Documente Academic
Documente Profesional
Documente Cultură
Systmes de commande de
scurit pour machines
Principes, normes et mise en uvre
Publication : SAFEBK-RM002B-FR-P Mars 2011 2011 Rockwell Automation, Inc. Tous droits rservs.
Remplace la publication : SAFEBK-RM002A-FR-P
SAFEBOOK 4
Systmes de commande de scurit pour machines
1
SAFEBOOK 4
Systmes de commande de scurit pour machines
Des machines ne se conformant pas ces exigences ne peuvent tre fournies ou importes
dans les pays de lEEE.
1 La Directive Machines
Ces deux directives sont troitement lies par le fait que les exigences essentielles de sant
et de scurit (EESS) dfinies par la Directive Machines peuvent galement tre utilises
pour apprcier la scurit des quipements dans le cadre de la directive sur lutilisation des
quipements de travail.
Ce chapitre prsente les diffrents aspects de ces deux directives. Il est fortement conseill
toute personne concerne par la conception, la fourniture, lachat ou lutilisation dun
quipement industriel dans un pays de lEEE (et galement dans certains autres pays), dtre
familiarise avec leurs critres. Tous les fournisseurs ou utilisateurs de machines dans les
pays concerns risquent en effet de se voir refuser la livraison ou lutilisation de leurs
quipements sils ne se conforment pas ces directives.
Il existe galement dautres directives europennes ayant rapport aux machines. La plupart
dentre elles concernent en gnral un domaine dapplication particulier. Elles ne sont donc
pas prises en considration dans le cadre de ce chapitre. Mais il est important de noter que
leurs exigences doivent galement tre respectes lorsquelles sont applicables. Cest le cas,
par exemple : de la directive CEM 2004/108/CE et de la directive ATEX 94/9/CE.
2
SAFEBOOK 4
Rglementations
La Directive Machines
La Directive Machines rglemente la fourniture de nouvelles machines et autres quipements
incorporant des composants de scurit. La livraison de machines non conformes aux
exigences de cette directive sur le territoire de lunion europenne constitue une infraction.
Une dfinition extrmement large du terme machines est fournie par la directive :
ensemble, quip ou destin tre quip dun systme dentranement autre que la force
humaine ou animale applique directement, compos de pices ou dorganes relis entre eux
et dont au moins un est mobile, et qui sont assembls solidairement en vue dune application
spcifique .
3
SAFEBOOK 4
Systmes de commande de scurit pour machines
Une valuation des risques doit tre ralise afin de dterminer lesquelles de ces EESS sont
applicables lquipement concern.
Les EESS de lAnnexe 1 fournissent une hirarchie des mesures destines liminer les
risques :
(1) Scurit inhrente la conception. Chaque fois que cest possible, la prvention des
risques devra tre incluse dans la conception de la machine.
Lorsque cest impossible, des (2) dispositifs de protection complmentaires devront tre
utiliss ; par exemple, des grilles de protection avec points daccs interverrouills, des
barrires immatrielles de scurit, des tapis de dtection, etc.
Tout risque rsiduel ne pouvant tre gr par lune des mthodes ci-dessus devra tre limit
par des (3) quipement de protection individuelle et/ou une formation approprie.
Le fournisseur de la machine doit alors spcifier ce qui est appropri.
Des matriaux adapts lutilisation doivent tre utiliss pour la fabrication. Un clairage
adquat et des accessoires de manutention doivent tre fournis. Les commandes et systmes
de commande doivent prsenter les caractristiques de scurit et de fiabilit requises. Les
machines ne doivent pas avoir la possibilit de redmarrer intempestivement et doivent tre
munies dun ou plusieurs dispositif(s) darrt durgence. Les installations complexes dans
lesquelles des processus amont ou aval sont susceptibles dinterfrer sur la scurit dune
machine, doivent tre prises en compte. La dfaillance dune alimentation ou dun circuit de
commande ne doit pas entraner de situation dangereuse. Les machines doivent tre stables
et capables de supporter les efforts prvisibles. Elles ne doivent pas comporter de rebords ou
de surfaces non protgs, susceptibles de causer des blessures corporelles.
4
SAFEBOOK 4
Rglementations
Des grilles ou des quipement de protection doivent tre utiliss pour prvenir les dangers lis
aux pices en mouvement. Ces dispositifs doivent tre de construction robuste et difficiles
neutraliser. Les dispositifs de protection fixes doivent tre monts de telle manire quils ne
puissent tre dmonts quavec des outils. Les dispositifs de protection amovibles doivent
tre quips dun systme de verrouillage lectrique de scurit. Les dispositifs de protection
rglables doivent pouvoir tre facilement ajusts, sans ncessiter doutils.
Les risques lis aux alimentations lectriques et dautres sources dnergie doivent
galement tre prvenus. Les risques de blessures corporelles dus la temprature, une
explosion, au bruit, aux vibrations, aux poussires, aux gaz ou aux radiations, doivent tre
minimiss au maximum. Des dispositions adaptes doivent tre prises pour la maintenance et
les interventions courantes. Une signalisation suffisante et des dispositifs dalarme doivent tre
prvus. Les machines doivent tre livres avec des instructions dinstallation, dexploitation, de
rglages, etc., garantissant la scurit.
valuation de conformit
Le concepteur ou tout autre organisme spcialis doit tre en mesure dapporter la preuve de
la conformit de la machine aux EESS. Ce dossier doit contenir toutes les informations utiles :
rsultats dessais, plans, caractristiques, etc.
Une valuation approfondie et documente des risques doit tre effectue pour sassurer
que tous les risques potentiels de la machine ont bien t identifis. Par ailleurs, il est de
la responsabilit du fabricant de la machine de sassurer que toutes les EESS sont bien
satisfaites, mme celles qui ne sont pas concernes par les normes EN harmonises.
5
SAFEBOOK 4
Systmes de commande de scurit pour machines
Dossier technique
Le fabricant ou son reprsentant doit prparer un dossier technique dmontrant la conformit
de la machine aux EESS. Ce dossier doit contenir toutes les informations utiles : rsultats
dessais, plans, caractristiques, etc.
Il nest pas essentiel que toutes ces informations soient imprimes de faon systmatique.
Mais ce dossier technique doit pouvoir tre prsent en cas dinspection par une autorit
comptente (un organisme mandat par un pays de lUE pour vrifier la conformit des
machines).
2. Les plans de dtail, les notes de calcul, etc., ncessaires la vrification de la conformit
de la machine aux EESS.
5. Un descriptif des mthodes adoptes pour supprimer les risques prsents par la
machine.
6. Le cas chant, tout rapport technique ou certificat dlivr par un laboratoire de test ou
tout autre organisme dhomologation.
7. Si la conformit une norme europenne harmonise est dclare, tout rapport technique
attestant le rsultat des essais.
10. Le cas chant, les copies des dclarations de conformit CE des lments ou
accessoires externes intgrs la machine.
6
SAFEBOOK 4
Rglementations
Pour les machines fabriques en srie, le dtail des mesures internes (systme dassurance
qualit, par exemple) mises en uvre pour sassurer que chaque quipement produit est
conforme aux spcifications :
----
---
---- ---- OR
ME
S
er
LAnnexe IV inclut galement certains
---- ------- S N ssi ue
-- EST
T ES LTAT Do hniq
S
c
composants de scurit tels les dispositifs de
D ESU
Te
protection bass sur la dtection de prsence
R
Dans le cas o une machine relevant de lAnnexe IV ne serait pas en totale conformit avec
les normes europennes harmonises applicables, son fabricant ou le reprsentant agr de
celui-ci doit effectuer lune des procdures suivantes :
1. Contrle de conformit type CE. Un dossier technique doit tre prpar et un exemplaire
de la machine doit tre soumis un organisme agr (laboratoire de test) pour subir un
contrle de conformit CE. Si la machine est juge conforme, lorganisme lui attribuera un
certificat de conformit CE. La validit de ce certificat est de cinq ans et la machine devra
tre rvalue selon cette priodicit par lorganisme agr.
7
SAFEBOOK 4
Systmes de commande de scurit pour machines
2. Assurance qualit totale. Un dossier technique doit tre mont et le constructeur doit utiliser
un systme dassurance qualit certifi pour la conception, la fabrication, linspection finale
et les tests. Le systme de contrle qualit doit garantir la conformit de la machine aux
dispositions de cette directive. Ce systme de contrle qualit doit tre rvalu priodique-
ment par un organisme agr.
Organismes agrs
Un rseau dorganismes agrs communiquant entre eux et travaillant sur des bases
communes est prsent dans toute lUE. Ces organismes agrs sont mandats par les
gouvernements (et non par les industriels). Des renseignements sur les organismes
bnficiant de lagrment peuvent tre obtenus ladresse :
http://ec.europa.eu/enterprise/sectors/mechanical/machinery/index_ en.htm
Le marquage CE indique que la machine est conforme tous les directives europennes
applicables et que les procdures dvaluation de conformit ont t ralises. Lapposition du
marquage CE en rfrence la Directive Machines sur des machines qui ne satisferaient pas
aux EESS applicables constitue une infraction.
8
SAFEBOOK 4
Rglementations
Cette option nest pas applicable aux quipements pouvant fonctionner de faon indpendante
ou ceux qui modifient la finalit dune machine.
9
SAFEBOOK 4
Systmes de commande de scurit pour machines
Un reprsentant agr est une personne physique ou morale tablie dans la Communaut
europenne, ayant reu un mandat crit de la part du fabricant pour remplir en son nom tout
ou partie des obligations et formalits lies la Directive Machines.
10
SAFEBOOK 4
Rglementations
Conformit Si la machine
Si la machine
obligatoire aux Conformit NEST PAS
EST CONFORME
normes obligatoire CONFORME
aux normes
europennes directe aux normes
europennes
harmonises OU aux EESS
harmonises
europennes
en vigueur harmonises
Transmettre le
Transmettre le
DOSSIER
DOSSIER Envoyer
TECHNIQUE un
TECHNIQUE lquipement
organisme notifi
un organisme un organisme
qui lexaminera
notifi qui notifi pour
accusera OU et mettra un OU EXAMEN CE
CERTIFICAT DE
RECEPTION DE TYPE
CONFORMITE
du dossier
pour ce dossier
Alors que la Directive Machines est destine aux fournisseurs, cette directive (89/655/CEE
et amendements 95/63/CE, 2001/45/CE et 2007/30/CE) est destine aux utilisateurs des
machines. Elle couvre tous les secteurs industriels et impose aux employeurs des obligations
gnrales ainsi que des exigences minimales de scurit concernant les quipements de
travail. Tous les pays de lUE promulguent leurs propres lois pour lapplication de cette
directive.
11
SAFEBOOK 4
Systmes de commande de scurit pour machines
Par exemple, elle est applique au Royaume-Uni sous le nom de Provision and Use of
Work Equipment Regulations (souvent abrg en P.U.W.E.R.). Les modalits de mise en
application peuvent varier dun pays lautre, mais toutes les dispositions prvues par la
directive seront toujours reprises.
Les articles de la directive dcrivent en dtail les types dquipements et de postes de travail
concerns.
Ils dfinissent galement des obligations dordre gnral pour les employeurs ; par exemple,
la mise en place de mthodes de travail de scurit et la fourniture dquipements de scurit
adapts et correctement entretenus. Les oprateurs sur machine doivent recevoir une
formation et un entranement appropris de faon utiliser leur machine en toute scurit.
Les machines neuves (et les machines doccasion provenant de lextrieur de lUE) livres
aprs le 1er janvier 1993 doivent satisfaire toutes les directives produits applicables, comme
par exemple la Directive Machines (sous rserve damnagements transitoires). Les quipe-
ments doccasion provenant de lextrieur de lUE installs pour la premire fois sur un poste
de travail doivent tre directement conformes aux exigences minimales mentionnes en
annexe de la directive relative lutilisation des quipements de travail.
Remarque : une machine dorigine ou doccasion ayant fait lobjet dun reconditionnement
ou dune modification majeure sera considre comme un quipement neuf. Ceci a pour but
de sassurer que les tches effectues par cette machines seront conformes la Directive
Machines (mme si elle est uniquement utilise en sinterne par lentreprise).
Lune des exigences est que les machines soient entretenues de faon adquate. Cela
implique en principe lexistence dun programme de maintenance de routine et prventif
dment planifi. Il est recommand dtablir un registre des oprations de maintenance et
de le tenir jour. Ceci est particulirement important dans les cas o lentretien et le contrle
de lquipement sont les garants de lefficacit permanente des dispositifs ou systmes de
protection.
Lannexe de la directive relative lutilisation des quipements de travail dfinit des exigences
gnrales minimum pour ces quipements.
Si lquipement est conforme aux directives produits applicables, par exemple la Directive
Machines, il sera automatiquement conforme aux exigences de conception machine
correspondantes stipules dans les exigences minimales de lannexe.
Les pays membres sont autoriss promulguer des lois portant sur lutilisation des
quipements de travail allant au-del des exigences minimales de la directive officielle.
12
SAFEBOOK 4
Rglementations
http://europa.eu/legislation_summaries/employment_and_social_policy/health_hygiene_
safety_at_work/c11116_en.htm
1. des entreprises qui appliquent les rquisitions gnrales en vigueur aussi bien que des
rgles spcifiques leur activit propre ;
Aux tats-Unis, lOSHA compte parmi les protagonistes les plus actifs de la scurit
industrielle. Cette administration a t cre en 1970 par une dcision du Congrs amricain.
Cette loi fixe le cadre rglementaire des conditions dhygine et de scurit du travail dans
lindustrie, avec lobjectif de prserver les ressources humaines. La loi autorise le Secrtaire
dtat au travail dicter des normes obligatoires dhygine et de scurit du travail, applicables
aux entreprises effectuant des transactions commerciales inter-tats sur le march intrieur.
Cette loi sapplique toutes les entreprises employant de la main duvre dans nimporte
quel tat des tats-Unis, dans le district de Columbia, dans ltat libre de Puerto Rico, aux
les Vierges, aux Samoa amricaines, Guam, dans le Territoire sous tutelle des les du
Pacifique, lle de Wake, sur les terres du plateau continental extrieur dfinies dans la loi
Outer Continental Shelf Lands Act, sur lle Johnston et dans la zone du canal de Panama.
13
SAFEBOOK 4
Systmes de commande de scurit pour machines
Larticle 5 de la loi en dfinit les exigences minimales. Tout employeur a pour obligation de
fournir lensemble de ses employs des conditions et un cadre de travail exempts de tous
les dangers connus susceptibles dentraner la mort ou des blessures physiques graves. Il doit
par ailleurs se conformer aux normes dhygine et de scurit du travail dfinies par la loi.
Larticle 5 stipule galement que tout employ doit se conformer aux normes dhygine et
de scurit du travail ainsi qu toutes les rgles, rglementations et dcrets promulgus en
application de cette loi et dfinissant sa conduite et ses agissements personnels.
Le Secrtaire dtat au travail a toute autorit pour entriner comme norme dhygine et de
scurit au travail toute norme de consensus national, ainsi que toute norme fdrale tablie,
sauf si cette ratification entranait labsence damlioration des conditions dhygine et de
scurit pour certaines catgories particulires de travailleurs.
LOSHA est charge de la mise en application par le biais de la publication de rglements sous
le Titre 29 du Code of Federal Regulation (29 CFR). Les normes concernant les machines
industrielles sont publies par lOSHA dans la Partie 1910 de ce Titre 29 CFR. Elles sont
librement accessibles sur le site de lOSHA : www.osha.gov. Contrairement la plupart des
autres normes qui prsentent un caractre dapplication volontaire, les normes OSHA ont force
de loi.
Certaines des rubriques importantes pour la scurit des machines sont listes la suite :
A Gnralits
B Adoption et prolongement des normes fdrales tablies
C Recommandations gnrales dhygine et de scurit
H Matriaux dangereux
I quipements de protection individuelle
J Dispositions de protection gnrales vis vis de lenvironnement
inclus les systmes de condamnation/signalisation
O Protection par rapport aux composants en mouvement et aux machines
R Industries particulires
S lectricit
14
SAFEBOOK 4
Rglementations
Certaines normes OSHA peuvent faire rfrence dautres normes de type volontaire.
Leffet lgal dune telle incorporation par rfrence est que la totalit du corpus normatif est
considre comme ayant t publie au Federal Register. Lorsquune norme de consensus
national est incorpore par rfrence dans lune des sous-parties, cette norme acquire force
de loi. Par exemple, la NFPA 70, qui est une norme caractre volontaire connue sous le nom
de Code national lectrique des tats-Unis, est mise en rfrence dans la sous-partie S. Les
exigences de cette norme NFPA 70 prennent ainsi un caractre obligatoire.
Les changements doutil, les rglages mineurs et autres interventions de maintenance lgre
effectues dans le cadre des oprations de production normales, ne sont pas concerns par
cette norme sils ont un caractre routinier, rptitif et font partie intgrante de lutilisation de
lquipement en production ; sous rserve que ces interventions soient effectues en utilisant
des mesures alternatives de protection suffisamment efficaces. Ces mesures alternatives
incluent lutilisation de systmes de protection tels que les barrires immatrielles, les tapis de
scurit, les grilles verrouillage de scurit et autres dispositifs de mme type connects un
systme de scurit. La question pour le concepteur de la machine ainsi que pour son utilisateur
est dapprcier ce qui est mineur et ce qui a un caractre routinier, rptitif et inhrent .
La sous-partie O concerne les machines et leur protection. Cette sous-partie regroupe les
exigences gnrales applicables tous types de machines, ainsi que les exigences concernant
certaines machines spcifiques. Lors de sa cration en 1970, lOSHA a repris de nombreuses
normes ANSI existantes. Par exemple, la B11.1 concernant les presses de type mcanique a
t incorpore sous le numro 1910.217.
La 1910.212 est la norme OSHA gnrale pour toute les machines. Cette norme stipule quun
ou plusieurs dispositifs de scurit doivent tre prvus sur les machines afin de protger
loprateur, ainsi que les autres employs se trouvant autour, des sources de danger. Sont
notamment viss les dangers lis la zone de travail de la machine, aux points de pincement,
aux parties rotatives, la projection de copeaux et dtincelles. Des protections doivent tre
fixes sur la machine lorsque cest possible ou sur un support externe ferme lorsque cest
impossible. La protection ne doit pas constituer en elle-mme une source de danger.
15
SAFEBOOK 4
Systmes de commande de scurit pour machines
La sous-partie S (1910.399) dfinit les exigences lectriques de lOSHA. Aux yeux du Sous-
secrtariat dtat au travail, des installations ou des quipement seront recevables et homolo-
gables selon les termes de cette sous-partie S sils sont approuvs, certifis, tiquets ou, plus
gnralement, jugs comme prsentant les caractristiques de scurit requises par un labo-
ratoire dessai agr au niveau national ( nationally recognized testing laboratory ou NRTL).
Quest-ce quun quipement ? Il sagit dun terme gnrique regroupant le matriel en lui-
mme, ses accessoires, ses dispositifs de contrle, ses auxiliaires, ses supports de montage,
son appareillage divers et tout ce qui entre dans le cadre dune installation lectrique ou est
raccord une telle installation.
Quest-ce qui est list ? Lquipement est list sil est enregistr dans une liste (a)
dite par un laboratoire NRTL ralisant des contrles priodiques de sa fabrication et (b)
spcifiant que cet quipement est conforme aux normes nationales ou quil a t test et
jug comme prsentant toute scurit dans des conditions dutilisation dfinies.
Depuis aot 2009, les organismes suivants sont reconnus par lOSHA comme laboratoires
NRTL :
Certains tats ont adopt localement les normes OSHA. Vingt-quatre des tats ainsi que
Puerto Rico et les les Vierges possdent un programme de normalisation propre leur terri-
toire et approuv par lOSHA. Ils ont en consquence dfini leurs propres normes et leurs
16
SAFEBOOK 4
Rglementations
propres rgles dapplication. Pour la plupart, ces tats utilisent des normes identiques celles
dfinies par lOSHA au niveau fdral. Nanmoins, certains tats ont adopt des normes diff-
rant sur des points particuliers ou encore des rgles dapplication diffrentes. Les employeurs
doivent tablir un rapport dincidents pour lOSHA. LOSHA analyse statistiquement la fr-
quence dincidents et transmet ces informations ses bureaux locaux. Elles seront utilises
pour dfinir les priorits dinspection. Les principaux critres de dclenchement dune inspec-
tion sont les suivants :
Danger imminent
Catastrophes et dcs
Plaintes des employs
Industries risque lev
Inspections priodiques locales
Inspections de suivi
Programmes thmatiques nationaux et locaux
Le non-respect des normes OSHA peut entraner des amendes. Le barme de ces amendes
pour infraction est le suivant :
Le tableau suivant prsente titre dexemple 14 procs verbaux tablis par lOSHA entre
octobre 2004 et septembre 2005.
Norme Description
1910.147 Contrle des sources dalimentation prsentant un danger
(condamnation/signalisation)
1910.1200 Information sur les risques
1910.212 Prescriptions gnrales applicables toutes les machines
1910.134 Protection respiratoire
1910.305 Mthodes, composants et quipements de cblage usage gnral
1910.178 Chariots lectriques industriels
1910.219 Transmission de puissance mcanique
1910.303 Critres gnraux
1910.213 Machines pour le travail du bois
19102.215 Meules abrasives
19102.132 Critres gnraux
1910.217 Presses mcaniques
1910.095 Exposition au bruit dans le cadre du travail
1910.023 Protection des ouvertures et des trous dans le sol et les murs
17
SAFEBOOK 4
Scurit fonctionnelle des systmes de commande
Rglementation canadienne
Au Canada, la scurit industrielle est gre au niveau de la Province. Chaque province
possde et applique sa propre rglementation. Par exemple, lOntario a promulgu sa Loi sur
la sant et la scurit au travail, qui dfinit les droits et obligations de tous les intervenants
sur le lieu de travail. Son objectif principal est de protger les travailleurs contre les risques
professionnels ayant des implication sur leur sant et leur scurit. Cette loi dfinit des
procdures de gestion des risques professionnels, ainsi que des pnalits en cas de non-
conformit dlibre.
On trouve par ailleurs dans cette loi le Rglement 851, dont lArticle 7 impose une inspection
dhygine et de scurit pralable la mise en service dune machine. Cette inspection est
obligatoire dans la Province de lOntario pour tout quipement neuf, reconditionn ou modifi.
Elle doit tre confirme par un rapport tabli par un ingnieur professionnel.
Normes
Ce chapitre fournit une liste des normes internationales et nationales les plus courantes
concernant la scurit des machines. Cette liste na pas lambition dtre exhaustive mais de
mettre en lumire les points de scurit des machines faisant habituellement lobjet dune
normalisation.
Les diffrents pays du monde travaillent dans le sens dune harmonisation mondiale des
normes. Ceci est particulirement vident dans le domaine de la scurit des machines. Les
normes de scurit concernes sont rgies au niveau international par deux organismes
majeurs : lISO et la CEI. Des normes particulires existent toujours au niveau rgional et
national. Elles continuent de faire valoir des exigences dapplication locales. Mais, dans de
nombreux pays, la tendance est la transposition des normes internationales produites par
lISO et la CEI.
Par exemple, les normes EN (normes europennes) sont appliques dans tous les pays de
lEEE. Or, toutes les nouvelles normes EN sont alignes sur les normes ISO et CEI et, dans
la plupart des cas, elles utilisent la mme formulation.
Les normes CEI traitent principalement des questions lectrotechniques. LISO sattache aux
autres aspects. La plupart des pays industrialiss adhrent la CEI et de lISO. Les normes
relatives la scurit des machines sont crites par des groupes de travail comprenant des
experts provenant dun grand nombre de pays industrialiss du monde.
Dans la plupart des pays, ces normes prsentent un caractre dapplication volontaire, alors
que les rglementations constituent une obligation lgale. Cependant, les normes sont
gnralement utilises comme rfrence pratique pour les rglementations. Cest la raison
pour laquelle le domaine de la normalisation est troitement li celui de la rglementation.
18
SAFEBOOK 4
Normes
LISO est une organisation non gouvernementale regroupant des organismes de normalisation
nationaux de la plupart des pays du monde (157 la date de publication de ce document).
Son secrtariat central, situ Genve en Suisse, coordonne le rseau. LISO produit des
normes ayant pour but de rendre la conception, la fabrication et lutilisation des machines
plus efficace, plus sre et plus cologique. Ces normes contribuent galement rendre les
changes internationaux plus simples et plus quitables. Les normes ISO sont identifiables
par les trois lettres ISO.
Les normes ISO destines aux machines sont rparties en trois catgories, de la mme faon
que les normes EN : A, B et C (voir la section relative aux normes europennes harmonises
EN, la suite).
Pour plus dinformations, il est possible de visiter le site de lISO ladresse : www.iso.org.
La CEI tablit et dite des normes internationales dont les domaines dapplication sont
llectricit, llectronique et les technologies connexes. Par lintermdiaire de ses membres,
la CEI encourage la coopration internationale sur toutes les questions de normalisation lies
llectrotechnique ; de mme que sur des sujets connexes, comme lvaluation de la
conformit aux normes lectrotechniques.
Il sagit de normes communes tous les pays membres de lEEE. Elles sont mises par les
organismes de normalisation europens : le CEN et le CENELEC. Leur application procde
dune dmarche volontaire. Nanmoins, leur utilisation pour la conception et la fabrication dun
quipement constitue le moyen le plus direct de dmontrer la conformit de cet quipement
aux EESS de la Directive Machines.
NORMES Type A : couvrent des aspects gnraux applicables tous types de machines.
19
SAFEBOOK 4
Systmes de commande de scurit pour machines
Il est important de noter que la conformit une norme de la catgorie C confre automatique-
ment une prsomption de conformit aux EESS. En labsence dune norme de catgorie C
adapte, on pourra recourir aux normes de catgories A et B pour dmontrer partiellement ou
totalement la conformit aux EESS en mettant en vidence la conformit certains chapitres
de ces normes.
Pour consulter la liste complte des normes EN relatives la scurit des machines,
se reporter au site :
http://ec.europa.eu/enterprise/sectors/mechanical/machinery/index_ en.htm.
Chaque fois que possible, lOSHA entrine en tant que normes de scurit des normes dites
de consensus national ou des normes fdrales tablies. Le caractre contraignant affect
aux normes incorpores par rfrence (par exemple, par lutilisation du verbe devoir qui
implique une obligation lgale), leur confre la mme force lgale que les normes classes
en Partie 1910. Cest par exemple le cas de la norme de consensus national NFPA 70 qui est
enregistre comme document de rfrence dans lAnnexe A de la sous-partie S ( lectricit )
de la Partie 1910 du Titre 29 CFR. La NFPA 70 est lorigine une norme volontaire dvelop-
pe par la NFPA (National Fire Protection Association). Elle est galement dsigne par lacro-
nyme NEC (National Electric Code). En consquence, toutes les dispositions obligatoires du
NEC prennent force de loi sous leffet de lOSHA.
Normes ANSI
LANSI (American National Standards Institute) est lorganisme de normalisation des tats-
Unis. Il a pour mission dadministrer et de coordonner le systme de normalisation volontaire
du secteur priv aux tats-Unis. Cest un organisme associatif priv, but non-lucratif,
regroupant diverses composantes des secteurs priv et public.
LANSI nlabore pas lui-mme les normes. Il facilite cette laboration en favorisant le
consensus entre des groupes dexperts. Il veille entre autres ce que ces groupes dexperts
respectent les principes de base du consensus ainsi quune mthodologie approprie, et
quils fassent preuve de lesprit douverture ncessaire. La liste suivante recense une partie
des normes de scurit industrielle quil est possible de se procurer auprs de lANSI.
20
SAFEBOOK 4
Normes
Ces normes sont classes en deux catgories : les normes dapplication et les normes de
construction. Les normes dapplication dfinissent la faon de mettre en uvre un systme
de protection sur une machine. On en trouvera des exemples dans la norme ANSI B11.1, qui
apporte des informations sur lutilisation de protections sur les presses mcaniques, ainsi que
dans la norme ANSI/RIA R15.06, qui dcrit les dispositifs de scurit applicables aux robots.
Cette norme NFPA 79 sapplique aux quipements lectriques et lectroniques, aux appareil-
lages ou aux systmes monts sur des machines industrielles fonctionnant sous des tensions
nominales infrieures ou gales 600 volts. Elle a pour objet de dfinir des recommandations
dtailles destines garantir la scurit des personnes et des biens, concernant la mise en
uvre des quipements lectriques et lectroniques, des appareillages ou systmes faisant
partie intgrante des machines industrielles. Officiellement approuve par lANSI en 1962, la
NFPA 79 est tout fait comparable dans son contenu la norme CEI 60204-1.
Les machines qui ne sont pas spcifiquement concernes par les normes OSHA sont nan-
moins tenues dtre exemptes de tous les risques connus susceptibles de causer la mort ou
des blessures graves. Ces machines doivent tre conues et entretenues de faon satisfaire
ou surpasser les exigences des diverses normes industrielles applicables. Cest normalement
la norme NFPA 79 qui sapplique ces machines non spcifiquement concernes par les
normes OSHA.
21
SAFEBOOK 4
Systmes de commande de scurit pour machines
Normes canadiennes
Les normes CSA sont le reflet dun consensus national entre les fabricants et les utilisateurs ;
cest dire, entre les constructeurs, les consommateurs, les revendeurs, les syndicats, les
organisations professionnelles et les agences gouvernementales. Ces normes sont largement
utilises dans lindustrie et le commerce. Elles sont souvent reprises par les administrations
municipales, provinciales et fdrales dans leurs rglementations propres. Cest particulire-
ment le cas dans les domaines de la sant, de la scurit, du btiment et de la construction,
ainsi que dans celui de lenvironnement.
Des particuliers, des entreprises et des associations de tout le Canada apportent leur
participation llaboration des normes CSA. Ils fournissent leur temps bnvolement au
Comit du CSA et soutiennent les objectifs de lassociation en tant que membres donateurs.
Les plus de 7 000 bnvoles du Comit et les 2 000 membres donateurs constituent
lensemble des membres du CSA.
Normes australiennes
La plupart de ces normes sont trs proches des normes ISO/CEI/EN correspondantes
Pour la liste complte des normes concernes, veuillez vous reporter au catalogue
Scurit disponible ladresse : www.ab.com/safety.
22
SAFEBOOK 4
Stratgie de scurit
Stratgie de scurit
Dun point de vue purement fonctionnel, plus une machine est performante dans lexcution
de ses tches de transformation, meilleure elle est. Pourtant, pour quelle soit viable, elle doit
galement tre sre. La scurit doit en effet tre prise en compte de faon prioritaire.
Pour dfinir une stratgie de scurit efficace, deux tapes cls et interactives sont
ncessaires, comme schmatis ci-dessous.
OUI
IDENTIFICATION DU DANGER
Identifier chaque situation dangereuse
Puis, pour chaque danger
ESTIMATION DU RISQUE
Apprcier le niveau de risque pour
chaque situation dangereuse
REDUCTION DES
RISQUES
Traiter le danger en modifiant
EVALUATION DES RISQUES le concept ou en prenant des
NON mesures supplmentaires
Le niveau du risque
est-il acceptable ?
Dterminer si les
performances et les
Lanalyse est-elle faite et caractristiques fonctionnelles
toutes les mesures de scurit NON des mesures de scurit sont
adquates sont-elles prises ? adaptes la machine et
son type dexploitation
OUI
FIN DE
LANALYSE STRATEGIE DE SECURITE
23
SAFEBOOK 4
Systmes de commande de scurit pour machines
LVALUATION DES RISQUES est base sur la bonne comprhension des limites et des
possibilits fonctionnelles de la machine. Elle doit prendre en compte galement les
interventions qui pourront savrer ncessaires sur la machine tout au long de sa vie.
La RDUCTION DES RISQUES peut alors tre ralise (si elle est ncessaire) et des
mesures de scurit sont dfinies partir des informations collectes dans la phase
dvaluation des risques. Ce processus constitue la base de la STRATGIE DE SCURIT
destine la machine.
Une liste de contrle est ncessaire pour raliser le suivi. Elle permet de sassurer que tous
les aspects ont bien t pris en compte et que le principe directeur na pas t dilu dans les
dtails. Lensemble du processus doit tre document. Ceci garantit une plus grande rigueur
dans la dmarche et permet galement des personnes externes den vrifier les rsultats.
Lutilisateur (ou lexploitant) doit sassurer que les machines dans leur environnement
dexploitation prsentent toutes les garanties de scurit. Mme si une machine a t dclare
sre par son constructeur, il est de la responsabilit de lutilisateur de procder tout de mme
une valuation des risques afin de dterminer si cet quipement peut tre effectivement
considr comme sr dans son environnement particulier. Les machines sont en effet souvent
utilises dans des conditions qui nont pas t prvues par le constructeur. Par exemple,
lutilisation dune fraiseuse dans latelier dun lyce professionnel ncessitera des prcautions
supplmentaires par rapport son utilisation dans un atelier de mcanique industrielle.
Il faut avoir lesprit galement que lorsquun utilisateur industriel fait lacquisition de plusieurs
machines lmentaires spares pour les intgrer dans un mme processus de fabrication, il
devient de fait le constructeur de la machine combine rsultant de cette intgration.
24
SAFEBOOK 4
Stratgie de scurit
Cette dmarche est traite dans diffrentes normes. Les normes ISO 14121 : ( Principes
dapprciation du risque ) et ISO 12100 : ( Scurit des machines Notions fondamen-
tales ) contiennent notamment les recommandations qui sont le plus largement utilises
mondialement.
Quelle que soit la mthode utilise pour valuer les risques, une quipe pluridisciplinaire
obtiendra gnralement un rsultat dont la porte sera plus large et plus nuance quune
personne unique.
Lvaluation des risques est un processus itratif. Il devra tre renouvel aux diffrentes
tapes du cycle de vie de la machine. Les donnes prendre en compte varieront en effet
selon la phase du cycle de vie. Par exemple, le fabricant de la machine aura accs pour son
valuation des risques tous les dtails concernant les mcanismes internes et les matriaux
de construction. Mais il ne pourra faire quune estimation approximative des conditions
denvironnement finales dans lesquelles cette machine sera utilise. Lutilisateur effectuant
cette mme valuation naura pas, pour sa part, forcment accs aux dtails techniques
approfondis, mais il connatra parfaitement toutes les caractristiques de lenvironnement de
fonctionnement de la machine. Idalement, le rsultat dune premire valuation servira de
point de dpart pour la suivante.
Elle suppose la collecte et lanalyse de toutes les informations concernant les pices, les
mcanismes et les fonctions dune machine. Il sera galement ncessaire de prendre en
compte les diffrents types dinterventions humaines sur la machine ainsi que lenvironnement
dans lequel elle sera utilise. Lobjectif est dobtenir une vision claire du fonctionnement la
machine et de son mode dutilisation.
Il est trs important de prendre en compte toutes les limites et les phases du cycle de vie
de la machine (installation, mise en route, maintenance, dsactivation). Son mode normal
dutilisation et dexploitation, de mme que les consquences des utilisations non conformes
ou des dysfonctionnements raisonnablement prvisibles, doivent galement tre intgrs.
25
SAFEBOOK 4
Systmes de commande de scurit pour machines
Toutes les sources de danger prsentes par la machine doivent tre identifies et listes par
nature et emplacement. Ces sources de danger considrer sont lcrasement, le cisaille-
ment, lentranement, la projection de pices, les fumes, les radiations, les substances
toxiques, la chaleur, le bruit, etc.
Les rsultats de lanalyse des tches devront tre rapprochs des rsultats de lidentification
des dangers. Ceci permettra de mettre en vidence les points de convergence entre un danger
et une action humaine, cest dire les situations potentiellement dangereuses. On tablira alors
la liste de ces situations potentiellement dangereuses. Il est possible quun mme danger ait
des effets de situation dangereuse diffrents selon la qualification des personnes ou la nature
de la tche implique. Par exemple, lintervention dun technicien de maintenance expriment
et correctement form peut avoir des consquences diffrentes de celle dun agent de net-
toyage non qualifi et nayant aucune connaissance de la machine. Dans ce type de situation,
si chacun des cas a t enregistr et trait sparment, il peut tre concevable de justifier
des mesures de protection diffrentes pour le technicien de maintenance et pour lagent de
nettoyage. Si les deux cas nont pas t dissocis lors de lenregistrement et traits spar-
ment, il conviendra de retenir le plus dfavorable. Le technicien de maintenance et lagent de
nettoyage bnficieront tous deux alors des mmes mesures de protection.
Parfois, il est ncessaire de raliser une valuation des risques sur une machine existante
disposant dj de mesures de protection (par exemple, une machine dont les parties en
mouvement prsentant un danger sont dj protges par une grille de scurit interverrouil-
lage). Les parties en mouvement constituent un danger potentiel qui pourra devenir un danger
rel en cas de dfaillance du dispositif dinterverrouillage de scurit. moins que ce systme
dinterverrouillage de scurit ait dj t valid (par exemple, par une valuation des risques
ou par une conception conforme une norme en vigueur), il sera donc ignor.
Cest lun des aspects les plus cruciaux du processus dvaluation des risques. Il existe
diffrentes faons daborder ce sujet. Les pages suivantes prsentent les principes de base.
Toute machine expose des situations potentiellement dangereuses prsente des risques
dvnement dangereux (par exemple, de blessure). Plus le niveau de ces risques sera lev,
plus il sera important de prendre des mesures pour y remdier. Pour certains dangers
particuliers, le risque pourra tre si faible quil sera possible de le tolrer. Mais, pour dautres
types de danger, le niveau du risque sera si lev quil faudra prendre les mesures les plus
draconiennes pour sen protger. En consquence, pour dcider bon escient de lopportunit
et du niveau des mesures prendre par rapport un risque, il faut pouvoir le quantifier.
26
SAFEBOOK 4
Stratgie de scurit
Le risque est souvent considr uniquement du point de vue de la gravit des blessures
potentielles en cas daccident. Cependant, il convient de prendre en compte la fois la
gravit de ces blessures ventuelles ET la probabilit quelles surviennent pour apprcier
correctement le niveau de risque existant.
La mthode destimation du niveau de risque propose dans les pages qui suivent ne prtend
pas tre absolue. Une approche diffrente pourra tre dicte par des circonstances particu-
lires. ELLE EST CONUE UNIQUEMENT COMME UN CANEVAS GNRAL DESTIN
FOURNIR UN CADRE DE TRAVAIL MTHODOLOGIQUE ET DOCUMENTAIRE.
Le systme dvaluation par points propos utilise une chelle polyvalente. Il pourra, en
consquence, ne pas tre ncessairement adapt certaines applications particulires. Le
rapport technique ISO/TR 14121-2 Apprciation du risque Lignes directrices pratiques
et exemples de mthodes , fournit des conseils pratiques et prsente diffrentes mthodes
dapprciation du risque.
Il convient dutiliser toutes les informations et expriences disponibles. Toutes les tapes
du cycle de vie de la machine sont prendre en considration. Pour viter de rendre les
dcisions trop complexes, celles-ci devront donc tre bases sur le cas le plus dfavorable
pour chaque facteur.
Il faut galement faire appel au bons sens. Les dcisions doivent considrer ce qui est
ralisable, raliste et plausible. Cest ce stade quune approche pluridisciplinaire savre
utile.
Il ne faudra pas oublier non plus que pour raliser cet exercice, on doit, en gnral, ne pas
tenir compte des systmes de protection dj existants. Si lestimation du niveau de risque
montre quun systme de protection simpose, des mthodologies, dcrites plus loin dans
ce chapitre, pourront tre utilises pour en dterminer les caractristiques ncessaires.
27
SAFEBOOK 4
Systmes de commande de scurit pour machines
On postulera pour cette estimation que laccident ou lincident peut tre la consquence de
lexposition au danger. Ltude approfondie de cette source de danger va permettre didentifier
le type de blessure le plus grave quelle puisse engendrer. Rappel : on considre pour cette
apprciation que la blessure corporelle est invitable. Seule sa gravit entre en ligne de
compte. On prsume galement que loprateur est expos directement au mouvement ou
au processus dangereux. La gravit de la blessure sera estime selon lchelle suivante :
MORTELLE : dcs
10 MAJEURE : (normalement irrversible)
Incapacit permanente, perte de la vue,
amputation dun membre, dommages
pulmonaires, etc.
6 GRAVE : (normalement rversible) Perte
de conscience, brlure, fracture, etc.
3 MINEURE : contusions, plaies, petites
corchures, etc.
1
Une valeur en points correspondant chacune
de ces descriptions, est indique sur le
Mineure Grave Majeure Mortelle
graphique.
Valuation de la gravit
2. Frquence dexposition
28
SAFEBOOK 4
Stratgie de scurit
3. Probabilit de blessure
PEU PROBABLE
6 PROBABLE
POSSIBLE
4 CERTAINE
Une fois une valeur attribue chacun des facteurs de risque, ces diffrentes valeurs sont
cumules pour fournir lestimation initiale. La somme des trois composants se montera, par
exemple, 13. Cependant, il est encore ncessaire de prendre en considration quelques
facteurs supplmentaires. (Remarque : cet exemple na pas ncessairement de rapport avec
les illustrations prcdentes).
Ltape suivante va donc consister affiner lestimation initiale en intgrant des facteurs suppl-
mentaires tels que ceux prsents dans le tableau ci-aprs. Il est frquent quon ne puisse les
apprcier convenablement que lorsque la machine est installe son emplacement dfinitif.
Trs longs intervalles de temps (ex. 1 an) Rajouter des points la valeur du facteur
entre deux accs. (Possibilit dapparition de frquence maximum.
progressive et non dtecte de dfauts,
particulirement dans les systmes de
surveillance).
29
SAFEBOOK 4
Systmes de commande de scurit pour machines
Les valeurs attribues aux facteurs supplmentaires concerns sont ensuite ajoutes au total
prcdent comme indiqu ci-dessous.
20 20
18 18
16 16
14 2 14
1 12 1 12
10 10
6 6
8 8
6 6
4 4
6 6
2 2
Valeur finale brute Valeur finale ajuste
30
SAFEBOOK 4
Stratgie de scurit
Tourelle de fraisage Dir. Mach. RA416 Aucun Mouvement du Ecrasement Dplacer la machine 4/13/95 J Kershaw
Bloggs Dir. CEM bti (vers le mur) pour donner un Rapport n 10064
N de srie 17304294 espace suffisant
Fabrique en 1995
Installe en mai 95
2. Mettre en place des systmes et des dispositifs de protection ncessaires (par exemple,
des grilles de protection interverrouillage, des barrires immatrielles, etc.) pour tous les
risques qui nont pas pu tre limins la conception.
3. Informer les utilisateurs sur les risques rsiduels rsultant des failles ventuelles des
mesures de protection mises en place. Mentionner les formations particulires qui peuvent
tre ncessaires et spcifier les ventuels quipements de protection individuelle utiliser.
Les diffrentes mesures de cette liste de priorits doivent tre envisages en partant du niveau
suprieur. Elles doivent tre mises en application chaque fois quil est possible de le faire. Ceci
conduira en gnral la mise en uvre de plusieurs mesures de protection pour un mme
risque.
Il est possible de prvenir un grand nombre des dangers potentiels lors de la phase de conception
de la machine. Il suffira simplement de faire plus spcifiquement attention certains paramtres
comme la nature des matriaux, les impratifs daccs, la prsence de surfaces chaudes, les
mthodes de transmission, les possibilits de pigeage, les niveaux de tension, etc.
Par exemple, sil nest pas ncessaire daccder une zone dangereuse, la solution sera de la
protger intrieurement dans la machine ou par une quelconque enceinte externe, ferme et fixe.
31
SAFEBOOK 4
Systmes de commande de scurit pour machines
Si, par contre, laccs cette zone dangereuse savre ncessaire, la situation se complique un
peu. Il faudra alors sassurer que cet accs nest possible que lorsque la machine ne prsente
aucun danger. Des mesures de protection telles que des portes daccs verrouillage de
scurit et/ou des systmes interrupteur sont ncessaires. Le choix du dispositif ou du
systme de protection utiliser devra tre majoritairement dtermin par les caractristiques
de fonctionnement de la machine. Ce critre est extrmement important. Un systme risquant
daltrer le rendement de la machine sera en effet plus susceptible dtre dmont ou dsactiv
sans autorisation.
Dans un tel cas, la scurit de la machine dpendra donc de la mise en uvre dun systme
de protection adquat et de son bon fonctionnement, mme en cas de dfaut.
Ce bon fonctionnement du systme doit donc tre considr avec attention. Pour chaque type
de protection, il existe gnralement un choix entre plusieurs technologies apportant des
niveaux de performance variables en matire de surveillance, de dtection ou de prvention
des dfauts.
De faon idale, chaque systme de protection devrait tre absolument parfait et ne permettre
en aucune faon la survenance de conditions dangereuses. En pratique cependant, les limites
prsentes des connaissances et des matriaux restreignent cela. Une autre contrainte bien
relle est le cot. Pour tenir compte de tous ces facteurs, un juste quilibre est lvidence
ncessaire. Le simple bon sens permet de comprendre quil serait ridicule dexiger que le
systme de scurit destin une machine risquant, dans le pire des cas, de ne causer que
des contusions lgres, soit au mme niveau que celui qui est requis pour assurer le maintien
en vol dun avion gros porteur. Dans ces deux cas, les consquences dune dfaillance
nauront rien voir. Il est en consquence ncessaire de dfinir un principe permettant de
doser limportance des mesures de protection en fonction du niveau de risque dfini lors de
la phase dvaluation des risques.
Quel que soit le type de dispositif de protection choisi, il ne faut pas oublier quun systme
relatif la scurit est susceptible de regrouper un grand nombre de composants. On y
trouvera notamment les diffrents dispositifs de protection, le cblage, le systme de coupure
dalimentation et parfois mme certains lments du systme de commande oprationnel de
la machine. Tous les lments constitutifs de ce systme (les dispositifs de protection, leur
installation, leur cblage, etc.) doivent prsenter les caractristiques de performance requises
selon leur conception et leur technologie. Les normes CEI/EN 62061 et EN ISO 13849-1
dfinissent une hirarchie de niveaux de performance pour les composants destins la
scurit dans les systmes de commande. Elles fournissent par ailleurs dans leurs annexes
des mthodes dvaluation des risques permettant de dterminer le niveau dintgrit
ncessaire pour les systmes de protection.
LEN ISO 13849-1:2008 propose une reprsentation graphique volue des risques dans son
Annexe A.
32
SAFEBOOK 4
Stratgie de scurit
Niveau de Contribution la
performance, rduction des risques
PLr
P1 a
F1 Faible
S1 P2
P1 b
F2
Dmar- P2
rage P1 c
F1
P2
S2
P1 d
F2
P2
e
S = Gravit Elev
F = Frquence ou dure dexposition
P = Probabilit dvitement
La CEI 62061 propose galement dans son Annexe A une mthode dvaluation de la forme
prsente ci-dessous.
N du document :
Evaluation des risques et mesures de scurit Partie de :
Commentaires
Lutilisation de lune et lautre de ces mthodes doit donner des rsultats quivalents. Chaque
mthode est conue en fonction de lapproche propose par la norme laquelle elle se
rattache.
33
SAFEBOOK 4
Systmes de commande de scurit pour machines
Dans les deux cas, il est trs important de respecter rigoureusement la dmarche indique
dans le texte de la norme. Le graphique ou le tableau des risques ne doivent pas tre utiliss
hors de ce contexte ou de faon trop simpliste.
valuation
Il est primordial que les oprateurs reoivent la formation ncessaire sur les procdures de
travail scurises applicables leur machine. Cela ne signifie pas autant que les autres
mesures doivent tre ngliges. Il nest pas concevable de se contenter simplement de donner
un oprateur linstruction de ne pas sapprocher des zones dangereuse (au lieu de mettre en
place des protections sur ces zones).
Loprateur peut galement tre tenu dutiliser certains quipements de protection individuelle,
comme des gants de travail spciaux, des lunettes de protection, un appareil respiratoire, etc.
Le concepteur de la machine doit lui spcifier quels sont ces quipements ncessaires.
Lutilisation dquipements de protection individuelle ne constitue normalement pas la premire
mthode de protection. Elle viendra en complment des mesures voques prcdemment.
34
SAFEBOOK 4
Stratgie de scurit
Normes
ANSI B11.TR3 : ( Risk assessment and risk reduction ) Fournit un guide pour lestimation,
lvaluation et la rduction des risques associs aux machines-outils.
ANSI PMMI B155.1 : ( Safety Requirements for Packaging Machinery and Packaging-Related
Converting Machinery ) Dfinit des exigences de scurit propres aux machines de
conditionnement et aux machines de conversion pour le conditionnement.
ANSI RIA R15.06 : ( Safety Requirements for Industrial Robots and Robot Systems )
Dfinit des rgles de scurit applicables aux robots industriels et aux systmes robotiss.
CSA Z434-03 : ( Industrial Robots and Robot Systems General Safety Requirements )
Exigences de scurit gnrales pour les robots industriels et les systmes robotiss.
CEI/EN 62061 : Scurit des machines Scurit fonctionnelle des systmes de commande
lectriques, lectroniques et lectroniques programmables relatifs la scurit.
EN ISO 13849-1 : Scurit des machines Parties relatives la scurit des systmes de
commande.
35
SAFEBOOK 4
Systmes de commande de scurit pour machines
Les dispositifs et systmes darrt durgence sont associs aux systmes de commande de
scurit, mais ils nassurent pas une protection permanente. Ils ne doivent tre considrs que
comme des mesures de protection complmentaires.
Si la source du danger se trouve dans une partie de la machine laquelle laccs nest pas
ncessaire, elle doit tre isole par une protection fixe de faon permanente la machine.
La dpose de ce type de protection doit ncessiter des outils. Ces dispositifs fixes doivent
tre capables de 1) rsister lenvironnement dans lequel ils sont utiliss, 2) contenir les
projections sil y en a et 3) ne pas tre eux-mmes une source de danger, par exemple, ne
pas prsenter de bords coupants. Ces dispositifs de protection fixes peuvent laisser un espace
libre lendroit de leur raccordement la machine, ou tre ajours du fait de lutilisation dun
treillis mtallique par exemple.
La taille des ouvertures ne doit pas permettre loprateur datteindre la source de danger.
Le tableau O-10 de la norme OHSA 1910.217 (f) (4), la norme ISO 13854, le tableau D-1 de la
norme ANSI B11.19, le tableau 3 de la norme CSA Z432, ainsi que la norme AS4024.1 fournis-
sent des instructions sur la distance respecter entre ces ouvertures et la source de danger.
Dtection daccs
Des mesures de protection peuvent tre utilises pour dtecter les accs dans une zone
dangereuse. Lorsquil dcide dutiliser la dtection daccs comme mthode de rduction des
risques, le concepteur doit tre conscient quun systme de scurit complet est ncessaire.
Le dispositif de protection seul ne permet pas une rduction des risques suffisante.
36
SAFEBOOK 4
quipements et mesures de protection
Dispositifs de dtection
Il existe de nombreux types de capteurs susceptibles de dtecter la prsence dune personne
pntrant dans la zone dangereuse ou se trouvant dans cette zone. Le meilleur choix pour
chaque application particulire dpendra de plusieurs facteurs :
la frquence daccs ;
le dlai de neutralisation de la source de danger ;
la ncessit de terminer le cycle de la machine ou non ;
le confinement des projections solides, des liquides, des arosols, des vapeurs, etc.
Des protections mobiles adaptes pourront tre interconnectes afin de fournir une protection
contre ces projections solides, ces liquides, ces arosols et les autres types de dangers. Ce
dispositif est souvent utilis lorsque laccs la zone dangereuse est peu frquent. Les grilles
de protection de scurit pourront galement tre maintenues verrouilles de faon interdire
laccs tant que la machine est en fonctionnement et lorsquelle ncessite un temps important
pour sarrter.
Les dispositifs de dtection de prsence, tels que les barrires immatrielles, les tapis et les
scrutateurs laser, permettent laccs rapide et facile la zone dangereuse. Ils sont souvent
retenus lorsque les oprateurs doivent frquemment accder dans cette zone dangereuse.
Ce type de dispositifs ne protge cependant pas contre les projections solides, les arosols,
les liquides ou autres dangers similaires.
Lorsquil sagit de dcider de quelle faon une zone ou une partie de la machine doit tre pro-
tge, il est important de bien comprendre quelles sont les fonctions de scurit ncessaires
mettre en uvre. En gnral, au moins deux de ces fonctions seront ncessaires.
Couper ou dsactiver lalimentation lorsquune personne pntre dans la zone
dangereuse.
Empcher la remise sous tension ou la ractivation de cette alimentation une fois que
la personne se trouve lintrieur de la zone dangereuse.
A premire vue, on pourrait penser quil sagit dune seule et mme fonction. Mais il sagit bien
en fait de deux fonctions distinctes, mme si elles sont manifestement lies et quelles sont le
plus souvent assures par le mme quipement. Pour raliser la premire de ces deux
37
SAFEBOOK 4
Systmes de commande de scurit pour machines
fonction, un dispositif dclencheur sera ncessaire. En dautres termes, il sagira dun dispositif
destin dtecter quune personne a partiellement dpass un certain point et envoyer
en consquence un signal de coupure de lalimentation. Si la personne en question est en
mesure de poursuivre au-del du point de dclenchement et que sa prsence nest en cons-
quence plus dtecte, la deuxime fonction (prvention de la remise sous tension) risquera
de ne pas tre assure.
Source
de danger
Source de
danger
Si laccs du corps complet nest pas possible, cest--dire si la personne ne peut poursuivre
au-del du point de dclenchement, sa prsence sera toujours dtecte et la deuxime
fonction (prvention de la remise sous tension) sera, dans ce cas, assure.
Pour les applications de dtection dune partie du corps seulement, les mmes types de
dispositifs seront utiliss pour assurer le dclenchement et la dtection de prsence. La
diffrence rside uniquement dans le type de lapplication.
Les dispositifs de dtection de prsence sont utiliss pour dtecter les intrusions de
personnes. Cette gamme de dispositifs inclut les barrires immatrielles de scurit, les
barrires de scurit faisceau unique, les scrutateurs de zone de scurit, les tapis de
scurit et les bourrelets de scurit.
On peut dfinir simplement les barrires immatrielles de scurit comme des dtecteurs
photolectriques de prsence. Elles sont conues particulirement pour la protection du
personnel contre les blessures pouvant tre occasionnes par un mouvement dangereux
dune machine. galement appeles dispositifs optolectroniques de protection active ou
quipements de protection lectro-sensibles, ces barrires immatrielles offrent une scurit
38
SAFEBOOK 4
quipements et mesures de protection
optimale tout en autorisant une productivit maximum. Elles constituent de fait une bien
meilleure solution en termes dergonomie par rapport aux protections de type mcanique.
Elles sont particulirement adaptes aux applications dans lesquelles le personnel doit
frquemment accder une zone dangereuse.
Les barrires immatrielles sont conues et testes conformment aux normes CEI 61496-1
et -2. Il nexiste pas de version EN harmonise de la Partie 2. LAnnexe IV de la directive
europenne relative aux machines impose donc une certification par un laboratoire externe
pralablement la mise sur le march sur le territoire de lUnion europenne de toute nouvelle
barrire immatrielle. Ces laboratoires externes effectuent ce test de conformit par rapport
la norme CEI internationale. LUnderwriters Laboratory a galement adopt la norme
CEI 61496-1 comme norme de rfrence pour les tats-Unis.
Les scrutateurs laser de scurit utilisent un miroir pivotant qui diffuse les impulsions lumi-
neuses sur un arc de cercle, crant ainsi un plan de dtection. Lemplacement de lobjet est
dtermin par langle de rotation du miroir. Utilisant la technique de mesure du temps de
trajet dun faisceau de lumire invisible rflchi, le scrutateur peut galement dtecter la
distance qui le spare de lobjet. En intgrant la distance mesure et lemplacement de lobjet,
le scrutateur laser peut dterminer la position exacte de cet objet.
Ces dispositifs sont utiliss pour la protection dune zone au sol autour dune machine. Un
rseau de tapis interconnects peut tre dispos tout autour de la zone dangereuse. Toute
pression dtecte en nimporte quel point de ce rseau (par exemple le pas dun oprateur)
entranera la coupure de la source dalimentation par le dispositif de contrle du tapis. Les
tapis sensibles la pression sont frquemment utiliss dans des zones fermes contenant
plusieurs machines, des cellules de fabrication flexible ou autres applications robotiques, par
exemple. Lorsquil est ncessaire daccder lintrieur de la cellule (pour le rglage ou
lapprentissage du robot par exemple), ils interdisent tout mouvement dangereux au cas
o loprateur scarte de la zone de scurit, ou sil doit accder larrire dun quipement.
Ces dispositifs se prsentent sous forme de bordures souples pouvant tre montes sur le
rebord dune pice mobile, telle quune table lvatrice ou une porte motorise, prsentant un
risque dcrasement ou de sectionnement.
Si cette pice mobile vient heurter un oprateur (et inversement), le bourrelet sensible se
trouvera comprim et dclenchera la coupure de lalimentation de la machine. Les bourrelets
sensibles peuvent galement tre utiliss comme protection en cas de risque de coincement
de loprateur. Si cela se produit, le contact avec le bourrelet sensible entranera la coupure de
lalimentation de la machine.
39
SAFEBOOK 4
Systmes de commande de scurit pour machines
On trouve diffrentes technologies de bourrelets de scurit. Lune des plus rpandue consiste
insrer ce qui est en fait un long interrupteur lintrieur du bourrelet. Cette technologie
produit des bourrelets rectilignes et utilise gnralement une connectique 4 fils.
Les barrires immatrielles, les scrutateurs, les tapis de sol et les bourrelets sensibles sont
classs comme dispositifs dclencheurs . Ils ninterdisent pas le passage. Ils se bornent
le dtecter . Le maintien de la scurit est totalement dpendant de leur capacit
effectuer la dtection des intrusions et couper la source dalimentation. Ils ne conviennent
gnralement qu des machines ayant une capacit darrt dans un dlai raisonnablement
court aprs la coupure de leur source dalimentation. Du fait quun oprateur peut avancer ou
pntrer sans restriction dans la zone dangereuse, il est lvidence impratif que le temps
ncessaire larrt du mouvement de la machine soit infrieur celui qui est ncessaire cet
oprateur pour atteindre le cur de la zone dangereuse aprs dclenchement du dispositif.
Interrupteurs de scurit
Lorsquil nest pas ncessaire daccder frquemment la machine, les protections de type
mobiles (manuvrables) sont gnralement prfres. Le dispositif de protection est intercon-
nect la source dalimentation de lorgane dangereux de telle faon que cette alimentation se
trouve dsactive lorsque grille de protection est ouverte. Cette approche suppose le montage
dun interrupteur de scurit sur la grille de protection. La commande dalimentation de la
source de danger est interface avec le circuit de linterrupteur. La source dalimentation est le
plus souvent lectrique, mais elle peut galement tre pneumatique ou hydraulique. Lorsque
le mouvement (louverture) de la grille de protection est dtect, linterrupteur de scurit
coupe la source dalimentation, soit directement, soit par lintermdiaire dun contacteur de
puissance (ou dune vanne).
40
SAFEBOOK 4
quipements et mesures de protection
Interrupteurs de scurit sans contact Ces dispositifs nont pas besoin dun
contact physique pour tre actionns. Certaines versions incluent une fonction de
codage permettant une meilleure protection contre les modification indsirables.
Remarque : ces catgories sont cependant diffrentes des Catgories dfinies par la norme
EN 954-1 (ISO 13849-1). On se reportera aux normes NFPA 79 et CEI/EN 60204-1 pour des
dtails complmentaires. Les arrts sont classs en trois catgories :
Ces catgories darrt doivent sappliquer chaque fonction darrt. Une fonction darrt
dsigne laction ralise par la partie scurit dun systme de commande en rponse un
41
SAFEBOOK 4
Systmes de commande de scurit pour machines
signal dentre. Seules les catgories 0 ou 1 sont concernes. Ces fonctions darrt doivent
tre prioritaires sur les fonctions de dmarrage correspondantes. Le choix de la catgorie
darrt appliquer chaque fonction darrt doit tre dtermin par lvaluation des risques.
Chaque fois quil existe un risque de danger pour les oprateurs sur une machine, celle-ci doit
tre munie dun dispositif darrt durgence facilement et rapidement accessible. Le dispositif
darrt durgence doit tre oprationnel en permanence et disponible instantanment. Le pupi-
tre oprateur doit tre quip dau moins un tel dispositif darrt durgence. Des dispositifs
supplmentaires peuvent tre implants en dautres endroits selon les besoins. Ces dispositifs
darrt durgence se prsentent sous diverses formes. Les interrupteurs boutons-poussoirs
et les systmes darrt durgence cble sont des exemples de dispositifs parmi les plus
frquemment utiliss. Lorsque le dispositif darrt durgence est actionn, il doit rester enclen-
ch. Il ne devra pas tre possible de gnrer la commande darrt tant que ce verrouillage
nest pas ralis. Le rarmement de ce dispositif darrt durgence ne doit pas crer de situa-
tion dangereuse. Le redmarrage de la machine devra faire lobjet dune action distincte et
dlibre de loprateur.
Pour plus dinformations sur les dispositifs darrt durgence, consulter les normes ISO/EN 13850,
CEI 60947-5-5, NFPA 79 et CEI 60204-1, AS4024.1, Z432-94.
Les dispositifs darrt durgence sont considrs comme des quipements de protection
complmentaires. Il nentrent pas dans la catgorie des dispositifs de protection principaux
car ils nempchent pas laccs une source de danger et ne dtectent pas lintrusion dans
une zone dangereuse.
Ils se prsentent le plus souvent sous forme dun bouton-poussoir de couleur rouge ressem-
blant un champignon et mont sur un botier de couleur jaune. Loprateur peut ainsi taper
dessus en cas de danger. Ces dispositifs doivent tre placs aux points stratgiques et en
nombre suffisant autour de la machine, de faon quil y en ait toujours un porte de main
proximit des zones dangereuses.
42
SAFEBOOK 4
quipements et mesures de protection
Ces boutons darrt durgence doivent tre facilement accessibles et doivent tre utilisables
dans tous les modes de fonctionnement de la machine. Lorsquun bouton-poussoir est utilis
comme dispositif darrt durgence, il doit tre de forme champignon (ou de type coup-de-
poing), de couleur rouge sur un fond jaune. Lorsque ce bouton est actionn, les contacts
correspondant doivent changer dtat simultanment son verrouillage en position enfonce.
Une nouvelle technique est maintenant utilise avec ces dispositifs darrt durgence. Il sagit
de lauto-surveillance. Un contact supplmentaire est alors rajout larrire du dispositif. Il a
pour but de contrler la prsence des composants larrire du panneau. On parle alors de
bloc de contact auto-surveillance. Il sagit dun contact actionn par un ressort qui se ferme
quand le bloc de contact est mis en place sur le panneau. La figure 80 montre ce contact
dauto-surveillance mont en srie avec un des contacts de scurit ouverture directe.
Dans le cas de machines comme des convoyeurs bande, il est souvent plus pratique et plus
efficace dutiliser un systme darrt durgence cble courant tout le long de la zone dange-
reuse. Ce type de dispositif utilise un cble en acier raccord des interrupteurs verrouillables
traction. Ds quune traction est exerce sur le cble dans nimporte quelle direction et
nimporte quel point de sa longueur, elle dclenche linterrupteur qui coupe lalimentation de la
machine.
Ces dispositifs doivent tre capables de dtecter la fois les tensions exerces sur le cble
et son ramollissement. La dtection de manque de tension du cble permet de sassurer quil
nest pas coup et quil est en tat de fonctionnement normal.
La longueur du cble a une incidence sur les performances du dispositif. Pour les petites
longueurs, linterrupteur de scurit est mont une extrmit et un ressort de tension est fix
lautre extrmit. Pour les grandes longueurs, un interrupteur de scurit doit tre plac
chaque extrmit du cble afin de garantir quune action unique de loprateur permette bien
de dclencher la commande darrt. La force exerce sur le cble ne doit pas dpasser 200 N.
La flche maximum au point milieu de la distance entre deux supports de ce cble ce ne doit
par ailleurs pas excder 400 mm.
Commandes bimanuelles
Lutilisation de commandes ncessitant les deux mains (ou commandes bimanuelles) constitue
une solution traditionnellement utilise pour empcher laccs la machine lorsque celle-ci
prsente un danger. Deux commandes doivent tre actionnes de faon combine ( moins
de 0,5 secondes dintervalle) pour pouvoir dmarrer la machine. Ceci assure que les deux
mains de loprateur sont mobilises dans une zone scurise (en loccurrence, sur les
commandes). Elles ne peuvent en consquence pas se trouver dans la zone dangereuse. Les
commandes doivent tre actionnes de faon continue tant que le danger est prsent. Le
fonctionnement de la machine doit cesser ds quune des commandes est relche. Si lune
des commandes est relche, lautre devra galement ltre avant de pouvoir redmarrer la
machine.
43
SAFEBOOK 4
Systmes de commande de scurit pour machines
Tout systme bimanuel est trs largement tributaire de la rigueur de dtection des dfauts par
son systme de commande et de surveillance. Il est de ce fait essentiel que des rquisitions
trs prcises aient t dfinies pour cela lors de la conception de ce systme. Les perfor-
mances dun systme de scurit bimanuel sont classes par types selon la norme ISO 13851
(EN 574). Comme on le voit dans le tableau ci-dessous, ces types sont eux-mme rattachs
aux Catgories de la norme ISO 13849-1. Les types les plus courants en matire de scurit
des machines sont les types IIIB et IIIC. Le tableau suivant montre les relations existant entre
les types et les catgories de performance de scurit.
Types
Prescriptions III
I II
A B C
Activation synchrone X X X
Lutilisation dune commande bimanuelle doit tre envisage avec discernement car elle
ncarte gnralement pas tous les risques existants. La commande bimanuelle ne protge
dautre part que la personne qui lutilise. Cet oprateur doit donc tre mme de surveiller
tous les accs la zone dangereuse, les autres personnes ne bnficiant pas ncessairement
dune protection.
La norme ISO 13851 (EN 574) fournit des recommandations supplmentaires concernant les
commandes bimanuelles.
Poignes de scurit
44
SAFEBOOK 4
quipements et mesures de protection
trois positions sont dsactivs lorsquils ne sont pas actionns (position 1), activs lorsque
leur actionneur est maintenu en position centrale (position 2) et dsactivs lorsquil est pouss
au-del de la position mdiane (position 3). De plus, lorsquils repassent de position 3 en
position 1, leur circuit de sortie ne doit pas se refermer lors du passage par la position 2.
Ces poignes de scurit doivent tre utilises en parallle dautres fonctions de scurit.
Un exemple type de leur application est le passage du mouvement en fonctionnement lent
rgul. Une fois la machine ainsi place en mode de fonctionnement lent, un oprateur pourra
pntrer dans la zone dangereuse en tenant la main la poigne de scurit.
Lorsquune poigne de scurit est utilise, un signal doit indiquer quelle est active.
Dispositifs logiques
Les dispositifs logiques jouent un rle central dans la partie scurit du systme de com-
mande. Ces dispositifs assurent le contrle et la surveillance du systme de scurit et autori-
sent le dmarrage de la machine ou lexcution des commandes darrt de cette machine.
Il existe toute une gamme de dispositifs logiques permettant de crer une architecture de
scurit adapte la complexit et aux fonctionnalits requises par la machine. Des petits
relais de surveillance de scurit cbls seront plus conomiques pour les petites machines
sur lesquelles un dispositif logique ddi simple est ncessaire pour assurer la fonction de
scurit. Des relais de surveillance de scurit modulaires et configurables seront prfrables
dans le cas o des dispositifs de protection varis et nombreux, ainsi quune commande de
zone minimale, sont requis. Pour les machines de taille moyenne grande, ainsi que pour
celles prsentant encore plus de complexit, les systmes programmables avec E/S
distribues seront les mieux adapts.
Les modules de surveillance de scurit relais de type MSR (monitoring safety relay) jouent
un rle cl dans de nombreux systmes de scurit. Ces modules sont gnralement compo-
ss de plusieurs relais guidage positif et dun circuit complmentaire destin assurer lex-
cution de la fonction de scurit.
Les relais guidage positif sont des relais spcialiss de forme cubique. Ces relais guidage
positif doivent tre conformes aux exigences de performance de la norme EN 50025. Ils ont
principalement pour fonction dempcher les contacts normalement ferms et normalement
ouverts de se trouver ferms simultanment. Dans les conceptions les plus rcentes, les
sorties lectromcaniques sont remplaces par des sorties de scurit statiques.
45
SAFEBOOK 4
Systmes de commande de scurit pour machines
Le choix du relais de scurit appropri dpend de plusieurs facteurs : le type des dispositifs
contrls, le type de rinitialisation effectue, le nombre et le type de sorties.
Types dentres
Les dispositifs de protection utilisent diffrentes mthodes pour signaler quun dfaut sest
produit :
Interrupteurs sortie statique : les barrires immatrielles, les scrutateurs laser et les
dispositifs statiques sans contacts ont deux sorties PNP et assurent eux-mmes la dtection
des erreurs de croisement. Le relais MSR doit tre capable dignorer la procdure de dtection
des erreurs de croisement du dispositif.
Tapis sensibles la pression : Ces tapis crent un court-circuit entre deux voies. Le relais
MSR doit tre capable de supporter ces courts-circuits rpts.
Bourrelets sensibles la pression : certains bourrelets sont conus de la mme faon que
les tapis 4 fils. Certains autres utilisent un dispositif deux fils qui cre une variation de
rsistance dans le circuit. Le relais MSR doit tre capable de dtecter un court-circuit ou une
variation de rsistance.
Signal en tension : mesure la FCEM dun moteur pendant la dclration. Le relais MSR doit
tre capable de supporter des tensions leves, mais aussi de dtecter les basses tensions
lorsque le moteur dclre.
Mouvement arrt : le relais MSR doit tre capable de dtecter les flux dimpulsions
provenant de capteurs divers et redondants.
Commande bimanuelle : le relais MSR doit tre capable de dtecter les entres
complmentaires normalement ouvertes et normalement fermes. Il doit pouvoir assurer
galement une temporisation de 0,5 s ainsi quun squencement logique.
Les relais de surveillance de scurit doivent tre conus pour interfacer spcifiquement
chacun de ces types de dispositifs aux caractristiques lectriques diffrentes. Certains relais
MSR ont la possibilit de recevoir diffrents types dentres. Mais une fois quun dispositif
particulier est slectionn, le relais ne pourra dialoguer quavec lui. Le concepteur doit donc
choisir un relais MSR compatible avec le type dentre quil souhaite.
46
SAFEBOOK 4
quipements et mesures de protection
Impdance dentre
La procdure dvaluation des risques sera utilise pour dterminer le nombre de capteurs
devant tre raccords chaque unit MSR, ainsi que la frquence de vrification de ces
entres. Pour sassurer que les contacteurs darrt durgence et les interrupteurs de scurit
sont toujours oprationnels, leur bon fonctionnement doit tre contrl intervalles rguliers,
suivant la frquence dfinie lors de lvaluation des risques. Par exemple, une entre de
relais MSR deux voies raccorde une grille de protection verrouillage de scurit devant
tre ouverte chaque cycle de la machine (cest--dire plusieurs fois par jour) ne justifiera
pas ncessairement un contrle spcifique. La raison en est que louverture de la grille de
protection dclenchera lauto-contrle par le relais de ses entres et de ses sorties (selon la
configuration) afin de dtecter tout ventuel dfaut individuel. Plus la grille de protection sera
ouverte frquemment, plus la rigueur de la procdure de contrle sera leve.
Autre exemple : les arrts durgence. tant, par dfinition, utiliss principalement en cas dur-
gence, ils sont susceptibles dtre beaucoup moins sollicits. Cest pourquoi leur bon fonction-
nement devra tre vrifi suivant un programme de test prvoyant leur actionnement inter-
valles rguliers. Ce type de contrle du fonctionnement du systme de scurit sappelle un
test de scurit. La priodicit de ralisation de ces tests est appele intervalle entre tests de
validit. Troisime exemple : les trappes daccs permettant le rglage des machines. Comme
les interrupteurs darrts durgence, elles peuvent tre que rarement utilises. L encore, un
programme de vrification de la fonction de scurit intervalles rguliers doit tre dfini.
Lvaluation des risques permet de dterminer si les capteurs concerns ont besoin dtre
contrls et quelle frquence. Plus le niveau de risque est lev, plus les exigences seront
importantes pour cette procdure de contrle. Par ailleurs, moins la frquence des contrles
automatiques sera leve, plus on devra simposer de contrles manuels frquents.
Dans les systmes deux voies, les dfauts provenant de courts-circuits entre les voies,
galement appels erreurs de croisement, doivent tre identifis par le systme de scurit.
Cette fonction est ralise soit par le capteur, soit par le relais de surveillance de scurit.
Les relais de surveillance de scurit utilisant des microprocesseurs, comme avec les bar-
rires immatrielles, les scrutateurs laser et les capteurs sans contact volus, peuvent
dtecter ces courts-circuits de diffrentes faons. Lune des mthodes la plus classique de
47
SAFEBOOK 4
Systmes de commande de scurit pour machines
dtection de ces erreurs de croisement consiste effectuer un contrle par impulsions dca-
les. La frquence dimpulsion des signaux de sortie est trs leve. Les impulsions de la
voie 1 sont dcales par rapport celles de la voie 2. Si un court-circuit se produit, ces impul-
sions deviennent simultanes, ce qui peut tre dtect par le dispositif.
Les relais de surveillance de scurit lectromcanique utilisent une technique de contrle dif-
frentiel diffrente : ils contrlent une entre enclenchement et une entre dclenchement.
Un court-circuit entre la voie 1 et la voie 2 actionnera le dispositif de protection contre les
surintensits et le systme de scurit arrtera la machine.
Sorties
Les relais de surveillance de scurit peuvent avoir un nombre vari de sorties. Le types de
ces sorties permet de dterminer le relais MSR utiliser pour chaque application particulire.
Code didentification : Le code didentification est constitu dune lettre suivie dun chiffre,
par exemple A300. La lettre se rapporte lintensit thermique conventionnelle en botier
ferm et indique si ce courant est continu ou alternatif. Dans lexemple, la lettre A indique un
courant alternatif de 10 ampres. Le chiffre indique la tension disolation. Dans lexemple,
300 reprsente 300 V.
Usage : Les catgories dusage dsignent les types de charges que le dispositif peut
commuter. Les catgories dusage selon la norme CEI 60947-5 sont rpertories dans le
tableau suivant.
48
SAFEBOOK 4
quipements et mesures de protection
Exemple n 1 : une classification A150, AC-15 indique que les contacts peuvent fermer un
circuit de 7 200 VA. Sous 120 V c.a., ces contacts pourront fermer un circuit avec un courant
dappel de 60 A. AC-15 faisant rfrence une charge lectromagntique, ces 60 A ne
sappliqueront que pendant une courte dure. Ils correspondent donc au courant dappel de
la charge lectromagntique. La puissance de coupure du circuit nest que de 720 VA, car
lintensit de la charge inductive en rgime tabli est de 6 A. Cette valeur constitue lintensit
de service nominale.
49
SAFEBOOK 4
Systmes de commande de scurit pour machines
Exemple n 2 : une classification N150, DC-13 indique que les contacts peuvent fermer un
circuit de 275 VA. Sous 125 V c.a., ces contacts pourront fermer un circuit de 2,2 A. En courant
continu, il nexiste pas de courant dappel pour les charges lectromagntiques, comme en
courant alternatif. La coupure du circuit supportera galement 275 VA, car lintensit de la
charge lectromagntique en rgime tabli est de 2,2 A. Cette valeur constitue lintensit de
service nominale.
Redmarrage de la machine
Si, par exemple, une grille de protection verrouillage de scurit est ouverte alors que la
machine est en fonctionnement, le contacteur dinterverrouillage provoquera son arrt. Dans
la plupart des cas, il sera impratif que la machine ne puisse pas redmarrer directement
sitt la grille referme. Un moyen classique de raliser cela consiste utiliser un systme
de dmarrage contacteur verrouillage.
Le paragraphe 3.22.4 de la norme ISO 12100-1 dfinit clairement les conditions de fonctionne-
ment normales de ce systme dinterverrouillage (extrait) :
Fonctions de rarmement
Les relais de surveillance de scurit Guardmaster dAllen-Bradley sont conus soit avec un
rarmement manuel surveill, soit avec un rarmement automatique/manuel.
50
SAFEBOOK 4
quipements et mesures de protection
Le rarmement manuel surveill ncessite que ltat du circuit de rarmement soit modifi
aprs fermeture de la grille ou du rarmement du contacteur darrt durgence. Les contacts
auxiliaires normalement ferms couplage mcanique des commutateurs dalimentation sont
branchs en srie avec un bouton-poussoir impulsion. Lorsque la grille a t ouverte, puis
referme, le relais de scurit nautorisera pas le redmarrage de la machine tant quil ny a
pas eu de changement dtat de ce bouton de rarmement. Ceci est conforme lesprit des
exigences de rarmement manuel supplmentaire dfinies par la norme EN ISO 13849-1.
Concrtement, la fonction de rarmement doit garantir que les deux contacteurs sont ltat
OFF et que les deux circuits dinterverrouillage (et donc les grilles de protection) sont ferms.
Elle doit galement garantir que lactionneur de rarmement na pas t, de quelque faon,
contourn ou bloqu (puisquun changement de son tat est obligatoire). Si ces tests sont
positifs, la machine pourra tre redmarre normalement. La norme EN ISO 13849-1
mentionne comme critre de ce changement dtat le passage de ltat sous tension ltat
hors tension. Mais le mme principe de protection pourra galement tre obtenu par laction
inverse.
Linterrupteur de rarmement devra tre plac en un point permettant loprateur davoir une
bonne visibilit sur la source du danger. Ceci afin de lui permettre de vrifier que la zone est
totalement dgage avant la remise en route.
Rarmement automatique/manuel
Linterrupteur de rarmement devra tre plac un point permettant loprateur davoir une
bonne visibilit sur la source du danger. Ceci afin de lui permettre de vrifier que la zone est
totalement dgage avant le redmarrage.
51
SAFEBOOK 4
Systmes de commande de scurit pour machines
Une protection commande directe arrte la machine lorsque la grille est ouverte. Elle la red-
marre directement ds que la grille est referme. Lemploi de ces protections commande di-
recte nest permis que dans des conditions trs restreintes. Elles ne peuvent en effet empcher
les redmarrages intempestifs, ni les dfaillances dans la procdure darrt, ce qui peuvent
savrer extrmement dangereux. Le systme dinterverrouillage doit prsenter le plus haut
niveau de fiabilit possible (il est le plus souvent recommand dutiliser un dispositif de verrouil-
lage de grille). Lemploi de telles protections commande directe ne peut tre envisag QUE
sur des machines noffrant AUCUNE POSSIBILIT aux oprateurs dintroduire tout ou partie de
leur corps dans la zone dangereuse lorsque la protection est ferme. Le dispositif de protection
commande directe doit alors tre la seule voie daccs possible la zone dangereuse.
Chaque circuit dentre est galement contrl en interne selon une frquence trs leve afin
de vrifier quil fonctionne correctement. Mme si le dispositif darrt durgence nest actionn
52
SAFEBOOK 4
quipements et mesures de protection
quune fois par mois, le circuit est ainsi contrl en permanence. Ceci permet de garantir que
la commande darrt durgence sera dtecte sans problme par lautomate de scurit.
Micro-
processeur Entre 1
Adresse Test
Donnes
Entre 2
Commande Donnes
Tampons Test
Donnes
Test
Commande Commande
Circuit
Micro-
processeur
Les sorties des automates de scurit peuvent tre de type lectromcaniques ou statiques
de scurit. Comme les circuits dentre, les circuits de sortie sont contrls en interne selon
une frquence trs leve afin de garantir quils pourront couper la sortie concerne sans pro-
blme lorsque ncessaire. Si lun des trois circuits est dfectueux, sa sortie sera interrompue
par les deux autres et le dfaut sera signal par le circuit de surveillance interne.
Lorsque des dispositifs de scurit contacts mcaniques sont employs (arrts durgence,
interrupteurs de grille, etc.), lutilisateur peut raliser un test par impulsions pour dtecter les
erreurs de croisement. Afin dviter le recours des sorties de scurit coteuses, de nom-
breux automates de scurit proposent des sorties impulsions ddies qui peuvent tre
connectes ces dispositifs contact mcanique.
Logiciel
Les automates de scurit se programment dune faon trs semblable aux automates stan-
dard. Tous les diagnostics complmentaires et les recherches de dfauts mentionns plus haut
sont raliss par le systme dexploitation. Le programmeur naura donc mme pas conscience
de ces oprations. La plupart des automates de scurit possdent un jeu dinstructions spcial
servant crire le programme du systme de scurit. Ces instructions tendent reproduire les
fonctions qui seraient ralises par un systme relais de scurit quivalent. Par exemple,
linstruction darrt durgence fonctionne dune faon trs similaire un relais MSR 127. Bien
que la logique qui sous-tende chacune de ces instructions soit complexe, les programmes de
scurit apparaissent comme relativement simples. Le programmeur na en fait qu assembler
ces diffrents blocs fonctionnels entre eux. Ces instructions, ainsi que les autres instructions
logiques, mathmatiques, de manipulation de donnes, etc., sont certifies par un organisme
externe afin de sassurer que leur fonctionnement est cohrent avec les normes en vigueur.
53
SAFEBOOK 4
Systmes de commande de scurit pour machines
Les blocs fonctionnels constituent la mthode principale utilise pour la programmation des
fonctions de scurit. En plus des blocs fonctionnels et de la logique relais, les automates
de scurit fournissent galement des instructions certifies pour les applications de scurit.
Ces instructions de scurit certifies permettent de programmer des comportements particu-
liers de lapplication. Lexemple suivant prsente une instruction darrt durgence. Accomplir
la mme fonction en logique relais ncessiterait environ 16 lignes de programme. Dans
la mesure o le comportement logique correspondant est intgr dans linstruction darrt
durgence, cette logique intgre na pas besoin dtre teste.
Il existe des blocs fonctionnels certifis adapts pratiquement tous les dispositifs de scurit.
Une exception cette rgle est cependant constitue par les bourrelets de scurit utilisant la
technologie rsistive.
Les automates de scurit gnrent par ailleurs une signature qui permet de suivre les
modifications apportes au systme. Cette signature englobe gnralement une information
sur le programme ainsi que sur la configuration des entres et des sorties et un horodatage.
Lorsque le programme est finalis et valid, lutilisateur doit enregistrer cette signature avec
les rsultats de validation afin de pouvoir sy reporter ultrieurement. Si le programme doit
tre modifi, une nouvelle validation sera ncessaire et une nouvelle signature devra tre
enregistre. Le programme peut galement tre verrouill par un mot de passe afin demp-
cher toute modification non autorise.
Avec les systmes logique programmable, le cblage se trouve simplifi par rapport aux sys-
tmes relais de surveillance de scurit. Contrairement aux systmes cbls qui ncessitent
le raccordement des bornes spcifiques sur les relais de surveillance de scurit, les dispo-
sitifs dentre peuvent tre connects nimporte quelle borne dentre, de mme que les dis-
positifs de sortie peuvent tre connects nimporte quelle borne de sortie. Ces bornes seront
ensuite affectes par le logiciel.
Les solutions de commande modernes permettent dsormais une intgration totale dans une
architecture de commande unique faisant cohabiter les fonctions de commande de scurit
et celles de commande standard. La possibilit de raliser une commande de mouvement,
de variation de vitesse, de processus, de traitement par lots ou encore squentielle grande
vitesse, simultanment une commande de scurit de niveau SIL 3 sur un seul et mme
automate apporte des avantages significatifs. Lintgration des commandes standard et de
scurit permet lutilisation de technologies et doutils communs. Ceci rduit les cots de
conception, dinstallation, de mise en service et de maintenance. La possibilit dutiliser des
accessoires de commande communs, des E/S ou des dispositifs de scurit distribus sur
des rseaux de scurit, ainsi que des dispositifs dIHM communs, permet de rduire les
cots dacquisition et de maintenance, de mme que les temps de dveloppement. Toutes
ces fonctionnalits augmentent la productivit et la rapidit dintervention des dpannages.
Elles rduisent par ailleurs les cots de formation grce la standardisation.
54
SAFEBOOK 4
quipements et mesures de protection
Toutes ces fonctions standard et de scurit sont isoles les unes des autres. Par exemple,
les points de scurit peuvent tre lus directement par le programme standard. Ces points de
scurit peuvent tre changs entre des automates GuardLogix par EtherNet, ControlNet
ou DeviceNet. Les donnes des points de scurit peuvent tre lues directement par des
dispositifs externes, des interfaces homme-machine (IHM), des ordinateurs personnels (PC)
ou dautres automates.
7. Les donnes de points de scurit, quelles soient de type programme ou automate, peuvent
tre lues par des dispositifs externes, des IHM, des PC, dautres automates, etc. Remarque :
une fois ces donnes lues, elles sont considres comme des donnes standard, non plus
comme des donnes de scurit.
55
SAFEBOOK 4
Systmes de commande de scurit pour machines
Rseaux de scurit
Lutilisation des rseaux de communication en production permet depuis longtemps aux
fabricants damliorer leur flexibilit, daugmenter les diagnostics, daccrotre les distances,
de rduire les cots dinstallation et de cblage, de faciliter la maintenance et plus gnrale-
ment damliorer la productivit. Ces mmes objectifs guident galement le dploiement des
rseaux de scurit industriels. Ces rseaux de scurit permettent aux fabricants dimplanter
des E/S et des dispositifs de scurit tout autour de leurs machines en les reliant simplement
par un unique cble rseau. Ceci limite ainsi les cots dinstallation tout en amliorant la capa-
cit de diagnostic et en permettant une sophistication plus grande des systmes de scurit.
Ils autorisent galement des communications scurises entre les contrleurs logiques ou les
automates de scurit. Ceci permet aux utilisateurs de rpartir leurs commandes de scurit
entre plusieurs systmes intelligents.
Dans la plupart des applications, lorsquune erreur est dtecte, le dispositif passe dans un
tat dsactiv prdfini, traditionnellement dsign par tat de scurit . Le dispositif
dentre ou de sortie de scurit est charg de la dtection de ces erreurs de communication
et du passage tat de scurit le cas chant.
Les premiers rseaux de scurit taient lis un type de support ou une configuration
daccs physique spcifiques. Les industriels devaient donc utiliser un matriel ddi (cbles,
cartes dinterface rseau, routeurs, passerelles, etc.) qui devenait alors une des composantes
de la fonction de scurit. Ces rseaux taient limites puisquils ne prenaient en charge que
les communications entre dispositifs de scurit. Ceci impliquait pour lindustriel la ncessit
dutiliser plusieurs rseaux diffrents dans le cadre de sa stratgie de commande de machines
(un rseau pour les commandes standard et un autre pour les commandes de scurit). Ceci
augmentait ainsi les cots dinstallation, de formation et de gestion des pices de rechange.
56
SAFEBOOK 4
quipements et mesures de protection
des cbles, des cartes dinterfaces rseau, des passerelles et des routeurs standard. Tous ces
accessoires deviennent en effet externes la fonction de scurit et la ncessit dun matriel
rseau spcialis na ainsi plus de raison dtre.
Dispositifs de sortie
Relais de commande et contacteurs de scurit
Ces relais de commande et ces contacteurs sont utiliss pour couper lalimentation de
lactionneur. Ce sont en fait des relais de commande et contacteurs standard auxquels des
fonctions spcialises ont t ajoutes pour les transformer en accessoires de scurit.
Ils incorporent en pratique des contacts normalement ferms couplage mcanique destins
renvoyer une information sur leur tat vers le dispositif logique. Ce sont ces contacts cou-
plage mcanique qui permettent dassurer la fonction de scurit. Conformment aux normes
applicables ce type de configuration, des contacts normalement ferms et des contacts nor-
malement ouverts ne peuvent pas se trouver en position ferme simultanment. On se repor-
tera la norme CEI 60947-5-1 pour le dtail des critres relatifs ces contacts couplage m-
canique. Si les contacts normalement ouverts viennent se souder, les contacts normalement
ferms doivent rester ouverts dau moins 0,5 mm. Rciproquement, si les contacts normale-
ment ferms viennent se souder, les contacts normalement ouverts doivent rester ouverts.
Les systmes de scurit ne doivent pouvoir tre dmarrs qu des emplacements spci-
fiques. Sur les relais de commande et les contacteurs standard, il est possible de fermer
manuellement les contacts normalement ouverts en appuyant sur linduit. Sur les dispositifs
de scurit, cet induit est protg contre tout forage manuel afin de limiter le risque de
redmarrage imprvu.
Sur les relais de commande de scurit, le contact normalement ferm est actionn par la
tige de couplage principale. Les contacteurs de scurit utilisent une embase supplmentaire
pour le montage des contacts couplage mcanique. Si le bloc contact principal vient se
dsolidariser de son embase, les contacts couplage mcanique restent ferms. Les contacts
couplage mcanique sont accoupls de faon permanente au relais de commande ou au
contacteur de scurit. Sur les plus gros contacteurs, lembase supplmentaire ne permet pas
toujours une retransmission prcise de la position de la tige de couplage qui est plus longue.
Des contacts miroir (Voir Figure 4.81), situs de chaque ct du contacteur, sont alors utiliss.
Les relais de commande et les contacteurs sont prvus pour commuter des charges leves
allant de 0,5 A plus de 100 A. Le systme de scurit utilise lui des courants faibles. Le
signal de retour gnr par lorgane logique du systme de scurit pourra aller de quelques
57
SAFEBOOK 4
Systmes de commande de scurit pour machines
Une protection des moteurs contre les surcharges est impose par les normes lectriques.
Les diagnostics fournis par ce dispositif de protection contre les surcharges contribuent
amliorer non seulement la scurit de lquipement, mais aussi celle de loprateur. Les
technologies disponibles de nos jours permettent la dtection de conditions de dfaut comme
les surcharges, la perte de phase, les dfauts de terre, le blocage rotor, les interfrences, la
sous-charge, les dsquilibres de phase et les surchauffes. La dtection et linformation sur
ces conditions anormales pralablement au dclenchement permet damliorer la disponibilit
de loutil de production et de protger les oprateurs ainsi que le personnel de maintenance
en cas de situations dangereuses imprvues.
Variateurs et servovariateurs
Les variateurs c.a. sont considrs comme tant de scurit lorsquils possdent des voies
redondantes pour couper lalimentation du circuit de commande de la grille de protection. Une
voie correspond au signal de validation. Il sagit dun signal isolant matriellement les entres
vers le circuit de commande de la grille. Lautre voie correspond un relais guidage positif
destin couper lalimentation du circuit de commande de la grille de protection. Le relais
guidage positif renvoie galement un signal dtat au systme logique. Cette approche
redondante permet dutiliser un variateur de scurit dans un circuit darrt durgence sans
quil soit besoin dun contacteur ddi.
Les servovariateurs parviennent ce rsultat dune faon similaire aux variateurs c.a. Ils utili-
sent galement des signaux de scurit redondants pour leur fonction de scurit. Un premier
signal interrompt le circuit de commande entre le variateur et la grille. Un deuxime signal
coupe lalimentation du circuit de commande de la grille. Deux relais guidage positif sont
utiliss pour couper les alimentations et fournir un retour au dispositif logique de scurit.
Systmes de raccordement
Les systmes de raccordement fournissent une valeur ajoute par le biais de la rduction
des cots dinstallation et de maintenance quils impliquent pour les systmes de scurit.
La conception devra donc considrer avec attention le mode de raccordement des dispositifs :
voie unique, double voie, double voie avec indication et types de dispositifs multiples.
Lorsquil sera ncessaire de monter en srie des interrupteurs deux voies, un botier de
distribution pourra simplifier linstallation. Grce leur classe de protection IP67, ces botiers
peuvent tre monts distance sur la machine. Lorsquun ensemble de dispositifs de types
58
SAFEBOOK 4
Calculs de distance de scurit
divers doit tre utilis, un botier dE/S ArmorBlock Guard I/O est recommander. Ses entres
peuvent en effet tre configures logiciellement de faon accepter diffrents types de
dispositifs.
Formules
ISO EN : S= Kx T +C
Angle dapproche
Constante de vitesse
K symbolise la constante de vitesse dans les deux formules. La valeur de cette constante de
vitesse dpend de la clrit de mouvement de loprateur (la vitesse de dplacement de ses
59
SAFEBOOK 4
Systmes de commande de scurit pour machines
mains, la vitesse et la longueur de ses pas). En se fondant sur des rsultats de recherches,
on peut raisonnablement retenir une valeur de 1 600 mm/s pour la vitesse de dplacement
des mains dun oprateur lorsque son corps est stationnaire. Les conditions de lapplication
relle sont toutefois prendre en compte. En rgle gnrale, la vitesse dapproche varie entre
1 600 mm/s et 2 500 mm/s. La constante de vitesse approprie doit tre dtermine par
lvaluation des risques.
Temps darrt
Facteurs de pntration
Le facteur de pntration est reprsent par les symboles C et Dpf. Il sagit de la distance
davancement maximale en direction de la source de danger avant dtection par le dispositif
de protection. Le facteur de pntration variera selon le type du dispositif et de lapplication.
On se reportera la norme approprie pour dterminer le meilleur facteur de pntration
retenir. Dans le cas dune approche normale par rapport une barrire immatrielle ou un
scrutateur de zone dont la sensibilit de dtection sera infrieure 64 mm, les normes ANSI
et canadiennes utilisent :
Dans le cas dune approche normale par rapport une barrire immatrielle ou un scrutateur
de zone, dont la sensibilit de dtection sera infrieure 40 mm, les normes ISO et EN
utilisent :
Ces deux formules ont un point dintersection correspondant une taille dobjet de 19,3 mm.
Pour la dtection dobjets infrieurs 19 mm, lapproche US CAN est plus restrictive. En effet,
elle impose de placer la barrire immatrielle ou le scrutateur de zone plus loin de la source de
danger. Pour la dtection dobjets suprieurs 19,3 mm, cest la norme ISO EN qui est la plus
restrictive. Les constructeurs de machines fabriquant pour le march mondial devront retenir le
rsultat le plus dfavorable de lapplication de ces deux quations.
60
SAFEBOOK 4
Calculs de distance de scurit
Pour la dtection des plus grands objets, les normes US CAN et ISO EN diffrent lgrement
en ce qui concerne le facteur de pntration et la sensibilit de dtection. La valeur ISO EN
est de 850 mm alors que la valeur US CAN est de 900 mm. Les deux normes diffrent gale-
ment au niveau de la sensibilit de dtection des objets. Alors que la norme ISO EN ne permet
que 40 70 mm, la norme US CAN autorise jusqu 600 mm.
Les deux normes saccordent sur une hauteur de position minimum du faisceau de dtection
plac le plus bas de 300 mm. Elles diffrent cependant en ce qui concerne la hauteur de
position minimum du faisceau de dtection plac le plus haut. La norme ISO EN stipule
900 mm, alors que la norme US CAN impose 1 200 mm. Ces valeurs de position du faisceau
suprieur apparaissent nanmoins discutables. Si lon considre quil sagit dune application
avec accs travers le champ de dtection, la hauteur du faisceau de dtection le plus haut
devra tre en effet bien suprieure pour tenir compte du cas dun oprateur se trouvant
debout. Cependant, sil sagit dune application dans laquelle loprateur peut passer par
dessus le plan de dtection, les critres dfinis pour ce type daccs peuvent tre retenus.
Les faisceaux unique ou multiples sont dfinis plus particulirement par les normes ISO EN.
Le tableau ci-dessous indique les hauteurs pratiques de faisceaux multiples par rapport au
sol. Le facteur de pntration est de 850 mm dans la plupart des cas et 1 200 mm dans le cas
de lutilisation dun faisceau unique. Quant elle, lapproche US CAN intgre cela au niveau
de ses critres daccs travers le champ de dtection. Les tentatives daccs par dessus, par
dessous ou sur le ct dun dispositif faisceaux simples ou multiples devront toujours tre
prises en compte par ailleurs.
S = 2 000 x T + 8 x (d -1 4)
61
SAFEBOOK 4
Systmes de commande de scurit pour machines
La deuxime tape est ncessaire lorsque la distance est suprieure 500 mm. Dans ce cas,
la valeur de K peut tre rduite 1 600. Avec K = 1 600, la valeur minimale de S sera 500 mm.
La norme US CAN utilise quant elle une dmarche en une seule tape : Ds = 1 600 x T * Dpf
Ceci conduit des diffrences suprieures 5 % entre les deux normes lorsque le temps de
rponse est infrieur 560 ms.
Approche angulaire
Dans la plupart des installations, les barrires immatrielles et les scrutateurs sont monts
verticalement (approche normale) ou horizontalement (approche parallle). Ces montages ne
sont pas considrs comme angulaires tant quils sont dans une tolrance de 5 par rapport
leur axe normal. Lorsque cet angle devient suprieur 5, des risques potentiels supplmen-
taires lis aux approches prvisibles (par exemple, le raccourcissement de la distance de d-
tection) doivent tre pris en considration. En gnral, les angles suprieurs 30 par rapport
au plan de rfrence (le sol par exemple) doivent tre associs une approche normale et
ceux infrieurs cette valeur une approche parallle.
Tapis de scurit
Avec les tapis de scurit, la distance de scurit doit prendre en considration la vitesse de
dplacement et la foule des oprateurs. Considrant que loprateur se dplace en marchant
et que le tapis de scurit est fix au sol, le premier pas de loprateur sur le tapis correspon-
dra un facteur de pntration de 1 200 mm. Si loprateur doit monter sur une plate-forme,
ce facteur de pntration pourra tre rduit dune valeur de 40 % de la hauteur de la marche.
Exemple
Par consquent, la distance de scurit minimale laquelle la barrire immatrielle devra tre
place par rapport la source de danger sera de 508 mm, dans loptique dune utilisation de la
machine nimporte o dans le monde.
62
SAFEBOOK 4
Prvention des remises sous tension accidentelles
Condamnation/signalisation
Les machines neuves doivent inclure par construction des dispositifs de coupure verrouillables
de leurs alimentations. Cette disposition sapplique tous les types dnergie. Ceci inclut
notamment lnergie lectrique, hydraulique, pneumatique, gravitationnelle et laser. La
condamnation implique le verrouillage des dispositifs de coupure dnergie. Ce verrouillage
ne devra pouvoir tre annul que par la personne layant mis en place ou par un suprieur
hirarchique, dans des conditions contrles. Si plusieurs personnes sont appeles travailler
conjointement sur une mme machine, chacune de ces personne doit placer son propre
verrou sur le dispositif de coupure dnergie. Le propritaire de chaque moyen de verrouillage
doit pouvoir tre identifi.
63
SAFEBOOK 4
Systmes de commande de scurit pour machines
Les systmes de coupure de scurit excutent un arrt en rgle de la machine. Ils fournis-
sent galement des moyens de condamnation simples de son alimentation. Cette approche
est particulirement adapte des machines de taille importante et des ensembles de
production, notamment lorsque les sources dnergie sont multiples et situes un niveau
diffrent ou dans un lieu loign.
Interrupteurs de charge
Les systmes cls captives sont une autre mthode permettant de raliser une condamna-
tion. Le premier niveau dun systme cls captives consiste, dans la plupart des cas, en
un dispositif de coupure de lnergie. Lorsque cet interrupteur est coup au moyen dune cl
primaire , lalimentation lectrique de la machine se trouve coupe simultanment sur tous
les conducteurs dalimentation non relis la terre. La cl primaire peut alors tre retire et
emmene sur le lieu o laccs la machine est ncessaire. Divers composants peuvent tre
ajouts pour rpondre des besoins de condamnation plus complexes.
Certains rglages mineurs et tches dentretien courant, effectus dans le cadre des
oprations normales de production, ne ncessitent pas ncessairement une condamnation
de la machine. On citera par exemple, les chargements et dchargements de matires et de
produits, les changements et les rglages mineurs doutils, le graissage et llimination des
dchets. Ces tches doivent avoir un caractre routinier, rptitif et faire partie intgrante
du processus dexploitation de lquipement dans le cadre de la production. Le travail doit
nanmoins tre effectu en utilisant des moyens de protections alternatifs, comme des
dispositifs de protection physique, dont lefficacit soit garantie. Ces dispositifs de protection
physique incluent notamment les grilles verrouillage de scurit, les barrires immatrielles
et les tapis de scurit. Lorsque ces derniers sont utiliss en liaison avec un systme logique
de scurit et des dispositifs de sorties appropris, les oprateurs pourront accder en toute
scurit aux zones dangereuses de la machine dans le cadre des tches dexploitation
normales et des oprations dentretien mineures.
64
SAFEBOOK 4
Systmes de commande de scurit et scurit fonctionnelle
Quest-ce quun systme de commande de scurit (souvent dsign par lacronyme anglais
SRCS) ? Il sagit de la partie du systme de commande dune machine ayant pour objet de
prvenir lapparition de conditions dangereuses. Il peut sagir dun systme spcifique externe
ou il peut tre intgr au systme normal de commande de la machine.
Son degr de complexit peut aller dun systme simple (par exemple un interrupteur de
verrouillage sur grille de protection et un interrupteur darrt durgence monts en srie avec
la bobine de commande dun contacteur de puissance) un systme composite intgrant la
fois des dispositifs simples et des dispositifs complexes communicant entre eux logiciellement
ou matriellement.
Les systmes de commande de scurit sont conus pour excuter des fonctions de scurit.
Le systme doit continuer fonctionner correctement dans toutes les situations prvisibles.
Quest-ce quune fonction de scurit, comment concevoir un systme de scurit et comment
lidentifier ensuite ?
Fonction de scurit
Une fonction de scurit est assure par les composants de scurit du systme de com-
mande de la machine. Elle a pour but de placer ou de maintenir lquipement protg ltat
de scurit par rapport un danger particulier. Un dfaillance de la fonction de scurit peut
entraner laugmentation immdiate du risque dutilisation de lquipement, cest--dire dune
situation dangereuse.
Une machine doit prsenter au moins un danger potentiel, autrement ce nest pas une
machine. On parle de situation dangereuse lorsquune personne est expose un danger.
Une situation dangereuse nimplique pas ncessairement que la personne soit blesse. Cette
personne peut en effet tre capable de reconnatre le danger et dviter les blessures. La per-
sonne expose peut cependant ne pas tre consciente du danger. Le danger peut aussi pro-
venir dun redmarrage accidentel. La tche principale du concepteur du systme de scurit
est donc de prvenir les situations dangereuses et dempcher les redmarrages accidentels.
La fonction de scurit peut souvent tre dtermine par des contraintes multi-critres. Par
exemple, la fonction de scurit lie une grille de protection verrouillage de scurit est
caractrise par trois critres :
1. la source du danger contenu par la grille de protection ne peut tre active tant que la
barrire nest pas ferme ;
3. la fermeture de la grille ne doit pas ractiver la source du danger contenu par elle.
65
SAFEBOOK 4
Systmes de commande de scurit pour machines
Lors de la dfinition dune fonction de scurit destine une application spcifique, le mot
danger devra tre remplac par la description de la source de danger spcifique. Cette
source de danger ne doit pas tre confondue avec ses consquences. Lcrasement, le
sectionnement de membres et les brlures sont les consquences dun danger. Une source
de danger sera par exemple constitue par un moteur, un vrin, un couteau, une torche, une
pompe, un faisceau laser, un robot, un organe effecteur, une bobine solnode, une vanne ou
tout autre type dactionneur ou de danger mcanique li la gravit.
La fonction de scurit est excute par les divers composants de scurit du systme de
commande de la machine. Elle nest pas excute par un dispositif unique, par exemple
uniquement la grille de protection. Le dispositif dinterverrouillage de cette grille a pour
objet envoyer un signal de commande un dispositif logique qui, son tour, va dsactiver
lactionneur. La fonction de scurit commence donc par lmission dune commande et
se termine par son excution.
Le systme de scurit doit tre conu avec un niveau dintgrit adapt aux risques prsen-
ts par la machine. Plus ces risques sont importants, plus les niveaux dintgrit devront tre
levs pour garantir lefficacit de la fonction de scurit. Les systmes de scurit des
machines peuvent tre classifis selon le niveau de performance correspondant leur capa-
cit excuter leurs fonctions de scurit ; ou, en dautres termes, suivant leur niveau dint-
grit de scurit fonctionnelle.
La scurit fonctionnelle est une composante du systme de scurit global. Elle est dtermi-
ne par la capacit de raction conforme des processus ou des quipements aux signaux
dentre. La norme CEI TR 61508-0 fournit les exemples suivants pour mieux comprendre la
signification de la scurit fonctionnelle. Lutilisation dun protecteur thermique log dans
les bobinages dun moteur lectrique pour couper lalimentation de ce dernier en cas de sur-
66
SAFEBOOK 4
Systmes de commande de scurit et scurit fonctionnelle
chauffe est un exemple de scurit fonctionnelle. Mais utiliser pour les fils de ces bobinages
un niveau disolation leur permettant de supporter des tempratures leves nest pas un
exemple de scurit fonctionnelle (bien que ce soit quand mme un exemple de mesure de
scurit destin protger le moteur contre le mme danger). titre dexemple complmen-
taire, comparons une barrire de protection simple une grille de protection verrouillage de
scurit. On ne peut pas considrer que la barrire de protection simple assure une scurit
fonctionnelle . Pourtant elle prvient les accs la source de danger de la mme faon que
la grille de protection verrouillage de scurit. La grille de protection verrouillage de scu-
rit est par contre typiquement un dispositif de scurit fonctionnelle. En effet, lorsque cette
grille est ouverte, son mcanisme dinterverrouillage envoie un signal dentre au systme
charg de maintenir la scurit de linstallation. De mme, un quipement de protection indivi-
duelle (EPI) sera utilis comme mesure de protection pour amliorer la scurit du personnel.
Mais cet EPI ne sera cependant pas considr comme un dispositif de scurit fonctionnelle.
Deux types de paramtres sont considrer pour la mise en uvre dun systme de scurit
fonctionnelle :
la fonction de scurit ;
lintgrit de scurit.
Lvaluation des risques joue un rle cl pour la dfinition de ces paramtres ou exigences
de scurit fonctionnelle. Lanalyse des tches et des dangers conduit llaboration des
exigences fonctionnelles de scurit (cest dire, la fonction de scurit). La quantification
des risques permet de mettre en vidence les exigences dintgrit de la scurit (cest dire,
le niveau dintgrit de scurit ou le niveau de performance).
Les quatre principales normes de scurit fonctionnelle des machines en vigueur sont les
suivantes :
67
SAFEBOOK 4
Systmes de commande de scurit pour machines
Cette norme est destine fournir une transition directe avec les Catgories dfinies
par lancienne norme EN 954-1.
Les normes de scurit fonctionnelle reprsentent un pas en avant significatif. Elles permet-
tent daller au-del des exigences relatives la fiabilit de la commande et au systme des
Catgories de la prcdente version de la norme ISO 13849-1:1999 (EN 954-1:1996).
Ces catgories ne disparaissent pas totalement pour autant. Elles sont toujours prsentes
dans la nouvelle version de la norme EN ISO 13849-1. Celle-ci utilise cependant le concept
de scurit fonctionnelle et introduit une nouvelle terminologie et de nouvelles exigences. Elle
prsente des ajouts et des diffrences significatifs par rapport lancienne version EN 954-1
(ISO 13849-1:1999). Dans ce chapitre, EN ISO 13849-1 fait rfrence la version actuelle
de la norme (lEN ISO 13849-1:2008, qui reprend le texte de la norme ISO 13849-1:2006).
Les normes CEI/EN 62061 et ISO/EN 13849-1 concernent toutes deux les systmes de
commande lectrique relatifs la scurit. Il est prvu quelles soient terme regroupes en
une seule norme utilisant une terminologie commune. Toutes deux permettent de parvenir
au mme rsultat, mais elles font appel des mthodes diffrentes. Leur finalit est de
fournir aux utilisateurs une possibilit de choix en fonction de leur situation particulire. Ces
utilisateurs peuvent donc dcider dutiliser lune ou lautre. Elles sont, de plus, harmoniss
sous la Directive Machines europenne.
Ces deux normes conduisent dfinir des niveaux de scurit comparables, quils soient
rfrencs SIL ou PL . Leurs diffrences mthodologiques leur permettent de sadapter
aux spcificits des utilisateurs auxquels elles sont destines.
68
SAFEBOOK 4
Systmes de commande de scurit et scurit fonctionnelle
La mthodologie utilise par la norme CEI/EN 62061 autorise la mise en uvre de fonction-
nalits de scurit complexes. Elles peuvent tre dployes dans le cadre darchitectures sys-
tme qui ntaient pas envisages jusqualors. Lobjectif de la norme ISO 13849-1 est doffrir
une solution plus directe et moins complexe pour des fonctionnalits de scurit plus conven-
tionnelles, dployes dans le cadre darchitectures systmes classiques.
Llment qui diffrencie le plus ces deux normes est leur champ dapplication respectif.
La norme CEI/EN 62061 est limite aux seuls systmes lectriques. Tandis que la norme
ISO/EN 13849-1 sapplique aussi bien aux systmes pneumatiques, hydrauliques et
mcaniques, quaux systmes lectriques.
Rapport technique conjoint sur les normes CEI/EN 62061 et EN ISO 13849-1
Un rapport conjoint a t prpar par la CEI et lISO afin de permettre aux utilisateurs des
deux normes de sy retrouver.
Il prcise la relation entre les deux normes et explique comment tablir la correspondance
entre les niveaux de performance PL (Performance level) de la norme EN ISO 13849-1 et les
niveaux dintgrit de scurit SIL (Safety Integrity Level) de la norme CEI.EN 62061, que cela
soit au niveau des systmes ou des sous-systmes.
Afin de dmontrer que les deux normes aboutissent aux mmes rsultats, le rapport donne un
exemple de systme de scurit calcul selon la mthodologie de chacune dentre elles. Ce
rapport clarifie galement plusieurs points qui avaient conduit des interprtations diffrentes.
Lun de ces points les plus critiques est certainement la question de lexclusion de dfauts.
En gnral, lorsquun niveau de performance PLe est requis pour la mise en uvre dune
fonction de scurit par un systme de commande de scurit, il nest pas normal de jouer
uniquement sur les exclusions de dfauts pour obtenir ce niveau de performance. Cela
dpendra de la technologie utilise et de lenvironnement de travail prvu. Il est donc essentiel
que les concepteurs attachent une importance accrue la dfinition des exclusions de dfauts
lorsque les exigences de niveau de performance PL augmentent.
En rgle gnrale, lexclusion de dfauts ne pourra pas se faire sur le ct mcanique des
dtecteurs de position lectromcaniques et des interrupteurs manuels (ex. : dispositifs darrt
durgence) si lon veut garantir un niveau de performance PLe dans la conception du systme
de commande de scurit. Les exclusions de dfaut susceptibles dtre attaches des
conditions de dfaut mcanique particulires (par exemple, lusure, la corrosion, les ruptures)
sont dfinies dans le tableau A.4 de la norme ISO 13849-2.
69
SAFEBOOK 4
Systmes de commande de scurit pour machines
La norme CEI/EN 62061 dfinit de faon combine lampleur du risque rduire et la capacit
du systme de commande rduire ce risque, en termes de niveaux dintgrit de scurit SIL
(Safety Integrity Level). Il existe 3 niveaux SIL applicables au secteur des machines. Le niveau
le plus faible est SIL 1, le plus lev est SIL 3.
Tant donn que la classification SIL est galement utilise dans dautres secteurs industriels
comme la ptrochimie, la production dnergie et le transport ferroviaire, la norme CEI/EN 62061
trouve toute son utilit lorsque des machines sont utilises dans ces secteurs. Des risques plus
importants encore peuvent exister dans dautres secteurs comme les industries de process.
Cest pour cette raison que la norme CEI 61508, ainsi que la norme CEI 61511 spcifique au
secteur des procds, incluent un niveau SIL 4.
Un niveau SIL est applicable une fonction de scurit. Les sous-systmes composant le
systme charg dassurer cette fonction de scurit doivent avoir des caractristiques SIL
compatibles. On parlera parfois dans ce cas du niveau SIL maximum des sous-systmes ou
SIL CL (SIL Claim Limit). Une tude complte et approfondie de la norme CEI/EN 62061 est
ncessaire avant de pouvoir lappliquer correctement.
PL et EN ISO 13849-1:2008
La norme EN ISO 13849-1:2008 nutilise pas lacronyme SIL, mais celui de PL (pour Perfor-
mance Level, niveau de performance). Les classifications PL et SIL sont comparables de
nombreux gards. Il existe cinq niveaux PL. PLa est le plus faible et PLe est le plus lev.
PL PFHd SIL
(niveau de (probabilit de dfaillance (niveau dintgrit
performance) dangereuse par heure) de la scurit)
b 3 x 106 <105 1
c 10 <3 x 10
6 6
1
d 107 <106 2
e 108 <107 3
Correspondance approximative entre les niveaux PL et SIL
70
SAFEBOOK 4
Conception de systme selon la norme
EN ISO 13849-1:2008
IMPORTANT : le tableau prcdent est fourni titre informatif uniquement. Il NE DOIT PAS
tre utilis comme base pour effectuer des conversions. La totalit des exigences de chacune
de ces normes doit tre prises en considration.
Cette norme dfinit des rgles pour la conception et lintgration de composants de scurit
dans un systme de commande, notamment au niveau de certains aspects logiciels. La norme
concerne le systme de scurit dans son ensemble, mais elle peut galement tre applique
aux composants de ce systme.
SISTEMA est lacronyme de Safety Integrity Software Tool for the Evaluation of Machine Appli-
cations (logiciel de calcul dintgrit de scurit pour lvaluation des applications machines).
Il a t dvelopp par le BGIA allemand et est libre de droits. Il ncessite la saisie de divers
types de donnes relatives la scurit fonctionnelle, dcrites plus loin dans ce chapitre.
Ces donnes peuvent tre entres manuellement ou automatiquement par le biais dune
bibliothque de donnes SISTEMA propre un fabricant (SISTEMA Data Library).
Cette norme a un champ dapplication trs vaste car elle sapplique toutes les technologies,
notamment : lectrique, hydraulique, pneumatique et mcanique. Bien que la norme
ISO 13849-1 puisse tre utilise pour des systmes complexes, elle renvoie galement le
lecteur aux normes CEI 62061 et CEI 61508 pour les systmes logiciels intgrs complexes.
Voyons quelles sont les diffrences fondamentales entre lancienne norme EN 954-1 et la
nouvelle norme EN ISO 13849-1. Lancienne norme dfinissait des Catgories [B, 1, 2, 3 ou 4].
La nouvelle norme dfinit des niveaux de performance PL [a, b, c, d ou e]. Le concept de
Catgories est conserv mais des exigences supplmentaires sont satisfaire avant de
pouvoir revendiquer un niveau PL pour un systme.
71
SAFEBOOK 4
Systmes de commande de scurit pour machines
Lensemble des paramtres peut tre list de faon simplifie comme suit :
Nous reviendrons plus en dtail sur ces facteurs ultrieurement. Mais avant cela, il est important
de bien comprendre les intentions et les principes de base de la norme dans son ensemble. Il
est clair ce stade quil y a beaucoup de nouveaux concepts assimiler. Mais les dtails pren-
dront plus de sens une fois bien compris les objectifs et la raison dtre de cette nouvelle norme.
Premirement, pourquoi une nouvelle norme tait-elle ncessaire ? Il est vident que les
technologies applicables aux systmes de scurit des machines ont progress et se sont
modifies considrablement au cours des dix dernires annes. Jusqu un temps
relativement rcent, les systmes de scurit taient bass sur lutilisation dquipements
simples prsentant des modes de dfaillance trs faciles prvoir. Les dernires annes
ont vu lapparition croissante de dispositifs lectroniques et programmables de plus en plus
complexes dans les systmes de scurit. Ceci a eu un effet favorable sur les cots, la
flexibilit et la compatibilit. Mais cela sest traduit galement par le fait que les normes en
vigueur ntaient plus adaptes. Pour savoir si un systme de scurit est suffisant, il faut en
savoir plus sur ce systme. Cest pourquoi la nouvelle norme demande plus dinformations.
Alors que les systmes de scurit font de plus en plus appel une approche de type bote
noire , leur conformit aux normes devient cruciale. Ces normes doivent donc tre capables
dinterroger pertinemment la technologie. Pour accomplir cela, elles doivent pouvoir intgrer
tous les facteurs fondamentaux concernant la fiabilit, la dtection des dfauts et lintgrit
architecturale et systmique. Cest lobjectif de la norme EN ISO 13849-1.
Pour parcourir de faon logique lensemble de cette norme, les motivations de deux types
dutilisateurs fondamentalement diffrents doivent tre pris en compte : les concepteurs de
sous-systmes de scurit et les concepteurs de systmes de scurit proprement-dits. Dans
les faits, un concepteur du sous-systme (typiquement, un fabricant de composants de scu-
rit) sera soumis un niveau de complexit suprieur. Il devra en effet fournir toutes les infor-
mations ncessaires pour garantir au concepteur de systme que son sous-systme prsente
une intgrit adapte au systme que celui-ci envisage. Cela ncessitera concrtement un
certain nombre dessais, danalyses et de calculs. Les rsultats devront tre prsents sous la
forme requise par la norme.
72
SAFEBOOK 4
Conception de systme selon la norme
EN ISO 13849-1:2008
Le niveau de performance ncessaire PLr sera utilis pour dterminer le niveau de perfor-
mance requis pour la fonction de scurit. Pour dterminer ce niveau PLr, la norme propose
un graphe des risques permettant dintgrer les facteurs de gravit des blessures, de fr-
quence dexposition et de possibilit dvitement propres lapplication.
P1 Catgories
a
F1
S1 P2 B 1 2 3 4
P1 b S1
F2
Dmar- P2 P1
rage P1 c F1
F1
P2
S2 P2
P1 d S2 P1
F2
P2
e F2
P2
Graphe des risques selon lAnnexe A de la norme Graphe des risques selon
EN ISO 13849-1 lAnnexe B de la norme EN 945-1
Le rsultat obtenu sera le niveau PLr. Les utilisateurs de lancienne norme EN 954-1 reconna-
tront cette approche. Mais ils noteront que la ligne S1 est dsormais subdivise, contrairement
au graphique utilis par cette norme. Ceci pourra ventuellement impliquer la ncessit de
reconsidrer lintgrit des mesures de scurit qui taient prises jusqualors pour les niveaux
de risque les moins levs.
Il reste cependant un aspect trs important de la nouvelle norme aborder. Nous savons
dsormais grce cette norme quel niveau de performance devrait avoir le systme et
galement comment dterminer son niveau prsent. Mais nous ne savons pas ce quil doit
faire. Nous devons donc dfinir ce que doit tre la fonction de scurit. Il apparat vident
que la fonction de scurit doit tre adapte la tche. Comment donc sassurer quelle
lest ? Comment la norme nous aide-t-elle le vrifier ?
Il est important de bien comprendre que la fonction raliser ne peut tre dtermine que par
les caractristiques spcifiques lapplication relle. Ceci peut tre considr comme la phase
de dfinition du concept de scurit. Elle ne pourra pas tre totalement couverte par la norme
car celle-ci ne peut pas connatre toutes les caractristiques des applications particulires. Ceci
sapplique souvent galement au constructeur de machines. Il fabrique en effet les machines,
mais il ne connat pas forcment les conditions exactes dans lesquelles elles seront utilises.
La norme apporte cependant une aide en proposant une liste regroupant un grand nombre de
fonctions de scurit couramment utilises (par exemple, la fonction darrt de scurit initie
73
SAFEBOOK 4
Systmes de commande de scurit pour machines
Nous avons donc mis en vidence que ltape de dfinition du concept de scurit tait
influence par le type de la machine, mais aussi par les caractristiques de lapplication et
de lenvironnement dans lequel elle est dploye. Le constructeur de machine devra anticiper
au maximum ces facteurs pour dfinir son concept de scurit. Les conditions dutilisation
normales (cest dire, prvues) devront en consquence tre indiques dans le manuel
utilisateur. Lutilisateur de la machine devra pour sa part sassurer quelles sont compatibles
avec ses conditions dutilisation relles.
Ce qui suit nest quune description simplifie destine uniquement fournir un aperu de la
dmarche. Il est important davoir bien lesprit quabsolument toutes les dispositions incluses
dans le texte de la norme doivent tre intgres. Il existe cependant une aide pour cela. Le
logiciel SISTEMA est l pour apporter une assistance au niveau documentaire et celui des
calculs. Il est capable galement de produire un dossier technique.
74
SAFEBOOK 4
Conception de systme selon la norme
EN ISO 13849-1:2008
www.discoverrockwellautomation.com/safety
Quelle que soit la faon dont le calcul du niveau PL est effectu, il est important de partir
de bonnes bases. Nous devons aborder notre systme de la mme faon que la norme.
Commenons donc par cela.
Structure du systme
Tout systme peut tre dcompos selon ses composants de base ou sous-systmes .
Chaque sous-systme possde sa propre fonction discrte. La plupart des systmes peuvent
tre dcomposs en trois fonctions de base : entre, traitement logique et actionnement
(certains systmes simples nutilisent pas de traitement logique). Les groupes de composants
qui assurent ces fonctions constituent les sous-systmes.
Tout systme peut tre dcompos selon ses composants de base ou sous-systmes .
Chaque sous-systme possde sa propre fonction discrte. La plupart des systmes peuvent
tre dcomposs en trois fonctions de base : entre, traitement logique et actionnement
(certains systmes simples nutilisent pas de traitement logique). Les groupes de composants
qui assurent ces fonctions constituent les sous-systmes.
Sous-systme Sous-systme
dentre de sortie
Un exemple de systme lectrique simple mono-voie est prsent ci-dessus. Il nest constitu
que dun sous-systme dentre et dun sous-systme de sortie.
75
SAFEBOOK 4
Systmes de commande de scurit pour machines
Sortie
vers
dautres
systmes
Interrupteur de fin de course SmartGuard 600 Contacteur de scurit
Le systme ci-dessus est un peu plus complexe car il fait appel un traitement logique.
Lautomate de scurit pourra lui-mme avoir une tolrance interne aux dfauts (par exemple,
grce lutilisation dune deuxime voie). Mais le systme global sera toujours limit une
seule voie cause de lunique interrupteur de fin de course et de lunique contacteur de
scurit.
Si lon reprend les architectures de base prsentes dans les schma prcdent, on constate
quil y a galement dautres points prendre en compte. Dabord, combien de voies le
systme possde-t-il ? Un systme mono-voie sera en dfaut si lun de ses sous-systmes
est en dfaut. Un systme deux voies (galement appel redondant) devra prsenter deux
dfauts, un sur chaque voie, avant que le systme ne soit en dfaut. tant donn quil utilise
deux voies, il peut tolrer un dfaut sur lune dentre elles et continuer fonctionner. Le
schma ci-dessus prsente un tel systme deux voies.
76
SAFEBOOK 4
Conception de systme selon la norme
EN ISO 13849-1:2008
Il est vident quun systme deux voies aura moins de chance de tomber en panne et de
provoquer une situation dangereuse quun systme mono-voie. Mais il est possible de le
rendre encore plus fiable (pour ce qui est de sa fonction de scurit) si nous lui incluons des
fonctionnalits de diagnostic afin de dtecter les dfauts potentiels. Naturellement, une fois
un dfaut dtect, il sera ncessaire galement dy ragir et de placer le systme ltat de
scurit. Le schma suivant montre lajout de fonctionnalits de diagnostic au systme par
lintermdiaire de techniques de surveillance interne.
Surveillance
Surveillance
Surveillance
Un systme comprend gnralement (mais pas ncessairement toujours) deux voies sur tous
ses sous-systmes. Nous constatons sur lexemple que chaque sous-systme possde deux
sous-voies . La norme parle de blocs pour dsigner cette configuration. Un sous-systme
deux voies possde au minimum deux blocs et un sous-systme une voie au minimum un
bloc. Il peut se produire que certains systmes utilisent une combinaison de blocs une et deux
voies.
Si nous voulons analyser de faon plus approfondie le systme en exemple, nous devons
nous intresser particulirement aux composants de ces blocs. Le logiciel SISTEMA utilise
le terme d lments pour les dsigner.
77
SAFEBOOK 4
Systmes de commande de scurit pour machines
Surveillance
Couplage Contacts
Surveillance
VOIE 2
Couplage Contacts
Bloc Surveillance
Elment Elment
Diagnostics Diagnostics
Dans ce nouveau schma, le sous-systme des interrupteurs de fin de course est prsent
dcompos selon ses lments. Le sous-systme du contacteur de sortie est lui dcompos
selon ses blocs. Quant au sous-systme logique, il nest pas dcompos. Les fonctions de
surveillance relatives aux interrupteurs de fin de course aussi bien quaux contacteurs sont
excutes par lautomate. En consquence, les cadres dlimitant les sous-systmes dinter-
rupteurs de fin de course et de contacteur sont reprsents en lger chevauchement sur le
cadre dlimitant le sous-systme logique.
78
SAFEBOOK 4
Conception de systme selon la norme
EN ISO 13849-1:2008
Le systme que nous avons utilis comme exemple nest autre que lun des cinq types
darchitecture systme de base mentionns par la norme. Toute personne familire avec
le systme des Catgories identifiera cet exemple comme typique de la Catgorie 3 ou 4.
La norme se base en effet sur les catgories originales de la norme EN 954-1 pour la dfinition
de ses cinq types darchitecture systme. Elle les appelle catgories darchitecture dsi-
gne . Les exigences propres ces catgories sont presque (mais pas tout fait) identiques
celles de la norme EN 954-1. Les catgories darchitecture dsigne sont reprsentes dans
les figures suivantes. Il est important de noter quelles peuvent sappliquer un systme com-
plet aussi bien qu un sous-systme. Ces schmas ne doivent pas tre compris uniquement
comme la reprsentation dune structure physique. ils sont plutt considrer comme la repr-
sentation graphique des exigences conceptuelles.
Larchitecture dsigne de catgorie B doit utiliser des principes de scurit de base (voir
lannexe de la norme EN ISO 13849-2). Le systme ou le sous-systme peut tre mis en
dfaut en cas dapparition dune seule dfaillance. Voir la norme EN ISO 13849-1 pour
lensemble des exigences applicables.
79
SAFEBOOK 4
Systmes de commande de scurit pour machines
Surveillance
Test
Test
Sortie
Larchitecture dsigne de catgorie 2 doit utiliser des principes de scurit de base (voir
lannexe de la norme EN ISO 13849-2). Une fonction de diagnostics de surveillance par
lintermdiaire de tests fonctionnels du systme ou du sous-systme, doit galement tre
prvue. Ces tests doivent tre effectus au dmarrage, puis priodiquement selon une
frquence correspondant au moins cent tests pour chaque sollicitation de la fonction de
scurit. Le systme ou le sous-systme peut tout de mme tre mis en dfaut si dune
seule dfaillance se produit entre les tests fonctionnels. Mais cela aura gnralement moins
de chance de se produire que dans le cas de la catgorie 1. Voir la norme EN ISO 13849-1
pour lensemble des exigences applicables.
Larchitecture dsigne de catgorie 3 doit utiliser des principes de scurit de base (voir
lannexe de la norme EN ISO 13849-2). Elle est soumise galement la contrainte que le
systme ou le sous-systme ne soit pas mis en dfaut en cas dapparition dune seule
dfaillance. Cela signifie que le systme devra prsenter une tolrance une dfaillance
unique pour sa fonction de scurit. La faon la plus classique de rpondre cette exigence
est dutiliser une architecture deux voies, comme illustr ci-dessus. De plus, il est galement
demand que, chaque fois que cest possible, cette dfaillance unique soit dtecte. Cette
80
SAFEBOOK 4
Conception de systme selon la norme
EN ISO 13849-1:2008
exigence est identique celle impose originellement pour la Catgorie 3 par la norme
EN 954-1. Dans ce contexte, linterprtation de lexpression chaque fois que cest possible
stait avre parfois problmatique. Elle signifiait en effet que la Catgorie 3 pouvait accepter
aussi bien un systme redondant mais sans dtection de dfauts (souvent appel de faon
image mais juste redondance aveugle ) quun systme redondant dans lequel tous les
dfauts isols soient dtects. Cette question a t rgle par la norme EN ISO 13849-1.
Celle-ci impose en effet dapprcier la qualit de couverture des tests de diagnostic (DC).
Nous pouvons constater que plus la fiabilit [MTTFd] du systme sera leve, plus ce taux
DC sera faible. Cependant, il est clair galement que ce taux DC devra tre au moins de 60 %
pour une architecture dsigne de catgorie 3.
Larchitecture dsigne de catgorie 4 doit utiliser des principes de scurit de base (voir lan-
nexe de la norme EN ISO 13849-2). Elle est soumise un ensemble de contraintes sembla-
bles celles applicables la Catgorie 3. Mais elle impose un niveau de surveillance plus
lev, cest dire un taux de couverture des tests de diagnostic suprieur. Ceci est indiqu par
les pointills en gras qui reprsentent les fonctions de surveillance. Sur le fond, la diffrence
entre les Catgories 3 et 4 est la suivante : pour la Catgorie 3 la plupart des dfauts doivent
tre dtects, alors que pour la Catgorie 4 tous les dfauts individuels doivent ltre systma-
tiquement. Le taux de couverture des tests de diagnostic doit, dans ce cas, tre au moins de
99 %. Mme des dfauts combins ne doit pas pouvoir provoquer de dfaillance dangereuse.
Donnes de fiabilit
La norme EN ISO 13849-1 utilise des donnes de fiabilit quantifies pour le calcul du niveau
PL que devra assurer la partie scurit dun systme de commande. Ceci reprsente une
diffrence significative par rapport la norme EN 954-1. La premire interrogation que cela
soulve est : o pouvons-nous obtenir ces donnes ? Il est toujours possible dutiliser des
donnes provenant de tables de fiabilit prouves. Mais la norme indique clairement que la
source privilgier est le fabricant. Dans cet esprit, Rockwell Automation met disposition les
informations pertinentes concernant ses produits sous forme dune bibliothque de donnes
pour SISTEMA. Ces donnes seront galement publies sous dautres formes en temps utile.
81
SAFEBOOK 4
Systmes de commande de scurit pour machines
Avant de poursuivre, nous devons examiner les types de donnes ncessaires et galement
comprendre comment elles peuvent tre produites.
Le type de donnes idalement requis par la norme (et par SISTEMA) pour dterminer le
niveau de performance PL est la probabilit de dfaillance dangereuse par heure PFH. Il sagit
de la mme variable que celle dsigne par lacronyme PFHd dans la norme CEI/EN 62061.
PL PFHd SIL
(niveau de (probabilit de dfaillance (niveau dintgrit
performance) dangereuse par heure) de scurit)
b 3 x 106 <105 1
d 10 <10
7 6
2
e 108 <107 3
Le tableau ci-dessus montre le rapport entre la valeur PFH et les niveaux PL et SIL. Pour
certains sous-systmes, le PFH peut tre obtenu directement auprs du fabricant. Cela facilite
grandement les choses pour le calcul. Le fabricant devra gnralement avoir effectu des
calculs et/ou des tests relativement complexes sur ses sous-systmes afin dtre en mesure de
fournir cette information. Lorsque cette donne nest pas disponible, la norme EN ISO 13849-1
propose une alternative simplifie. Elle est base sur lutilisation de la dure moyenne de
fonctionnement avant dfaillance dangereuse (MTTFd) dans le cas dun systme mono-voie.
Le niveau PL (et donc le PFH) du systme ou du sous-systme peut ensuite tre calcul en
utilisant la mthodologie et les formules de la norme. Ceci sera mme ralis plus facilement
encore laide de SISTEMA.
Remarque : il est important de retenir que, pour un systme deux voies (avec ou sans
diagnostics), il nest pas permis dutiliser le rapport 1/PFHd pour dterminer le MTTFd dans le
cadre de la norme EN ISO 13849-1. Cette norme ne fait rfrence en effet quau MTTFd dun
systme mono-voie. Cette valeur sera diffrente de celle du MTTFd combin des deux voies
dun sous-systme deux voies. Si le PFHd dun sous-systme deux voies est connu, il
suffit de lentrer directement dans SISTEMA.
Cette valeur reprsente le temps moyen avant lapparition dun dfaut pouvant entraner
la dfaillance de la fonction de scurit. Elle est exprime en annes. Il sagit de la valeur
moyenne des MTTFd des blocs de chaque voie. Elle peut sappliquer un systme aussi
bien qu un sous-systme. La norme fournit la formule suivante pour le calcul de la moyenne
des MTTFd de tous les lments utiliss dans un systme ou un sous-systme mono-voie.
82
SAFEBOOK 4
Conception de systme selon la norme
EN ISO 13849-1:2008
A ce niveau, la valeur ajoute de SISTEMA apparat vidente. Il fait gagner en effet aux
utilisateurs un temps prcieux dans la consultation des tableaux et le calcul de ces formules
puisque ces tches sont ralises par le logiciel. Les rsultats finaux peuvent tre imprims
sous forme dun rapport en plusieurs pages.
Dans la plupart des systmes deux voies, celles-ci sont identiques. En consquence, le
rsultat de la formule peut sappliquer lune ou lautre voie.
Si les voies du systme ou du sous-systme sont diffrentes, la norme fournit une autre
formule pour traiter ce cas.
2 1
MTTFd = MTTFdC1 +MTTFdC2
3 1 1
+
MTTFdC1 MTTFdC2
Elle revient en fait faire la moyenne des deux moyennes. A des fins de simplification, il est
galement permis dutiliser uniquement la valeur de voie la plus dfavorable.
Niveaux MTTFd
Il est noter que la norme EN ISO 13849-1 limite le MTTFd pratique dun sous-systme
mono-voie 100 ans maximum, mme si les valeurs relles dtermines par le calcul peuvent
savrer parfois bien suprieures.
Comme nous le verrons plus loin, la valeur MTTFd ainsi obtenue sera ensuite combine avec
la Catgorie darchitecture dsigne et le taux DC de couverture des tests de diagnostic afin
dobtenir une estimation provisoire du niveau PL. Le terme provisoire est utilis ici parce
que dautres exigences, notamment lintgrit systmatique et les mesures contre les causes
de dfaillance communes, devront encore tre satisfaites lorsque cela est ncessaire.
83
SAFEBOOK 4
Systmes de commande de scurit pour machines
Il est maintenant ncessaire dexaminer un peu plus en dtail comment les fabricants
dterminent leurs donnes de PFHd ou de MTTFd. La comprhension de ce processus est
essentielle pour pouvoir utiliser bon escient ces donnes constructeur. Les composants
peuvent tre regroups en trois types fondamentaux :
Il existe des diffrences fondamentales entre les mcanismes de dfaillance commune de ces
diffrents types de technologies. Sur le fond, on peut les rsumer de la faon suivante :
Technologie mcanique :
84
SAFEBOOK 4
Conception de systme selon la norme
EN ISO 13849-1:2008
Technologie lectronique :
La norme CEI 61508 fournit des formules pouvant tre utilises pour le calcul de la proba-
bilit globale de dfaillance dangereuse PFH ou PFD du dispositif (cest dire, du sous-
systme). Ces formules sont trs complexes et prennent en compte (lorsquapplicable) la
fiabilit du composant, les risques de dfaillance de cause commune (coefficient bta), le
taux de couverture des tests de diagnostic (DC), lintervalle entre les tests fonctionnels et
lintervalle entre les tests de validit. La bonne nouvelle est que ces calculs complexes se-
ront normalement raliss par le fabricant du dispositif ! Les deux normes EN/CEI 62061
et EN ISO 13849-1 acceptent que le PFHd dun sous-systme soient calcul selon les
formules de la norme CEI 61508. Le rsultat de ce calcul pourra tre utilis directement
selon lannexe K de la norme EN ISO 13849-1 ou dans loutil de calcul SISTEMA.
85
SAFEBOOK 4
Systmes de commande de scurit pour machines
Technologie logicielle :
Les dfaillances logicielles sont par nature intrinsquement systmiques. Tout dfaut sera
d la faon dont le logiciel a t conu, crit ou compil. Par consquent les dfaillances
ne pourront tre causes que par le systme dans lequel elles se produisent, et non par
son utilisation. Pour matriser ces dfaillances, il faut donc matriser le systme. Les deux
normes CEI 61508 et EN ISO 13849-1 dfinissent des rgles et des mthodologies pour
cela. Il nest pas ncessaire dentrer dans le dtail ici. On retiendra simplement quelles
utilisent un modle en V classique. Le logiciel intgr est un point non ngligeable pour le
concepteur du dispositif. Lapproche traditionnelle consiste dvelopper le logiciel intgr
conformment aux mthodes formelles dfinies dans la partie 3 de la norme CEI 61508.
En ce qui concerne le programme dapplication, cest dire le logiciel permettant lutilisa-
teur de dialoguer avec le systme, la plupart des dispositifs de scurit programmables
sont fournis avec des blocs fonctions ou des sous-programmes certifis . Cela simplifie
les tches de validation du programme dapplication. Car il ne faut pas oublier quune fois
ce programme dapplication termin, il devra toujours tre valid. La faon dont les blocs
sont relis entre eux et paramtrs doit tre contrle et valide par rapport la tche pr-
vue. Les deux normes EN ISO 13849-1 et CEI/EN 62061 fournissent des recommanda-
tions pour cette procdure.
Caractristiques
Caractri- Logiciel
du logiciel Validation Validation
stiques valid
de scurit
des fonctions
de scurit
Conception Test
du systme dintgration
Conception Test du
du module module
Rsultat
Codage
Vrification
86
SAFEBOOK 4
Conception de systme selon la norme
EN ISO 13849-1:2008
Couverture de diagnostic
Nous avons dj abord ce point lorsque nous avons trait des Catgories darchitecture
dsigne 2, 3 et 4. Ces Catgories requirent en effet certains tests de diagnostic afin de
vrifier que la fonction de scurit est toujours active. Lexpression taux de couverture
des tests de diagnostic (traditionnellement dsign par DC) est utilise pour caractriser
lefficacit de ces tests. Il est important de raliser que le taux DC nest pas bas uniquement
sur le nombre de composants pouvant prsenter une dfaillance dangereuse. Il prend en
compte le taux de dfaillance dangereuse total. Le symbole est utilis pour dsigner ce
taux de dfaillance . DC exprime la relation entre les taux dapparition des deux types
suivants de dfaillance dangereuse :
La dfinition du taux de couverture de diagnostic DC est commune aux normes EN ISO 13849-1
et EN/CEI 62061. Cependant, la faon de le calculer diffre. La seconde norme propose un
calcul bas sur lanalyse du mode de dfaillance, alors que lEN ISO 13849-1 offre une mthode
simplifie utilisant des tables de rfrence. Diverses techniques de diagnostic courantes y sont
listes avec, en regard, le taux DC quelles sont supposes permettre dobtenir. Dans certains
cas, une analyse rationnelle reste cependant ncessaire. Pour certaines de ces techniques en
effet, le taux de couverture des tests de diagnostic DC obtenu sera fonction de la frquence
laquelle le test est effectu. Cette approche a t parfois critique comme tant trop imprcise.
Dans la pratique, lestimation du taux DC sera influence par un grand nombre de variables.
Quelle que soit la technique utilise, le rsultat ne pourra donc en gnral pas prtendre un
autre qualificatif quapproximatif.
87
SAFEBOOK 4
Systmes de commande de scurit pour machines
Il est cependant important de savoir que les tables de rfrence de la norme EN ISO 13849-1
sont le produit de recherches extensives ralises par le BGIA partir des rsultats fournis
par des techniques de diagnostic prouves sur des applications relles. Dans un esprit de
simplification, la norme rpartit les valeurs DC selon quatre niveaux defficacit de base :
<60 % = nul
de 60 % <90 % = faible
de 90 % <99 % = moyen
99 % = lev
Cette approche par niveaux defficacit plutt quen valeurs de pourcentage spcifiques peut
galement tre considre comme plus raliste en termes de prcision. Loutil SISTEMA
utilise les mmes tables de rfrence que la norme. Avec le dveloppement de lutilisation de
composants lectroniques complexes dans les dispositifs de scurit, le facteur DC devient de
plus en plus important. Il est penser que les volutions futures des normes apporteront des
approfondissements sur ce point. En attendant, une analyse technique rationnelle et un peu
de bon sens devraient tre suffisants pour faire le choix optimal du niveau defficacit DC.
Dans la plupart des systmes ou sous-systmes deux voies (cest dire, ne tolrant quun
seul dfaut), le principe du diagnostic est bas sur le postulat quil ne se produira pas de
dfaillances dangereuses sur les deux voies en mme temps. Lexpression en mme
temps peut tre formule de faon plus exacte ainsi : dans lintervalle entre les tests de
diagnostic . Si cet intervalle entre les tests de diagnostic est raisonnablement court (par
exemple, infrieur huit heures), il est raisonnable de considrer que deux dfauts distincts
et non lis auront peu de chance de se produire dans ce laps de temps. Cependant, la norme
prcise clairement quil faut bien sassurer que les possibilits dapparition du dfaut soient
distinctes et non lies. Par exemple, si la dfaillance dun composant peut entraner de faon
prvisible la dfaillance dautres composants, la rsultante de ces diffrents dfauts combins
sera considre comme un dfaut unique.
Il est galement possible quun vnement entranant la dfaillance dun composant particulier
soit susceptible de provoquer la dfaillance dautres composants. Cest ce quon appelle une
dfaillance de cause commune (habituellement dsigne par lacronyme CCF). La propen-
sion dapparition dune dfaillance CCF est habituellement symbolise par le coefficient bta ().
88
SAFEBOOK 4
Conception de systme selon la norme
EN ISO 13849-1:2008
Il est trs important que les concepteurs de sous-systmes et de systmes soient sensibiliss
aux possibilits dapparition de dfaillances CCF. Il existe de nombreux types de dfaillances
CCF et, par consquent, de nombreuses faons de les viter. La norme EN ISO 13849-1 pro-
pose une alternative raisonnable entre les extrmes que constituent une trop grande complexit
et une trop grande simplification. De la mme faon que la norme EN/CEI 62061 qui adopte,
quant elle, une approche essentiellement qualitative. Elle propose une liste de mesures recon-
nues comme efficaces dans la prvention des dfaillances CCF.
Un nombre appropri de ces mesures devra tre mis en uvre dans la conception du systme
ou du sous-systme. On pourra rtorquer lgitimement que le seul recours cette liste nest
certainement pas suffisant pour prvenir tout risque dapparition de dfaillances CCF. Nan-
moins, si lesprit de cette liste est bien compris, il apparatra clairement que son premier objec-
tif est dinciter le concepteur analyser les risques dapparition de dfaillances CCF et met-
tre en uvre les mesures de prvention appropries en fonction de la technologie et des
caractristiques de lapplication prvue. Lutilisation de la liste force prendre en compte un
certain nombre de techniques fondamentales permettant dobtenir une efficacit maximum.
La diversit des modes de dfaillance et des comptences de conception seront ainsi mises
en vidence. Loutil SISTEMA de BGIA se base galement sur les tables de rfrence de
dfaillances CCF de la norme. Il les prsente sous une forme trs pratique utiliser.
89
SAFEBOOK 4
Systmes de commande de scurit pour machines
Dfauts systmatiques
Exclusion de dfauts
Lun des outils fondamentaux pour lanalyse des systmes de scurit est lanalyse des
dfaillances. Le concepteur et lutilisateur doivent comprendre comment le systme de
scurit va fonctionner en prsence de dfauts. De nombreuses techniques existent pour
raliser cette analyse. Citons par exemple, lanalyse de larbre des dfaillances, des modes
de dfaillance, de leurs effets et de leur criticit, lanalyse de larborescence des vnements
et la revue des charge et des rsistances.
Au cours de cette analyse, il sera possible de dcouvrir certains dfauts ne pouvant pas tre
dtects par les tests de diagnostic automatiques ( moins dimpliquer des cots conomiques
disproportionns). De plus, la probabilit dapparition de ces dfauts pourra tre rendue extr-
mement faible grce lutilisation de mthodes de limitation au niveau de la conception, de la
construction et des tests. Dans ces conditions, certains dfauts pourront tre exclus du champ
de surveillance. Lexclusion de dfaut consiste ngliger dlibrment un dfaut dont la pro-
babilit dapparition dans le systme de commande de scurit (SRCS) sera ngligeable.
90
SAFEBOOK 4
Conception de systme selon la norme
EN ISO 13849-1:2008
La norme ISO 13849-1:2006 autorise lexclusion de dfauts sur la base de limprobabilit tech-
nique de son apparition, de lexprience technique gnralement reconnue et des exigences
techniques relatives lapplication. La norme ISO 13849-2:2003 fournit quant elle des exem-
ples et des justifications dexclusion de certains dfauts dans des systmes lectriques, pneu-
matiques, hydrauliques et mcaniques. Les exclusions de dfauts doivent tre dclares et
justifies de faon dtaille dans la documentation technique.
Il sera dans certains cas impossible deffectuer lvaluation un systme SRCS sans admettre
que certains dfauts doivent tre exclus. Pour plus dinformations sur lexclusion de dfauts,
se reporter la norme ISO 13849-2.
Plus le niveau de risque devient important, plus la justification de lexclusion de dfauts devient
rigoureuse. En gnral, lorsquun niveau de performance PLe est requis pour la mise en u-
vre dune fonction de scurit par un systme de commande de scurit, il nest pas normal de
jouer uniquement sur les exclusions de dfauts pour obtenir ce niveau de performance. Cela
dpendra de la technologie utilise et de lenvironnement de travail prvu. Il est donc essentiel
que les concepteurs attachent une importance accrue la dfinition des exclusions de dfauts
lorsque les exigences de niveau de performance PL augmentent.
Le niveau de performance est une valeur discrte qui dfinit la capacit des composants de
scurit du systme de commande excuter une fonction de scurit.
Pour valuer le niveau de performance obtenu par la mise en uvre de lune des cinq
architectures dsignes, les donnes suivantes sont ncessaire concernant le systme
(ou le sous-systme) :
91
SAFEBOOK 4
Systmes de commande de scurit pour machines
Le schma suivant prsente une mthode graphique pour dterminer le niveau PL en combi-
nant ces facteurs. Le tableau se trouvant la fin de ce document prsente les rsultats tabu-
laires des diffrents modles de Markov qui sont lorigine de ce schma. On se rfrera ce
tableau lorsquune estimation plus prcise est ncessaire.
a
Niveau de performance
e
Cat B Cat 1 Cat 2 Cat 2 Cat 3 Cat 3 Cat 4
DCmoyAucun DCmoyAucun DCmoyFaible DCmoyMoyen DCmoyFaible DCmoyMoyen DCmoylev
MTTFd Faible
MTTFd Moyen
MTTFd lev Dtermination graphique du niveau de performance PL
Dautres conditions sont galement satisfaire pour atteindre le niveau PL requis. Elles
comprennent les dispositions relatives aux dfaillances de cause commune, aux dfaillances
systmatiques, aux conditions ambiantes et au temps de mission.
Des sous-systmes ayant un niveau PL valid peuvent tre combins simplement dans un
systme global laide du tableau 10.3. Le principe de ce tableau est simple comprendre.
Premirement, la valeur du systme est celle de son sous-systme le plus faible. Deuxime-
ment, plus il y a de sous-systmes, plus la possibilit de pannes est grande.
92
SAFEBOOK 4
Conception de systme selon la norme
EN ISO 13849-1:2008
Validation
La validation joue un rle trs important dans les processus de dveloppement et de mise en
service du systme de scurit. La norme ISO/EN 13849-2:2003 dfinit les rgles de cette
validation. Elle fait appel un plan de validation et propose pour raliser ces validations des
techniques de test et danalyse, comme lanalyse de larbre des dfaillances ou lanalyse des
modes de dfaillance, de leurs effets et de leur criticit (AMDEC). La plupart de ces exigences
sappliquent gnralement au fabricant du sous-systme plutt qu son utilisateur.
93
SAFEBOOK 4
Systmes de commande de scurit pour machines
Lvaluation des risques dbouche sur une stratgie de rduction des risques. Celle-ci permet
son tour didentifier les fonctions de commande de scurit ncessaires. Ces fonctions
doivent tre dcrites en intgrant les lments suivants :
les spcifications des exigences fonctionnelles ;
les spcifications des exigences dintgrit de scurit.
Sous-systmes
Le terme sous-systme a une signification particulire dans la norme CEI/EN 62061. Cest
le premier niveau de la dcomposition dun systme en sous-parties qui, si elles viennent se
mettre en dfaut, entraneront la dfaillance de la fonction de scurit. Par consquent, si
94
SAFEBOOK 4
Conception de systme selon la norme CEI/EN 62061
deux interrupteurs redondants sont utiliss dans un systme, ces interrupteurs ne constituent
pas individuellement un sous-systme. Cest lensemble de ces deux interrupteurs et les
ventuelles fonction de diagnostic associes qui constitue le sous-systme.
La norme CEI/EN 62061 utilise les mmes mthodes de base que celles prsentes dans le
chapitre relatif la norme EN ISO 13849-1 pour dterminer le taux de dfaillance au niveau
des composants. Des dispositions et des mthodes identiques sappliquent aux composants
mcaniques et lectroniques. Dans la norme CEI/EN 62061 il nest cependant pas fait
rfrence une valeur MTTFd exprime en annes. Le taux de dfaillance horaire () sera
calcul soit directement, soit au moyen, ou partir, de la valeur B10 selon la formule suivante :
Il existe une diffrence de mthodologie significative entre les deux normes pour la dtermina-
tion du PFHd total dun sous-systme ou dun systme. Une analyse des composants doit ici
tre ralise afin de dterminer la probabilit de dfaillance des sous-systmes. Des formules
simplifies sont fournies pour le calcul des architectures courantes de sous-systme (dcrites
plus loin). Lorsque ces formules ne sont pas adaptes, il sera ncessaire dutiliser des m-
thodes de calcul plus complexes, comme les modles de Markov. Les probabilits de dfail-
lance dangereuse (PFHd) de chaque sous-systme seront alors additionnes pour dterminer
le PFHd total du systme. Le tableau 15 (Tableau 3 dans la norme) peut alors tre utilis pour
dterminer le niveau dintgrit de scurit SIL adapt cette valeur de PFHd.
SIL
PFHd
(niveau dintgrit
(probabilit de dfaillance dangereuse par heure)
de scurit)
3 108 <107
2 107 <106
1 106 <105
Probabilit de dfaillance dangereuse par rapport aux niveaux SIL
95
SAFEBOOK 4
Systmes de commande de scurit pour machines
Les donnes de PFHd dun sous-systme sont gnralement fournies par le fabricant du
matriel. Les informations relatives aux composants et systmes de scurit de Rockwell
Automation sont disponibles sous diffrentes formes, et notamment ladresse :
www.discoverrockwellautomation.com/safety
La norme CEI/EN 62061 tablit clairement galement que des tables de donnes de fiabilit
peuvent tre utiliss le cas chant.
PFHd = 1/MTTFd
Cependant, il faut toujours avoir lesprit que, pour un systme deux voies (avec ou sans
diagnostics), il nest pas permis dutiliser le rapport 1/PFHd pour calculer le paramtre MTTFd
requis par la norme EN ISO 13849-1. Cette norme fait en effet rfrence au MTTFd unique-
ment dans le cadre de systmes mono-voie. Cest une valeur trs diffrente du MTTFd rsul-
tant de la combinaison des deux voies dun sous-systme deux voies.
Contraintes architecturales
96
SAFEBOOK 4
Conception de systme selon la norme CEI/EN 62061
Proportion de
dfaillances non Tolrance aux pannes matrielles
dangereuses
(SFF) 0 1 2
Par exemple, une architecture de sous-systme possdant une tolrance un seul dfaut et
une proportion de dfaillances non dangereuses de 75 % sera limite un niveau maximal
SIL 2, quelle que soit sa probabilit de dfaillance dangereuse. Lorsque des sous-systmes
sont combins, le niveau SIL global du systme SRCS rsultant sera limit un niveau
infrieur ou gal au niveau SIL CL le plus bas de tous les sous-systmes participant la
fonction de commande de scurit.
Ralisation du systme
Pour calculer la probabilit de dfaillance dangereuse, chaque fonction de scurit doit tre
dcompose en blocs fonctionnels qui seront ensuite utiliss comme base des sous-systmes.
La conception traditionnelle dun systme destin lexcution dune fonction de scurit
consiste en un dispositif de dtection connect un dispositif logique lui-mme connect
un actionneur. Ceci constitue une disposition en srie de ces sous-systmes. Comme
nous lavons vu prcdemment, si nous pouvons dterminer la probabilit de dfaillance
dangereuse de chaque sous-systme et connatre son niveau SIL CL, il sera alors facile de
calculer la probabilit de dfaillance du systme en additionnant les probabilits de dfaillance
de chacun de ses sous-systmes. Ce principe est illustr ci-dessous.
97
SAFEBOOK 4
Systmes de commande de scurit pour machines
Si, par exemple, nous souhaitons obtenir un niveau SIL 2, chaque sous-systme doit avoir
un niveau dintgrit maximum SIL CL dau moins SIL 2. La somme des probabilits de
dfaillance dangereuse (PFHd) du systme ne doit par ailleurs pas dpasser les limites
indique dans le prcdent tableau Probabilit de dfaillance dangereuse par rapport
aux niveaux SIL .
Lorsque le concepteur du systme utilise des composants dj prt lemploi dans des
sous-systmes conformes la norme CEI/EN 62061, les choses deviennent beaucoup plus
simples car les exigences propres la conception des sous-systmes ne sappliqueront pas
dans ce cas. Ces exigences sont, en gnral, dj intgres par le fabricant du dispositif
(sous-systme). Cest un avantage car elles sont bien plus complexes que celles requises
pour la conception du systme proprement-dit.
La norme CEI/EN 62061 impose que les sous-systmes complexes comme les automates
de scurit soient conformes la norme CEI 61508 ou aux autres normes applicables. Cela
implique que les dispositifs utilisant des composants lectroniques programmables complexes
bnficieront de toute la rigueur de la norme CEI 61508. Or, son application est parfois trs
stricte et exigeante. Par exemple, lvaluation de la probabilit de dfaillance dangereuse
(PFHd) dun sous-systme complexe peut savrer un processus trs complexe faisant appel
des techniques comme les modles de Markov, les schmas fonctionnels de fiabilit ou
lanalyse de larbre des dfaillances.
La norme CEI/EN 62061 dfinit des rgles applicables la conception des sous-systmes de
moindre complexit. Sont habituellement concerns des composants lectriques relativement
simples, comme les interrupteurs dinterverrouillage et les relais de surveillance de scurit
lectromcaniques. Les exigences ne sont pas aussi pointues que celles de la norme
CEI 61508. Mais leur application peut cependant savrer trs dlicate.
La norme CEI/EN 62061 retient quatre architectures de sous-systme logique et propose des
formules de calcul correspondantes. Celles-ci peuvent tre utilises pour valuer la probabilit
de dfaillance dangereuse (PFHd) dun sous-systme de faible complexit. Ces architectures
sont purement des reprsentations logiques. Elles ne doivent pas tre considres comme
des architectures physiques. Ces quatre architectures sont rsumes dans les schmas
suivants.
98
SAFEBOOK 4
Conception de systme selon la norme CEI/EN 62061
Sous-systme A
Elment 1 du Elment n du
sous-systme sous-systme
De1 Den
(lambda) est utilis pour indiquer le taux de dfaillance. Lunit de mesure de ce taux de
dfaillance est le nombre de dfaillances par heure. D indique le taux de dfaillances
dangereuses. DssA dsigne quant lui le taux de dfaillance dangereuse du sous-systme A ;
cest la somme des taux de dfaillance des lments individuels, e1, e2, e3, en inclus. La
probabilit de dfaillance dangereuse est multiplie par 1 heure pour crer la probabilit de
dfaillance par heure.
Sous-systme B
Elment 1 du
sous-systme
De1 Dfaillance
de cause
Elment 2 du commune
sous-systme
De2
Les formules propres cette architecture intgrent la disposition en parallle des lments
du sous-systme et agrgent les deux lments suivants provenant du prcdent tableau
lments prendre en compte pour la dtermination du niveau SIL .
99
SAFEBOOK 4
Systmes de commande de scurit pour machines
T1 lintervalle entre les tests de validit ou la dure vie (la plus petite valeur des deux). Les
tests de scurit sont conus pour dtecter les dfauts et les dtriorations de fonctionnement
du sous-systme de scurit afin de permettre sa restauration ventuelle. En pratique, cela
signifiera gnralement son remplacement (cela correspond au concept de temps de
mission de la norme EN ISO 13849-1).
Le schma suivant est la reprsentation fonctionnelle dun systme tolrance zro dfaut
avec fonction de diagnostic. La couverture de diagnostic est utilise pour rduire la probabilit
de pannes matrielles dangereuses. Les tests de diagnostic sont ralis automatiquement.
La dfinition du taux de couverture des tests de diagnostic est la mme que dans la norme
EN ISO 13849-1. Il sagit du rapport entre le taux de dfaillances dangereuses dtectes et le
taux de dfaillances dangereuses global.
Sous-systme C
Elment 1 Elment n
du sous-systme du sous-systme
De1 Den
Fonction(s) de diagnostic
Ces formules incluent le taux de couverture des tests de diagnostic (DC) pour chacun des
lments du sous-systme. Les taux de dfaillances de chaque sous-systme sont diminus
de la valeur du taux de couverture des tests de diagnostic correspondante.
100
SAFEBOOK 4
Conception de systme selon la norme CEI/EN 62061
Sous-systme D
Elment 1
du sous-systme
De1 Dfaillance
de cause
commune
Fonction(s)
de diagnostic
Elment 2
du sous-systme
De2
Si les lments du sous-systme sont diffrents, les formules suivantes sont utilises :
DssD = (1 )2 { De1 x De2 x (DC1 + DC2) x T2/2 + De1 x De2 x (2- DC1 DC2) x T1/2 } +
x (De1 + De2)/2
PFHDssD = DssD x 1h
Si les lments du sous-systme sont identiques, les formules suivantes sont utilises :
titre dexemple, nous prendrons les valeurs suivantes et nous considrerons que les
lments du sous-systme sont diffrents :
= 0,05
De = 1 x 106 dfauts/heure
T1 = 87 600 heures (10 ans)
T2 = 2 heures
DC = 90 %
PFHDssD = 5.791E-08 pannes dangereuses par heure. On se trouve donc dans la plage
correspondant au niveau SIL 3
101
SAFEBOOK 4
Systmes de commande de scurit pour machines
La norme CEI/EN 62061 indique quun intervalle entre tests de validit PTI (Proof Test Interval)
de 20 ans est souhaitable (mais non obligatoire). Voyons leffet de cet intervalle entre les tests
de validit sur le systme. Si nous recalculons la formule avec T1 = 20 ans, nous obtenons
une valeur PFHDssD = 6.581E-08. Ce rsultat se trouve toujours dans la plage requise pour le
niveau SIL 3. Pour son calcul du taux de dfaillance dangereuse global, le concepteur gardera
lesprit que ce sous-systme particulier doit tre combin dautres sous-systmes.
Voyons maintenant leffet que les dfaillances de cause commune ont sur le systme.
Supposons que nous prenions des mesures supplmentaires et que notre valeur (bta)
passe 1 % (0,01), alors que lintervalle entre tests de validit reste 20 ans. Le taux de
dfaillance dangereuse passera alors 2.71E-08. Ceci signifie que le sous-systme sera
ainsi mieux adapt une utilisation dans un systme SIL 3.
Une dfaillance de cause commune est cause par un ensemble de dfauts caractre
dangereux ayant une cause identique. Les informations relatives aux dfaillance de cause
commune sont gnralement ncessaires uniquement au concepteur du sous-systme,
habituellement son fabricant. Elles sont utilises dans la formule prcdemment fournie pour
lestimation de la valeur PFHd dun sous-systme. Elles ne sont gnralement pas ncessaire
au niveau de la conception du systme.
LAnnexe F de la norme CEI/EN 62061 propose une approche simple pour estimer la valeur
CCF. Le tableau suivant prsente un rsum de la mthode dvaluation utilise.
Des points sont attribus pour chaque mesure spcifique mise en uvre contre les pannes
dorigine commune. Ces points sont totaliss pour dterminer le coefficient de dfaillance de
102
SAFEBOOK 4
Conception de systme selon la norme CEI/EN 62061
cause commune, tel que prsent dans le tableau suivant. Ce coefficient bta est utilis pour
la modlisation des sous-systme afin d ajuster le taux de dfaillance.
Des tests de diagnostic automatiques sont utiliss pour rduire la probabilit de dfaillances
matrielles dangereuses. Lidal serait de pouvoir dtecter toutes les dfaillances matrielles
dangereuses. Mais en pratique, la valeur maximale est fixe 99 % (cest dire 0,99).
Le taux de couverture des tests de diagnostic est le rapport entre la probabilit de dfaillances
dangereuses dtectes et la probabilit de dfaillances dangereuses totale.
La tolrance aux dfauts matriels reprsente le nombre de dfauts quun sous-systme peut
supporter avant de provoquer une dfaillance dangereuse. Par exemple, une tolrance aux
dfauts matriels de 1 signifie que 2 dfauts pourront entraner la perte de la fonction de
commande de scurit (mais pas un dfaut seul).
La norme fixe des rgles de contrle des activits techniques et de gestion affrentes
lexploitation dun systme de commande de scurit lectrique.
103
SAFEBOOK 4
Systmes de commande de scurit pour machines
Lintervalle entre tests de validit reprsente la dure au bout de laquelle il sera ncessaire de
recontrler entirement le sous-systme ou de le remplacer afin de garantir quil soit toujours
ltat comme neuf . En pratique, dans le secteur des machines, ceci est obtenu par rempla-
cement. Lintervalle entre tests de validit est donc gnralement assimil la dure de vie. La
norme EN ISO 13849-1:2008 parle, elle, de Temps de mission.
Un test priodique est un contrle destin dtecter les dfauts et les dtriorations dun
systme de commande de scurit. Il doit permettre la restauration de ce systme dans un
tat aussi proche que possible de son tat neuf. Ce test priodique doit pouvoir dtecter
100 % des dfaillances dangereuses. Les voies spares doivent tre testes sparment.
A linverse des tests de diagnostic qui sont automatiques, les tests de validit sont gnrale-
ment raliss manuellement et hors ligne. Du fait de leur caractre automatique, les tests de
diagnostic sont effectus frquemment, alors que les tests de validit sont raliss ponctuelle-
ment. Par exemple, le cblage dun dispositif dinterverrouillage mont sur une grille de protec-
tion pourra tre contrl automatiquement pour y dtecter dventuels courts-circuits et cou-
pures de circuits au moyen dun test de diagnostic (par exemple, par impulsions).
Lintervalle entre tests de validit doit tre spcifi par le fabricant. Parfois, le fabricant fournit
diffrents intervalles entre tests de validit.
La proportion de dfaillances non dangereuses est similaire au taux de couverture des tests
de diagnostic, mais elle prend de plus en compte la propension inhrente au systme se
mettre en scurit en cas dapparition de dfaut. Par exemple, lorsquun fusible grille, il y a
apparition dun dfaut. Mais il est trs probable que ce dfaut ne se traduira que par une cou-
pure du circuit. Dans la plupart des cas, il sagira donc dune dfaillance non dangereuse .
La valeur SFF exprime le rapport : (somme des dfaillances non dangereuses plus nombre
de dfaillances dangereuses dtectes) sur (somme des dfaillances non dangereuses
plus nombre de dfaillances dangereuses dtectes et non dtectes). Il est important de rete-
nir que les seuls types de dfaillances pris en considration ici sont ceux qui ont un effet sur la
fonction de scurit.
La plupart des dispositifs mcaniques peu complexes, comme les boutons darrt durgence
ou les dispositifs dinterverrouillage, possdent (intrinsquement) une certaine proportion de
dfaillances non dangereuses. La plupart des dispositifs lectroniques de scurit sont conus
de faon redondante et avec des fonctionnalits dauto-contrle. Une valeur SFF suprieure
90 % y est donc courante. Elle rsultera cependant le plus souvent totalement du taux de
couverture des tests de diagnostic. La valeur SFF est normalement fournie par le fabricant.
104
SAFEBOOK 4
Conception du systme selon la norme CEI/EN 62061
La proportion de dfaillances non dangereuses (SFF) peut tre calcule laide de lquation
suivante :
SFF = ( S + DD)/( S + D)
dans laquelle :
S = nombre de dfaillances non dangereuses ;
S + D = nombre de dfaillances total ;
DD = nombre de dfaillances dangereuses dtectes ;
D = nombre de dfaillances dangereuses.
Dfaillance systmatique
La norme dfinit des rgles pour maintenir sous contrle et viter les dfaillances systma-
tiques. Les dfaillances systmatiques sont diffrentes des dfaillances matrielles alatoires.
Celles-ci sont des pannes pouvant survenir nimporte quel moment et qui rsultent gnrale-
ment dune dgradation des composants matriels. Les types de dfaillance systmatique les
plus courants sont les erreurs de conception du logiciel, les erreurs de conception du matriel,
les erreurs de spcification de paramtres et de procdure de fonctionnement. Voici quelques
exemples de mesures prendre pour viter ces dfaillances systmatiques :
105
SAFEBOOK 4
Systmes de commande de scurit pour machines
Ce chapitre aborde les aspects et les principes gnraux de type structurels prendre en consi-
dration lors de la conception dun systme de commande de scurit, quelle que soit la norme
suivie. Il reprend majoritairement lapproche par Catgories de lancienne norme EN 954-1. Ces
Catgories sintressent en effet principalement la structure des systmes de commande.
Il existe cinq catgories dcrivant la performance de raction aux dfauts dun systme de
commande de scurit. On se reportera au tableau 19 pour le rsum de ces catgories. Les
remarques suivantes sont formuler concernant ce tableau.
Remarque 2 : une srie de plusieurs dfaillances dues une cause dorigine commune
ou aux consquences invitables dune dfaillance initiale, doit tre considre comme
une dfaillance unique.
Remarque 3 : le nombre de dfauts pris en compte peut se limiter deux dfauts combi-
ns si cela est justifi. Mais, dans le cas de circuits complexes (systmes microproces-
seur par exemple), il peut savrer ncessaire de prendre en compte un plus grand nom-
bre de dfauts combins.
La Catgorie 1 vise la prvention des dfaillances. Celle-ci est obtenue par lutilisation de
principes de conception, de composants et de matriaux adapts. Les lments-cls pour
cette catgorie sont la simplicit du principe et de la conception, ainsi que la stabilit et le
comportement dans le temps des matriaux.
Les Catgories 2, 3 et 4 supposent que les pannes soient dtectes dans le cas o elles ne
peuvent pas tre prvenues, et que des mesures appropries soient prises.
106
SAFEBOOK 4
Systmes de commande de scurit, considrations
relatives la structure
107
SAFEBOOK 4
Systmes de commande de scurit pour machines
Catgorie B
La catgorie B dfinit les critres de base pour tout systme de commande, quil soit de
scurit ou non. Un systme de commande doit pouvoir fonctionner dans lenvironnement
pour lequel il prvu. Le concept de fiabilit fournit une base pour la caractrisation des
systmes de commande. La fiabilit est en effet dfinie comme la probabilit pour un dispositif
dexcuter la fonction pour laquelle il a t conu dans un laps de temps dfini et dans des
conditions attendues.
Le concepteur doit slectionner, installer et assembler les composants selon les instructions
du fabricant. Ces dispositifs doivent tre capables de fonctionner avec toutes les valeurs de
tension et dintensit nominales prvisibles dans linstallation. Les conditions ambiantes
prvisibles, comme la compatibilit lectromagntique, la rsistance aux vibrations, la tenue
aux chocs, la rsistance aux contaminants et aux projections, doivent galement tre prises
en considration. Le principe de coupure des alimentations doit tre respect. Une protection
contre les transitoires doit tre installe sur les bobines de contacteur. Le moteur doit tre
protg contre les surcharges. Le cblage et la mise la terre doit tre conformes aux normes
lectriques applicables.
Catgorie 1
108
SAFEBOOK 4
Systmes de commande de scurit, considrations
relatives la structure
Ces composants sont considrs comme prouvs sils ont dj t utiliss avec succs dans
de nombreuses applications similaires. Les nouveaux composants de scurit sont considrs
comme prouvs sils ont t conus et tests en accord avec les normes applicables.
109
SAFEBOOK 4
Systmes de commande de scurit pour machines
Si lon veut utiliser des composants prouvs dans un systme de catgorie B, cela signifie
quil faudra remplacer les dtecteurs de position traditionnels par des interrupteurs broche
ouverture directe. Cela impliquera galement de surdimensionner le contacteur pour une
meilleure protection contre le risque de soudage des contacts.
Les systmes de catgories B et 1 ont une simple finalit de prvention. Leur conception est
destine viter une situation dangereuse. Lorsque cette simple prvention ne permet pas
une rduction suffisante des risques, une dtection des dfauts doit tre utilise en sus. Les
Catgories 2, 3 et 4 permettent cette dtection de dfauts, avec des niveaux dexigence
croissants dans la rduction des risques.
110
SAFEBOOK 4
Systmes de commande de scurit, considrations
relatives la structure
Catgorie 2
Cblage Cblage
Entre Programme Sortie
Dtection de dfaut
raisonnablement applicable
Test
Test Sortie
Le test doit permettre une dtection de dfauts raisonnablement simple mettre en uvre.
Le dispositif de test peut faire partie intgrante du systme de scurit ou tre un quipement
spar.
Remarque : la norme EN ISO 138491-1 considre que le test de la fonction de scurit doit
tre effectu selon un ratio de 100 pour 1 par rapport aux sollicitations de cette fonction.
Lexemple prsent ne permettrait pas de satisfaire ces exigences.
Lutilisation des termes lorsque cest possible et raisonnablement simple indique bien
quil est admis que toutes les dfauts ne puissent pas tre dtects. Etant donn quil sagit
dun systme mono-voie (cest--dire, seul un fil reliant le capteur dentre au sous-systme
logique, puis celui-ci lactionneur en sortie), un seul dfaut peut ainsi provoquer la perte de
la fonction de scurit. Dans certains cas, la Catgorie 2 ne pourra donc pas tre totalement
applicable un systme de scurit, du fait que tous les composants ne peuvent pas tre
vrifis.
111
SAFEBOOK 4
Systmes de commande de scurit pour machines
+V
SCP
K1
Dmarrage
Aux
L1 L2 L3
Arrt SCP
Relais
de K1
surveillance
Grille OP
ferme
Interrupteur
broche
TS K1 Contacteur Moteur
(danger)
Terre
Le schma prsente un systme simple de Catgorie 1 qui a t amlior pour tre conforme
la Catgorie 2. Un relais de surveillance de scurit (MSR) assure la fonction de test. A la
mise sous tension, le relais MSR effectue une vrification de ses composants internes. Si
aucun dfaut nest dtect, ce relais vrifie linterrupteur broche en surveillant le cycle de
fonctionnement de ses contacts. Si aucun dfaut nest dtect et que la grille de protection
est ferme, le relais MSR vrifie alors le dispositif de sortie, cest--dire les contacts lis
mcaniquement au contacteur principal. Si aucun dfaut nest dtect et que ce contacteur
est dsactiv, le relais activera sa propre sortie interne et connectera la bobine K1 au bouton
darrt. partir de ce moment, les composants standard du systme de commande de la
machine et son circuit de dmarrage/arrt/verrouillage seront disponibles pour arrter ou
dmarrer la machine.
Louverture de la grille de protection dsactivera la sortie du relais MSR. Lorsque la grille sera
referme, le relais recommencera ses vrifications du systme de scurit. Si aucune panne
nest dtecte, le relais MSR ractivera sa sortie interne. Ce relais de surveillance de scurit
permet ainsi au circuit dtre conforme la Catgorie 2 grce sa capacit effectuer des
tests sur le dispositif dentre, le dispositif logique (cest dire, sur lui-mme) et sur le disposi-
tif de sortie. Ces tests sont alors raliss lors de la mise sous tension initiale et avant le
dmarrage de la source de danger.
112
SAFEBOOK 4
Systmes de commande de scurit, considrations
relatives la structure
Le schma prsente un
+V exemple de systme
SCP Dmar- SCP
rage TS complexe utilisant un
automate de scurit.
Arrt
K1 Un automate de scu-
Sw1 TS
Pour la scurit rit est considr
Sw2 Entre Pro- Sortie K2 comme prouv si
Sw3 gramme sa conception est
K3
conforme aux normes
TS applicables. Les
K1 K2
K3 contacts mcanique-
ment lis des contac-
Terre
teurs de sortie sont
Systme de scurit complexe de Catgorie 2
relis lentre de
lautomate pour les tests. Ces contacts peuvent tre branchs en srie sur une mme borne
de raccordement dentre ou sur des bornes de raccordement dentre individuelles, selon la
nature du programme logique.
Bien que des composants de scurit prouvs soient utiliss, un seul dfaut se produisant
entre les tests de diagnostic peut entraner la perte de la fonction de scurit. Par consquent,
les systmes de Catgorie 2 ne sont utiliss que pour des applications prsentant un risque
faible. Lorsquune tolrance aux dfauts plus leve est requise, le systme de scurit devra
donc se conformer la Catgorie 3 ou 4.
Catgorie 3
Nous retrouvons nouveau ici lexpression lorsque raisonnablement simple . Il est donc
admis que certains dfauts pourront ne pas tre dtects. Tant que ces dfauts non dtects
nentranent pas la perte de la fonction de scurit, celle-ci peut tre classifie en Catgorie 3.
Cependant, une accumulation de dfauts non dtects pourra entraner la perte de la fonction
de scurit.
113
SAFEBOOK 4
Systmes de commande de scurit pour machines
+V
SCP K1
L1 L2 L3
Aux
Dmar- K2 SCP
rage Aux
Ch2 Arrt
K1
Ch1
Relais Ch1
de K2
surveillance Ch2
Grille
OP
ferme Interrupteur
broche
TS K1 K2 TS Moteur
(danger)
Terre
Contacteurs
Systme de scurit de Catgorie 3
La dtection des dfauts doit sappliquer chaque partie du systme de scurit, ainsi quaux
connexions (cest--dire en fait, lensemble du systme). Quels sont les modes de dfail-
lance dun interrupteur broche double voie ? Quels sont les modes de dfaillance du relais
MSR ? Quels sont les modes de dfaillance des contacteurs K1 et K2 ? Quels sont les modes
de dfaillance du cblage ?
Le contact ouverture est gnralement dot dun ressort de rappel. Si la tte du dispositif est
retire ou casse, les contacts de scurit reviendront donc en position ferme (de scurit)
par laction du ressort. De nombreux dispositifs dinterverrouillage sont conus avec des ttes
amovibles pour faciliter leur installation dans des applications diverses. La tte peut ainsi tre
retire et place dans deux quatre positions diffrentes.
Un dfaut peut se produire si les vis de fixation de la tte ne sont pas serres correctement.
Dans ce cas, les vibrations de la machine risqueront de provoquer leur dvissage complet. La
tte de commande nexercera plus de pression sur les contacts de scurit et ces contacts se
114
SAFEBOOK 4
Systmes de commande de scurit, considrations
relatives la structure
Un relais de surveillance de scurit (MSR) est souvent dj valu par son fabricant et se
voit affect une Catgorie (et/ou un niveau PL ou SIL CL). Les possibilits offertes par ces
relais MSR incluent souvent une double voie, la surveillance croise, la surveillance de
dispositifs externes et la protection contre les courts-circuits. Il nexiste aucune norme
particulire fournissant des recommandations sur la conception ou lutilisation de ces relais
de surveillance de scurit. Lvaluation des relais MSR a pour but de dfinir leur capacit a
excuter leur fonction de scurit conformment la norme EN ISO 13849-1 ou lancienne
norme EN 954-1. La classification dun relais MSR doit tre identique ou suprieure la
classification du systme dans lequel il est employ.
Lutilisation de deux contacteurs permet de sassurer que la fonction de scurit est bien
assure par les dispositifs de sortie. Avec sa protection contre les surcharges et les courts-
circuits, la probabilit de panne dun contacteur cause du soudage de ses contacts est faible.
Mais elle nest pas nulle. Un contacteur pourra galement tre dfaillant du fait du maintien de
ses contacts de commutation dalimentation en position ferme en raison dun induit bloqu.
Si lun des contacteurs gnre une dfaillance dangereuse, le second pourra toujours couper
lalimentation de la source de danger. Ce relais MSR dtectera le contacteur dfaillant lors du
dmarrage du cycle suivant de la machine. Lorsque la grille de protection sera referme et
que le bouton de dmarrage sera enfonc, les contacts couplage mcanique du contacteur
dfaillant resteront ouverts et le relais MSR ne pourra pas fermer ses contacts de scurit, ce
qui rvlera le dfaut.
Avec une structure de systme de Catgorie 3, il peut toujours exister des dfauts ne pouvant
pas tre dtects. Nanmoins, ils ne devront pas, en tant que tels, entraner la perte de la
fonction de scurit.
Lorsque des dfauts sont dtects, nous devons dautre part savoir si, dans certaines
circonstances, ils pourraient tre masqus ou acquitts de faon involontaire par laction
dautres dispositifs au sein du systme.
115
SAFEBOOK 4
Systmes de commande de scurit pour machines
+V
SCP K1
Dfaut de L1 L2 L3
Aux
cblage dans SCP
le systme
Dmar- K2
rage
Aux
Sw1 Sw2 Sw3
Ch2
Arrt
K1
Ch1
Relais Ch1 K2
de sur-
veillance Ch2
OP
TS K1 K2 TS Moteur
(danger)
Terre
Contacteurs
Raccordement en srie de dispositifs dentre
Si linterrupteur Sw1 (ou Sw3) est ouvert, les circuits des deux voies Ch1 et Ch2 seront
ouverts et le relais MSR coupera lalimentation de la source de danger. Si alors Sw3 est ouvert
puis referm, le dfaut sur ses contacts ne sera pas dtect car il ny aura pas de changement
dtat du relais MSR. Les deux voies Ch1 et Ch2 resteront donc ouvertes. Si alors Sw1
(ou Sw3) est ferm, la source de danger pourra tre ractive par une simple pression sur le
bouton de dmarrage. Dans ces circonstances, le dfaut naura pas entran la perte de la
fonction de scurit mais il naura pas t dtect. Il restera prsent dans le systme et
lapparition dun dfaut ultrieur (un court-circuit sur le deuxime contact de Sw2) pourrait
entraner cette fois la perte de la fonction de scurit.
116
SAFEBOOK 4
Systmes de commande de scurit, considrations
relatives la structure
Si Sw2 a t uniquement ouvert et ferm, sans activation des autres interrupteurs, la voie Ch1
souvre et la voie Ch2 reste ferme. Le relais MSR met la source de danger hors tension du
fait de louverture de Ch1. Lorsque Sw2 se ferme. le moteur ne pourra pas tre redmarr en
appuyant sur le bouton de dmarrage. Ceci sexplique par le fait que Ch2 ne sest pas ouverte.
Le dfaut est ainsi dtect. Cependant, si pour une quelconque raison, Sw1 (ou Sw3) vient
alors souvrir et se refermer, les circuits des deux voies Ch1 et Ch2 seront ouverts puis
referms. Cette squence simulera un acquittement du dfaut et entranera un rarmement
involontaire du relais MSR.
Ceci pose la question du taux de couverture des tests de diagnostic (DC) pouvant tre
revendiqu par les interrupteurs individuels dans une telle structure (dans le cadre de la norme
EN ISO 13849-1 ou de la CEI 62061). la date de publication de ce document, il nexiste
pas de recommandations spcifiques dfinitives sur ce sujet. Mais un taux DC de 60 % est
gnralement retenu condition que les interrupteurs soient tests individuellement une
frquence approprie, de faon permettre de rvler les dfauts ventuels. Sil est prvisible
quun ou plusieurs interrupteurs ne seront jamais tests individuellement, alors leur taux DC
devrait tre fix comme tant zro. Au moment de la publication de ce document, la norme
EN ISO 13849-2 est en cours de rvision. Lorsque sa nouvelle version sera publie, il est donc
possible quelle apporte dautres instructions sur ce point.
Il est intressant de noter que ces caractristiques spcifiques aux structures de Catgorie 3
ont toujours ncessit une attention particulire. Mais, avec les rcentes normes de scurit
fonctionnelle, elles deviennent vritablement sensibles.
117
SAFEBOOK 4
Systmes de commande de scurit pour machines
L1 L2 L3
+V
SCP
24 V c.c.
Relais Ch1
de
surveillance Ch2
Ch1
Comm Circuit de
Ch2 Activation commande
de barrire
Terre
Variateur
de frquence
de scurit Moteur
(danger)
Une pression sur linterrupteur darrt durgence ouvre les sorties du relais MSR. Ceci envoie
un signal darrt au variateur, supprime le signal de validation et coupe lalimentation de la
commande de gchette. Le variateur excute un arrt de Catgorie 0 (coupure instantane
de lalimentation du moteur). Cette fonction est dsigne par arrt scuris du couple .
Le variateur est class en Catgorie 3 parce quil utilise des signaux redondants pour couper
lalimentation du moteur, le signal de validation et celui dun relais guidage positif. Le relais
guidage positif est un moyen raisonnablement simple de fournir un signal en retour
lactionneur. Le variateur lui-mme est analys pour contrler quun dfaut unique ne puisse
pas entraner la perte de la fonction de scurit.
118
SAFEBOOK 4
Systmes de commande de scurit, considrations
relatives la structure
+V
SCP K1
L1 L2 L3
Aux
K2 SCP
Dmarrage
Aux
Ch2 Arrt
K1
Ch1
Relais Ch1
de K2
surveillance Ch2
Grille
OP
ferme Interrupteur
broche
TS K1 K2 TS Moteur
(danger)
Terre
Contacteurs
Dfaut de cblage
Exemple derreur de cblage dans le systme
Dans cette exemple, le dfaut ne peut pas tre dtect par le systme de scurit. Fort
heureusement, il nest pas de nature en lui-mme provoquer la perte de la fonction de
scurit. Ce dfaut, ainsi que celui qui en dcoule entre la voie Ch1 et K2, doit tre dtect
au moment de la mise en service ou des vrifications suivant lintervention de maintenance.
La liste des exclusions de dfauts admissibles fournie dans le tableau D4 de lAnnexe D
de la norme EN ISO 13849-2 indique clairement que ce type de dfauts peut tre exclu si
lquipement est mont lintrieur dune armoire lectrique et que cette armoire aussi bien
que ses cblages sont conformes aux rquisitions de la norme CEI/EN 60204-1. Le rapport
technique conjoint sur lEN ISO 13849-1 et la CEI 62061 indique galement clairement que
cette exclusion de dfauts peut tre accepte jusquaux niveaux PLe et SIL 3 inclus. Elle peut
galement sappliquer la Catgorie 4.
119
SAFEBOOK 4
Systmes de commande de scurit pour machines
K2 SCP
OSSD1 Dmarrage
Aux
OSSD2
Arrt
K1
Emetteur Rcepteur
Relais Ch1 K2
de
surveillance Ch2
OP
TS K1 K2 TS Moteur
(danger)
Terre
Erreur de cblage entre voies sur un systme
Contacteurs
barrires immatrielles
Le relais MSR ne pourra pas dtecter ce dfaut parce que les entres restent alimentes par
la ligne (+V). Dans cet exemple, lerreur de cblage pourra cependant tre dtecte par la
barrire immatrielle. Certaines barrires immatrielles utilisent en effet une technique de
dtection de dfaut appele test impulsions. Avec ce type de barrire, la dtection du dfaut
sera immdiate et les sorties seront coupes. Sur dautres types, la dtection se fera lorsque
la barrire immatrielle est initialise. Lorsque la barrire tentera dactiver ses sorties, le dfaut
sera dtect et les sorties resteront dsactives. Dans les deux cas, la source de danger
restera dsactive tant que le dfaut sera prsent.
Les circuits de scurit sont conus pour vhiculer le courant lorsque le systme de scurit
est actif et que la source de danger est protge matriellement. Le test par impulsions est
une technique consistant faire chuter lintensit du circuit zro pendant un trs bref
intervalle. Ce temps de coupure est trop court pour que le circuit de scurit ait le temps de
ragir et de dsactiver la source de danger. Mais il est suffisamment long pour tre dtect
par un systme microprocesseur. Les impulsions sont dcales les unes par rapport aux
autres sur chacune des voies. Si un court-circuit par croisement se produit, le microprocesseur
dtectera les impulsions sur les deux voies et enverra une commande darrt de la source de
danger.
120
SAFEBOOK 4
Systmes de commande de scurit, considrations
relatives la structure
Catgorie 4
Comme la Catgorie 3, la Catgorie 4 exige que le systme soit conforme aux rquisitions de
la Catgorie B, quil respecte les principes de scurit et soit capable dexcuter la fonction
de scurit en prsence dune accumulation de dfauts. A linverse de la Catgorie 3 dans
laquelle une telle accumulation de dfauts peut entraner la perte de la fonction de scurit,
la Catgorie 4 impose que la fonction de scurit puisse tre excute mme en prsence
de plusieurs dfauts. Lorsquon parle daccumulation de dfauts, 2 suffisent normalement.
Mais 3 dfauts au minimum peuvent savrer ncessaires pour certains systmes.
+V
SCP K1
L1 L2 L3
Aux
Dmar- K2 SCP
rage Aux
Ch2 Arrt
K1
Ch1
Relais Ch1
de K2
surveillance Ch2
Grille
OP
ferme Interrupteur
broche
TS K1 K2 TS Moteur
(danger)
Terre
Contacteurs
121
SAFEBOOK 4
Systmes de commande de scurit pour machines
La diversification des mthodes de dtection pourra alors tre utilise pour rduire encore plus
la probabilit de perte de la fonction de scurit en mode commun ou en cas de dfaillance
de cause commune. Lun des deux interrupteurs de scurit broche pourra tre utilis en
mode ngatif. Un tel interrupteur fonctionnant en mode ngatif ne sera acceptable que si le
deuxime interrupteur utilise des contacts ouverture directe ( action positive). Le schma
suivant prsente un exemple de cette approche complmentaire. Dans cette approche, le
relais MSR doit donc tre prvu pour accepter les entres normalement ouvertes et
normalement fermes.
Mode ngatif
+V
SCP K1
L1 L2 L3
Aux
Ch1
K2 SCP
Dmarrage
Aux
Arrt
K1
Relais Ch1 K2
de
surveillance Ch2
Grille
OP
ferme Interrupteurs
broche
Ch2 TS K1 K2 TS Moteur
(danger)
Terre
Contacteurs
Systme de Catgorie 4 avec interrupteurs de
scurit broche redondants complmentaires
Le concept de catgorie est utilis aussi bien pour la classification des composants de scurit
(dispositifs) que pour celle des systmes. Ceci cre une certaine confusion quil sera possible
de clarifier travers ltude des composants et de leurs possibilits. En analysant les exem-
ples prcdents, on constate quun composant comme un interrupteur de scurit class en
Catgorie 1 peut tre utilis tout seul dans un systme de Catgorie 1 et quil peut galement
tre utilis dans un systme de Catgorie 2 si une surveillance de son fonctionnement est pr-
vue en plus. Il pourra galement tre incorpor dans un systme de Catgorie 3 ou 4 sil est
122
SAFEBOOK 4
Systmes de commande de scurit, considrations
relatives la structure
mont en double et quune fonction de diagnostic est assure par un relais de surveillance de
scurit.
Lanalyse de scurit implique lanalyse approfondie des dfauts potentiels. Une anticipation
trs prcise du comportement du systme de scurit en cas dapparition de ces dfauts sera
galement ncessaire. Les normes ISO 13849-1 et ISO 13849-2 fournissent des dtails sur
les critres et les exclusions de dfauts.
Si un dfaut produit la dfaillance en srie dautres composants, ce dfaut dorigine et tous les
autres dfauts conscutifs seront considrs comme un seul et mme dfaut.
Si plusieurs dfauts rsultent dune mme cause, ces diffrents dfauts seront considrs
comme un seul et mme dfaut. Cest ce quon appelle une dfaillance de cause commune.
Lapparition de plusieurs dfauts simultans est considre comme trs improbable. Elle ne
sera pas prise en considration dans cette analyse. On postule habituellement quun seul
dfaut pourra se produire entre les sollicitations de la fonction de scurit, condition que
les intervalles entre les appels de cette fonction ne soient pas trop longs.
Exclusions de dfauts
Lancienne norme EN 954-1, et les normes plus rcentes EN ISO 13849-1 et CEI 62061
permettent toutes de recourir lexclusion de dfauts dans le processus de dtermination
de la classe dun systme de scurit, sil peut tre dmontr que lapparition de ces dfauts
particuliers est extrmement improbable. Lorsque des exclusions de dfauts sont ainsi
ralises, il est important quelles soient rigoureusement justifies et quelles soient valables
pour toute la dure de vie du systme de scurit. Plus le niveau de risque gr par le systme
de scurit est lev, plus la justification requise pour lexclusion dun dfaut devra tre stricte.
Ceci a toujours provoqu une certaine confusion sur les types de dfauts pouvant tre exclus
ou non. Comme nous lavons dj vu dans ce chapitre, les rcentes versions des normes et
leurs documents dapplication ont apport des clarifications sur certains aspects de ce
problme.
En gnral, lorsquun niveau PLe ou SIL 3 est requis pour la mise en uvre dune fonction de
scurit par un systme de scurit, il nest pas normal de jouer uniquement sur les exclusions
de dfauts pour obtenir ce niveau de performance. Cela dpendra de la technologie utilise et
de lenvironnement de travail prvu. Il est donc essentiel que les concepteurs attachent une
importance accrue la dfinition des exclusions de dfauts lorsque les exigences de niveau
123
SAFEBOOK 4
Systmes de commande de scurit pour machines
PL ou SIL augmentent. Par exemple, une exclusion de dfauts ne pourra pas tre utilise sur
le ct mcanique des dtecteurs de position lectromcaniques et des interrupteurs manuels
(par exemple, un dispositif darrt durgence) afin dobtenir une classification PLe ou SIL 3 du
systme. Les exclusions de dfaut susceptibles dtre attaches des conditions de dfaut
mcanique particulires (par exemple, lusure, la corrosion, les ruptures) sont dfinies dans le
tableau A.4 de la norme ISO 13849-2. Par exemple, un systme dinterverrouillage de grille
devant garantir un niveau PLe ou SIL 3 devra avoir un facteur de tolrance aux dfauts mini-
mum de 1 (par exemple, en utilisant deux dtecteurs de position mcaniques conventionnels).
Il nest en effet normalement pas admissible dexclure des dfauts tels que des ruptures
dactionneurs de contacts ce niveau de performance. Cependant, il peut tre envisag
dexclure des dfauts, comme un court-circuit dans le cblage dun panneau de commande
conu conformment aux normes applicables.
Des informations complmentaires sur les exclusions de dfauts seront fournies par la
prochaine rvision de la norme EN ISO 13849-2.
Lorsquon parle de systme de commande de scurit, le terme Catgorie est utilis dans
deux significations diffrentes, ce qui cre une confusion regrettable. Jusqu prsent, nous
avons principalement parl des catgories de scurit telles quelles ont t dfinies par la
norme EN 954-1. Elles correspondent une classification des performances dun systme de
scurit par rapport certaines conditions de dfaut.
Mais, il existe galement une classification dite des catgories darrt dfinie par les
normes CEI/EN 60204-1 et NFPA 79. Elle consiste en trois Catgories darrt.
Il est noter que seules les catgories darrt 0 ou 1 peuvent tre utilise en cas darrt
durgence. Le choix entre ces deux catgories doit tre dtermin par lvaluation des risques.
Tous les exemples de circuits prsents jusqu prsent dans ce chapitre utilisaient une
Catgorie darrt 0. Une Catgorie darrt 1 aurait ncessit une sortie temporise sur le relais
de coupure dalimentation terminal. Une grille verrouillage de scurit est souvent associe
un dispositif darrt de Catgorie 1. Ceci permet de maintenir cette grille en position ferme
tant que la machine nest pas rendue ltat de scurit (cest dire, totalement arrte).
124
SAFEBOOK 4
Systmes de commande de scurit, considrations
relatives la structure
Arrter une machine sans se proccuper du type dautomate programmable utilis peut
affecter le redmarrage et entraner une dtrioration grave des outils et de la machine.
Un automate standard (non class de scurit) ne peut pas en effet tre utilis pour une
fonction darrt de scurit. Par consquent, dautres solutions doivent tre envisages.
Un relais de scurit avec des sorties action instantane et temporise est utilis. Les
sorties action instantane sont raccordes aux entres du dispositif programmable (par
exemple, lautomate) et les sorties temporises sont raccordes au contacteur. Lorsque
linterrupteur de scurit est actionn, les sorties instantanes du relais de scurit changent
dtat, indiquant au systme programmable quil peut procder larrt selon la squence
normale. Aprs quun dlai court mais suffisant pour lexcution de ce processus se soit
coul, la sortie temporise du relais de scurit change dtat et coupe le contacteur
principal.
Les fonctions logiques et de temporisation ncessaires peuvent tre mises en uvre facile-
ment laide dun automate (de scurit) ayant un niveau dintgrit de scurit appropri.
En pratique, cest ce que ralise un automate de scurit comme le SmartGuard ou le
GuardLogix.
Aux tats-Unis, les exigences concernant les systmes de commande de scurit sont
dcrites dans un certain nombre de normes diffrentes. Deux dentre elles mergent particuli-
rement : lANSI B11.TR3 et lANSI R15.06. Le rapport technique ANSI B11.TR3 dfinit ainsi
quatre niveaux qui sont caractriss par leur capacit de rduction des risques. Les caractris-
tiques de ces diffrents niveaux sont prsentes la suite.
Selon la norme ANSI B11.TR3, les dispositifs de protection fournissant le niveau de rduction
des risques le plus faible incluent les dispositifs lectriques, lectroniques, hydrauliques ou
pneumatiques ainsi que les systmes de commande associs utilisant une configuration
mono-voie. Lobligation dutiliser des dispositifs de scurit homologus est implicite dans
la liste des rquisitions. Ceci correspond trs troitement la Catgorie 1 de la norme
ISO 13849-1.
125
SAFEBOOK 4
Systmes de commande de scurit pour machines
Selon la norme ANSI B11.TR3, les dispositifs de protection fournissant le niveau de rduction
des risques intermdiaire/faible incluent les systmes de commande redondants pouvant tre
contrls manuellement afin de vrifier le bon fonctionnement du systme de scurit. Si lon
sen tient strictement aux exigences de base pour ce niveau, le systme doit utiliser une
redondance simple. Lutilisation dune fonction de vrification nest pas obligatoire. Sans cette
fonction de vrification, lun des composants de scurit redondants pourra tomber en panne
et le systme de scurit ne sen apercevra pas. Ceci revient donc un systme mono-voie.
Ce niveau de rduction des risques correspondra donc la Catgorie 2 lorsquil utilise une
fonction de vrification.
Selon la norme ANSI B11.TR3, les dispositifs de protection fournissant le niveau de rduction
des risques intermdiaire/lev incluent les systmes de commande redondants avec auto-
contrle au dmarrage, afin de vrifier le bon fonctionnement du systme de scurit. Pour
les machines qui sont dmarres chaque jour, cette procdure dauto-contrle apporte une
amlioration significative de lintgrit de scurit par rapport aux systmes purement
redondants. Pour les machines qui fonctionnent 24 heures par jour 7 jours sur 7, lauto-
contrle napportera au mieux quune amlioration marginale. Lutilisation dun systme de
contrle priodique du systme de scurit permet dassimiler ces exigences celles de la
Catgorie 3.
La norme ANSI B11.TR3 confre le niveau le plus lev de rduction des risques aux systmes
de commande redondants auto-contrle permanent. La procdure dauto-contrle doit vrifier
en permanence le bon fonctionnement du systme de scurit. Le dfi pour le concepteur du
systme de scurit sera donc de dfinir ce qui doit tre contrl en permanence. De nombreux
systmes de scurit neffectuent leurs vrifications quau dmarrage et lorsquune requte est
adresse au systme de scurit.
126
SAFEBOOK 4
Systmes de commande de scurit, considrations
relatives la structure
Les normes relatives aux robots aux tats-Unis (lANSI RIA R15.06) et au Canada (la
CSA Z434-03) sont trs similaires. Toutes deux possdent quatre niveaux, similaires aux
Catgories de la norme EN 954-1:1996, et qui sont dcrits ci-dessous.
Simple
Mono-voie
Bien que les systmes de type matriel aient t traditionnellement la mthode privilgie de
protection des robots, les dispositifs de type logiciel/firmware deviennent une option de plus
en plus retenue en raison de leur capacit prendre en charge des systmes complexes. Les
dispositifs de type logiciels/firmware (contrleurs logiques programmables ou automates de
scurit) sont autoriss condition dtre homologus de scurit. Cette homologation impose
que la dfaillance dun seul composant ou du firmware de scurit nentrane pas la perte de
la fonction de scurit. Lorsquun dfaut est dtect, toute poursuite du fonctionnement
automatique du robot est empche jusqu ce que le dfaut soit acquitt.
127
SAFEBOOK 4
Systmes de commande de scurit pour machines
Pour obtenir sa classification de scurit, le dispositif logiciel/firmware doit tre test par un
laboratoire agr par rapport une norme en vigueur. Aux tats-Unis, lOSHA tient jour une
liste des laboratoires dessai agrs au niveau national ( NRTL ). Au Canada, le Conseil
canadien des normes (CCN) tient jour une liste similaire.
Cette fonction de contrle doit autoriser le fonctionnement lorsquaucune panne nest dtecte
ou elle doit gnrer une commande darrt dans lautre cas. Une alarme doit tre mise si une
source de danger persiste aprs la cessation du mouvement. Lopration de contrle ne doit,
bien videmment, pas crer de situation dangereuse par elle-mme. Aprs une dtection de
dfaut, le robot doit demeurer ltat de scurit tant que ce dfaut nest pas rectifi. Le
niveau Mono-voie avec surveillance se rapproche le plus de la Catgorie 2 de la norme
EN 954-1:1996.
Fiabilit de commande
Le plus haut niveau de rduction des risques selon les normes applicables aux robots, aux
tats-Unis comme au Canada, est obtenu par des systmes de commande de scurit
respectant des critres de fiabilit de commande. Les systmes de commande de scurit
garantissant la fiabilit de commande sont des architectures double voie avec surveillance.
La fonction darrt du robot ne doit pas tre empche par la dfaillance dun seul composant,
y compris de la fonction de surveillance elle-mme.
Cette fonction de surveillance doit gnrer une commande darrt lors de la dtection dun
dfaut. Une alarme doit tre mise si une source de danger persiste aprs la cessation du
mouvement. Le systme de scurit doit demeurer ltat de scurit tant que le dfaut nest
pas rectifi. Il est prfrable que le dfaut soit dtect lors de son apparition. Si cela nest pas
possible obtenir, ce dfaut devra tre dtect lors de la sollicitation suivante du systme de
scurit. Les dfaillances de cause commune doivent tre prises en considration sil existe
une probabilit significative quelles se produisent.
Au Canada, il existe deux exigences supplmentaires par rapport aux tats-Unis. Premire-
ment, les systmes de commande de scurit doivent tre indpendants des systmes de
commande programmables standard. Deuximement, le systme de scurit ne doit pas
pouvoir tre facilement dsactiv ou contourn sans que cela soit dtect.
128
SAFEBOOK 4
Systmes de commande de scurit, considrations
relatives la structure
Laspect le plus important de ce concept de fiabilit de commande est la tolrance aux dfauts.
Les textes indiquent comment le systme de scurit doit ragir en prsence dun seul
dfaut , de tout dfaut unique ou de toute dfaillance dun seul composant .
Il en dcoule trois considrations trs importantes concernant les dfauts : (1) Tous les dfauts
ne sont pas ncessairement dtects, (2) lajout du mot composant soulve la question du
cblage et (3) ce cblage fait partie intgrante du systme de scurit. Les erreurs de cblage
peuvent entraner la perte de la fonction de scurit.
129
SAFEBOOK 4
Systmes de commande de scurit pour machines
Caractristiques et avantages
Les E/S standard et de scurit peuvent tre regroupes sur un adaptateur Ethernet
unique.
Lapplication dcrite ici peut tre largie et incorpore dans une application client.
Description
Cette applications est destine la surveillance de deux zones. Chacune de ces zones est
protge par un interrupteur de scurit SensaGuard. Si lune des grilles est ouverte, les
contacteurs de sortie sont dsactivs, ce qui arrtera toute machine appartenant cette zone.
Le rarmement est manuel. Les deux zones sont galement protges par un interrupteur
darrt durgence gnral. Si cet arrt durgence est actionn, les deux jeux de contacteurs
sont dsactivs.
Fonction de scurit
Chaque interrupteur de scurit SensaGuard est raccord une paire dentres de scurit
sur un module 1734-IB8S (POINTGuard I/O). Ce module dE/S communique avec lautomate
de scurit Compact GuardLogix (1768-L43S) via le protocole CIP Safety sur un rseau
EtherNet/IP. Le programme de scurit du processeur de scurit contrle ltat des entres
de scurit au moyen dune instruction de scurit pr-certifie dnomme DCS (Dual Chan-
nel Input Stop Entre darrt deux voies). Ce programme de scurit est excut en paral-
lle dans le cadre dune architecture 1oo2 . Lorsque toutes les conditions sont remplies, la
130
SAFEBOOK 4
Exemple dapplication utilisant SISTEMA
grille de scurit de trouve ferme, aucun dfaut nest dtect sur les modules dentre, larrt
durgence gnral nest pas dclench, et le bouton-poussoir de rarmement est enfonc. Un
deuxime bloc fonctionnel certifi dnomm CROUT (Configurable Redundant Output sortie
redondante configurable) contrle ltat des dispositifs de commande terminaux constitus par
une paire de contacteurs redondants type 100S. Lautomate renvoie alors un signal de sortie
au module 1734-OBS pour activer une paire de sorties destines activer les contacteurs de
scurit. La fonction darrt durgence gnrale est galement contrle par une instruction
DCS. Si larrt durgence gnral est actionn, il coupe lalimentation des deux zones.
Nomenclature
Interrupteur SensaGuard
440N-Z21SS2A 2
Plastique, RFID, sans contact
131
SAFEBOOK 4
Systmes de commande de scurit pour machines
Installation et cblage
Pour des informations plus dtailles sur linstallation et le cblage, on se reportera aux manuels
fournis avec les produits ou tlchargeables sur : http://literature.rockwellautomation.com
Aperu du systme
Le module dentres 1734-IB8S surveille les entres des deux interrupteurs SensaGuard.
Le SensaGuard utilise des sorties OSSD qui ralisent un test priodique des sorties. Ainsi, ce
sont les sorties OSSD qui vrifient lintgrit du cblage entre linterrupteur SensaGuard et les
entres de scurit.
Les sorties utilises pour les tests impulsion sont configures en sources 24 V.
Le dispositif de commande terminal est constitu par une paire de contacteurs de scurit type
100S, reprs K1 et K2. Ces contacteurs sont commands par lintermdiaire du module de
sortie de scurit 1734-OBS. Ils sont cbls en redondance et sont tests au dmarrage afin
de dtecter tout dfaut ventuel. Ce test de dmarrage consiste v8rifier le circuit de retour
sur lentre 2 (I2), avant que les contacteurs ne soient activs. Pour cela, une instruction de
sortie redondante configurable CROUT est utilise. Le systme est rarm par le bouton-
poussoir impulsion, PB1.
Cblage
Blanc Blanc
I2 I3 16 17 I2 I3
Interrupteur
Interrupteur
Actionneur
Actionneur
Rose Rose
Gris Gris
Bleu Bleu COM COM COM COM COM COM
Marron Marron
Rouge Rouge T0 T1 T2 T3M T0 T1
Jaune Jaune
O0 O1 O4 O5
K1 K3
O2 O3 O6 O7
K2 K4
1734-OB8S
132
SAFEBOOK 4
Exemple dapplication utilisant SISTEMA
Configuration
Lautomate Compact GuardLogix est configur laide du logiciel RSLogix 5000, version 18
ou suprieure. Il convient dabord de crer un nouveau projet et y ajouter les modules dE/S.
Puis, on configurera ces modules dE/S pour les types dentres et de sorties adquats. Ce
document na pas pour objet de fournir la description dtaille de chacune de ces tapes. La
connaissance de lenvironnement de programmation RSLogix est prsuppose.
133
SAFEBOOK 4
Systmes de commande de scurit pour machines
4. Donner un nom au module, taper son adresse IP, puis cliquer sur OK. Nous utilisons
ladresse 192.168.1.8 dans cet exemple. Mais la vtre pourra tre diffrente.
134
SAFEBOOK 4
Exemple dapplication utilisant SISTEMA
5. Ajouter ladaptateur 1734-AENT en cliquant avec le bouton droit de la souris sur le module
1768-ENBT dans la fentre Controller Organizer (arborescence de lautomate) et en
slectionnant New Module (nouveau module).
135
SAFEBOOK 4
Systmes de commande de scurit pour machines
7. Donner un nom au module, taper son adresse IP, puis cliquez sur OK. Nous utilisons
ladresse 192.168.1.11 dans cet exemple. Mais la vtre pourra tre diffrente.
136
SAFEBOOK 4
Exemple dapplication utilisant SISTEMA
12. Dans la bote de dialogue New Module (nouveau module), nommer le dispositif
CellGuard_1 et cliquer sur Change (modifier).
137
SAFEBOOK 4
Systmes de commande de scurit pour machines
13. Lorsque la bote de dialogue Module Definition (dfinition du module) souvre, rgler
le champ Input Status (tat dentre) sur Combined Status-Power (tat-alimentation
combins) et cliquer sur OK.
Suivre cette procdure pour la configuration dun module dE/S POINT Guard I/O.
138
SAFEBOOK 4
Exemple dapplication utilisant SISTEMA
3. Cliquer sur Test Output (sortie de test) et configurer le module comme illustr.
7. Cliquer sur Test Output (sortie de test) et configurer le module comme illustr.
139
SAFEBOOK 4
Systmes de commande de scurit pour machines
140
SAFEBOOK 4
Exemple dapplication utilisant SISTEMA
Programmation
Linstruction Entre darrt deux voies DCS contrle les dispositifs de scurit double
entre dont la fonction principale est dassurer larrt de scurit dune machine. Ce pourront
tre, par exemple, un arrt durgence, une barrire immatrielle ou une grille de protection.
Linstruction peut activer la sortie 1 ( Output 1 ) uniquement lorsque les deux voies dentre
de scurit ( Channel A et Channel B ) sont actives, conformment la dfinition du
paramtre Input Type (type dentre), et que les actions de rarmement adquates ont
t excute. Linstruction DCS contrle la cohrence entre les deux voies dentre ( Equiva-
lent Active High ), puis dtecte et pige les dfauts lorsquune incohrence est dtecte
pendant une dure suprieure au temps de divergence configur (en ms). Linstruction de sor-
tie redondante configurable CROUT commande et contrle les sorties redondantes. Le temps
de rponse du retour de sortie est configurable. Linstruction prend en charge les signaux de
retour positifs et ngatifs.
141
SAFEBOOK 4
Systmes de commande de scurit pour machines
Donnes de fonctionnement
Lorsquelles sont configures correctement, toute les fonctions de scurit peut tre affectes
dune classification de scurit PLe, CAT 4 conformment la norme EN ISO 13849.1 2008.
Les calculs sont bass sur un fonctionnement de 16 heures par jour pendant 360 jours par
an avec manuvre de la grille de protection une fois par heure. Ceci donne un total de
5 760 manuvres par an. La fonction darrt durgence gnrale est teste une fois par mois.
142
SAFEBOOK 4
Exemple dapplication utilisant SISTEMA
Chacune des fonctions relatives la grille de protection peut tre reprsente comme
ci-dessous.
K1
100S
SensaGuard
1734-IB8S 1768-L43S 1734-OB8S
SS1
K2
100S
143
SAFEBOOK 4
Systmes de commande de scurit pour machines
ArUrgence 1 K1
S1 100S
ArUrgence 1 K2
S2 100S
Cet exemple, son fichier de calcul SISTEMA et le programme dapplication pour RSLogix 5000
peuvent tre tlchargs ladresse :
www.discoverrockwellautomation.com
144
SAFEBOOK 4
Exemple dapplication utilisant SISTEMA
Pour plus dinformations sur les produits utiliss dans cet exemple, se rfrer la bibliothque
de documentations en ligne de Rockwell Automations en utilisant les numros de publication
indiqus ci-dessous. Le site www.ab.com fournit galement un aperu gnral des produits.
Publication Description
Jeu doutils Safety Accelerator Toolkit pour Guide de prise en main tape par tape
systmes de scurit GuardLogix des outils de conception, de programmation
Guide de mise en route et de diagnostic du kit Safety Accelerator
Publication : IASIMP-QS005 Toolkit.
Des calculs SISTEMA et des programmes dapplication RSLogix 5000 sont disponibles pour
certaines applications. Ils peuvent tre tlchargs ladresse :
www.discoverrockwellautomation.com
145
Probabilit moyenne de dfaillance dangereuse par heure (1/h) et niveau de performance (PL) correspondant
MTTFd pour
chaque voie Cat. B PL Cat. 1 PL Cat. 2 PL Cat. 2 PL Cat. 3 PL Cat. 3 PL Cat. 4 PL
en annes
DCmoy. = nul DCmoy. = nul DCmoy. = faible DCmoy. = moyen DCmoy. = faible DCmoy. = moyen DCmoy. = lev
3 3,80 x 105 a 2,58 x 105 a 1,99 x 105 a 1,26 x 105 a 6,09 x 106 b
5 5 5 5 6
3,3 a a a a b
SAFEBOOK 4
3,9 2,93 x 105 a 1,95 x 105 a 1,48 x 105 a 9,37 x 106 b 4,40 x 106 b
4,3 2,65 x 105 a 1,76 x 105 a 1,33 x 105 a 8,39 x 106 b 3,89 x 106 b
5 5 5 6 6
4,7 2,43 x 10 a 1,60 x 10 a 1,20 x 10 a 7,58 x 10 b 3,48 x 10 b
5 5 5 6 6
5,1 2,24 x 10 a 1,47 x 10 a 1,10 x 10 a 6,91 x 10 b 3,15 x 10 b
5 5 6 6 6
5,6 2,04 x 10 a 1,33 x 10 a 9,87 x 10 b 6,21 x 10 b 2,80 x 10 c
146
5 5 6 6 6
6,2 1,84 x 10 a 1,19 x 10 a 8,80 x 10 b 5,53 x 10 b 2,47 x 10 c
6,8 1,68 x 105 a 1,08 x 105 a 7,93 x 106 b 4,98 x 106 b 2,20 x 106 c
7,5 1,52 x 105 a 9,75 x 106 b 7,10 x 106 b 4,45 x 106 b 1,95 x 106 c
5 6 6 6 6
8,2 1,39 x 10 a 8,87 x 10 b 6,43 x 10 b 4,02 x 10 b 1,74 x 10 c
5 6 6 6 6
9,1 1,25 x 10 a 7,94 x 10 b 5,71 x 10 b 3,57 x 10 b 1,53 x 10 c
5 6 6 6 6
10 1,14 x 10 a 7,18 x 10 b 5,14 x 10 b 3,21 x 10 b 1,36 x 10 c
11 1,04 x 105 a 6,44 x 106 b 4,53 x 106 b 2,81 x 106 c 1,18 x 106 c
12 9,51 x 105 b 5,84 x 106 b 4,04 x 106 b 2,49 x 106 c 1,04 x 106 c
5 6 6 6 7
13 8,78 x 10 b 5,33 x 10 b 3,64 x 10 b 2,23 x 10 c 9,21 x 10 d
6 6 6 6 7
15 7,61 x 10 b 4,53 x 10 b 3,01 x 10 b 1,82 x 10 c 7,44 x 10 d
Systmes de commande de scurit pour machines
6 6 6 6 7
16 7,31 x 10 b 4,21 x 10 b 2,77 x 10 c 1,67 x 10 c 6,76 x 10 d
Probabilit moyenne de dfaillance dangereuse par heure (1/h) et niveau de performance (PL) correspondant
MTTFd pour
chaque voie Cat. B PL Cat. 1 PL Cat. 2 PL Cat. 2 PL Cat. 3 PL Cat. 3 PL Cat. 4 PL
en annes
DCmoy. = nul DCmoy. = nul DCmoy. = faible DCmoy. = moyen DCmoy. = faible DCmoy. = moyen DCmoy. = lev
18 6,34 x 106 b 3,68 x 106 b 2,37 x 106 c 1,41 x 106 c 5,67 x 107 d
6 6 6 6 7
20 5,71 x 10 b 3,26 x 10 b 2,06 x 10 c 1,22 x 10 c 4,85 x 10 d
6 6 6 6 7
22 5,19 x 10 b 2,93 x 10 c 1,82 x 10 c 1,07 x 10 c 4,21 x 10 d
24 4,76 x 106 b 2,65 x 106 c 1,62 x 106 c 9,47 x 107 d 3,70 x 107 d
27 4,23 x 106 b 2,32 x 106 c 1,39 x 106 c 8,04 x 107 d 3,10 x 107 d
6 6 6 7 7
30 3,80 x 10 b 2,06 x 10 c 1,21 x 10 c 6,94 x 10 d 2,65 x 10 d 9,54 x 108 e
6 6 6 7 7 8
33 3,46 x 10 b 1,85 x 10 c 1,06 x 10 c 5,94 x 10 d 2,30 x 10 d 8,57 x 10 e
6 6 7 7 7 8
36 3,17 x 10 b 1,67 x 10 c 9,39 x 10 d 5,16 x 10 d 2,01 x 10 d 7,77 x 10 e
6 6 7 7 7 8
39 2,93 x 10 c 1,53 x 10 c 8,40 x 10 d 4,53 x 10 d 1,78 x 10 d 7,11 x 10 e
147
43 2,65 x 106 c 1,37 x 106 c 7,34 x 107 d 3,87 x 107 d 1,54 x 107 d 6,37 x 108 e
47 2,43 x 106 c 1,24 x 106 c 6,49 x 107 d 3,35 x 107 d 1,34 x 107 d 5,76 x 108 e
6 6 7 7 7 8
51 2,24 x 10 c 1,13 x 10 c 5,80 x 10 d 2,93 x 10 d 1,19 x 10 d 5,26 x 10 e
6 6 7 7 7 8
56 2,04 x 10 c 1,02 x 10 c 5,10 x 10 d 2,52 x 10 d 1,03 x 10 d 4,73 x 10 e
6 7 7 7 8 8
62 1,84 x 10 c 9,06 x 10 d 4,43 x 10 d 2,13 x 10 d 8,84 x 10 e 4,22 x 10 e
68 1,68 x 106 c 8,17 x 107 d 3,90 x 107 d 1,84 x 107 d 7,68 x 108 e 3,80 x 108 e
75 1,52 x 106 c 7,31 x 107 d 3,40 x 107 d 1,57 x 107 d 6,62 x 108 e 3,41 x 108 e
6 7 7 7 8 8
82 1,39 x 10 c 6,61 x 10 d 3,01 x 10 d 1,35 x 10 d 5,79 x 10 e 3,08 x 10 e
6 7 7 7 8 8
91 1,25 x 10 c 5,88 x 10 d 2,61 x 10 d 1,14 x 10 d 4,94 x 10 e 2,74 x 10 e
6 7 7 7 8 8
100 1,14 x 10 c 5,28 x 10 d 2,29 x 10 d 1,01 x 10 d 4,29 x 10 e 2,47 x 10 e
EN ISO 13849-1:2008
Conception de systme selon la norme
SAFEBOOK 4
SAFEBOOK 4
Systmes de commande de scurit pour machines
148
SAFEBOOK 4
SAFEBOOK 4 Systmes de commande de scurit pour machines/Principes, normes et mise en uvre
R
Systmes de commande de
scurit pour machines
Principes, normes et mise en uvre
Publication : SAFEBK-RM002B-FR-P Mars 2011 2011 Rockwell Automation, Inc. Tous droits rservs.
Remplace la publication : SAFEBK-RM002A-FR-P