Peer

De 25 à

Oui, gamme

NC

24

Vcc

Rail DIN

architecture 2oo3D

Sécurité de

500

ms

d’E/S fixes

 

ou

à

haute disponibilité

process, fonctions ESD, F&G, BMS, HIPPS, turbines

 

selon

ou déportées

montage

 
 

l’applica-

mural

tion

   

Yokogawa

ProSafe-RS

SIL 3 selon CEI 61508

Sur modules E/S (jusqu’à 1000 E/S par CPU)

Vnet,

100

ms

Oui, gamme

NC

24

Vcc ou

Châssis

Architecture quadru-

Sécurité de

ModBus,

à 1 s

de modules

230

Vca

19’’

plée, datation des alarmes à 1 ms

process, fonctions ESD, F&G et BMS

 

OPC

 

E/S

ProSafe-SLS

SIL 3 selon CEI 61508

Sur modules E/S (pas de limitation en nombre d’E/S)

Vnet,

10

à

 

Oui, gamme

NC

24

Vcc ou

Châssis

Technologie “Solid

Sécurité de

ModBus,

100

ms

de modules

230

Vca

19’’

State” basée sur des pulses et tores magnétiques

process, fonctions ESD, F&G, BMS et HIPPS

 

OPC

 

E/S

Liste non exhaustive

G uide d’achat

Process continus: les normes se mettent en place La norme CEI 61508 met l’accent sur

Process continus: les normes se mettent en place

La norme CEI 61508 met l’accent sur la conception et la validation des systèmes dédiés aux fonctions de sécurité. Elle s’adresse plus particulièrement aux constructeurs de matériel de sécurité (capteurs, transmetteurs, automates, relais, actionneurs, etc.). La norme CEI 61511 détaille plus spécifiquement tous les aspects liés aux applications de process. Elle cible les utilisateurs et les intégrateurs de systèmes et solutions de sécurité sur les process à risques. Elle développe une approche globale de la sécurité (du capteur à l’actionneur), avec des indications sur l’évaluation quantitative de la sécurité.

Pour plus d’informations sur le sujet, vous pouvez vous reporter au dossier complet sur la sécurité fonctionnelle : “Sur la longue route de la norme CEI 61511” dans le numéro 813 de la revue Mesures (mars 2009).

fortement réduits car toutes les variables sont accessibles directement pour les deux applications. On diminue également le ris- que d’erreurs. Sans compter les économies réalisées sur le développement de connec- teurs logiciels: dans une architecture sépa- rée, il est nécessaire de concevoir des con- necteurs spécifiques pour relier une application de sécurité au logiciel de super- vision. Il en va de même pour la formation, car les automaticiens que l’on charge de con- cevoir une application de sécurité préfére- ront employer leur logiciel habituel. Enfin, on peut mettre en avant le fait de n’avoir qu’un seul interlocuteur pour le matériel de contrôle et pour les composants de sécu- rité. Le principal inconvénient de ce type de solu- tion réside dans la cohabitation entre un système figé et un système sujet à évolutions. Les interventions sur un programme d’auto- matismes peuvent être fréquentes, que ce soit pour effectuer des réglages ou des mises à jour.A l’inverse, le programme de sécurité, qui fait l’objet d’une certification, doit être protégé contre toute modification intempes- tive. Il faut donc vérifier que le constructeur ait prévu des mécanismes de verrouillage sur l’application de sécurité. L’idée de l’intégration fait son chemin, mais elle ne convainc pas tous les utilisateurs. « Les industriels qui ont des machines très dangereuses pré- féreront toujours confier les automatismes et la sécu- rité à des systèmes différents, commente Serge Catherineau, responsable marketing auto- matismes et solutions chez Schneider Electric. Et le plus souvent,ils demandent des systèmes de cons- tructeurs différents. C’est à nous qu’il revient de sensibiliser les clients sur les vrais moyens d’amé- liorer la sécurité. » Quoi qu’il en soit, tous les constructeurs s’accordent à dire qu’une architecture séparée ou intégrée peut déli- vrer le même niveau de sécurité.

A l’intérieur de l’automate de sécurité

Le débat sur les différents types d’architec- tures se poursuit lorsque l’on s’intéresse au fonctionnement même de l’automate. En effet, les constructeurs sont divisés sur les méthodes à exploiter pour assurer une sécu- rité maximale. On identifie trois principaux types d’unités centrales. Le premier consiste à exécuter chaque tâche sur deux proces- seurs à architectures différentes, et de com- parer en sortie leurs résultats. La deuxième consiste à n’utiliser qu’un seul CPU mais de faire en sorte que chaque tâche soit exécutée systématiquement deux fois de suite. Enfin, dans le cas des automates qui effectuent des tâches de contrôle et de sécurité dans le même châssis, la carte CPU de sécurité fonc- tionne comme un coprocesseur qui ne s’acquitte que des tâches ayant trait à la sécu- rité. Mis à part le CPU, les automates de sécurité du marché utilisent globalement les mêmes méthodes pour assurer de la redon- dance. Quel que soit le constructeur, tout est dupliqué et tout est surveillé. Depuis la mé- moire interne (son intégrité est vérifiée à chaque temps de cycle) jusqu’aux câbles (leur impédance est mesurée afin de détecter toute rupture ou court-circuit) en passant par les contrôleurs d’E/S (chaque entrée est doublée, et chaque sortie repart vers une entrée afin d’être vérifiée). « Tous ces contrôles sont absolument transparents pour l’utilisateur, commente Fabrice Poulet, responsable de l’activité composants chez Rockwell Automation. Bien entendu,ils ont un impact sur les temps de cycles, mais cela est pris en compte dès la conception, par le choix des processeurs et le réglage de leurs horloges. Au final, un automate de sécurité, ce n’est rien de moins qu’un “super-automate”. » Au final, on constate très peu de différences entre les pro- duits pour ce qui concerne les performances

matérielles brutes. L’efficacité d’une applica- tion dépendra avant tout de la manière dont le programme a été conçu.

La sécurité : avant tout une question de logiciel

Nombre de constructeurs mettent en avant la présence de blocs fonctionnels certifiés dans leurs ateliers logiciels, mais cela ne suf- fit pas à garantir qu’une application sera directement certifiable. En effet, seul le com- pilateur nécessite une certification. Il s’agit de s’assurer que l’application une fois géné- rée correspondra bien à ce qui a été défini par le concepteur. « La norme prévoit une seule contrainte en ce qui concerne le développement des applications, indique Philippe Primard, res- ponsable de l’activité systèmes de sécurité chez Yokogawa France : il est impératif que la conception et la validation soient effectuées par des personnes différentes. » Il n’en reste pas moins que la présence d’une bibliothèque de blocs fonctionnels prépara- métrés offre un véritable gain de temps aux développeurs. Il leur suffit de déclarer les noms des variables en entrée et de connecter la bonne sortie. La programmation de fonc- tions même complexes est grandement

Yokogawa
Yokogawa

C’est dans le domaine de la sécurité de process que les applications sont les plus complexes, avec des armoires regroupant jusqu’à plusieurs dizaines de milliers d’Entrées/Sorties.

G uide d’achat

Pilz

G uide d’achat Pilz Grâce à des blocs d’E/S déportées étanches, un seul câble sort de

Grâce à des blocs d’E/S déportées étanches, un seul câble sort de la machine et véhicule toutes les informations de sécurité.

facilitée (sans commune mesure avec la logique câblée), et il reste bien entendu pos- sible de développer des fonctions spécifiques, ne se basant sur aucun modèle. Autre aspect intéressant : la présence d’un logiciel de simulation. Ce dernier servira à tester une application avant que le câblage soit réalisé, ce qui procure des gains de temps non négli- geables lors de la mise en place d’une nou- velle machine.

Changement d’univers :

les applications de process

Le secteur de la sécurité des process continus est radicalement différent de celui de la sécurité des machines. Nous l’avons vu, la principale distinction réside dans la nécessité

vu, la principale distinction réside dans la nécessité Un exemple d’architecture distribuée : l’automate

Un exemple d’architecture distribuée : l’automate modulaire, installé dans une armoire, est relié à des blocs d’E/S déportés (placés dans les machines) et à des automates de sécurité compacts (pour le pilotage d’un îlot de fabrication distant).

B & R Automation
B & R Automation

Extérieurement, seule la couleur différencie les modules d’Entrées/Sorties de sécurité de ceux utilisés pour le contrôle-commande. Mais à l’intérieur, les modules de sécurité se distinguent par une redondance de tous les composants électroniques.

de considérer la disponibilité en plus de la sécurité. Même si un process se pilote avec des automates, comme une machine, il est impossible d’y appliquer les mêmes règles (à savoir couper l’alimentation dès qu’un défaut ou une panne est détecté). « On peut comparer un process à un avion en vol, explique Hervé Bodinier, directeur des ventes Europe du Nord et Afrique chez Rockwell Oil & Gas. En cas de défaut, la position la plus sûre n’est pas l’arrêt immédiat ou incontrôlé ! Au contraire, un arrêt bru- tal peut avoir des conséquences catastrophiques,et peut entraîner jusqu’à la destruction de tout ou partie de l’usine. C’est pourquoi on dit que lorsqu’un process dérive, il faut pouvoir le recentrer. » Cela signifie continuer à piloter une partie du process même si certains éléments sont défaillants. Cette différence d’approche se ressent d’abord du point de vue de la conception des appli- cations logicielles.Alors que dans la sécurité machines on s’appuie sur la logique câblée (des schémas à contacts) pour décrire le comportement du système, dans le process on emploie des matrices causes-effets. On définit, pour une ou plusieurs causes (une pression anormalement élevée ou un niveau anormalement bas,par exemple),des actions à effectuer (on pilote l’arrêt d’une pompe ou l’ouverture d’une vanne, par exemple). L’intérêt de cette approche est de transcrire exactement l’analyse de risque. Il s’agit de la première étape prévue par la norme pour concevoir une application de sécurité. Cette analyse consiste à se poser les deux questions

suivantes: quels sont les risques de défail- lances? et quelles peuvent en être leurs con- séquences ? Les logiciels de sécurité de pro- cess sont donc complètement différents de ceux utilisés pour les machines. Du point de vue matériel, les critères de choix sont eux aussi différents. Une spéci- ficité du process: comme le préconise la norme IEC 61511, les caractéristiques de fiabilité de chaque équipement sont prises en compte pour l’estimation du niveau de sécurité global de l’application (SIL, Safety Integrity Level). En ce qui concerne la redon- dance, tout est envisageable et les architectu- res peuvent être beaucoup plus complexes que celles concernant la sécurité machines. Les architectures peuvent aller d’une redon- dance simple jusqu’à des systèmes à 6 uni- tés centrales. « Par ailleurs, poursuit Sébastien Lachaise, ingénieur des ventes chez Hima France, pour assurer le maximum de disponibilité, certains systèmes de sécurité ont des cartes remplaça- bles à chaud. Si une carte processeur tombe en panne, il suffit d’en insérer une nouvelle.Le programme auto- mate est copié automatiquement et son exécution démarre aussitôt après. » Si un accident dans un process peut avoir des conséquences graves, il faut choisir un pro- duit capable de piloter à la fois une applica- tion d’arrêt d’urgence pour protéger le pro- cess et une application “feu et gaz” pour protéger l’environnement. Cette dernière se charge d’alerter les services de lutte anti-in- cendie, de déclencher des arrosages automa-

G uide d’achat

Pilz

Le transport de personnes : un monde à part Le secteur du transport est une

Le transport de personnes : un monde à part

Le secteur du transport est une application particulière. Il fait l’objet de réglementations spécifiques, mais reprend des impératifs inhérents aux deux secteurs des machines et du process. Des impératifs de protection des individus, d’abord, car la sécurité des passagers prime. Des impératifs de disponibilité, également, car on ne peut se contenter de couper l’alimenta- tion électrique d’un véhicule ou d’un train à la première remontée d’un défaut. Selon le volume de l’application et les besoins en disponibilité, le choix de

l’automate s’effectuera entre des produits orientés machines (pour des applications de remontées mécani- ques, de funiculaires ou de tramways, par exemple) ou des produits orientés process (applications de métro, de téléphériques, entre autres). On retrouve des automates de sécurité dans tous les tramways (pour l’isolation de l’alimenta- tion par le sol), pour la gestion des portes palières dans les métros automatiques, pour des applications dans des aéroports ou encore pour certains ascenseurs (ceux de la tour Eiffel, par exemple).

tiques, de verrouiller des zones, d’actionner des systèmes d’évacuation de fumées, etc. Pour protéger les installations, lorsqu’une alarme est activée, il faut que le système gé- nère un signal qui déclenchera par exemple le dispositif d’extinction d’incendie. On parle alors de commande “par émission”, par opposition avec les commandes “à man- que” utilisées dans le cas classique d’un arrêt d’urgence. Pour les process potentiellement dangereux, il est donc très important de choisir un automate de sécurité capable de prendre en charge les deux types de logique. « Et cela n’est pas forcément mis en valeur par les constructeurs et intégrateurs. Attention donc au moment du choix, car un produit certifié SIL 3 pour une commande à manque ne sera pas forcément SIL 3 pour une commande par émission », précise Hervé Bodinier (ICS Triplex/Rockwell Oil & Gas).

Le diagnostic fait également l’objet d’une attention particulière dans le process.A l’ins- tar des pipelines, de nombreuses applications s’étendent sur des centaines voire des milliers de kilomètres. On préférera alors répartir plusieurs automates de sécurité le long des installations. Cela n’apporte pas plus de sé- curité qu’une plate-forme centralisée, mais les agents de surveillance pourront effectuer sur place un premier diagnostic. Les LED en face avant des automates donnent diverses indications: état de la redondance, distinc- tion entre erreurs internes et erreurs liées au process, indicateurs d’état du bus ou indica- teurs de forçage, etc. Enfin, comme pour la sécurité machines, on se posera la question de l’intégration avec le système de contrôle. Dans le process, beaucoup de clients choi- sissent un constructeur différent de celui du

Sick
Sick

Une très large majorité d’automates de sécurité dispose de LED de diagnostic sur leur face avant. Ils offrent une vue globale de l’état des différents composants, et évitent ainsi le recours à une console de diagnostic.

système numérique de contrôle-commande (SNCC). « Un choix qui est aussi et surtout une manière de se rassurer », selon Jean Farge, res- ponsable marketing France pour l’offre pro- cess chez Schneider Electric. C’est pourquoi les spécialistes de la sécurité proposent pour la plupart des systèmes compatibles avec les grandes marques de SNCC. Mais contraire- ment aux applications machines, la norme CEI 61511 impose ici que les réseaux de sécurité et de contrôle soient physiquement séparés. Elle demande même de séparer les systèmes ayant des niveaux de SIL différents. Si cela n’est pas possible, il faut toujours se conformer au niveau de SIL maximal. Dans une application qui regroupe un mélange de fonctions SIL 1, SIL 2 et SIL 3, tout devra être considéré comme SIL 3.

Frédéric Parisot

Triconex
Triconex

Les automates spécialisés dans les applications de process sont ceux qui apportent les degrés de sécurité les plus élevés. Plus que la redondance, ils offrent des architectures dans lesquelles tous les composants sont triplés.

dans lesquelles tous les composants sont triplés. Qui a dit que la sécurité était incompatible avec

Qui a dit que la sécurité était incompatible avec une transmission sans-fil ? Pilz propose une architecture basée sur son réseau de sécurité SafetyBus associé aux modems radio à haute disponibilité du constructeur suisse Schweizer Electronic. De tels systèmes sont utilisés pour des applications de ponts roulants ou de remontées mécaniques, par exemple.