RockWell Automation (2011) - Safebook 4 - Systèmes de Commande de Sécurité Pour Machines (Principes, Normes Et Mise en Oeuvre)

SAFEBOOK 4
SAFEBOOK 4 Systmes de commande de scurit pour machines/Principes, normes et mise en uvre

R
Systmes de commande de
scurit pour machines
Principes, normes et mise en uvre
Publication : SAFEBK-RM002B-FR-P Mars 2011 2011 Rockwell Automation, Inc. Tous droits rservs.
Remplace la publication : SAFEBK-RM002A-FR-P
SAFEBOOK 4
Systmes de commande de scurit pour machines
Table des matires

Chapitre 1 Rglementations ............................................................................................ 2
Directives et Lgislation de lUE, directive Machines, directive relative lutilisation des
quipements de travail, rglementations des tats-Unis, Occupational Safety and Health
Administration des tats-Unis et rglementations canadiennes
Chapitre 2 Normes .......................................................................................................... 18

ISO (Organisation internationale de normalisation), CEI (Commission lectrotechnique
Internationale), normes europennes harmonises (EN), normes des tats-Unis, normes
OSHA, normes ANSI, normes canadiennes et normes australiennes
Chapitre 3 Stratgie de scurit .................................................................................... 23

valuation des risques, dtermination des limites de la machine, identification des tches
et des dangers, estimation du niveau et rduction du risque, scurit inhrente la
conception, systmes et mesures de protection, valuation, formation, quipements de
protection individuelle et normes
Chapitre 4 Mesures de protection et quipement complmentaire ........................... 36

Interdictions daccs, protections fermes fixes, dtection daccs, produits et systmes
de scurit
Chapitre 5 Calculs de distance de scurit .................................................................. 59

Formules, recommandations et application de solutions utilisant des calculs de distance
de scurit la commande de scurit de composants en mouvement potentiellement
dangereux
Chapitre 6 Prvention des remises sous tension accidentelles ................................ 63

Systmes de condamnation/signalisation, disolation de scurit, de dconnexion de
charge, cl captive et procdures alternatives la condamnation
Chapitre 7 Systmes de commande de scurit et scurit fonctionnelle ............... 65

Introduction : en quoi consiste la scurit fonctionnelle ?. Normes CEI/EN 62061 et
EN ISO 13849-1:2008, SIL et CEI/EN 62061, PL et EN ISO 13849-1:2008, comparaison
des niveaux PL et SIL
Chapitre 8 Conception de systme selon la norme EN ISO 13849-1:2008 ............... 71

Architectures pour systmes de scurit (structures), temps de mission, dure moyenne de
fonctionnement avant dfaillance dangereuse (MTTFd), taux de couverture des tests de
diagnostic (DC), dfaillance de cause commune (CCF), dfaillance systmatique, niveau
de performance (PL), conception et combinaisons de sous-systmes, validation, mise en
service de machine et exclusion de dfauts
Chapitre 9 Conception de systme selon la norme CEI/EN 62061 ............................ 94

Conception de sous-systme CEI/EN 62061, effets de lintervalle entre les tests de
validit, analyse de leffet des dfaillances de cause commune, mthodologie de transition
depuis les Catgories, contraintes architecturales, paramtres B10 et B10d, dfaillance
de cause commune (CCF), taux de couverture des tests de diagnostic (DC), tolrance
aux dfauts matriels, gestion de la scurit fonctionnelle, probabilit de dfaillance
dangereuse (PFHd), intervalle entre tests de validit, proportion de dfaillances non
dangereuses (SFF) et dfaillance systmatique
Chapitre 10 Systmes de commande de scurit, considrations relatives

la structure .............................................................................................. 106
Prsentation, catgories de systmes de commande, dfauts non dtects, classification
des composants et des systmes, considrations relatives aux dfauts, exclusion de
dfauts, catgories darrt selon les normes CEI/EN 60204-1 et NFPA 79, exigences
relatives aux systme de commande de scurit aux USA, normes relatives aux robots :
tats-Unis et Canada
Chapitre 11 Exemple dapplication utilisant SISTEMA ............................................... 130

Exemple dutilisation de loutil de calcul du niveau de performance SISTEMA avec la
bibliothque de produits Rockwell Automation pour SISTEMA
1
SAFEBOOK 4
Directives et Lgislation de lUE

Le but de ce chapitre est de servir de guide de rfrence toutes les personnes concernes
par la scurit des machines, notamment par les systmes de protection physique et de
scurit utiliss dans lUnion Europenne. Il sadresse aussi bien aux concepteurs quaux
utilisateurs dquipements industriels.
Afin de promouvoir le concept de march ouvert au sein de lEEE (lespace conomique

europen qui comprend tous les tats membres de lUE plus trois autres pays), tous les tats
membres ont lobligation de promulguer des lois dfinissant des exigences de scurit
essentielles concernant les machines et leur utilisation.
Des machines ne se conformant pas ces exigences ne peuvent tre fournies ou importes
dans les pays de lEEE.
Il existe plusieurs directives europennes concernant la scurit des machines et des

quipements industriels. Mais les deux qui sont les plus directement applicables sont :
1 La Directive Machines
2 La directive relative lutilisation des quipements de travail
Ces deux directives sont troitement lies par le fait que les exigences essentielles de sant
et de scurit (EESS) dfinies par la Directive Machines peuvent galement tre utilises
pour apprcier la scurit des quipements dans le cadre de la directive sur lutilisation des
quipements de travail.
Ce chapitre prsente les diffrents aspects de ces deux directives. Il est fortement conseill
toute personne concerne par la conception, la fourniture, lachat ou lutilisation dun
quipement industriel dans un pays de lEEE (et galement dans certains autres pays), dtre
familiarise avec leurs critres. Tous les fournisseurs ou utilisateurs de machines dans les
pays concerns risquent en effet de se voir refuser la livraison ou lutilisation de leurs
quipements sils ne se conforment pas ces directives.
Il existe galement dautres directives europennes ayant rapport aux machines. La plupart
dentre elles concernent en gnral un domaine dapplication particulier. Elles ne sont donc
pas prises en considration dans le cadre de ce chapitre. Mais il est important de noter que
leurs exigences doivent galement tre respectes lorsquelles sont applicables. Cest le cas,
par exemple : de la directive CEM 2004/108/CE et de la directive ATEX 94/9/CE.
2
SAFEBOOK 4
Rglementations
La Directive Machines
La Directive Machines rglemente la fourniture de nouvelles machines et autres quipements
incorporant des composants de scurit. La livraison de machines non conformes aux
exigences de cette directive sur le territoire de lunion europenne constitue une infraction.
Une dfinition extrmement large du terme machines est fournie par la directive :
ensemble, quip ou destin tre quip dun systme dentranement autre que la force
humaine ou animale applique directement, compos de pices ou dorganes relis entre eux
et dont au moins un est mobile, et qui sont assembls solidairement en vue dune application
spcifique .
La Directive Machines actuelle (2006/42/CE)

a remplac la version prcdente (98/37/CE)
fin 2009. Elle apporte des clarifications et
des amendements, mais nintroduit pas
de modifications radicales des exigences
essentielles de sant et de scurit (EESS)
dorigine. Elle introduit quelques modifications
destines tenir compte des volutions
technologiques et mthodologiques. Elle
largit son champ dapplication un plus
Marquage CE de la machine grand nombre de familles dquipements (par
exemple, les engins de levage destins aux
chantiers de construction). Elle introduit par ailleurs explicitement lexigence dune valuation
des risques afin de dterminer les EESS applicables. De mme, elle apporte des modifications
aux procdures dvaluation de conformit pour les quipements de lAnnexe IV.
Les dispositions cls de la directive originale (98/37/CE) taient entres en vigueur le

1 janvier 1995 pour les machines et le 1 janvier 1997 pour les composants de scurit.
er er
Les dispositions de la directive actuelle (2006/42/CE) sont en vigueur depuis le 29 dcembre

2009. Le fabricant ou son reprsentant agr a la responsabilit de sassurer que lquipement
fourni est conforme la directive. Cela inclut :
la vrification que les exigences essentielles de sant et de scurit (EESS)

applicables, telles que figurant dans lAnnexe I de la directive, sont remplies ;
ltablissement dun dossier technique ;
la ralisation dune valuation de conformit approprie ;
la fourniture dune dclaration de conformit CE ;
lapposition du marquage CE, le cas chant ;
la fourniture dinstructions dutilisation de scurit.
3
SAFEBOOK 4
Exigences essentielles de sant et de scurit

LAnnexe 1 de la directive fournit une liste
dexigences essentielles de sant et de scurit
(dsignes par EESS) auxquelles les machines
doivent se conformer lorsque concernes.
Lobjectif de cette liste est de sassurer que les
machines prsentent les caractristiques de
scurit requises ; notamment quelles sont
conues et fabriques de faon garantir
durant toutes les phases de leur existence un
fonctionnement et la ralisation dinterventions
de rglage et de maintenance qui ne risquent
La machine doit respecter les EESS
pas de porter atteinte la scurit des
personnes. Les paragraphes qui suivent donnent un bref aperu des exigences les plus
typiques. Mais il est important de considrer lensemble des EESS listes lAnnexe 1.
Une valuation des risques doit tre ralise afin de dterminer lesquelles de ces EESS sont
applicables lquipement concern.
Les EESS de lAnnexe 1 fournissent une hirarchie des mesures destines liminer les
risques :
(1) Scurit inhrente la conception. Chaque fois que cest possible, la prvention des
risques devra tre incluse dans la conception de la machine.
Lorsque cest impossible, des (2) dispositifs de protection complmentaires devront tre
utiliss ; par exemple, des grilles de protection avec points daccs interverrouills, des
barrires immatrielles de scurit, des tapis de dtection, etc.
Tout risque rsiduel ne pouvant tre gr par lune des mthodes ci-dessus devra tre limit
par des (3) quipement de protection individuelle et/ou une formation approprie.
Le fournisseur de la machine doit alors spcifier ce qui est appropri.
Des matriaux adapts lutilisation doivent tre utiliss pour la fabrication. Un clairage
adquat et des accessoires de manutention doivent tre fournis. Les commandes et systmes
de commande doivent prsenter les caractristiques de scurit et de fiabilit requises. Les
machines ne doivent pas avoir la possibilit de redmarrer intempestivement et doivent tre
munies dun ou plusieurs dispositif(s) darrt durgence. Les installations complexes dans
lesquelles des processus amont ou aval sont susceptibles dinterfrer sur la scurit dune
machine, doivent tre prises en compte. La dfaillance dune alimentation ou dun circuit de
commande ne doit pas entraner de situation dangereuse. Les machines doivent tre stables
et capables de supporter les efforts prvisibles. Elles ne doivent pas comporter de rebords ou
de surfaces non protgs, susceptibles de causer des blessures corporelles.
4
SAFEBOOK 4
Rglementations
Des grilles ou des quipement de protection doivent tre utiliss pour prvenir les dangers lis
aux pices en mouvement. Ces dispositifs doivent tre de construction robuste et difficiles
neutraliser. Les dispositifs de protection fixes doivent tre monts de telle manire quils ne
puissent tre dmonts quavec des outils. Les dispositifs de protection amovibles doivent
tre quips dun systme de verrouillage lectrique de scurit. Les dispositifs de protection
rglables doivent pouvoir tre facilement ajusts, sans ncessiter doutils.
Les risques lis aux alimentations lectriques et dautres sources dnergie doivent
galement tre prvenus. Les risques de blessures corporelles dus la temprature, une
explosion, au bruit, aux vibrations, aux poussires, aux gaz ou aux radiations, doivent tre
minimiss au maximum. Des dispositions adaptes doivent tre prises pour la maintenance et
les interventions courantes. Une signalisation suffisante et des dispositifs dalarme doivent tre
prvus. Les machines doivent tre livres avec des instructions dinstallation, dexploitation, de
rglages, etc., garantissant la scurit.
valuation de conformit
Le concepteur ou tout autre organisme spcialis doit tre en mesure dapporter la preuve de
la conformit de la machine aux EESS. Ce dossier doit contenir toutes les informations utiles :
rsultats dessais, plans, caractristiques, etc.
Une norme europenne (EN) harmonise,

RESULTATS
DES TESTS
-------------
publie au Journal Officiel (JO) de lUnion Euro-
----------------
NORMES
---------------
penne sous la rubrique Directive Machines et
----------------
dont la date de prsomption de conformit nest
pas expire, peut confrer une telle prsomption
de conformit certaines EESS (de nombreuses
normes publies rcemment au JO incluent en
effet des tableaux dquivalence indiquant les
EESS couvertes.)
En consquence, lorsque lquipement est

La machine doit respecter les EESS conforme des normes europennes harmoni-
ses en vigueur de ce type, la dmonstration
de conformit aux EESS se trouve grandement simplifie. Le fabricant bnficie galement
dune meilleure prsomption de lgalit. La conformit ces normes nest cependant pas une
exigence lgale. Toutefois, il est vivement conseill de sen servir car il peut savrer extrme-
ment complexe de dmontrer la conformit par dautres moyens. Ces normes, mises par le
CEN (Comit europen de normalisation) en collaboration avec lISO et le CENELEC (Comit
europen de normalisation lectrotechnique) en collaboration avec la CEI, viennent complter
la Directive Machines.
Une valuation approfondie et documente des risques doit tre effectue pour sassurer
que tous les risques potentiels de la machine ont bien t identifis. Par ailleurs, il est de
la responsabilit du fabricant de la machine de sassurer que toutes les EESS sont bien
satisfaites, mme celles qui ne sont pas concernes par les normes EN harmonises.
5
SAFEBOOK 4
Dossier technique
Le fabricant ou son reprsentant doit prparer un dossier technique dmontrant la conformit
de la machine aux EESS. Ce dossier doit contenir toutes les informations utiles : rsultats
dessais, plans, caractristiques, etc.
Il nest pas essentiel que toutes ces informations soient imprimes de faon systmatique.
Mais ce dossier technique doit pouvoir tre prsent en cas dinspection par une autorit
comptente (un organisme mandat par un pays de lUE pour vrifier la conformit des
machines).
Un dossier technique doit comporter au moins les documents suivants :
1. Les plans densemble de lquipement, comprenant les schmas des circuits de

commande.
2. Les plans de dtail, les notes de calcul, etc., ncessaires la vrification de la conformit
de la machine aux EESS.
3. Le document dvaluation des risques, notamment la liste des exigences essentielles de

sant et de scurit auxquelles est soumise la machine et une description des mesures de
protection mises en place.
4. La liste des normes et autres spcifications techniques utilises en rfrence, mentionnant

les exigences essentielles de sant et de scurit concernes.
5. Un descriptif des mthodes adoptes pour supprimer les risques prsents par la
machine.
6. Le cas chant, tout rapport technique ou certificat dlivr par un laboratoire de test ou
tout autre organisme dhomologation.
7. Si la conformit une norme europenne harmonise est dclare, tout rapport technique
attestant le rsultat des essais.
8. Un exemplaire des instructions dutilisation de la machine.
9. Le cas chant, la dclaration dincorporation concernant les lments de la machine

partiellement monts inclus dans la livraison et les notices de montage de ces lments.
10. Le cas chant, les copies des dclarations de conformit CE des lments ou
accessoires externes intgrs la machine.
11. Une copie de la dclaration de conformit CE.
6
SAFEBOOK 4
Rglementations
Pour les machines fabriques en srie, le dtail des mesures internes (systme dassurance
qualit, par exemple) mises en uvre pour sassurer que chaque quipement produit est
conforme aux spcifications :
Le constructeur devra notamment effectuer sur les composants, les assemblages ou

sur la machine termine, toutes les analyses ou essais ncessaires afin de vrifier que
la conception et la construction de cette machine lui permettent dtre installe et mise
en service avec toutes les garanties de scurit.
Le dossier technique ne doit pas ncessairement tre conserv de faon permanente

en un seul tenant. Mais tous ses lments doivent pouvoir tre runis facilement pour
tre prsents dans un dlai raisonnable. Il doit rester consultable pendant dix ans
aprs la production du dernier exemplaire de la machine.
Concernant les sous-ensembles utiliss dans la fabrication de la machine, il nest pas

ncessaire dinclure dans le dossier technique leurs plans dtaills ou autres informations
spcifiques, moins quils soient essentiels pour le contrle de la conformit aux EESS.
valuation de conformit pour les machines relevant de lAnnexe IV

Certains types dquipements sont sujets
des dispositions particulires. Cest le cas des
quipements lists lAnnexe IV de la directive,
dont font partie des machines dangereuses telles
que certaines machines bois, les presses, les
machines de moulage par injection, les quipe-
ments souterrains, les ponts lvateurs pour les
vhicules, etc.
----
---
---- ---- OR
ME
S
er
LAnnexe IV inclut galement certains
---- ------- S N ssi ue
-- EST
T ES LTAT Do hniq
S
c
composants de scurit tels les dispositifs de
D ESU
Te
protection bass sur la dtection de prsence
R
des personnes (ex. : barrires immatrielles)

valuations de la conformit
et les units logiques assurant des fonctions
de scurit.
Dans le cas o une machine relevant de lAnnexe IV ne serait pas en totale conformit avec
les normes europennes harmonises applicables, son fabricant ou le reprsentant agr de
celui-ci doit effectuer lune des procdures suivantes :
1. Contrle de conformit type CE. Un dossier technique doit tre prpar et un exemplaire
de la machine doit tre soumis un organisme agr (laboratoire de test) pour subir un
contrle de conformit CE. Si la machine est juge conforme, lorganisme lui attribuera un
certificat de conformit CE. La validit de ce certificat est de cinq ans et la machine devra
tre rvalue selon cette priodicit par lorganisme agr.
7
SAFEBOOK 4
2. Assurance qualit totale. Un dossier technique doit tre mont et le constructeur doit utiliser
un systme dassurance qualit certifi pour la conception, la fabrication, linspection finale
et les tests. Le systme de contrle qualit doit garantir la conformit de la machine aux
dispositions de cette directive. Ce systme de contrle qualit doit tre rvalu priodique-
ment par un organisme agr.
Pour les machines ne relevant pas de lAnnexe

IV, ou pour celles qui sont concernes par cette
annexe mais sont totalement conformes aux
normes europennes harmonises applicables,
le fabricant ou son reprsentant agr a
cependant la possibilit de monter son dossier
technique et de raliser lvaluation par lui-
mme. Il auto-certifiera alors son quipement.
Il doit exister un systme de contrle interne
destin sassurer que les quipements
fabriqus en srie restent conformes.
Examen par un organisme agr
Organismes agrs
Un rseau dorganismes agrs communiquant entre eux et travaillant sur des bases
communes est prsent dans toute lUE. Ces organismes agrs sont mandats par les
gouvernements (et non par les industriels). Des renseignements sur les organismes
bnficiant de lagrment peuvent tre obtenus ladresse :
http://ec.europa.eu/enterprise/sectors/mechanical/machinery/index_ en.htm
Procdure de dclaration de conformit CE

Le marquage CE doit tre appos sur toutes les machines fournies.
Ces machines doivent galement tre fournies avec une Dclaration
de conformit CE.
Le marquage CE indique que la machine est conforme tous les directives europennes
applicables et que les procdures dvaluation de conformit ont t ralises. Lapposition du
marquage CE en rfrence la Directive Machines sur des machines qui ne satisferaient pas
aux EESS applicables constitue une infraction.
8
SAFEBOOK 4
Rglementations
La Dclaration de conformit CE doit contenir les informations suivantes :
nom et adresse professionnelle complte du fabricant et, le cas chant, de son

reprsentant agr ;
nom et coordonnes de la personne habilite tablir le dossier technique. Celle-ci
doit rsider dans la Communaut (dans le cas dun constructeur se trouvant hors UE,
il pourra sagir de son reprsentant agr ) ;
description et identification des machines, notamment : dnomination gnrique,
fonction, modle, type, numro de srie et nom commercial ;
une dclaration spcifiant expressment que la machine remplit toutes les conditions
applicables de cette directive et, lorsque ncessaire, une dclaration de mme type
spcifiant la conformit aux autres directives et/ou dispositions applicables la
machine ;
le cas chant, la mention des normes harmonises utilises en rfrence ;
le cas chant, la mention des autres normes et spcifications techniques utilises
en rfrence ;
(pour les machines relevant de lAnnexe IV) le cas chant, le nom, ladresse et le
numro didentification de lorganisme agr qui a ralis le contrle de conformit
CE selon lAnnexe IX, ainsi que le numro du certificat de conformit CE ;
(pour les machines relevant de lAnnexe IV) le cas chant, le nom, ladresse et le
numro didentification de lorganisme agr qui a certifi le systme dassurance
qualit selon lAnnexe X ;
le lieu et la date dtablissement de la dclaration ;
lidentit et la signature de la personne habilite tablir la dclaration au nom du
fabricant ou de son reprsentant agr.
Dclaration dincorporation CE pour les machines partiellement

termines
Lorsque lquipement fourni est destin tre assembl dautres composants afin de former
ultrieurement une machine complte, une DCLARATION DINCORPORATION doit
laccompagner. Le marquage CE ne doit PAS alors y tre appos. La dclaration doit spcifier
que lquipement ne doit pas tre mis en service tant que la machine laquelle il doit tre
incorpor na pas t dclare conforme. Un dossier technique doit tre tabli et la machine
partiellement termine doit tre fournie avec une documentation contenant la description des
conditions respecter pour que son incorporation dans la machine finale ne soit pas de nature
compromettre la scurit.
Cette option nest pas applicable aux quipements pouvant fonctionner de faon indpendante
ou ceux qui modifient la finalit dune machine.
9
SAFEBOOK 4
La Dclaration dincorporation doit contenir les informations suivantes :
nom et coordonnes professionnelles compltes du fabricant de la machine

partiellement termine et, si applicable, de son reprsentant agr ;
nom et coordonnes de la personne habilite tablir le dossier technique. Celle-ci
doit rsider dans la Communaut (dans le cas dun constructeur se trouvant hors UE,
il pourra sagir de son reprsentant agr ) ;
description et identification de la machine partiellement termine, notamment :
dnomination gnrique, fonction, modle, type, numro de srie et nom commercial ;
dclaration spcifiant quelles exigences essentielles de la directive sont remplies.
Cette dclaration devra mentionner galement que la documentation technique jointe
a t tablie conformment aux rquisitions de la partie B de lannexe VII. Le cas
chant, une dclaration de la conformit de la machine partiellement termine
toutes les autres directives applicables devra galement tre incluse ;
engagement transmettre toutes informations pertinentes concernant la machine
partiellement termine sur demande motive des autorits nationales. La mthode de
transmission de ces informations devra tre mentionne, ainsi que les rserves de
proprit intellectuelle du fabricant de la machine partiellement termine ;
dclaration stipulant que la machine partiellement termine ne doit pas tre mise
en service tant que la machine finale laquelle elle doit tre intgre na pas t
dclare conforme aux dispositions de la directive, si cest le cas ;
le lieu et la date dtablissement de la dclaration ;
lidentit et la signature de la personne habilite tablir la dclaration au nom du
fabricant ou de son reprsentant agr.
Machines provenant de lextrieur de lUE Reprsentants agrs

Si un fabricant situ en dehors de lUE (ou de lEEE) exporte des machines dans lUE, il doit
mandater un reprsentant agr.
Un reprsentant agr est une personne physique ou morale tablie dans la Communaut
europenne, ayant reu un mandat crit de la part du fabricant pour remplir en son nom tout
ou partie des obligations et formalits lies la Directive Machines.
10
SAFEBOOK 4
Rglementations
Directive europenne relative lutilisation dquipements de travail
Toutes les machines doivent satisfaire aux

exigences essentielles de sant et de scurit
La plupart des machines et Machines et composants de
composants de scurit (autres scurit (autres que ceux
que ceux ports lAnnexe IV) ports lAnnexe IV)
Conformit Si la machine
Si la machine
obligatoire aux Conformit NEST PAS
EST CONFORME
normes obligatoire CONFORME
aux normes
europennes directe aux normes
europennes
harmonises OU aux EESS
harmonises
europennes
en vigueur harmonises
Transmettre le
Transmettre le
DOSSIER
DOSSIER Envoyer
TECHNIQUE un
TECHNIQUE lquipement
organisme notifi
un organisme un organisme
qui lexaminera
notifi qui notifi pour
accusera OU et mettra un OU EXAMEN CE
CERTIFICAT DE
RECEPTION DE TYPE
CONFORMITE
du dossier
pour ce dossier
Il faut tre en Soumission

mesure de prsenter OBLIGATOIRE
le DOSSIER un organisme
TECHNIQUE notifi pour examen
sur demande CE de type
POUR LES MACHINES Obligation dtablir une dclaration de conformit

et dapposer le marquage CE ou dtablir une dclaration dincorporation.
POUR LES COMPOSANTS DE SECURITE Obligation dtablir une

dclaration de conformit.
Vue densemble de la procdure de la Directive Machines
Alors que la Directive Machines est destine aux fournisseurs, cette directive (89/655/CEE
et amendements 95/63/CE, 2001/45/CE et 2007/30/CE) est destine aux utilisateurs des
machines. Elle couvre tous les secteurs industriels et impose aux employeurs des obligations
gnrales ainsi que des exigences minimales de scurit concernant les quipements de
travail. Tous les pays de lUE promulguent leurs propres lois pour lapplication de cette
directive.
11
SAFEBOOK 4
Par exemple, elle est applique au Royaume-Uni sous le nom de Provision and Use of
Work Equipment Regulations (souvent abrg en P.U.W.E.R.). Les modalits de mise en
application peuvent varier dun pays lautre, mais toutes les dispositions prvues par la
directive seront toujours reprises.
Les articles de la directive dcrivent en dtail les types dquipements et de postes de travail
concerns.
Ils dfinissent galement des obligations dordre gnral pour les employeurs ; par exemple,
la mise en place de mthodes de travail de scurit et la fourniture dquipements de scurit
adapts et correctement entretenus. Les oprateurs sur machine doivent recevoir une
formation et un entranement appropris de faon utiliser leur machine en toute scurit.
Les machines neuves (et les machines doccasion provenant de lextrieur de lUE) livres
aprs le 1er janvier 1993 doivent satisfaire toutes les directives produits applicables, comme
par exemple la Directive Machines (sous rserve damnagements transitoires). Les quipe-
ments doccasion provenant de lextrieur de lUE installs pour la premire fois sur un poste
de travail doivent tre directement conformes aux exigences minimales mentionnes en
annexe de la directive relative lutilisation des quipements de travail.
Remarque : une machine dorigine ou doccasion ayant fait lobjet dun reconditionnement
ou dune modification majeure sera considre comme un quipement neuf. Ceci a pour but
de sassurer que les tches effectues par cette machines seront conformes la Directive
Machines (mme si elle est uniquement utilise en sinterne par lentreprise).
La conformit de lquipement de travail est une exigence importante de la directive. Elle

souligne lobligation faite lemployeur de raliser une valuation des risques approprie.
Lune des exigences est que les machines soient entretenues de faon adquate. Cela
implique en principe lexistence dun programme de maintenance de routine et prventif
dment planifi. Il est recommand dtablir un registre des oprations de maintenance et
de le tenir jour. Ceci est particulirement important dans les cas o lentretien et le contrle
de lquipement sont les garants de lefficacit permanente des dispositifs ou systmes de
protection.
Lannexe de la directive relative lutilisation des quipements de travail dfinit des exigences
gnrales minimum pour ces quipements.
Si lquipement est conforme aux directives produits applicables, par exemple la Directive
Machines, il sera automatiquement conforme aux exigences de conception machine
correspondantes stipules dans les exigences minimales de lannexe.
Les pays membres sont autoriss promulguer des lois portant sur lutilisation des
quipements de travail allant au-del des exigences minimales de la directive officielle.
12
SAFEBOOK 4
Rglementations
De plus amples informations sur la directive relative lutilisation dquipements de travail

peuvent tre obtenues sur le site Internet officiel de lUE :
http://europa.eu/legislation_summaries/employment_and_social_policy/health_hygiene_
safety_at_work/c11116_en.htm
Rglementation des tats-Unis

Ce paragraphe prsente certaines des rglementations relatives la protection de scurit
des machines industrielles en vigueur aux tats-Unis. Cette prsentation se limite aux
principes de base. Les lecteurs sont encourags approfondir plus en dtail les exigences
applicables leur application spcifique et prendre toutes dispositions pour sassurer que la
conception, lutilisation et les procdures de maintenance de leurs machines rpondent non
seulement leurs besoins spcifiques, mais aussi aux codes et rglements nationaux et
locaux.
Nombreux sont les organismes attachs la promotion de mesures de scurit industrielles

aux tats-Unis. On trouve parmi eux :
1. des entreprises qui appliquent les rquisitions gnrales en vigueur aussi bien que des
rgles spcifiques leur activit propre ;
2. lOSHA (Occupational Safety and Health Administration) ;
3. des organisations industrielles comme la National Fire Protection Association (NFPA), la

Robotics Industries Association (RIA) et lAssociation of Manufacturing Technology (AMT) ;
auxquelles il convient dajouter des fournisseurs de produits et de solutions de scurit
comme Rockwell Automation.
LOSHA (Occupational Safety and Health Administration)
Aux tats-Unis, lOSHA compte parmi les protagonistes les plus actifs de la scurit
industrielle. Cette administration a t cre en 1970 par une dcision du Congrs amricain.
Cette loi fixe le cadre rglementaire des conditions dhygine et de scurit du travail dans
lindustrie, avec lobjectif de prserver les ressources humaines. La loi autorise le Secrtaire
dtat au travail dicter des normes obligatoires dhygine et de scurit du travail, applicables
aux entreprises effectuant des transactions commerciales inter-tats sur le march intrieur.
Cette loi sapplique toutes les entreprises employant de la main duvre dans nimporte
quel tat des tats-Unis, dans le district de Columbia, dans ltat libre de Puerto Rico, aux
les Vierges, aux Samoa amricaines, Guam, dans le Territoire sous tutelle des les du
Pacifique, lle de Wake, sur les terres du plateau continental extrieur dfinies dans la loi
Outer Continental Shelf Lands Act, sur lle Johnston et dans la zone du canal de Panama.
13
SAFEBOOK 4
Larticle 5 de la loi en dfinit les exigences minimales. Tout employeur a pour obligation de
fournir lensemble de ses employs des conditions et un cadre de travail exempts de tous
les dangers connus susceptibles dentraner la mort ou des blessures physiques graves. Il doit
par ailleurs se conformer aux normes dhygine et de scurit du travail dfinies par la loi.
Larticle 5 stipule galement que tout employ doit se conformer aux normes dhygine et
de scurit du travail ainsi qu toutes les rgles, rglementations et dcrets promulgus en
application de cette loi et dfinissant sa conduite et ses agissements personnels.
La loi instituant lOSHA a fix les responsabilits attaches lemployeur et lemploy.

Cest une approche totalement diffrente de celle de la Directive Machines qui impose aux
fournisseurs de mettre sur le march des machines exemptes de risques. Aux tats-Unis, un
fournisseur peut trs bien vendre une machine sans aucun quipement de protection. Cest
lutilisateur quil revient dajouter cet quipement de protection destin scuriser la machine.
Bien que cette pratique ait t courante lpoque de ladoption de la loi, la tendance est
plutt maintenant lincorporation des quipements de protection sur les machines par le
constructeur. Il est en effet beaucoup plus conomique de concevoir le systme de scurit
en mme temps que la machine, que de lajouter ensuite. Les normes actuelles incitent les
constructeurs et les utilisateurs dfinir les exigences de scurit en commun de faon ce
que les machines soient la fois plus scurises et plus productives.
Le Secrtaire dtat au travail a toute autorit pour entriner comme norme dhygine et de
scurit au travail toute norme de consensus national, ainsi que toute norme fdrale tablie,
sauf si cette ratification entranait labsence damlioration des conditions dhygine et de
scurit pour certaines catgories particulires de travailleurs.
LOSHA est charge de la mise en application par le biais de la publication de rglements sous
le Titre 29 du Code of Federal Regulation (29 CFR). Les normes concernant les machines
industrielles sont publies par lOSHA dans la Partie 1910 de ce Titre 29 CFR. Elles sont
librement accessibles sur le site de lOSHA : www.osha.gov. Contrairement la plupart des
autres normes qui prsentent un caractre dapplication volontaire, les normes OSHA ont force
de loi.
Certaines des rubriques importantes pour la scurit des machines sont listes la suite :
A Gnralits
B Adoption et prolongement des normes fdrales tablies
C Recommandations gnrales dhygine et de scurit
H Matriaux dangereux
I quipements de protection individuelle
J Dispositions de protection gnrales vis vis de lenvironnement
inclus les systmes de condamnation/signalisation
O Protection par rapport aux composants en mouvement et aux machines
R Industries particulires
S lectricit
14
SAFEBOOK 4
Rglementations
Certaines normes OSHA peuvent faire rfrence dautres normes de type volontaire.
Leffet lgal dune telle incorporation par rfrence est que la totalit du corpus normatif est
considre comme ayant t publie au Federal Register. Lorsquune norme de consensus
national est incorpore par rfrence dans lune des sous-parties, cette norme acquire force
de loi. Par exemple, la NFPA 70, qui est une norme caractre volontaire connue sous le nom
de Code national lectrique des tats-Unis, est mise en rfrence dans la sous-partie S. Les
exigences de cette norme NFPA 70 prennent ainsi un caractre obligatoire.
La sous-partie J de la norme 29 CFR 1910.147 concerne le contrle des sources dalimenta-

tion prsentant un danger. Elle est couramment dsigne par norme Lockout/Tagout
(condamnation/signalisation). La norme volontaire correspondante est lANSI Z244.1. Essen-
tiellement, cette norme impose que lalimentation de la machine soit condamne lorsque des
oprations de service ou de maintenance y sont effectues. Lobjectif est dempcher toute
remise sous tension ou dmarrage intempestifs de la machine qui pourraient entraner des
dommages corporels au personnel dintervention.
Les employeurs ont la responsabilit de mettre en place un programme et des procdures

destines appliquer des moyens de condamnation ou de signalisation sur les dispositifs de
coupure dalimentation. En tout tat de cause, la dsactivation de la machine ou de lquipement
devra interdire toute remise sous tension, tout redmarrage ou toute libration dnergie stocke
intempestifs, afin de prvenir tout accident corporel.
Les changements doutil, les rglages mineurs et autres interventions de maintenance lgre
effectues dans le cadre des oprations de production normales, ne sont pas concerns par
cette norme sils ont un caractre routinier, rptitif et font partie intgrante de lutilisation de
lquipement en production ; sous rserve que ces interventions soient effectues en utilisant
des mesures alternatives de protection suffisamment efficaces. Ces mesures alternatives
incluent lutilisation de systmes de protection tels que les barrires immatrielles, les tapis de
scurit, les grilles verrouillage de scurit et autres dispositifs de mme type connects un
systme de scurit. La question pour le concepteur de la machine ainsi que pour son utilisateur
est dapprcier ce qui est mineur et ce qui a un caractre routinier, rptitif et inhrent .
La sous-partie O concerne les machines et leur protection. Cette sous-partie regroupe les
exigences gnrales applicables tous types de machines, ainsi que les exigences concernant
certaines machines spcifiques. Lors de sa cration en 1970, lOSHA a repris de nombreuses
normes ANSI existantes. Par exemple, la B11.1 concernant les presses de type mcanique a
t incorpore sous le numro 1910.217.
La 1910.212 est la norme OSHA gnrale pour toute les machines. Cette norme stipule quun
ou plusieurs dispositifs de scurit doivent tre prvus sur les machines afin de protger
loprateur, ainsi que les autres employs se trouvant autour, des sources de danger. Sont
notamment viss les dangers lis la zone de travail de la machine, aux points de pincement,
aux parties rotatives, la projection de copeaux et dtincelles. Des protections doivent tre
fixes sur la machine lorsque cest possible ou sur un support externe ferme lorsque cest
impossible. La protection ne doit pas constituer en elle-mme une source de danger.
15
SAFEBOOK 4
La zone de travail est la partie de la machine o lopration est effectivement ralise

sur le matriau transformer. Lorsque les oprations ralises sur la zone de travail dune
machine exposent le personnel des risques de blessures, cette zone doit tre protge. Le
dispositif de protection doit tre conforme aux normes applicables. En labsence de normes
particulires, il doit tre conu et ralis de faon empcher loprateur dengager une
quelconque partie de son corps dans la zone risque pendant le cycle de fonctionnement.
La sous-partie S (1910.399) dfinit les exigences lectriques de lOSHA. Aux yeux du Sous-
secrtariat dtat au travail, des installations ou des quipement seront recevables et homolo-
gables selon les termes de cette sous-partie S sils sont approuvs, certifis, tiquets ou, plus
gnralement, jugs comme prsentant les caractristiques de scurit requises par un labo-
ratoire dessai agr au niveau national ( nationally recognized testing laboratory ou NRTL).
Quest-ce quun quipement ? Il sagit dun terme gnrique regroupant le matriel en lui-
mme, ses accessoires, ses dispositifs de contrle, ses auxiliaires, ses supports de montage,
son appareillage divers et tout ce qui entre dans le cadre dune installation lectrique ou est
raccord une telle installation.
Quest-ce qui est list ? Lquipement est list sil est enregistr dans une liste (a)
dite par un laboratoire NRTL ralisant des contrles priodiques de sa fabrication et (b)
spcifiant que cet quipement est conforme aux normes nationales ou quil a t test et
jug comme prsentant toute scurit dans des conditions dutilisation dfinies.
Depuis aot 2009, les organismes suivants sont reconnus par lOSHA comme laboratoires
NRTL :
CSA (association canadienne de normalisation)

Communication Certification Laboratory, Inc. (CCL)
Curtis-Straus LLC (CSL)
FM Approvals LLC (FM)
Intertek Testing Services NA, Inc. (ITSNA)
MET Laboratories, Inc. (MET)
NSF International (NSF)
National Technical Systems, Inc. (NTS)
SGS U.S. Testing Company, Inc. (SGSUS)
Southwest Research Institute (SWRI)
TV America, Inc. (TUVAM)
TV Product Services GmbH (TUVPSG)
TV Rheinland of North America, Inc. (TUV)
Underwriters Laboratories Inc. (UL)
Wyle Laboratories, Inc. (WL)
Certains tats ont adopt localement les normes OSHA. Vingt-quatre des tats ainsi que
Puerto Rico et les les Vierges possdent un programme de normalisation propre leur terri-
toire et approuv par lOSHA. Ils ont en consquence dfini leurs propres normes et leurs
16
SAFEBOOK 4
Rglementations
propres rgles dapplication. Pour la plupart, ces tats utilisent des normes identiques celles
dfinies par lOSHA au niveau fdral. Nanmoins, certains tats ont adopt des normes diff-
rant sur des points particuliers ou encore des rgles dapplication diffrentes. Les employeurs
doivent tablir un rapport dincidents pour lOSHA. LOSHA analyse statistiquement la fr-
quence dincidents et transmet ces informations ses bureaux locaux. Elles seront utilises
pour dfinir les priorits dinspection. Les principaux critres de dclenchement dune inspec-
tion sont les suivants :
Danger imminent
Catastrophes et dcs
Plaintes des employs
Industries risque lev
Inspections priodiques locales
Inspections de suivi
Programmes thmatiques nationaux et locaux
Le non-respect des normes OSHA peut entraner des amendes. Le barme de ces amendes
pour infraction est le suivant :
Infraction grave : jusqu 7 000 USD par infraction

Infractions autres que grave : lapprciation, mais ne peut excder 7 000 USD
Rcidive : jusqu 70 000 USD par infraction
Infraction intentionnelle : jusqu 70 000 USD par infraction
Infractions entranant la mort : sanctions pnales
Refus de se conformer : 7 000 USD/jour
Le tableau suivant prsente titre dexemple 14 procs verbaux tablis par lOSHA entre
octobre 2004 et septembre 2005.
Norme Description
1910.147 Contrle des sources dalimentation prsentant un danger
(condamnation/signalisation)
1910.1200 Information sur les risques
1910.212 Prescriptions gnrales applicables toutes les machines
1910.134 Protection respiratoire
1910.305 Mthodes, composants et quipements de cblage usage gnral
1910.178 Chariots lectriques industriels
1910.219 Transmission de puissance mcanique
1910.303 Critres gnraux
1910.213 Machines pour le travail du bois
19102.215 Meules abrasives
19102.132 Critres gnraux
1910.217 Presses mcaniques
1910.095 Exposition au bruit dans le cadre du travail
1910.023 Protection des ouvertures et des trous dans le sol et les murs
17
SAFEBOOK 4
Scurit fonctionnelle des systmes de commande
Rglementation canadienne
Au Canada, la scurit industrielle est gre au niveau de la Province. Chaque province
possde et applique sa propre rglementation. Par exemple, lOntario a promulgu sa Loi sur
la sant et la scurit au travail, qui dfinit les droits et obligations de tous les intervenants
sur le lieu de travail. Son objectif principal est de protger les travailleurs contre les risques
professionnels ayant des implication sur leur sant et leur scurit. Cette loi dfinit des
procdures de gestion des risques professionnels, ainsi que des pnalits en cas de non-
conformit dlibre.
On trouve par ailleurs dans cette loi le Rglement 851, dont lArticle 7 impose une inspection
dhygine et de scurit pralable la mise en service dune machine. Cette inspection est
obligatoire dans la Province de lOntario pour tout quipement neuf, reconditionn ou modifi.
Elle doit tre confirme par un rapport tabli par un ingnieur professionnel.
Normes
Ce chapitre fournit une liste des normes internationales et nationales les plus courantes
concernant la scurit des machines. Cette liste na pas lambition dtre exhaustive mais de
mettre en lumire les points de scurit des machines faisant habituellement lobjet dune
normalisation.
Il est souhaitable de lire ce chapitre conjointement celui concernant la rglementation.
Les diffrents pays du monde travaillent dans le sens dune harmonisation mondiale des
normes. Ceci est particulirement vident dans le domaine de la scurit des machines. Les
normes de scurit concernes sont rgies au niveau international par deux organismes
majeurs : lISO et la CEI. Des normes particulires existent toujours au niveau rgional et
national. Elles continuent de faire valoir des exigences dapplication locales. Mais, dans de
nombreux pays, la tendance est la transposition des normes internationales produites par
lISO et la CEI.
Par exemple, les normes EN (normes europennes) sont appliques dans tous les pays de
lEEE. Or, toutes les nouvelles normes EN sont alignes sur les normes ISO et CEI et, dans
la plupart des cas, elles utilisent la mme formulation.
Les normes CEI traitent principalement des questions lectrotechniques. LISO sattache aux
autres aspects. La plupart des pays industrialiss adhrent la CEI et de lISO. Les normes
relatives la scurit des machines sont crites par des groupes de travail comprenant des
experts provenant dun grand nombre de pays industrialiss du monde.
Dans la plupart des pays, ces normes prsentent un caractre dapplication volontaire, alors
que les rglementations constituent une obligation lgale. Cependant, les normes sont
gnralement utilises comme rfrence pratique pour les rglementations. Cest la raison
pour laquelle le domaine de la normalisation est troitement li celui de la rglementation.
18
SAFEBOOK 4
Normes
Pour la liste complte des normes concernes, on se reportera au catalogue Scurit

disponible ladresse : www.ab.com/safety.
ISO (Organisation internationale de normalisation)
LISO est une organisation non gouvernementale regroupant des organismes de normalisation
nationaux de la plupart des pays du monde (157 la date de publication de ce document).
Son secrtariat central, situ Genve en Suisse, coordonne le rseau. LISO produit des
normes ayant pour but de rendre la conception, la fabrication et lutilisation des machines
plus efficace, plus sre et plus cologique. Ces normes contribuent galement rendre les
changes internationaux plus simples et plus quitables. Les normes ISO sont identifiables
par les trois lettres ISO.
Les normes ISO destines aux machines sont rparties en trois catgories, de la mme faon
que les normes EN : A, B et C (voir la section relative aux normes europennes harmonises
EN, la suite).
Pour plus dinformations, il est possible de visiter le site de lISO ladresse : www.iso.org.
CEI (Commission lectrotechnique internationale)
La CEI tablit et dite des normes internationales dont les domaines dapplication sont
llectricit, llectronique et les technologies connexes. Par lintermdiaire de ses membres,
la CEI encourage la coopration internationale sur toutes les questions de normalisation lies
llectrotechnique ; de mme que sur des sujets connexes, comme lvaluation de la
conformit aux normes lectrotechniques.
Pour plus dinformations, on visitera le site de la CEI : www.iec/ch
Normes europennes harmonises (EN)
Il sagit de normes communes tous les pays membres de lEEE. Elles sont mises par les
organismes de normalisation europens : le CEN et le CENELEC. Leur application procde
dune dmarche volontaire. Nanmoins, leur utilisation pour la conception et la fabrication dun
quipement constitue le moyen le plus direct de dmontrer la conformit de cet quipement
aux EESS de la Directive Machines.
Elles sont structures en 3 catgories : A, B et C.
NORMES Type A : couvrent des aspects gnraux applicables tous types de machines.
NORMES Type B : se subdivisent en 2 groupes.

NORMES du Groupe B1 : concernent certains aspects particuliers de la scurit et de
lergonomie des machines.
NORMES du Groupe B2 : concernent les composants de scurit et les dispositifs de
protection.
NORMES Type C : concernent des types ou groupes particuliers de machines.
19
SAFEBOOK 4
Il est important de noter que la conformit une norme de la catgorie C confre automatique-
ment une prsomption de conformit aux EESS. En labsence dune norme de catgorie C
adapte, on pourra recourir aux normes de catgories A et B pour dmontrer partiellement ou
totalement la conformit aux EESS en mettant en vidence la conformit certains chapitres
de ces normes.
Des accords de collaboration ont t conclus entre le CEN/CENELEC et dautres organismes

comme lISO et la CEI. Ceci devrait entraner terme une harmonisation des normes
lchelle mondiale. Dans la plupart des cas, on trouve une quivalence des normes EN dans
les systmes CEI ou ISO. En gnral les deux textes sont identiques et les diffrences
rgionales sont mentionnes dans lavant-propos de la norme.
Pour consulter la liste complte des normes EN relatives la scurit des machines,
se reporter au site :
http://ec.europa.eu/enterprise/sectors/mechanical/machinery/index_ en.htm.
Normes des tats-Unis

Normes OSHA
Chaque fois que possible, lOSHA entrine en tant que normes de scurit des normes dites
de consensus national ou des normes fdrales tablies. Le caractre contraignant affect
aux normes incorpores par rfrence (par exemple, par lutilisation du verbe devoir qui
implique une obligation lgale), leur confre la mme force lgale que les normes classes
en Partie 1910. Cest par exemple le cas de la norme de consensus national NFPA 70 qui est
enregistre comme document de rfrence dans lAnnexe A de la sous-partie S ( lectricit )
de la Partie 1910 du Titre 29 CFR. La NFPA 70 est lorigine une norme volontaire dvelop-
pe par la NFPA (National Fire Protection Association). Elle est galement dsigne par lacro-
nyme NEC (National Electric Code). En consquence, toutes les dispositions obligatoires du
NEC prennent force de loi sous leffet de lOSHA.
Normes ANSI
LANSI (American National Standards Institute) est lorganisme de normalisation des tats-
Unis. Il a pour mission dadministrer et de coordonner le systme de normalisation volontaire
du secteur priv aux tats-Unis. Cest un organisme associatif priv, but non-lucratif,
regroupant diverses composantes des secteurs priv et public.
LANSI nlabore pas lui-mme les normes. Il facilite cette laboration en favorisant le
consensus entre des groupes dexperts. Il veille entre autres ce que ces groupes dexperts
respectent les principes de base du consensus ainsi quune mthodologie approprie, et
quils fassent preuve de lesprit douverture ncessaire. La liste suivante recense une partie
des normes de scurit industrielle quil est possible de se procurer auprs de lANSI.
20
SAFEBOOK 4
Normes
Ces normes sont classes en deux catgories : les normes dapplication et les normes de
construction. Les normes dapplication dfinissent la faon de mettre en uvre un systme
de protection sur une machine. On en trouvera des exemples dans la norme ANSI B11.1, qui
apporte des informations sur lutilisation de protections sur les presses mcaniques, ainsi que
dans la norme ANSI/RIA R15.06, qui dcrit les dispositifs de scurit applicables aux robots.
NFPA (National Fire Protection Association)
La NFPA (association nationale de protection contre les incendies) a t cre en 1896. Sa

mission est de rduire la menace que font peser les incendies sur la qualit de vie. Pour cela
elle encourage llaboration de codes et de normes bass sur un consensus scientifique, la
recherche et la formation sur les incendies ainsi que sur les questions de scurit connexes.
La NFPA est le promoteur dun grand nombre de normes visant laccomplissement de cette
mission. Deux dentre elles sont particulirement importantes pour la scurit industrielle : le
National Electric Code (NEC) et lElectrical Standard for Industrial Machinery (ESIM).
La NFPA a soutenu le dveloppement du NEC depuis 1911. Le document fondateur du code

date de 1897. Il est le rsultat des efforts combins de diverses parties prenantes comme les
compagnies dassurance, le secteur lectrique, celui de larchitecture et dautres encore qui sy
rattachent. Le NEC a t actualis un grand nombre de fois depuis. En pratique, il est remis
jour environ tous les trois ans. LArticle 670 du NEC reprend quelques aspects concernant les
machines industrielles. Il renvoie notamment le lecteur la norme NFPA 79 (ou ESIM )
dfinissant les normes lectriques pour les machines industrielles.
Cette norme NFPA 79 sapplique aux quipements lectriques et lectroniques, aux appareil-
lages ou aux systmes monts sur des machines industrielles fonctionnant sous des tensions
nominales infrieures ou gales 600 volts. Elle a pour objet de dfinir des recommandations
dtailles destines garantir la scurit des personnes et des biens, concernant la mise en
uvre des quipements lectriques et lectroniques, des appareillages ou systmes faisant
partie intgrante des machines industrielles. Officiellement approuve par lANSI en 1962, la
NFPA 79 est tout fait comparable dans son contenu la norme CEI 60204-1.
Les machines qui ne sont pas spcifiquement concernes par les normes OSHA sont nan-
moins tenues dtre exemptes de tous les risques connus susceptibles de causer la mort ou
des blessures graves. Ces machines doivent tre conues et entretenues de faon satisfaire
ou surpasser les exigences des diverses normes industrielles applicables. Cest normalement
la norme NFPA 79 qui sapplique ces machines non spcifiquement concernes par les
normes OSHA.
21
SAFEBOOK 4
Normes canadiennes
Les normes CSA sont le reflet dun consensus national entre les fabricants et les utilisateurs ;
cest dire, entre les constructeurs, les consommateurs, les revendeurs, les syndicats, les
organisations professionnelles et les agences gouvernementales. Ces normes sont largement
utilises dans lindustrie et le commerce. Elles sont souvent reprises par les administrations
municipales, provinciales et fdrales dans leurs rglementations propres. Cest particulire-
ment le cas dans les domaines de la sant, de la scurit, du btiment et de la construction,
ainsi que dans celui de lenvironnement.
Des particuliers, des entreprises et des associations de tout le Canada apportent leur
participation llaboration des normes CSA. Ils fournissent leur temps bnvolement au
Comit du CSA et soutiennent les objectifs de lassociation en tant que membres donateurs.
Les plus de 7 000 bnvoles du Comit et les 2 000 membres donateurs constituent
lensemble des membres du CSA.
Le Conseil canadien des normes est lorganisme coordonnateur du systme de normes au

niveau national. Il est constitu par une fdration dorganismes indpendants et autonomes
travaillant en commun pour dfinir et amliorer un systme de normalisation volontaire dans
lintrt national.
Normes australiennes
La plupart de ces normes sont trs proches des normes ISO/CEI/EN correspondantes
Standards Australia Limited

286 Sussex Street, Sydney, NSW 2001
Tlphone : +61 2 8206 6000
E-mail : mail@standards.org.au
Site Internet : www.standards.org.au
Pour se procurer des exemplaires des normes :

SAI Global Limited
286 Sussex Street, Sydney, NSW 2001
Tlphone : +61 2 8206 6000
Fax : +61 2 8206 6001
E-mail : mail@sai-global.com
Site Internet : www.saiglobal.com/shop
Pour la liste complte des normes concernes, veuillez vous reporter au catalogue
Scurit disponible ladresse : www.ab.com/safety.
22
SAFEBOOK 4
Stratgie de scurit
Stratgie de scurit
Dun point de vue purement fonctionnel, plus une machine est performante dans lexcution
de ses tches de transformation, meilleure elle est. Pourtant, pour quelle soit viable, elle doit
galement tre sre. La scurit doit en effet tre prise en compte de faon prioritaire.
Pour dfinir une stratgie de scurit efficace, deux tapes cls et interactives sont
ncessaires, comme schmatis ci-dessous.
EVALUATION DES RISQUES

Reprer toutes les machines de
la zone de travail Puis identifier
chacune delles
Consultation pour
information et
expertise
LIMITES DE LA MACHINE
Est-il possible de dfinir clairement NON
tous les fonctionnements et
utilisations de la machine ?
OUI
IDENTIFICATION DU DANGER
Identifier chaque situation dangereuse
Puis, pour chaque danger
ESTIMATION DU RISQUE
Apprcier le niveau de risque pour
chaque situation dangereuse
REDUCTION DES
RISQUES
Traiter le danger en modifiant
EVALUATION DES RISQUES le concept ou en prenant des
NON mesures supplmentaires
Le niveau du risque
est-il acceptable ?
Dterminer si les
performances et les
Lanalyse est-elle faite et caractristiques fonctionnelles
toutes les mesures de scurit NON des mesures de scurit sont
adquates sont-elles prises ? adaptes la machine et
son type dexploitation
OUI
FIN DE
LANALYSE STRATEGIE DE SECURITE
23
SAFEBOOK 4
LVALUATION DES RISQUES est base sur la bonne comprhension des limites et des
possibilits fonctionnelles de la machine. Elle doit prendre en compte galement les
interventions qui pourront savrer ncessaires sur la machine tout au long de sa vie.
La RDUCTION DES RISQUES peut alors tre ralise (si elle est ncessaire) et des
mesures de scurit sont dfinies partir des informations collectes dans la phase
dvaluation des risques. Ce processus constitue la base de la STRATGIE DE SCURIT
destine la machine.
Une liste de contrle est ncessaire pour raliser le suivi. Elle permet de sassurer que tous
les aspects ont bien t pris en compte et que le principe directeur na pas t dilu dans les
dtails. Lensemble du processus doit tre document. Ceci garantit une plus grande rigueur
dans la dmarche et permet galement des personnes externes den vrifier les rsultats.
Ce chapitre sadresse aussi bien aux constructeurs quaux utilisateurs de machines. Le

constructeur doit sassurer que sa machine peut tre utilise en toute scurit. Lvaluation
des risques doit commencer ds la phase de conception de la machine. Elle doit prendre en
compte prvisionnellement toutes les interventions humaines qui seront susceptibles dtre
ralises sur la machine. Cette approche de prise en compte des tches lies lexploitation
de la machine ds le stade initial de lvaluation des risques est trs importante. Si lon prvoit,
par exemple, quil sera ncessaire deffectuer rgulirement des rglages sur les parties en
mouvement de la machine, il doit tre possible danticiper les mesures qui permettront de
raliser ces oprations en toute scurit ds la phase de conception. Si ces mesures ne sont
pas intgres ds le dbut, il peut savrer difficile, voire mme impossible, de les mettre
en uvre ultrieurement. Comme il faudra de toute faon raliser des rglages des lments
en mouvement, cette intervention risquera fort dtre effectue dans des conditions non scuri-
ses ou inefficaces (ou encore, les deux). Une machine dont toutes les tches dexploitation
potentielle auront t prises en considration dans lvaluation des risques sera une machine
plus sre et plus performante.
Lutilisateur (ou lexploitant) doit sassurer que les machines dans leur environnement
dexploitation prsentent toutes les garanties de scurit. Mme si une machine a t dclare
sre par son constructeur, il est de la responsabilit de lutilisateur de procder tout de mme
une valuation des risques afin de dterminer si cet quipement peut tre effectivement
considr comme sr dans son environnement particulier. Les machines sont en effet souvent
utilises dans des conditions qui nont pas t prvues par le constructeur. Par exemple,
lutilisation dune fraiseuse dans latelier dun lyce professionnel ncessitera des prcautions
supplmentaires par rapport son utilisation dans un atelier de mcanique industrielle.
Il faut avoir lesprit galement que lorsquun utilisateur industriel fait lacquisition de plusieurs
machines lmentaires spares pour les intgrer dans un mme processus de fabrication, il
devient de fait le constructeur de la machine combine rsultant de cette intgration.
Voyons maintenant les tapes essentielles du processus de dfinition dune stratgie de

scurit adapte. La dmarche suivante est applicable aussi bien dans le cadre dun
ensemble de production existant que pour une machine neuve indpendante.
24
SAFEBOOK 4
Stratgie de scurit
valuation des risques

Lerreur serait de considrer lvaluation des risques comme une contrainte. Cest en fait
une procdure trs utile. Elle apporte des informations dimportance vitale. Elle permet
lutilisateur ou au concepteur de prendre des dcisions rationnelles quant aux options
disponibles pour assurer la scurit de la machine.
Cette dmarche est traite dans diffrentes normes. Les normes ISO 14121 : ( Principes
dapprciation du risque ) et ISO 12100 : ( Scurit des machines Notions fondamen-
tales ) contiennent notamment les recommandations qui sont le plus largement utilises
mondialement.
Quelle que soit la mthode utilise pour valuer les risques, une quipe pluridisciplinaire
obtiendra gnralement un rsultat dont la porte sera plus large et plus nuance quune
personne unique.
Lvaluation des risques est un processus itratif. Il devra tre renouvel aux diffrentes
tapes du cycle de vie de la machine. Les donnes prendre en compte varieront en effet
selon la phase du cycle de vie. Par exemple, le fabricant de la machine aura accs pour son
valuation des risques tous les dtails concernant les mcanismes internes et les matriaux
de construction. Mais il ne pourra faire quune estimation approximative des conditions
denvironnement finales dans lesquelles cette machine sera utilise. Lutilisateur effectuant
cette mme valuation naura pas, pour sa part, forcment accs aux dtails techniques
approfondis, mais il connatra parfaitement toutes les caractristiques de lenvironnement de
fonctionnement de la machine. Idalement, le rsultat dune premire valuation servira de
point de dpart pour la suivante.
Dtermination des limites de la machine
Elle suppose la collecte et lanalyse de toutes les informations concernant les pices, les
mcanismes et les fonctions dune machine. Il sera galement ncessaire de prendre en
compte les diffrents types dinterventions humaines sur la machine ainsi que lenvironnement
dans lequel elle sera utilise. Lobjectif est dobtenir une vision claire du fonctionnement la
machine et de son mode dutilisation.
Lorsque des machines lmentaires se trouvent associes mcaniquement ou travers un

mme systme de commande, elles doivent tre considres comme une machine unique ;
sauf si elle sont organises en zones dans le cadre dun dispositif de scurit adapt.
Il est trs important de prendre en compte toutes les limites et les phases du cycle de vie
de la machine (installation, mise en route, maintenance, dsactivation). Son mode normal
dutilisation et dexploitation, de mme que les consquences des utilisations non conformes
ou des dysfonctionnements raisonnablement prvisibles, doivent galement tre intgrs.
25
SAFEBOOK 4
Identification des tches et des dangers
Toutes les sources de danger prsentes par la machine doivent tre identifies et listes par
nature et emplacement. Ces sources de danger considrer sont lcrasement, le cisaille-
ment, lentranement, la projection de pices, les fumes, les radiations, les substances
toxiques, la chaleur, le bruit, etc.
Les rsultats de lanalyse des tches devront tre rapprochs des rsultats de lidentification
des dangers. Ceci permettra de mettre en vidence les points de convergence entre un danger
et une action humaine, cest dire les situations potentiellement dangereuses. On tablira alors
la liste de ces situations potentiellement dangereuses. Il est possible quun mme danger ait
des effets de situation dangereuse diffrents selon la qualification des personnes ou la nature
de la tche implique. Par exemple, lintervention dun technicien de maintenance expriment
et correctement form peut avoir des consquences diffrentes de celle dun agent de net-
toyage non qualifi et nayant aucune connaissance de la machine. Dans ce type de situation,
si chacun des cas a t enregistr et trait sparment, il peut tre concevable de justifier
des mesures de protection diffrentes pour le technicien de maintenance et pour lagent de
nettoyage. Si les deux cas nont pas t dissocis lors de lenregistrement et traits spar-
ment, il conviendra de retenir le plus dfavorable. Le technicien de maintenance et lagent de
nettoyage bnficieront tous deux alors des mmes mesures de protection.
Parfois, il est ncessaire de raliser une valuation des risques sur une machine existante
disposant dj de mesures de protection (par exemple, une machine dont les parties en
mouvement prsentant un danger sont dj protges par une grille de scurit interverrouil-
lage). Les parties en mouvement constituent un danger potentiel qui pourra devenir un danger
rel en cas de dfaillance du dispositif dinterverrouillage de scurit. moins que ce systme
dinterverrouillage de scurit ait dj t valid (par exemple, par une valuation des risques
ou par une conception conforme une norme en vigueur), il sera donc ignor.
Estimation du niveau de risque
Cest lun des aspects les plus cruciaux du processus dvaluation des risques. Il existe
diffrentes faons daborder ce sujet. Les pages suivantes prsentent les principes de base.
Toute machine expose des situations potentiellement dangereuses prsente des risques
dvnement dangereux (par exemple, de blessure). Plus le niveau de ces risques sera lev,
plus il sera important de prendre des mesures pour y remdier. Pour certains dangers
particuliers, le risque pourra tre si faible quil sera possible de le tolrer. Mais, pour dautres
types de danger, le niveau du risque sera si lev quil faudra prendre les mesures les plus
draconiennes pour sen protger. En consquence, pour dcider bon escient de lopportunit
et du niveau des mesures prendre par rapport un risque, il faut pouvoir le quantifier.
26
SAFEBOOK 4
Stratgie de scurit
Le risque est souvent considr uniquement du point de vue de la gravit des blessures
potentielles en cas daccident. Cependant, il convient de prendre en compte la fois la
gravit de ces blessures ventuelles ET la probabilit quelles surviennent pour apprcier
correctement le niveau de risque existant.
La mthode destimation du niveau de risque propose dans les pages qui suivent ne prtend
pas tre absolue. Une approche diffrente pourra tre dicte par des circonstances particu-
lires. ELLE EST CONUE UNIQUEMENT COMME UN CANEVAS GNRAL DESTIN
FOURNIR UN CADRE DE TRAVAIL MTHODOLOGIQUE ET DOCUMENTAIRE.
Le systme dvaluation par points propos utilise une chelle polyvalente. Il pourra, en
consquence, ne pas tre ncessairement adapt certaines applications particulires. Le
rapport technique ISO/TR 14121-2 Apprciation du risque Lignes directrices pratiques
et exemples de mthodes , fournit des conseils pratiques et prsente diffrentes mthodes
dapprciation du risque.
Les facteurs suivants sont pris en compte :

LA GRAVITE DES BLESSURES POTENTIELLES.
LA PROBABILIT POUR QUELLES SURVIENNENT.
Cette probabilit se dcline en deux facteur distincts :

LA FRQUENCE DEXPOSITION.
LA PROBABILIT DE BLESSURE.
Chaque facteur pris individuellement sera affect dune certaine valeur.
Il convient dutiliser toutes les informations et expriences disponibles. Toutes les tapes
du cycle de vie de la machine sont prendre en considration. Pour viter de rendre les
dcisions trop complexes, celles-ci devront donc tre bases sur le cas le plus dfavorable
pour chaque facteur.
Il faut galement faire appel au bons sens. Les dcisions doivent considrer ce qui est
ralisable, raliste et plausible. Cest ce stade quune approche pluridisciplinaire savre
utile.
Il ne faudra pas oublier non plus que pour raliser cet exercice, on doit, en gnral, ne pas
tenir compte des systmes de protection dj existants. Si lestimation du niveau de risque
montre quun systme de protection simpose, des mthodologies, dcrites plus loin dans
ce chapitre, pourront tre utilises pour en dterminer les caractristiques ncessaires.
27
SAFEBOOK 4
1. Gravit des blessures potentielles
On postulera pour cette estimation que laccident ou lincident peut tre la consquence de
lexposition au danger. Ltude approfondie de cette source de danger va permettre didentifier
le type de blessure le plus grave quelle puisse engendrer. Rappel : on considre pour cette
apprciation que la blessure corporelle est invitable. Seule sa gravit entre en ligne de
compte. On prsume galement que loprateur est expos directement au mouvement ou
au processus dangereux. La gravit de la blessure sera estime selon lchelle suivante :
MORTELLE : dcs
10 MAJEURE : (normalement irrversible)
Incapacit permanente, perte de la vue,
amputation dun membre, dommages
pulmonaires, etc.
6 GRAVE : (normalement rversible) Perte
de conscience, brlure, fracture, etc.
3 MINEURE : contusions, plaies, petites
corchures, etc.
1
Une valeur en points correspondant chacune
de ces descriptions, est indique sur le
Mineure Grave Majeure Mortelle
graphique.
Valuation de la gravit
2. Frquence dexposition
La frquence dexposition exprime la priodicit selon laquelle loprateur ou le personnel

de maintenance se trouve expos au danger. On peut classer la frquence dexposition un
danger donn selon trois niveaux :
FRQUENTE : plusieurs fois par jour.

4 OCCASIONNELLE : quotidiennement.
RARE : une fois par semaine ou moins.
2
1 Une valeur en points correspondant chacune
de ces descriptions, est indique sur le
Rare Occasionnelle Frquente graphique.
Valuation de la frquence dexposition
28
SAFEBOOK 4
Stratgie de scurit
3. Probabilit de blessure
On prsume que loprateur est expos directement au mouvement ou au processus

dangereux. En considrant la faon dont loprateur interagit avec la machine et certains
autres facteurs (la rapidit de dmarrage, par exemple), on peut classer la probabilit de
blessure selon quatre niveaux :
PEU PROBABLE
6 PROBABLE
POSSIBLE
4 CERTAINE
2 Une valeur en points correspondant chacune

1 de ces descriptions, est indique sur le
graphique.
Peu Possible Probable Certaine
probable
Valuation de la frquence dexposition
Une fois une valeur attribue chacun des facteurs de risque, ces diffrentes valeurs sont
cumules pour fournir lestimation initiale. La somme des trois composants se montera, par
exemple, 13. Cependant, il est encore ncessaire de prendre en considration quelques
facteurs supplmentaires. (Remarque : cet exemple na pas ncessairement de rapport avec
les illustrations prcdentes).
Ltape suivante va donc consister affiner lestimation initiale en intgrant des facteurs suppl-
mentaires tels que ceux prsents dans le tableau ci-aprs. Il est frquent quon ne puisse les
apprcier convenablement que lorsque la machine est installe son emplacement dfinitif.
Facteur type Action propose
Plus dune personne est expose la Multiplier le facteur de gravit par le

source de danger. nombre de personnes.
Prsence prolonge dans la zone Si le temps est suprieur 15 minutes

dangereuse sans coupure complte chaque accs, ajouter 1 point au facteur
de lalimentation. de frquence.
Oprateur sans qualification ni formation. Ajouter 2 points la valeur totale.
Trs longs intervalles de temps (ex. 1 an) Rajouter des points la valeur du facteur
entre deux accs. (Possibilit dapparition de frquence maximum.
progressive et non dtecte de dfauts,
particulirement dans les systmes de
surveillance).
Facteurs supplmentaires destimation du niveau de risque
29
SAFEBOOK 4
Les valeurs attribues aux facteurs supplmentaires concerns sont ensuite ajoutes au total
prcdent comme indiqu ci-dessous.
20 20
18 18
16 16
14 2 14
1 12 1 12
10 10
6 6
8 8
6 6
4 4
6 6
2 2
Valeur finale brute Valeur finale ajuste
Rduction du niveau de risque

Il convient maintenant de considrer tour de rle chaque machine et ses niveaux de risques
spcifiques, afin de prendre les mesures appropries pour traiter chacune de ses sources de
danger.
Le tableau suivant prsente de faon indicative une partie du processus documentaire

permettant denregistrer les diffrents paramtres de scurit de la machine concerne. Il peut
tre utilis comme base de rfrence par les utilisateurs de machines. Les constructeurs ou
les fournisseurs de ces machines pourront galement utiliser cette mme prsentation pour
attester que lensemble de leur quipement a t valu. Il servira galement de sommaire
pour des rapports plus dtaills dvaluation des risques.
Lorsquune machine porte dj un marquage CE, la procdure se trouve simplifie. Les

dangers propres la machine ont en effet dj t valus par le constructeur et toutes les
mesures protectrices ncessaires ont t prises. Mme lorsquun quipement est marqu CE,
il peut cependant toujours prsenter des dangers potentiels selon la nature de son application
ou du produit quil a traiter. Le constructeur ne pourra en effet avoir pu tout prvoir.
30
SAFEBOOK 4
Stratgie de scurit
Socit MAYKIT WRIGHT LTD

Etablissement Atelier doutillage Usine Est.
Date 29/8/95
Profil de loprateur Qualifi
Identification Conformit Numro du Histori- Notes Identification Type de Action requise Mis en uvre
et date de aux rapport que des du danger danger et inspect
lquipement directives dvaluation accidents Rfrence
des risques
Tour parallle Bloggs. Aucune RA302 Aucun Equipement lectrique Rotation de Coupure par Installer un 11/25/94 J Kershaw
N de srie 8390726 revendique conforme mandrin avec enchevtrement interrupteur de Rapport n 9567
Install en 1978 BS EN 60204 avec protection ouverte mcanique scurit
arrt durgence
(remplac en 1989)
Liquide de coupe Toxique Changer pour un 11/30/94 J Kershaw

type non toxique Rapport n 9714
Nettoyage Coupure Fournir des gants 11/30/94 J Kershaw

dbarbures Rapport n 9715
Tourelle de fraisage Dir. Mach. RA416 Aucun Mouvement du Ecrasement Dplacer la machine 4/13/95 J Kershaw
Bloggs Dir. CEM bti (vers le mur) pour donner un Rapport n 10064
N de srie 17304294 espace suffisant
Fabrique en 1995
Installe en mai 95
Hirarchie des mesures de rduction des risques
Trois mthodes de base sont considrer/utiliser, dans lordre de priorit suivant :
1. liminer ou rduire le risque le plus en amont possible (scurit inhrente la conception

et la construction de la machine) ;
2. Mettre en place des systmes et des dispositifs de protection ncessaires (par exemple,
des grilles de protection interverrouillage, des barrires immatrielles, etc.) pour tous les
risques qui nont pas pu tre limins la conception.
3. Informer les utilisateurs sur les risques rsiduels rsultant des failles ventuelles des
mesures de protection mises en place. Mentionner les formations particulires qui peuvent
tre ncessaires et spcifier les ventuels quipements de protection individuelle utiliser.
Les diffrentes mesures de cette liste de priorits doivent tre envisages en partant du niveau
suprieur. Elles doivent tre mises en application chaque fois quil est possible de le faire. Ceci
conduira en gnral la mise en uvre de plusieurs mesures de protection pour un mme
risque.
Scurit inhrente la conception
Il est possible de prvenir un grand nombre des dangers potentiels lors de la phase de conception
de la machine. Il suffira simplement de faire plus spcifiquement attention certains paramtres
comme la nature des matriaux, les impratifs daccs, la prsence de surfaces chaudes, les
mthodes de transmission, les possibilits de pigeage, les niveaux de tension, etc.
Par exemple, sil nest pas ncessaire daccder une zone dangereuse, la solution sera de la
protger intrieurement dans la machine ou par une quelconque enceinte externe, ferme et fixe.
31
SAFEBOOK 4
Systmes et mesures de protection
Si, par contre, laccs cette zone dangereuse savre ncessaire, la situation se complique un
peu. Il faudra alors sassurer que cet accs nest possible que lorsque la machine ne prsente
aucun danger. Des mesures de protection telles que des portes daccs verrouillage de
scurit et/ou des systmes interrupteur sont ncessaires. Le choix du dispositif ou du
systme de protection utiliser devra tre majoritairement dtermin par les caractristiques
de fonctionnement de la machine. Ce critre est extrmement important. Un systme risquant
daltrer le rendement de la machine sera en effet plus susceptible dtre dmont ou dsactiv
sans autorisation.
Dans un tel cas, la scurit de la machine dpendra donc de la mise en uvre dun systme
de protection adquat et de son bon fonctionnement, mme en cas de dfaut.
Ce bon fonctionnement du systme doit donc tre considr avec attention. Pour chaque type
de protection, il existe gnralement un choix entre plusieurs technologies apportant des
niveaux de performance variables en matire de surveillance, de dtection ou de prvention
des dfauts.
De faon idale, chaque systme de protection devrait tre absolument parfait et ne permettre
en aucune faon la survenance de conditions dangereuses. En pratique cependant, les limites
prsentes des connaissances et des matriaux restreignent cela. Une autre contrainte bien
relle est le cot. Pour tenir compte de tous ces facteurs, un juste quilibre est lvidence
ncessaire. Le simple bon sens permet de comprendre quil serait ridicule dexiger que le
systme de scurit destin une machine risquant, dans le pire des cas, de ne causer que
des contusions lgres, soit au mme niveau que celui qui est requis pour assurer le maintien
en vol dun avion gros porteur. Dans ces deux cas, les consquences dune dfaillance
nauront rien voir. Il est en consquence ncessaire de dfinir un principe permettant de
doser limportance des mesures de protection en fonction du niveau de risque dfini lors de
la phase dvaluation des risques.
Quel que soit le type de dispositif de protection choisi, il ne faut pas oublier quun systme
relatif la scurit est susceptible de regrouper un grand nombre de composants. On y
trouvera notamment les diffrents dispositifs de protection, le cblage, le systme de coupure
dalimentation et parfois mme certains lments du systme de commande oprationnel de
la machine. Tous les lments constitutifs de ce systme (les dispositifs de protection, leur
installation, leur cblage, etc.) doivent prsenter les caractristiques de performance requises
selon leur conception et leur technologie. Les normes CEI/EN 62061 et EN ISO 13849-1
dfinissent une hirarchie de niveaux de performance pour les composants destins la
scurit dans les systmes de commande. Elles fournissent par ailleurs dans leurs annexes
des mthodes dvaluation des risques permettant de dterminer le niveau dintgrit
ncessaire pour les systmes de protection.
LEN ISO 13849-1:2008 propose une reprsentation graphique volue des risques dans son
Annexe A.
32
SAFEBOOK 4
Stratgie de scurit
Niveau de Contribution la
performance, rduction des risques
PLr
P1 a
F1 Faible
S1 P2
P1 b
F2
Dmar- P2
rage P1 c
F1
P2
S2
P1 d
F2
P2
e
S = Gravit Elev
F = Frquence ou dure dexposition
P = Probabilit dvitement
Doit tre dfini pour chaque fonction de scurit !
La CEI 62061 propose galement dans son Annexe A une mthode dvaluation de la forme
prsente ci-dessous.
N du document :
Evaluation des risques et mesures de scurit Partie de :
Produit : Pr-valuation des risques

Emis par : Evaluation intermdiaire des r
Date : Zone noire = Mesures de scurit ncessaires Suivi dvaluation des risques
Zone grise = Mesures de scurit recommandes
Consquences Gravit Classe Cl Frquence et Probabilit de Moy vi
Se 34 57 8 10 11 13 14 15 dure, Fr lvnt de dger, Pr
Dcs, perte dun il ou dun bras 4 SIL 2 SIL 2 SIL 2 SIL 3 SIL 3 <= 1 heure 5 Commun 5
Permanent, perte de doigts 3 OM SIL 1 SIL 2 SIL 3 >1 h <= jour 5 Probable 4
Rversible, soins mdicaux 2 OM SIL 1 SIL 2 >1 jour <= 2 sem. 4 Possible 3 Impos
Rversible, premiers soins 1 OM SIL 1 >2 sem. <= 1 an 3 Rarement 2 Poss
>1 an 2 Ngligeable 1 Prob
N N Source de danger Se Fr Pr Av Cl Mesure de scurit

srie Dger
Commentaires
Lutilisation de lune et lautre de ces mthodes doit donner des rsultats quivalents. Chaque
mthode est conue en fonction de lapproche propose par la norme laquelle elle se
rattache.
33
SAFEBOOK 4
Dans les deux cas, il est trs important de respecter rigoureusement la dmarche indique
dans le texte de la norme. Le graphique ou le tableau des risques ne doivent pas tre utiliss
hors de ce contexte ou de faon trop simpliste.
valuation
Aprs avoir slectionn la mesure de protection et avant de la mettre en uvre, il est

important de refaire une valuation du risque. Cette tape de la procdure est souvent oublie.
Il peut se produire en effet, une fois une mesure de protection installe, que loprateur de la
machine se sente totalement protg contre le risque envisag lorigine. Sa perception
initiale du danger se trouvant ainsi modifie, il pourra tre amen se comporter diffremment
vis vis de la machine. Il pourra par exemple avoir tendance sexposer plus frquemment au
danger, ou accder plus profondment lintrieur de la machine. Cela signifie quen cas de
dfaillance de la mesure de protection, le risque sera encore plus grand que celui envisag
initialement. Cest ce risque rel qui doit tre estim. En consquence, lvaluation du risque
doit tre effectue nouveau en prenant en compte tout les changements envisageables de
comportement du personnel vis vis de la machine. Le rsultat de cette valuation servira
vrifier si les mesures de protection dfinies sont bien adaptes dans les faits. Pour plus
dinformations, il est recommand de se reporter lAnnexe A de la norme CEI/EN 62061.
Formation, quipement de protection individuelle, etc.
Il est primordial que les oprateurs reoivent la formation ncessaire sur les procdures de
travail scurises applicables leur machine. Cela ne signifie pas autant que les autres
mesures doivent tre ngliges. Il nest pas concevable de se contenter simplement de donner
un oprateur linstruction de ne pas sapprocher des zones dangereuse (au lieu de mettre en
place des protections sur ces zones).
Loprateur peut galement tre tenu dutiliser certains quipements de protection individuelle,
comme des gants de travail spciaux, des lunettes de protection, un appareil respiratoire, etc.
Le concepteur de la machine doit lui spcifier quels sont ces quipements ncessaires.
Lutilisation dquipements de protection individuelle ne constitue normalement pas la premire
mthode de protection. Elle viendra en complment des mesures voques prcdemment.
34
SAFEBOOK 4
Stratgie de scurit
Normes
De nombreuses normes et rapports techniques fournissent des indications pour lvaluation

des risques. Certaines sont de porte gnrale, dautres sattachent des applications
particulires. La liste qui suit prsente des normes contenant des informations concernant
lvaluation des risques.
ANSI B11.TR3 : ( Risk assessment and risk reduction ) Fournit un guide pour lestimation,
lvaluation et la rduction des risques associs aux machines-outils.
ANSI PMMI B155.1 : ( Safety Requirements for Packaging Machinery and Packaging-Related
Converting Machinery ) Dfinit des exigences de scurit propres aux machines de
conditionnement et aux machines de conversion pour le conditionnement.
ANSI RIA R15.06 : ( Safety Requirements for Industrial Robots and Robot Systems )
Dfinit des rgles de scurit applicables aux robots industriels et aux systmes robotiss.
AS 4024.1301-2006 : ( Principles of risk assessment ) Principes dvaluation des risques

et CSA Z432-04 ( Safeguarding of Machinery ) Protection des machines.
CSA Z434-03 : ( Industrial Robots and Robot Systems General Safety Requirements )
Exigences de scurit gnrales pour les robots industriels et les systmes robotiss.
CEI/EN 61508 : Scurit fonctionnelle des systmes lectriques,lectroniques et lectroniques

programmables relatifs la scurit.
CEI/EN 62061 : Scurit des machines Scurit fonctionnelle des systmes de commande
lectriques, lectroniques et lectroniques programmables relatifs la scurit.
EN ISO 13849-1 : Scurit des machines Parties relatives la scurit des systmes de
commande.
EN ISO 14121-1 : Apprciation du risque Principes.
ISO TR 14121-2 : Apprciation du risque Lignes directrices pratiques et exemples de

mthodes.
35
SAFEBOOK 4
Mesures de protection et quipement complmentaire

Lorsque lvaluation des risques montre quune machine ou un processus prsente un risque
de blessure corporelle, la source de danger doit tre limine ou circonscrite. Le moyen dy
parvenir dpend du type de la machine et de celui du danger. Les mesures de protection
combines aux dispositifs de protection physiques ont pour but dempcher laccs la source
du danger ou dempcher tout mouvement dangereux de la machine lorsque laccs doit tre
rendu possible. Les grilles de protection verrouillage de scurit, les barrires immatrielles,
les tapis de scurit, les commandes bimanuelles et les poignes homme mort sont des
exemples de mesures de protection typiques.
Les dispositifs et systmes darrt durgence sont associs aux systmes de commande de
scurit, mais ils nassurent pas une protection permanente. Ils ne doivent tre considrs que
comme des mesures de protection complmentaires.
Interdiction daccs par enceinte de protection ferme fixe
Si la source du danger se trouve dans une partie de la machine laquelle laccs nest pas
ncessaire, elle doit tre isole par une protection fixe de faon permanente la machine.
La dpose de ce type de protection doit ncessiter des outils. Ces dispositifs fixes doivent
tre capables de 1) rsister lenvironnement dans lequel ils sont utiliss, 2) contenir les
projections sil y en a et 3) ne pas tre eux-mmes une source de danger, par exemple, ne
pas prsenter de bords coupants. Ces dispositifs de protection fixes peuvent laisser un espace
libre lendroit de leur raccordement la machine, ou tre ajours du fait de lutilisation dun
treillis mtallique par exemple.
Des hublots devront permettre de vrifier le bon fonctionnement de la partie de la machine

concerne lorsque ncessaire. Le matriau de ces hublots devra tre choisi avec soin. Laction
chimique des huiles de coupe, les rayons ultraviolets et simplement le vieillissement pourront
en effet entraner leur dgradation dans le temps.
La taille des ouvertures ne doit pas permettre loprateur datteindre la source de danger.
Le tableau O-10 de la norme OHSA 1910.217 (f) (4), la norme ISO 13854, le tableau D-1 de la
norme ANSI B11.19, le tableau 3 de la norme CSA Z432, ainsi que la norme AS4024.1 fournis-
sent des instructions sur la distance respecter entre ces ouvertures et la source de danger.
Dtection daccs
Des mesures de protection peuvent tre utilises pour dtecter les accs dans une zone
dangereuse. Lorsquil dcide dutiliser la dtection daccs comme mthode de rduction des
risques, le concepteur doit tre conscient quun systme de scurit complet est ncessaire.
Le dispositif de protection seul ne permet pas une rduction des risques suffisante.
Ce systme de scurit sera gnralement constitu de trois lments principaux : 1) un

capteur pour dtecter les accs dans la zone dangereuse, 2) un dispositif logique assurant le
traitement des signaux en provenance du capteur, contrlant ltat du systme de scurit et
36
SAFEBOOK 4
quipements et mesures de protection
activant ou dsactivant des dispositifs de sortie, et 3) un dispositif de sortie commandant

lactionneur (par exemple, le moteur).
Dispositifs de dtection
Il existe de nombreux types de capteurs susceptibles de dtecter la prsence dune personne
pntrant dans la zone dangereuse ou se trouvant dans cette zone. Le meilleur choix pour
chaque application particulire dpendra de plusieurs facteurs :
la frquence daccs ;
le dlai de neutralisation de la source de danger ;
la ncessit de terminer le cycle de la machine ou non ;
le confinement des projections solides, des liquides, des arosols, des vapeurs, etc.
Des protections mobiles adaptes pourront tre interconnectes afin de fournir une protection
contre ces projections solides, ces liquides, ces arosols et les autres types de dangers. Ce
dispositif est souvent utilis lorsque laccs la zone dangereuse est peu frquent. Les grilles
de protection de scurit pourront galement tre maintenues verrouilles de faon interdire
laccs tant que la machine est en fonctionnement et lorsquelle ncessite un temps important
pour sarrter.
Les dispositifs de dtection de prsence, tels que les barrires immatrielles, les tapis et les
scrutateurs laser, permettent laccs rapide et facile la zone dangereuse. Ils sont souvent
retenus lorsque les oprateurs doivent frquemment accder dans cette zone dangereuse.
Ce type de dispositifs ne protge cependant pas contre les projections solides, les arosols,
les liquides ou autres dangers similaires.
La meilleure mesure de protection sera celle dans laquelle le dispositif ou le systme

slectionn offrira une protection maximum pour une gne minimum dans lexploitation
courante de la machine. Tous les aspects de lutilisation de la machine doivent tre pris en
compte. Lexprience montre en effet quun systme de protection compliqu utiliser est
davantage susceptible dtre dmont ou dsactiv.
Dispositifs de dtection de prsence
Lorsquil sagit de dcider de quelle faon une zone ou une partie de la machine doit tre pro-
tge, il est important de bien comprendre quelles sont les fonctions de scurit ncessaires
mettre en uvre. En gnral, au moins deux de ces fonctions seront ncessaires.
Couper ou dsactiver lalimentation lorsquune personne pntre dans la zone
dangereuse.
Empcher la remise sous tension ou la ractivation de cette alimentation une fois que
la personne se trouve lintrieur de la zone dangereuse.
A premire vue, on pourrait penser quil sagit dune seule et mme fonction. Mais il sagit bien
en fait de deux fonctions distinctes, mme si elles sont manifestement lies et quelles sont le
plus souvent assures par le mme quipement. Pour raliser la premire de ces deux
37
SAFEBOOK 4
fonction, un dispositif dclencheur sera ncessaire. En dautres termes, il sagira dun dispositif
destin dtecter quune personne a partiellement dpass un certain point et envoyer
en consquence un signal de coupure de lalimentation. Si la personne en question est en
mesure de poursuivre au-del du point de dclenchement et que sa prsence nest en cons-
quence plus dtecte, la deuxime fonction (prvention de la remise sous tension) risquera
de ne pas tre assure.
Point de dclenchement : Fin de la Point de dclenchement : Dbut de la dtection

Dbut de la dtection dtection
Dtect
Dtect Non dtect
Source
de danger
Source de
danger
Accs du corps entier Accs dune partie du corps
La figure ci-dessus prsente un exemple daccs du corps complet. Le dispositif de dtection/

dclenchement est une barrire immatrielle monte verticalement. Les portes daccs ver-
rouillage de scurit peuvent galement tre considres comme des dispositifs dclencheurs
simples lorsque rien nest prvu pour empcher la porte dtre referme aprs que la personne
soit entre dans la zone dangereuse.
Si laccs du corps complet nest pas possible, cest--dire si la personne ne peut poursuivre
au-del du point de dclenchement, sa prsence sera toujours dtecte et la deuxime
fonction (prvention de la remise sous tension) sera, dans ce cas, assure.
Pour les applications de dtection dune partie du corps seulement, les mmes types de
dispositifs seront utiliss pour assurer le dclenchement et la dtection de prsence. La
diffrence rside uniquement dans le type de lapplication.
Les dispositifs de dtection de prsence sont utiliss pour dtecter les intrusions de
personnes. Cette gamme de dispositifs inclut les barrires immatrielles de scurit, les
barrires de scurit faisceau unique, les scrutateurs de zone de scurit, les tapis de
scurit et les bourrelets de scurit.
Barrires immatrielles de scurit
On peut dfinir simplement les barrires immatrielles de scurit comme des dtecteurs
photolectriques de prsence. Elles sont conues particulirement pour la protection du
personnel contre les blessures pouvant tre occasionnes par un mouvement dangereux
dune machine. galement appeles dispositifs optolectroniques de protection active ou
quipements de protection lectro-sensibles, ces barrires immatrielles offrent une scurit
38
SAFEBOOK 4
optimale tout en autorisant une productivit maximum. Elles constituent de fait une bien
meilleure solution en termes dergonomie par rapport aux protections de type mcanique.
Elles sont particulirement adaptes aux applications dans lesquelles le personnel doit
frquemment accder une zone dangereuse.
Les barrires immatrielles sont conues et testes conformment aux normes CEI 61496-1
et -2. Il nexiste pas de version EN harmonise de la Partie 2. LAnnexe IV de la directive
europenne relative aux machines impose donc une certification par un laboratoire externe
pralablement la mise sur le march sur le territoire de lUnion europenne de toute nouvelle
barrire immatrielle. Ces laboratoires externes effectuent ce test de conformit par rapport
la norme CEI internationale. LUnderwriters Laboratory a galement adopt la norme
CEI 61496-1 comme norme de rfrence pour les tats-Unis.
Scrutateurs laser de scurit
Les scrutateurs laser de scurit utilisent un miroir pivotant qui diffuse les impulsions lumi-
neuses sur un arc de cercle, crant ainsi un plan de dtection. Lemplacement de lobjet est
dtermin par langle de rotation du miroir. Utilisant la technique de mesure du temps de
trajet dun faisceau de lumire invisible rflchi, le scrutateur peut galement dtecter la
distance qui le spare de lobjet. En intgrant la distance mesure et lemplacement de lobjet,
le scrutateur laser peut dterminer la position exacte de cet objet.
Tapis de scurit sensibles la pression
Ces dispositifs sont utiliss pour la protection dune zone au sol autour dune machine. Un
rseau de tapis interconnects peut tre dispos tout autour de la zone dangereuse. Toute
pression dtecte en nimporte quel point de ce rseau (par exemple le pas dun oprateur)
entranera la coupure de la source dalimentation par le dispositif de contrle du tapis. Les
tapis sensibles la pression sont frquemment utiliss dans des zones fermes contenant
plusieurs machines, des cellules de fabrication flexible ou autres applications robotiques, par
exemple. Lorsquil est ncessaire daccder lintrieur de la cellule (pour le rglage ou
lapprentissage du robot par exemple), ils interdisent tout mouvement dangereux au cas
o loprateur scarte de la zone de scurit, ou sil doit accder larrire dun quipement.
La taille et le positionnement des tapis doivent tenir compte de la distance de scurit.
Bourrelets sensibles la pression
Ces dispositifs se prsentent sous forme de bordures souples pouvant tre montes sur le
rebord dune pice mobile, telle quune table lvatrice ou une porte motorise, prsentant un
risque dcrasement ou de sectionnement.
Si cette pice mobile vient heurter un oprateur (et inversement), le bourrelet sensible se
trouvera comprim et dclenchera la coupure de lalimentation de la machine. Les bourrelets
sensibles peuvent galement tre utiliss comme protection en cas de risque de coincement
de loprateur. Si cela se produit, le contact avec le bourrelet sensible entranera la coupure de
lalimentation de la machine.
39
SAFEBOOK 4
On trouve diffrentes technologies de bourrelets de scurit. Lune des plus rpandue consiste
insrer ce qui est en fait un long interrupteur lintrieur du bourrelet. Cette technologie
produit des bourrelets rectilignes et utilise gnralement une connectique 4 fils.
Les barrires immatrielles, les scrutateurs, les tapis de sol et les bourrelets sensibles sont
classs comme dispositifs dclencheurs . Ils ninterdisent pas le passage. Ils se bornent
le dtecter . Le maintien de la scurit est totalement dpendant de leur capacit
effectuer la dtection des intrusions et couper la source dalimentation. Ils ne conviennent
gnralement qu des machines ayant une capacit darrt dans un dlai raisonnablement
court aprs la coupure de leur source dalimentation. Du fait quun oprateur peut avancer ou
pntrer sans restriction dans la zone dangereuse, il est lvidence impratif que le temps
ncessaire larrt du mouvement de la machine soit infrieur celui qui est ncessaire cet
oprateur pour atteindre le cur de la zone dangereuse aprs dclenchement du dispositif.
Interrupteurs de scurit
Lorsquil nest pas ncessaire daccder frquemment la machine, les protections de type
mobiles (manuvrables) sont gnralement prfres. Le dispositif de protection est intercon-
nect la source dalimentation de lorgane dangereux de telle faon que cette alimentation se
trouve dsactive lorsque grille de protection est ouverte. Cette approche suppose le montage
dun interrupteur de scurit sur la grille de protection. La commande dalimentation de la
source de danger est interface avec le circuit de linterrupteur. La source dalimentation est le
plus souvent lectrique, mais elle peut galement tre pneumatique ou hydraulique. Lorsque
le mouvement (louverture) de la grille de protection est dtect, linterrupteur de scurit
coupe la source dalimentation, soit directement, soit par lintermdiaire dun contacteur de
puissance (ou dune vanne).
Certains interrupteurs de scurit incorporent en outre un systme de maintien du verrouillage

qui bloque la grille en position ferme et interdit son ouverture tant que la machine nest pas
passe en conditions de scurit. Dans la majorit des applications, lutilisation combine
dune protection mobile et dun interrupteur de scurit, avec ou sans verrouillage, constitue la
meilleure solution en termes de fiabilit et de cot.
Il existe une grande varit dinterrupteurs de scurit, notamment :
les interrupteurs de scurit broche Le principe de ces dispositifs consiste

utiliser un actionneur en forme de broche qui pntre ou sort de linterrupteur ;
les interrupteurs de scurit came Ces dispositifs se positionnent sur laxe de la

charnire dune grille de scurit et sont actionns par louverture de celle-ci ;
les interrupteurs de scurit verrouillage Destins aux applications dans

lesquelles il est ncessaire de verrouiller la barrire en position ferme ou de retarder
son ouverture. Les dispositifs rpondant cette exigence sont appels interrupteurs
de scurit verrouillage. Ils conviennent particulirement aux machines dont larrt
nest pas instantan. Mais ils peuvent galement apporter un niveau de protection
supplmentaire nombre dautres types de machine.
40
SAFEBOOK 4
Interrupteurs de scurit sans contact Ces dispositifs nont pas besoin dun
contact physique pour tre actionns. Certaines versions incluent une fonction de
codage permettant une meilleure protection contre les modification indsirables.
Verrouillages de position (interrupteurs de fin de course) Des actionneurs

utilisant une came dplacement linaire ou rotatif constituent gnralement le
principe de ces interrupteurs de fin de course (ou de position) mode positif. Ils
sont gnralement utiliss sur les grilles de protection coulissantes.
Interrupteurs cl captive Les cls captives peuvent servir pour le verrouillage

du signal de commande comme pour le verrouillage de lalimentation. Dans le cas
dun verrouillage du circuit de commande, linterrupteur de verrouillage envoie une
commande darrt un dispositif (relais) intermdiaire. son tour, celui-ci agit sur un
autre dispositif permettant de couper lalimentation de lactionneur. Dans le cas dun
verrouillage de lalimentation, la commande darrt interrompt directement la source
dalimentation des actionneurs de la machine.
Dispositifs dinterface oprateur

Fonction darrt Aux tats-Unis, au Canada, en Europe et au niveau international en
gnral, il existe une harmonisation des normes dcrivant les catgories darrt des machines
ou des systmes de fabrication.
Remarque : ces catgories sont cependant diffrentes des Catgories dfinies par la norme
EN 954-1 (ISO 13849-1). On se reportera aux normes NFPA 79 et CEI/EN 60204-1 pour des
dtails complmentaires. Les arrts sont classs en trois catgories :
La Catgorie 0 correspond une coupure instantane de lalimentation des actionneurs de

la machine. On considre dans ce cas que larrt nest pas contrl. Une fois lalimentation
coupe, aucune action de freinage de type lectrique ne pourra en effet tre utilise. Ceci
se traduira par un arrt en roue libre des moteurs jusqu leur immobilisation dfinitive qui sur-
viendra aprs une priode relativement longue. Dans certains cas, des produits en cours de
traitement pourront tomber de la machine car ses organes internes de transfert et de maintien
ne seront plus aliments. Des moyens darrt mcanique, nutilisant pas dnergie lectrique,
peuvent cependant tre utiliss dans le cadre dun arrt de Catgorie 0. Un arrt de Catgo-
rie 0 sera prioritaire sur des arrts de Catgorie 1 ou de Catgorie 2.
La Catgorie 1 correspond un arrt contrl avec maintien de lalimentation sur les

actionneurs de la machine pour pouvoir forcer cet arrt. Une fois larrt effectif, lalimentation
est alors coupe sur les actionneurs. Cette catgorie darrt permet dinterrompre rapidement
un mouvement prsentant un danger en utilisant un freinage lectrique, puis de couper
lalimentation des actionneurs.
La Catgorie 2 correspond un arrt contrl avec maintien de lalimentation sur les

actionneurs de la machine. Une procdure darrt de production normale est considre
comme un arrt de Catgorie 2.
Ces catgories darrt doivent sappliquer chaque fonction darrt. Une fonction darrt
dsigne laction ralise par la partie scurit dun systme de commande en rponse un
41
SAFEBOOK 4
signal dentre. Seules les catgories 0 ou 1 sont concernes. Ces fonctions darrt doivent
tre prioritaires sur les fonctions de dmarrage correspondantes. Le choix de la catgorie
darrt appliquer chaque fonction darrt doit tre dtermin par lvaluation des risques.
Fonction darrt durgence

La fonction darrt durgence doit tre configure comme un arrt de Catgorie 0 ou 1, en
fonction de lvaluation des risques. Elle doit pouvoir tre initie par une action humaine
unique. Une fois dclenche, elle sera prioritaire sur toutes les autres fonctions et modes de
fonctionnement de la machine. Son objectif est de couper lalimentation le plus vite possible
sans crer de dangers supplmentaires.
Il ny a pas si longtemps, il tait encore obligatoire dutiliser des composants lectromca-

niques cbls pour ces circuits darrt durgence. Les volutions rcentes des normes, comme
celles apportes par la CEI 60204-1 et la NFPA 79, ont introduit la possibilit dutiliser pour le
circuit darrt durgence des automates de scurit et autres formes de logique lectronique,
sous rserve quils soient conformes aux normes applicables comme la CEI 61508.
Dispositifs darrt durgence
Chaque fois quil existe un risque de danger pour les oprateurs sur une machine, celle-ci doit
tre munie dun dispositif darrt durgence facilement et rapidement accessible. Le dispositif
darrt durgence doit tre oprationnel en permanence et disponible instantanment. Le pupi-
tre oprateur doit tre quip dau moins un tel dispositif darrt durgence. Des dispositifs
supplmentaires peuvent tre implants en dautres endroits selon les besoins. Ces dispositifs
darrt durgence se prsentent sous diverses formes. Les interrupteurs boutons-poussoirs
et les systmes darrt durgence cble sont des exemples de dispositifs parmi les plus
frquemment utiliss. Lorsque le dispositif darrt durgence est actionn, il doit rester enclen-
ch. Il ne devra pas tre possible de gnrer la commande darrt tant que ce verrouillage
nest pas ralis. Le rarmement de ce dispositif darrt durgence ne doit pas crer de situa-
tion dangereuse. Le redmarrage de la machine devra faire lobjet dune action distincte et
dlibre de loprateur.
Pour plus dinformations sur les dispositifs darrt durgence, consulter les normes ISO/EN 13850,
CEI 60947-5-5, NFPA 79 et CEI 60204-1, AS4024.1, Z432-94.
Boutons darrt durgence
Les dispositifs darrt durgence sont considrs comme des quipements de protection
complmentaires. Il nentrent pas dans la catgorie des dispositifs de protection principaux
car ils nempchent pas laccs une source de danger et ne dtectent pas lintrusion dans
une zone dangereuse.
Ils se prsentent le plus souvent sous forme dun bouton-poussoir de couleur rouge ressem-
blant un champignon et mont sur un botier de couleur jaune. Loprateur peut ainsi taper
dessus en cas de danger. Ces dispositifs doivent tre placs aux points stratgiques et en
nombre suffisant autour de la machine, de faon quil y en ait toujours un porte de main
proximit des zones dangereuses.
42
SAFEBOOK 4
Ces boutons darrt durgence doivent tre facilement accessibles et doivent tre utilisables
dans tous les modes de fonctionnement de la machine. Lorsquun bouton-poussoir est utilis
comme dispositif darrt durgence, il doit tre de forme champignon (ou de type coup-de-
poing), de couleur rouge sur un fond jaune. Lorsque ce bouton est actionn, les contacts
correspondant doivent changer dtat simultanment son verrouillage en position enfonce.
Une nouvelle technique est maintenant utilise avec ces dispositifs darrt durgence. Il sagit
de lauto-surveillance. Un contact supplmentaire est alors rajout larrire du dispositif. Il a
pour but de contrler la prsence des composants larrire du panneau. On parle alors de
bloc de contact auto-surveillance. Il sagit dun contact actionn par un ressort qui se ferme
quand le bloc de contact est mis en place sur le panneau. La figure 80 montre ce contact
dauto-surveillance mont en srie avec un des contacts de scurit ouverture directe.
Arrts durgence cble
Dans le cas de machines comme des convoyeurs bande, il est souvent plus pratique et plus
efficace dutiliser un systme darrt durgence cble courant tout le long de la zone dange-
reuse. Ce type de dispositif utilise un cble en acier raccord des interrupteurs verrouillables
traction. Ds quune traction est exerce sur le cble dans nimporte quelle direction et
nimporte quel point de sa longueur, elle dclenche linterrupteur qui coupe lalimentation de la
machine.
Ces dispositifs doivent tre capables de dtecter la fois les tensions exerces sur le cble
et son ramollissement. La dtection de manque de tension du cble permet de sassurer quil
nest pas coup et quil est en tat de fonctionnement normal.
La longueur du cble a une incidence sur les performances du dispositif. Pour les petites
longueurs, linterrupteur de scurit est mont une extrmit et un ressort de tension est fix
lautre extrmit. Pour les grandes longueurs, un interrupteur de scurit doit tre plac
chaque extrmit du cble afin de garantir quune action unique de loprateur permette bien
de dclencher la commande darrt. La force exerce sur le cble ne doit pas dpasser 200 N.
La flche maximum au point milieu de la distance entre deux supports de ce cble ce ne doit
par ailleurs pas excder 400 mm.
Commandes bimanuelles
Lutilisation de commandes ncessitant les deux mains (ou commandes bimanuelles) constitue
une solution traditionnellement utilise pour empcher laccs la machine lorsque celle-ci
prsente un danger. Deux commandes doivent tre actionnes de faon combine ( moins
de 0,5 secondes dintervalle) pour pouvoir dmarrer la machine. Ceci assure que les deux
mains de loprateur sont mobilises dans une zone scurise (en loccurrence, sur les
commandes). Elles ne peuvent en consquence pas se trouver dans la zone dangereuse. Les
commandes doivent tre actionnes de faon continue tant que le danger est prsent. Le
fonctionnement de la machine doit cesser ds quune des commandes est relche. Si lune
des commandes est relche, lautre devra galement ltre avant de pouvoir redmarrer la
machine.
43
SAFEBOOK 4
Tout systme bimanuel est trs largement tributaire de la rigueur de dtection des dfauts par
son systme de commande et de surveillance. Il est de ce fait essentiel que des rquisitions
trs prcises aient t dfinies pour cela lors de la conception de ce systme. Les perfor-
mances dun systme de scurit bimanuel sont classes par types selon la norme ISO 13851
(EN 574). Comme on le voit dans le tableau ci-dessous, ces types sont eux-mme rattachs
aux Catgories de la norme ISO 13849-1. Les types les plus courants en matire de scurit
des machines sont les types IIIB et IIIC. Le tableau suivant montre les relations existant entre
les types et les catgories de performance de scurit.
Types
Prescriptions III
I II
A B C
Activation synchrone X X X
Utilisation de la Catgorie 1 (selon lISO 13849-1) X X
Utilisation de la Catgorie 3 (selon lISO 13849-1) X X
Utilisation de la Catgorie 4 (selon lISO 13849-1) X
Lorganisation ergonomique du pupitre doit empcher toute manuvre inapproprie (actionne-

ment par la main et le coude, par exemple). Ceci peut tre obtenu par un espacement adapt
ou par des crans de sparation. La machine ne doit pas pouvoir enchaner deux cycles
conscutifs sans que les deux boutons de commande aient dabord t relchs puis action-
ns nouveau. Ceci est destin empcher le blocage simultan des deux boutons afin de
laisser tourner la machine en continu. Le relchement de lun des deux boutons doit entraner
larrt de la machine.
Lutilisation dune commande bimanuelle doit tre envisage avec discernement car elle
ncarte gnralement pas tous les risques existants. La commande bimanuelle ne protge
dautre part que la personne qui lutilise. Cet oprateur doit donc tre mme de surveiller
tous les accs la zone dangereuse, les autres personnes ne bnficiant pas ncessairement
dune protection.
La norme ISO 13851 (EN 574) fournit des recommandations supplmentaires concernant les
commandes bimanuelles.
Poignes de scurit
Les poignes de scurit permettent loprateur de pntrer dans la zone dangereuse

lorsque la source de danger est active. Elle ne restera que sil maintient la commande de la
poigne de scurit en position dactivation. Ces poignes de scurit peuvent utiliser des
interrupteurs deux ou trois positions. Les interrupteurs deux positions sont dsactivs
lorsquils ne sont pas actionns et activs lorsquils sont actionns. Les interrupteurs
44
SAFEBOOK 4
trois positions sont dsactivs lorsquils ne sont pas actionns (position 1), activs lorsque
leur actionneur est maintenu en position centrale (position 2) et dsactivs lorsquil est pouss
au-del de la position mdiane (position 3). De plus, lorsquils repassent de position 3 en
position 1, leur circuit de sortie ne doit pas se refermer lors du passage par la position 2.
Ces poignes de scurit doivent tre utilises en parallle dautres fonctions de scurit.
Un exemple type de leur application est le passage du mouvement en fonctionnement lent
rgul. Une fois la machine ainsi place en mode de fonctionnement lent, un oprateur pourra
pntrer dans la zone dangereuse en tenant la main la poigne de scurit.
Lorsquune poigne de scurit est utilise, un signal doit indiquer quelle est active.
Dispositifs logiques
Les dispositifs logiques jouent un rle central dans la partie scurit du systme de com-
mande. Ces dispositifs assurent le contrle et la surveillance du systme de scurit et autori-
sent le dmarrage de la machine ou lexcution des commandes darrt de cette machine.
Il existe toute une gamme de dispositifs logiques permettant de crer une architecture de
scurit adapte la complexit et aux fonctionnalits requises par la machine. Des petits
relais de surveillance de scurit cbls seront plus conomiques pour les petites machines
sur lesquelles un dispositif logique ddi simple est ncessaire pour assurer la fonction de
scurit. Des relais de surveillance de scurit modulaires et configurables seront prfrables
dans le cas o des dispositifs de protection varis et nombreux, ainsi quune commande de
zone minimale, sont requis. Pour les machines de taille moyenne grande, ainsi que pour
celles prsentant encore plus de complexit, les systmes programmables avec E/S
distribues seront les mieux adapts.
Relais de surveillance de scurit
Les modules de surveillance de scurit relais de type MSR (monitoring safety relay) jouent
un rle cl dans de nombreux systmes de scurit. Ces modules sont gnralement compo-
ss de plusieurs relais guidage positif et dun circuit complmentaire destin assurer lex-
cution de la fonction de scurit.
Les relais guidage positif sont des relais spcialiss de forme cubique. Ces relais guidage
positif doivent tre conformes aux exigences de performance de la norme EN 50025. Ils ont
principalement pour fonction dempcher les contacts normalement ferms et normalement
ouverts de se trouver ferms simultanment. Dans les conceptions les plus rcentes, les
sorties lectromcaniques sont remplaces par des sorties de scurit statiques.
Les relais de surveillance de scurit ralisent diverses vrifications du systme de scurit.

A la mise sous tension, ils effectuent un auto-contrle de leurs composants internes. Lorsque
les dispositifs dentre sont activs, le relais MSR compare ltat des entres redondantes. Sil
est conforme, le relais MSR vrifie les actionneurs externes. Si le rsultat est positif, le relais
attend alors un signal de rinitialisation pour activer ses sorties.
45
SAFEBOOK 4
Le choix du relais de scurit appropri dpend de plusieurs facteurs : le type des dispositifs
contrls, le type de rinitialisation effectue, le nombre et le type de sorties.
Types dentres
Les dispositifs de protection utilisent diffrentes mthodes pour signaler quun dfaut sest
produit :
Interrupteurs contacts et arrts durgence : contacts mcaniques mono-voie avec un

contact normalement ferm, ou deux voies normalement fermes. Le relais MSR doit
pouvoir accepter une ou deux voies et permettre la dtection des erreurs de croisement sur
les systmes deux voies.
Interrupteurs sans contacts et arrts durgence : contacts mcaniques, deux voies, un

contact normalement ouvert et un normalement ferm. Le relais MSR doit tre capable de
traiter des entres complmentaires.
Interrupteurs sortie statique : les barrires immatrielles, les scrutateurs laser et les
dispositifs statiques sans contacts ont deux sorties PNP et assurent eux-mmes la dtection
des erreurs de croisement. Le relais MSR doit tre capable dignorer la procdure de dtection
des erreurs de croisement du dispositif.
Tapis sensibles la pression : Ces tapis crent un court-circuit entre deux voies. Le relais
MSR doit tre capable de supporter ces courts-circuits rpts.
Bourrelets sensibles la pression : certains bourrelets sont conus de la mme faon que
les tapis 4 fils. Certains autres utilisent un dispositif deux fils qui cre une variation de
rsistance dans le circuit. Le relais MSR doit tre capable de dtecter un court-circuit ou une
variation de rsistance.
Signal en tension : mesure la FCEM dun moteur pendant la dclration. Le relais MSR doit
tre capable de supporter des tensions leves, mais aussi de dtecter les basses tensions
lorsque le moteur dclre.
Mouvement arrt : le relais MSR doit tre capable de dtecter les flux dimpulsions
provenant de capteurs divers et redondants.
Commande bimanuelle : le relais MSR doit tre capable de dtecter les entres
complmentaires normalement ouvertes et normalement fermes. Il doit pouvoir assurer
galement une temporisation de 0,5 s ainsi quun squencement logique.
Les relais de surveillance de scurit doivent tre conus pour interfacer spcifiquement
chacun de ces types de dispositifs aux caractristiques lectriques diffrentes. Certains relais
MSR ont la possibilit de recevoir diffrents types dentres. Mais une fois quun dispositif
particulier est slectionn, le relais ne pourra dialoguer quavec lui. Le concepteur doit donc
choisir un relais MSR compatible avec le type dentre quil souhaite.
46
SAFEBOOK 4
Impdance dentre
Limpdance dentre des relais de surveillance de scurit dtermine le nombre de capteurs

pouvant tre raccords au relais et la distance jusqu laquelle ils peuvent tre monts. Par
exemple, un relais de scurit aura une impdance dentre maximale autorise de 500 ohms
(~). Lorsque limpdance dentre sera suprieure 500 , les sorties ne seront pas actives.
Lutilisateur doit donc veiller ce que limpdance dentre reste infrieure la valeur maximum
spcifie. La longueur, la section et le type du cblage utiliss affectent limpdance dentre.
Nombre de dispositifs dentre (capteurs)
La procdure dvaluation des risques sera utilise pour dterminer le nombre de capteurs
devant tre raccords chaque unit MSR, ainsi que la frquence de vrification de ces
entres. Pour sassurer que les contacteurs darrt durgence et les interrupteurs de scurit
sont toujours oprationnels, leur bon fonctionnement doit tre contrl intervalles rguliers,
suivant la frquence dfinie lors de lvaluation des risques. Par exemple, une entre de
relais MSR deux voies raccorde une grille de protection verrouillage de scurit devant
tre ouverte chaque cycle de la machine (cest--dire plusieurs fois par jour) ne justifiera
pas ncessairement un contrle spcifique. La raison en est que louverture de la grille de
protection dclenchera lauto-contrle par le relais de ses entres et de ses sorties (selon la
configuration) afin de dtecter tout ventuel dfaut individuel. Plus la grille de protection sera
ouverte frquemment, plus la rigueur de la procdure de contrle sera leve.
Autre exemple : les arrts durgence. tant, par dfinition, utiliss principalement en cas dur-
gence, ils sont susceptibles dtre beaucoup moins sollicits. Cest pourquoi leur bon fonction-
nement devra tre vrifi suivant un programme de test prvoyant leur actionnement inter-
valles rguliers. Ce type de contrle du fonctionnement du systme de scurit sappelle un
test de scurit. La priodicit de ralisation de ces tests est appele intervalle entre tests de
validit. Troisime exemple : les trappes daccs permettant le rglage des machines. Comme
les interrupteurs darrts durgence, elles peuvent tre que rarement utilises. L encore, un
programme de vrification de la fonction de scurit intervalles rguliers doit tre dfini.
Lvaluation des risques permet de dterminer si les capteurs concerns ont besoin dtre
contrls et quelle frquence. Plus le niveau de risque est lev, plus les exigences seront
importantes pour cette procdure de contrle. Par ailleurs, moins la frquence des contrles
automatiques sera leve, plus on devra simposer de contrles manuels frquents.
Dtection des erreurs de croisement sur les entres
Dans les systmes deux voies, les dfauts provenant de courts-circuits entre les voies,
galement appels erreurs de croisement, doivent tre identifis par le systme de scurit.
Cette fonction est ralise soit par le capteur, soit par le relais de surveillance de scurit.
Les relais de surveillance de scurit utilisant des microprocesseurs, comme avec les bar-
rires immatrielles, les scrutateurs laser et les capteurs sans contact volus, peuvent
dtecter ces courts-circuits de diffrentes faons. Lune des mthodes la plus classique de
47
SAFEBOOK 4
dtection de ces erreurs de croisement consiste effectuer un contrle par impulsions dca-
les. La frquence dimpulsion des signaux de sortie est trs leve. Les impulsions de la
voie 1 sont dcales par rapport celles de la voie 2. Si un court-circuit se produit, ces impul-
sions deviennent simultanes, ce qui peut tre dtect par le dispositif.
Les relais de surveillance de scurit lectromcanique utilisent une technique de contrle dif-
frentiel diffrente : ils contrlent une entre enclenchement et une entre dclenchement.
Un court-circuit entre la voie 1 et la voie 2 actionnera le dispositif de protection contre les
surintensits et le systme de scurit arrtera la machine.
Sorties
Les relais de surveillance de scurit peuvent avoir un nombre vari de sorties. Le types de
ces sorties permet de dterminer le relais MSR utiliser pour chaque application particulire.
La plupart des relais MSR possdent au moins 2 sorties de scurit fonctionnement

instantan. Les sorties de scurit de ces relais sont caractrises comme normalement
ouvertes. Elles sont par ailleurs considres comme sorties de scurit du fait de leur
fonctionnalits de redondance et dauto-contrle interne. Les sorties temporises constituent
un second type de sortie. Ces sorties temporises sont gnralement utilises pour les arrts
de Catgorie 1, lorsque la machine a besoin dun certain temps pour excuter sa fonction
darrt avant dautoriser laccs la zone dangereuse. Les relais MSR possdent galement
des sorties auxiliaires. Celles-ci sont gnralement dfinies comme normalement fermes.
Puissance de sortie nominale
Les caractristiques de puissance de sortie nominales indiquent la capacit de commutation

de charge dun dispositif de protection. Habituellement, dans le cas de dispositifs industriels,
ces puissances sont dfinies pour des circuits rsistifs ou lectromagntiques (inductifs). Une
charge rsistive pourra, par exemple, tre constitue par un lment chauffant. Les charges
lectromagntiques sont gnralement constitues par des relais, des contacteurs ou des
lectroaimants prsentant un fort caractre inductif. Lannexe A de la norme CEI 60947-5-1
dcrit les caractristiques des diffrentes charges. Ces informations sont galement
mentionnes au chapitre Principes du catalogue des quipements de scurit.
Code didentification : Le code didentification est constitu dune lettre suivie dun chiffre,
par exemple A300. La lettre se rapporte lintensit thermique conventionnelle en botier
ferm et indique si ce courant est continu ou alternatif. Dans lexemple, la lettre A indique un
courant alternatif de 10 ampres. Le chiffre indique la tension disolation. Dans lexemple,
300 reprsente 300 V.
Usage : Les catgories dusage dsignent les types de charges que le dispositif peut
commuter. Les catgories dusage selon la norme CEI 60947-5 sont rpertories dans le
tableau suivant.
48
SAFEBOOK 4
Usage Description de la charge
Commande de charges rsistives et statiques

AC-12
avec isolement par opto-coupleurs
Commande de charges statiques avec isolement

AC-13
par transformateur
Commande de petites charges lectromagntiques

AC-14
(infrieures 72 VA)
AC-15 Charges lectromagntiques suprieures 72 VA
Commande de charges rsistives et statiques avec

DC-12
isolement par opto-coupleurs
DC-13 Commande dlectroaimants
Commande de charges lectromagntiques pourvues

DC-14
de rsistances de limitation dans leur circuit
Intensit thermique, Ith : lintensit thermique conventionnelle en botier ferm correspond

la valeur de courant utilise pour les essais dchauffement de lquipement mont dans un
botier particulier.
Tension (Ue) et intensit (Ie) nominales de fonctionnement : Lintensit et la tension

nominales de fonctionnement dfinissent la capacit de commutation, la fermeture comme
louverture, en conditions de fonctionnement normal. Les produits Allen-Bradley Guardmaster
sont, par exemple, spcifiquement conus pour 125 V c.a., 250 V c.a. et 24 V c.c. Consulter
lusine en cas dutilisation des tensions autres que ces valeurs nominales spcifies.
VA : les caractristiques VA (Volt-Ampre) dfinissent la puissance apparente nominale de

commutation, la fermeture comme louverture du circuit.
Exemple n 1 : une classification A150, AC-15 indique que les contacts peuvent fermer un
circuit de 7 200 VA. Sous 120 V c.a., ces contacts pourront fermer un circuit avec un courant
dappel de 60 A. AC-15 faisant rfrence une charge lectromagntique, ces 60 A ne
sappliqueront que pendant une courte dure. Ils correspondent donc au courant dappel de
la charge lectromagntique. La puissance de coupure du circuit nest que de 720 VA, car
lintensit de la charge inductive en rgime tabli est de 6 A. Cette valeur constitue lintensit
de service nominale.
49
SAFEBOOK 4
Exemple n 2 : une classification N150, DC-13 indique que les contacts peuvent fermer un
circuit de 275 VA. Sous 125 V c.a., ces contacts pourront fermer un circuit de 2,2 A. En courant
continu, il nexiste pas de courant dappel pour les charges lectromagntiques, comme en
courant alternatif. La coupure du circuit supportera galement 275 VA, car lintensit de la
charge lectromagntique en rgime tabli est de 2,2 A. Cette valeur constitue lintensit de
service nominale.
Redmarrage de la machine
Si, par exemple, une grille de protection verrouillage de scurit est ouverte alors que la
machine est en fonctionnement, le contacteur dinterverrouillage provoquera son arrt. Dans
la plupart des cas, il sera impratif que la machine ne puisse pas redmarrer directement
sitt la grille referme. Un moyen classique de raliser cela consiste utiliser un systme
de dmarrage contacteur verrouillage.
Lappui et le relchement du bouton de dmarrage excite momentanment la bobine de

commande du contacteur, laquelle ferme les contacts dalimentation. Tant que ces contacts
dalimentation seront ferms, la bobine de commande restera alimente (verrouille lectrique-
ment) par lintermdiaire des contacts auxiliaires du contacteur qui sont coupls mcanique-
ment aux contacts dalimentation. Toute interruption de lalimentation lectrique principale ou
du systme de commande entranera la dsactivation de la bobine et louverture des contacts
dalimentation principale et des contacts auxiliaires. Le systme dinterverrouillage de la grille
de protection est reli au circuit de commande du contacteur. Cela implique que pour redmar-
rer la machine, il faudra refermer la grille puis ractiver le bouton de dmarrage normal destin
rarmer le contacteur et dmarrer la machine.
Le paragraphe 3.22.4 de la norme ISO 12100-1 dfinit clairement les conditions de fonctionne-
ment normales de ce systme dinterverrouillage (extrait) :
Lorsque la grille est en position ferme, le fonctionnement caractre dangereux de la

machine par rapport auquel elle assure sa protection, peut se drouler. Mais la fermeture
de la grille ne peut pas, en elle-mme, linitier.
Un grand nombre de machines sont dotes de contacteurs simples ou doubles, ayant un

fonctionnement identique celui dcrit prcdemment (ou utilisent un systme permettant
dobtenir le mme rsultat). Lorsquon installe un dispositif dinterverrouillage de scurit
sur une machine existante, il est ncessaire de dterminer si le systme dalimentation de
commande lectrique est compatible avec ses caractristiques. Au besoin, il faudra mettre
en place des mesures dadaptation complmentaires.
Fonctions de rarmement
Les relais de surveillance de scurit Guardmaster dAllen-Bradley sont conus soit avec un
rarmement manuel surveill, soit avec un rarmement automatique/manuel.
50
SAFEBOOK 4
Rarmement manuel surveill
Le rarmement manuel surveill ncessite que ltat du circuit de rarmement soit modifi
aprs fermeture de la grille ou du rarmement du contacteur darrt durgence. Les contacts
auxiliaires normalement ferms couplage mcanique des commutateurs dalimentation sont
branchs en srie avec un bouton-poussoir impulsion. Lorsque la grille a t ouverte, puis
referme, le relais de scurit nautorisera pas le redmarrage de la machine tant quil ny a
pas eu de changement dtat de ce bouton de rarmement. Ceci est conforme lesprit des
exigences de rarmement manuel supplmentaire dfinies par la norme EN ISO 13849-1.
Concrtement, la fonction de rarmement doit garantir que les deux contacteurs sont ltat
OFF et que les deux circuits dinterverrouillage (et donc les grilles de protection) sont ferms.
Elle doit galement garantir que lactionneur de rarmement na pas t, de quelque faon,
contourn ou bloqu (puisquun changement de son tat est obligatoire). Si ces tests sont
positifs, la machine pourra tre redmarre normalement. La norme EN ISO 13849-1
mentionne comme critre de ce changement dtat le passage de ltat sous tension ltat
hors tension. Mais le mme principe de protection pourra galement tre obtenu par laction
inverse.
Linterrupteur de rarmement devra tre plac en un point permettant loprateur davoir une
bonne visibilit sur la source du danger. Ceci afin de lui permettre de vrifier que la zone est
totalement dgage avant la remise en route.
Rarmement automatique/manuel
Certains relais de scurit sont dots dun rarmement automatique/manuel. Le mode de

rarmement manuel nest pas surveill et le rarmement se produit lorsquon appuie sur le
bouton de dmarrage. Un tel interrupteur de rarmement ne sera pas dtect comme tant
en court-circuit ou coinc. Cette approche ne permet donc pas a priori de rpondre aux
exigences de rarmement manuel supplmentaire dfinies par la norme EN ISO 13849-1,
moins davoir recours des dispositifs complmentaires.
De mme, le circuit de rarmement pourra tre pont, permettant un rarmement automatique

direct. Lutilisateur doit alors prvoir un autre mcanisme pour empcher le redmarrage de la
machine lors de la fermeture de la grille.
Un dispositif rarmement automatique ne ncessite aucune action (interrupteur) supplmen-

taire. Nanmoins, aprs dsactivation du systme, il contrlera systmatiquement lintgrit de
celui-ci avant de procder au rarmement. Un systme rarmement automatique ne doit pas
en effet tre confondu avec un dispositif dpourvu de toutes fonctionnalits de rarmement.
Dans ce dernier cas, le systme de scurit sera directement remis en service aprs sa ds-
activation, mais il ny aura pas de contrle de son intgrit.
Linterrupteur de rarmement devra tre plac un point permettant loprateur davoir une
bonne visibilit sur la source du danger. Ceci afin de lui permettre de vrifier que la zone est
totalement dgage avant le redmarrage.
51
SAFEBOOK 4
Protection commande directe
Une protection commande directe arrte la machine lorsque la grille est ouverte. Elle la red-
marre directement ds que la grille est referme. Lemploi de ces protections commande di-
recte nest permis que dans des conditions trs restreintes. Elles ne peuvent en effet empcher
les redmarrages intempestifs, ni les dfaillances dans la procdure darrt, ce qui peuvent
savrer extrmement dangereux. Le systme dinterverrouillage doit prsenter le plus haut
niveau de fiabilit possible (il est le plus souvent recommand dutiliser un dispositif de verrouil-
lage de grille). Lemploi de telles protections commande directe ne peut tre envisag QUE
sur des machines noffrant AUCUNE POSSIBILIT aux oprateurs dintroduire tout ou partie de
leur corps dans la zone dangereuse lorsque la protection est ferme. Le dispositif de protection
commande directe doit alors tre la seule voie daccs possible la zone dangereuse.
Systmes de commande logique programmables de scurit

Le besoin de flexibilit et dvolutivit dans les applications de scurit a conduit au dvelop-
pement de contrleurs logiques ou automates programmables de scurit. Les automates pro-
grammables de scurit apportent aux utilisateurs le mme niveau de flexibilit dans le sys-
tme de commande des applications de scurit que celui auquel ils sont habitus avec leurs
automates programmables standard. Il existe cependant des diffrences importantes entre les
automates standard et de scurit. Les automates de scurit sont disponible sous diffrentes
plates-formes afin de rpondre aux exigences dvolutivit, dintgration et de fonctionnalit
des systmes de scurit les plus complexes.
Des microprocesseurs multi-

ples sont utiliss en redon-
Micro- dance pour grer les E/S,
processeur Flash RAM Ports Module dE/S
la mmoire et les communi-
Adresse cations de scurit. Des
Donnes
circuits de surveillance
Commande
interne ( chiens de garde )
SYNC
CHIEN DE GARDE/ effectuent les diagnostics
COMPARAISON
et leur analyse. Ce type
Adresse darchitecture est dsign par
Donnes 1oo2D (lun ou lautre des
Commande deux). Lun ou lautre des
Micro- deux microprocesseurs peut
processeur Flash RAM en effet prendre en charge
la fonction de scurit. Des
Architecture 1oo2D diagnostics tendus sont
par ailleurs raliss afin de
sassurer que ces deux microprocesseurs travaillent de faon parfaitement synchronise.
Chaque circuit dentre est galement contrl en interne selon une frquence trs leve afin
de vrifier quil fonctionne correctement. Mme si le dispositif darrt durgence nest actionn
52
SAFEBOOK 4
quune fois par mois, le circuit est ainsi contrl en permanence. Ceci permet de garantir que
la commande darrt durgence sera dtecte sans problme par lautomate de scurit.
Micro-
processeur Entre 1
Adresse Test
Donnes
Entre 2
Commande Donnes
Tampons Test
SYNC CHIEN DE GARDE/ Entre 3

BUS E/S
COMPARAISON
Test
Adresse
Donnes
Test
Commande Commande
Circuit
Micro-
processeur
Schma de principe dun module dentres de scurit
Les sorties des automates de scurit peuvent tre de type lectromcaniques ou statiques
de scurit. Comme les circuits dentre, les circuits de sortie sont contrls en interne selon
une frquence trs leve afin de garantir quils pourront couper la sortie concerne sans pro-
blme lorsque ncessaire. Si lun des trois circuits est dfectueux, sa sortie sera interrompue
par les deux autres et le dfaut sera signal par le circuit de surveillance interne.
Lorsque des dispositifs de scurit contacts mcaniques sont employs (arrts durgence,
interrupteurs de grille, etc.), lutilisateur peut raliser un test par impulsions pour dtecter les
erreurs de croisement. Afin dviter le recours des sorties de scurit coteuses, de nom-
breux automates de scurit proposent des sorties impulsions ddies qui peuvent tre
connectes ces dispositifs contact mcanique.
Logiciel
Les automates de scurit se programment dune faon trs semblable aux automates stan-
dard. Tous les diagnostics complmentaires et les recherches de dfauts mentionns plus haut
sont raliss par le systme dexploitation. Le programmeur naura donc mme pas conscience
de ces oprations. La plupart des automates de scurit possdent un jeu dinstructions spcial
servant crire le programme du systme de scurit. Ces instructions tendent reproduire les
fonctions qui seraient ralises par un systme relais de scurit quivalent. Par exemple,
linstruction darrt durgence fonctionne dune faon trs similaire un relais MSR 127. Bien
que la logique qui sous-tende chacune de ces instructions soit complexe, les programmes de
scurit apparaissent comme relativement simples. Le programmeur na en fait qu assembler
ces diffrents blocs fonctionnels entre eux. Ces instructions, ainsi que les autres instructions
logiques, mathmatiques, de manipulation de donnes, etc., sont certifies par un organisme
externe afin de sassurer que leur fonctionnement est cohrent avec les normes en vigueur.
53
SAFEBOOK 4
Les blocs fonctionnels constituent la mthode principale utilise pour la programmation des
fonctions de scurit. En plus des blocs fonctionnels et de la logique relais, les automates
de scurit fournissent galement des instructions certifies pour les applications de scurit.
Ces instructions de scurit certifies permettent de programmer des comportements particu-
liers de lapplication. Lexemple suivant prsente une instruction darrt durgence. Accomplir
la mme fonction en logique relais ncessiterait environ 16 lignes de programme. Dans
la mesure o le comportement logique correspondant est intgr dans linstruction darrt
durgence, cette logique intgre na pas besoin dtre teste.
Il existe des blocs fonctionnels certifis adapts pratiquement tous les dispositifs de scurit.
Une exception cette rgle est cependant constitue par les bourrelets de scurit utilisant la
technologie rsistive.
Les automates de scurit gnrent par ailleurs une signature qui permet de suivre les
modifications apportes au systme. Cette signature englobe gnralement une information
sur le programme ainsi que sur la configuration des entres et des sorties et un horodatage.
Lorsque le programme est finalis et valid, lutilisateur doit enregistrer cette signature avec
les rsultats de validation afin de pouvoir sy reporter ultrieurement. Si le programme doit
tre modifi, une nouvelle validation sera ncessaire et une nouvelle signature devra tre
enregistre. Le programme peut galement tre verrouill par un mot de passe afin demp-
cher toute modification non autorise.
Avec les systmes logique programmable, le cblage se trouve simplifi par rapport aux sys-
tmes relais de surveillance de scurit. Contrairement aux systmes cbls qui ncessitent
le raccordement des bornes spcifiques sur les relais de surveillance de scurit, les dispo-
sitifs dentre peuvent tre connects nimporte quelle borne dentre, de mme que les dis-
positifs de sortie peuvent tre connects nimporte quelle borne de sortie. Ces bornes seront
ensuite affectes par le logiciel.
Automates scurit intgre
Les solutions de commande modernes permettent dsormais une intgration totale dans une
architecture de commande unique faisant cohabiter les fonctions de commande de scurit
et celles de commande standard. La possibilit de raliser une commande de mouvement,
de variation de vitesse, de processus, de traitement par lots ou encore squentielle grande
vitesse, simultanment une commande de scurit de niveau SIL 3 sur un seul et mme
automate apporte des avantages significatifs. Lintgration des commandes standard et de
scurit permet lutilisation de technologies et doutils communs. Ceci rduit les cots de
conception, dinstallation, de mise en service et de maintenance. La possibilit dutiliser des
accessoires de commande communs, des E/S ou des dispositifs de scurit distribus sur
des rseaux de scurit, ainsi que des dispositifs dIHM communs, permet de rduire les
cots dacquisition et de maintenance, de mme que les temps de dveloppement. Toutes
ces fonctionnalits augmentent la productivit et la rapidit dintervention des dpannages.
Elles rduisent par ailleurs les cots de formation grce la standardisation.
54
SAFEBOOK 4
Le schma suivant fournit un exemple dintgration de commandes standard et de scurit.

Les fonctions de commande standard, non lies la scurit, sont regroupes dans la tche
principale (Main Task). Les fonctions de scurit sont regroupes dans la tche de scurit
(Safety Task).
Toutes ces fonctions standard et de scurit sont isoles les unes des autres. Par exemple,
les points de scurit peuvent tre lus directement par le programme standard. Ces points de
scurit peuvent tre changs entre des automates GuardLogix par EtherNet, ControlNet
ou DeviceNet. Les donnes des points de scurit peuvent tre lues directement par des
dispositifs externes, des interfaces homme-machine (IHM), des ordinateurs personnels (PC)
ou dautres automates.
1. Les points et le programme standard se

comportent de la mme faon quavec un
automate ControlLogix standard.
2. Les donnes des points standard, quelles

Integrated
soient de type programme ou automate, peu-
Tasks
vent tre lues par des dispositifs externes,
des IHM, des PC, dautres automates, etc.
3. En tant quautomate intgr, GuardLogix

permet de dplacer ( mapper ) des don-
nes de points standard dans des points de
scurit pour tre utilises dans une tche
de scurit. Ceci permet aux utilisateurs de
vrifier leurs informations dtat depuis le
ct standard du GuardLogix. Ces donnes
ne doivent cependant pas tre utilises
pour commander directement une sortie de
scurit.
4. Les points de scurit peuvent tre lus

directement par le programme standard.
5. Les points de scurit peuvent tre lus ou

crits par le programme de scurit.
6. Les points de scurit peuvent tre

changs entre automates GuardLogix par
EtherNet.
7. Les donnes de points de scurit, quelles soient de type programme ou automate, peuvent
tre lues par des dispositifs externes, des IHM, des PC, dautres automates, etc. Remarque :
une fois ces donnes lues, elles sont considres comme des donnes standard, non plus
comme des donnes de scurit.
55
SAFEBOOK 4
Rseaux de scurit
Lutilisation des rseaux de communication en production permet depuis longtemps aux
fabricants damliorer leur flexibilit, daugmenter les diagnostics, daccrotre les distances,
de rduire les cots dinstallation et de cblage, de faciliter la maintenance et plus gnrale-
ment damliorer la productivit. Ces mmes objectifs guident galement le dploiement des
rseaux de scurit industriels. Ces rseaux de scurit permettent aux fabricants dimplanter
des E/S et des dispositifs de scurit tout autour de leurs machines en les reliant simplement
par un unique cble rseau. Ceci limite ainsi les cots dinstallation tout en amliorant la capa-
cit de diagnostic et en permettant une sophistication plus grande des systmes de scurit.
Ils autorisent galement des communications scurises entre les contrleurs logiques ou les
automates de scurit. Ceci permet aux utilisateurs de rpartir leurs commandes de scurit
entre plusieurs systmes intelligents.
Les rseaux de scurit nempchent pas les erreurs de communication de se produire.

Nanmoins, ils sont capables de dtecter les erreurs de transmission puis de permettre aux
dispositifs de scurit de prendre des mesures appropries. Les erreurs de communication
dtectables incluent : linsertion de message, la perte de message, la corruption de message,
le retard de message, la rptition de message et la squence de message incorrecte.
Dans la plupart des applications, lorsquune erreur est dtecte, le dispositif passe dans un
tat dsactiv prdfini, traditionnellement dsign par tat de scurit . Le dispositif
dentre ou de sortie de scurit est charg de la dtection de ces erreurs de communication
et du passage tat de scurit le cas chant.
Les premiers rseaux de scurit taient lis un type de support ou une configuration
daccs physique spcifiques. Les industriels devaient donc utiliser un matriel ddi (cbles,
cartes dinterface rseau, routeurs, passerelles, etc.) qui devenait alors une des composantes
de la fonction de scurit. Ces rseaux taient limites puisquils ne prenaient en charge que
les communications entre dispositifs de scurit. Ceci impliquait pour lindustriel la ncessit
dutiliser plusieurs rseaux diffrents dans le cadre de sa stratgie de commande de machines
(un rseau pour les commandes standard et un autre pour les commandes de scurit). Ceci
augmentait ainsi les cots dinstallation, de formation et de gestion des pices de rechange.
Les rseaux de scurit modernes permettent aux dispositifs de commande de scurit et

standard de communiquer par lintermdiaire dun cble rseau unique. CIP (Common
Industrial Protocol) Safety est un protocole ouvert standard dfini par lODVA (Open DeviceNet
Vendors Association). Il autorise les communications de scurit entre dispositifs de scurit
sur des rseaux DeviceNet, ControlNet et EtherNet/IP. CIP Safety tant une extension du
protocole CIP standard, les dispositifs standard et de scurit peuvent ainsi coexister sur un
mme rseau. Les utilisateurs peuvent galement tablir des passerelles entre diffrents
rseaux contenant des dispositifs de scurit. Ceci leur permet de rpartir ces dispositifs de
scurit de faon optimiser les temps de rponse en scurit. Plus simplement, ceci leur
facilite la distribution de leurs dispositifs de scurit. Tant donn que lexcution du protocole
de scurit est dlgue aux dispositifs terminaux (contrleurs logiques et automates de
scurit, modules dE/S de scurit, composants de scurit divers), il est possible dutiliser
56
SAFEBOOK 4
des cbles, des cartes dinterfaces rseau, des passerelles et des routeurs standard. Tous ces
accessoires deviennent en effet externes la fonction de scurit et la ncessit dun matriel
rseau spcialis na ainsi plus de raison dtre.
Dispositifs de sortie
Relais de commande et contacteurs de scurit
Ces relais de commande et ces contacteurs sont utiliss pour couper lalimentation de
lactionneur. Ce sont en fait des relais de commande et contacteurs standard auxquels des
fonctions spcialises ont t ajoutes pour les transformer en accessoires de scurit.
Ils incorporent en pratique des contacts normalement ferms couplage mcanique destins
renvoyer une information sur leur tat vers le dispositif logique. Ce sont ces contacts cou-
plage mcanique qui permettent dassurer la fonction de scurit. Conformment aux normes
applicables ce type de configuration, des contacts normalement ferms et des contacts nor-
malement ouverts ne peuvent pas se trouver en position ferme simultanment. On se repor-
tera la norme CEI 60947-5-1 pour le dtail des critres relatifs ces contacts couplage m-
canique. Si les contacts normalement ouverts viennent se souder, les contacts normalement
ferms doivent rester ouverts dau moins 0,5 mm. Rciproquement, si les contacts normale-
ment ferms viennent se souder, les contacts normalement ouverts doivent rester ouverts.
Les systmes de scurit ne doivent pouvoir tre dmarrs qu des emplacements spci-
fiques. Sur les relais de commande et les contacteurs standard, il est possible de fermer
manuellement les contacts normalement ouverts en appuyant sur linduit. Sur les dispositifs
de scurit, cet induit est protg contre tout forage manuel afin de limiter le risque de
redmarrage imprvu.
Sur les relais de commande de scurit, le contact normalement ferm est actionn par la
tige de couplage principale. Les contacteurs de scurit utilisent une embase supplmentaire
pour le montage des contacts couplage mcanique. Si le bloc contact principal vient se
dsolidariser de son embase, les contacts couplage mcanique restent ferms. Les contacts
couplage mcanique sont accoupls de faon permanente au relais de commande ou au
contacteur de scurit. Sur les plus gros contacteurs, lembase supplmentaire ne permet pas
toujours une retransmission prcise de la position de la tige de couplage qui est plus longue.
Des contacts miroir (Voir Figure 4.81), situs de chaque ct du contacteur, sont alors utiliss.
Le temps de dclenchement de ces relais de commande ou contacteurs doit tre pris en

compte pour le calcul des distances de scurit. Un suppresseur de surtensions est souvent
plac sur la bobine pour augmenter la dure de vie des contacts de commande. Pour les
bobines c.a., cela naffectera pas le temps de dclenchement. Pour les bobines c.c., ce
temps de dclenchement sera augment. Ce dlai supplmentaire dpendra du mode de
suppression choisi.
Les relais de commande et les contacteurs sont prvus pour commuter des charges leves
allant de 0,5 A plus de 100 A. Le systme de scurit utilise lui des courants faibles. Le
signal de retour gnr par lorgane logique du systme de scurit pourra aller de quelques
57
SAFEBOOK 4
milliampres une ou plusieurs dizaines de milliampres, gnralement sous 24 V c.c. Les

relais de commande et les contacteurs de scurit utilisent des contacts jumels plaqus or
pour commuter de faon fiable ces faibles intensits.
Protection contre les surcharges
Une protection des moteurs contre les surcharges est impose par les normes lectriques.
Les diagnostics fournis par ce dispositif de protection contre les surcharges contribuent
amliorer non seulement la scurit de lquipement, mais aussi celle de loprateur. Les
technologies disponibles de nos jours permettent la dtection de conditions de dfaut comme
les surcharges, la perte de phase, les dfauts de terre, le blocage rotor, les interfrences, la
sous-charge, les dsquilibres de phase et les surchauffes. La dtection et linformation sur
ces conditions anormales pralablement au dclenchement permet damliorer la disponibilit
de loutil de production et de protger les oprateurs ainsi que le personnel de maintenance
en cas de situations dangereuses imprvues.
Variateurs et servovariateurs
Des variateurs et servovariateurs de scurit peuvent tre utiliss pour interrompre un

mouvement rotatif et raliser un arrt de scurit ou un arrt durgence.
Les variateurs c.a. sont considrs comme tant de scurit lorsquils possdent des voies
redondantes pour couper lalimentation du circuit de commande de la grille de protection. Une
voie correspond au signal de validation. Il sagit dun signal isolant matriellement les entres
vers le circuit de commande de la grille. Lautre voie correspond un relais guidage positif
destin couper lalimentation du circuit de commande de la grille de protection. Le relais
guidage positif renvoie galement un signal dtat au systme logique. Cette approche
redondante permet dutiliser un variateur de scurit dans un circuit darrt durgence sans
quil soit besoin dun contacteur ddi.
Les servovariateurs parviennent ce rsultat dune faon similaire aux variateurs c.a. Ils utili-
sent galement des signaux de scurit redondants pour leur fonction de scurit. Un premier
signal interrompt le circuit de commande entre le variateur et la grille. Un deuxime signal
coupe lalimentation du circuit de commande de la grille. Deux relais guidage positif sont
utiliss pour couper les alimentations et fournir un retour au dispositif logique de scurit.
Systmes de raccordement
Les systmes de raccordement fournissent une valeur ajoute par le biais de la rduction
des cots dinstallation et de maintenance quils impliquent pour les systmes de scurit.
La conception devra donc considrer avec attention le mode de raccordement des dispositifs :
voie unique, double voie, double voie avec indication et types de dispositifs multiples.
Lorsquil sera ncessaire de monter en srie des interrupteurs deux voies, un botier de
distribution pourra simplifier linstallation. Grce leur classe de protection IP67, ces botiers
peuvent tre monts distance sur la machine. Lorsquun ensemble de dispositifs de types
58
SAFEBOOK 4
Calculs de distance de scurit
divers doit tre utilis, un botier dE/S ArmorBlock Guard I/O est recommander. Ses entres
peuvent en effet tre configures logiciellement de faon accepter diffrents types de
dispositifs.

Les sources de danger doivent tre neutralises (tat de scurit) avant que loprateur puisse
pntrer dans la zone dangereuse. Pour le calcul des distances de scurit, deux grands
groupes de normes ont t dvelopps. Ils sont dsigns ainsi dans ce chapitre :
ISO EN : (ISO 13855 et EN 999)
US CAN (ANSI B11.19, ANSI RIA R15.06 et CAN/CSA Z434-03)
Formules
La distance de scurit minimale dpend du temps ncessaire pour le traitement de la

commande darrt. Elle dpend galement du point jusquauquel loprateur peut accder
lintrieur de la zone avant dtre dtect. Les deux principales formules utilises partout
dans le monde sont du mme principe et font appel aux mmes paramtres. Leurs diffrences
rsident dans les symboles utiliss pour reprsenter leurs variables et dans leurs units de
mesure.
Ces deux formules sont les suivantes :
ISO EN : S= Kx T +C
US CAN : Ds = Kx (Ts + Tc + Tr + Tbm) + Dpf
Dans lesquelles : Ds et S indiquent la distance de scurit minimale entre la zone dangereuse

et le point de dtection le plus proche.
Angle dapproche
Pour calculer la distance de scurit lorsquune barrire immatrielle ou un scrutateur de zone

sont utiliss, langle dapproche par rapport au dispositif de dtection doit galement tre pris
en considration. Trois types dapproche sont retenues :
Normale approche perpendiculaire au plan de dtection ;
Horizontale approche parallle au plan de dtection ;
Angulaire approche de la zone de dtection selon un certain angle.
Constante de vitesse
K symbolise la constante de vitesse dans les deux formules. La valeur de cette constante de
vitesse dpend de la clrit de mouvement de loprateur (la vitesse de dplacement de ses
59
SAFEBOOK 4
mains, la vitesse et la longueur de ses pas). En se fondant sur des rsultats de recherches,
on peut raisonnablement retenir une valeur de 1 600 mm/s pour la vitesse de dplacement
des mains dun oprateur lorsque son corps est stationnaire. Les conditions de lapplication
relle sont toutefois prendre en compte. En rgle gnrale, la vitesse dapproche varie entre
1 600 mm/s et 2 500 mm/s. La constante de vitesse approprie doit tre dtermine par
lvaluation des risques.
Temps darrt
T est le temps ncessaire pour arrter totalement le systme. La dure complte, en

secondes, va du moment o le signal darrt est gnr jusqu celui o la source de danger
est totalement neutralise. Cette dure peut tre dcompose selon diffrentes dimensions
(Ts, Tc, Tr et Tbm/Cf. formule US CAN) pour faciliter lanalyse. Ts est la plus longue dure
darrt possible de la machine ou de lquipement. Tc est la plus longue dure darrt possible
du systme de commande. Tr est le temps de rponse du dispositif de protection, y compris
son interface. Tbm est la dure darrt supplmentaire, au del des seuils prdfinis par
lutilisateur, autorise au niveau du contrle de freinage avant dtection dune erreur de temps
darrt. Tbm est notamment utilis pour les presses mcaniques rotatives. Ts + Tc + Tr sont
gnralement mesurs par un dispositif de contrle du temps darrt lorsque ces valeurs ne
sont pas prdfinies.
Facteurs de pntration
Le facteur de pntration est reprsent par les symboles C et Dpf. Il sagit de la distance
davancement maximale en direction de la source de danger avant dtection par le dispositif
de protection. Le facteur de pntration variera selon le type du dispositif et de lapplication.
On se reportera la norme approprie pour dterminer le meilleur facteur de pntration
retenir. Dans le cas dune approche normale par rapport une barrire immatrielle ou un
scrutateur de zone dont la sensibilit de dtection sera infrieure 64 mm, les normes ANSI
et canadiennes utilisent :
Dpf = 3,4 x (Sensibilit de dtection 6,875 mm), mais pas moins de 0.
Dans le cas dune approche normale par rapport une barrire immatrielle ou un scrutateur
de zone, dont la sensibilit de dtection sera infrieure 40 mm, les normes ISO et EN
utilisent :
C = 8 x (sensibilit de dtection 14 mm), mais pas moins de 0
Ces deux formules ont un point dintersection correspondant une taille dobjet de 19,3 mm.
Pour la dtection dobjets infrieurs 19 mm, lapproche US CAN est plus restrictive. En effet,
elle impose de placer la barrire immatrielle ou le scrutateur de zone plus loin de la source de
danger. Pour la dtection dobjets suprieurs 19,3 mm, cest la norme ISO EN qui est la plus
restrictive. Les constructeurs de machines fabriquant pour le march mondial devront retenir le
rsultat le plus dfavorable de lapplication de ces deux quations.
60
SAFEBOOK 4
Applications avec accs travers le champ de dtection
Pour la dtection des plus grands objets, les normes US CAN et ISO EN diffrent lgrement
en ce qui concerne le facteur de pntration et la sensibilit de dtection. La valeur ISO EN
est de 850 mm alors que la valeur US CAN est de 900 mm. Les deux normes diffrent gale-
ment au niveau de la sensibilit de dtection des objets. Alors que la norme ISO EN ne permet
que 40 70 mm, la norme US CAN autorise jusqu 600 mm.
Applications avec accs par dessus le champ de dtection
Les deux normes saccordent sur une hauteur de position minimum du faisceau de dtection
plac le plus bas de 300 mm. Elles diffrent cependant en ce qui concerne la hauteur de
position minimum du faisceau de dtection plac le plus haut. La norme ISO EN stipule
900 mm, alors que la norme US CAN impose 1 200 mm. Ces valeurs de position du faisceau
suprieur apparaissent nanmoins discutables. Si lon considre quil sagit dune application
avec accs travers le champ de dtection, la hauteur du faisceau de dtection le plus haut
devra tre en effet bien suprieure pour tenir compte du cas dun oprateur se trouvant
debout. Cependant, sil sagit dune application dans laquelle loprateur peut passer par
dessus le plan de dtection, les critres dfinis pour ce type daccs peuvent tre retenus.
Faisceaux unique ou multiples
Les faisceaux unique ou multiples sont dfinis plus particulirement par les normes ISO EN.
Le tableau ci-dessous indique les hauteurs pratiques de faisceaux multiples par rapport au
sol. Le facteur de pntration est de 850 mm dans la plupart des cas et 1 200 mm dans le cas
de lutilisation dun faisceau unique. Quant elle, lapproche US CAN intgre cela au niveau
de ses critres daccs travers le champ de dtection. Les tentatives daccs par dessus, par
dessous ou sur le ct dun dispositif faisceaux simples ou multiples devront toujours tre
prises en compte par ailleurs.
Nombre de faisceaux Hauteur par rapport au sol mm C mm

1 750 1 200
2 400, 900 850
3 300, 700, 1 100 850
4 300, 600, 900, 1 200 850

Dans le cas dune approche normale par rapport une barrire immatrielle, les modes de
calcul de la distance de scurit selon les normes ISO EN et US CAN sont trs voisins. Il
existe cependant quelques diffrences. Dans le cas dune approche normale par rapport une
barrire immatrielle verticale dont la sensibilit de dtection est au maximum de 40 mm, la
dmarche propose par lISO EN ncessite normalement deux tapes. Il faut dabord calculer
S en utilisant 2 000 comme constante de vitesse.
S = 2 000 x T + 8 x (d -1 4)
La valeur minimale que peut prendre S est 100 mm.
61
SAFEBOOK 4
La deuxime tape est ncessaire lorsque la distance est suprieure 500 mm. Dans ce cas,
la valeur de K peut tre rduite 1 600. Avec K = 1 600, la valeur minimale de S sera 500 mm.
La norme US CAN utilise quant elle une dmarche en une seule tape : Ds = 1 600 x T * Dpf
Ceci conduit des diffrences suprieures 5 % entre les deux normes lorsque le temps de
rponse est infrieur 560 ms.
Approche angulaire
Dans la plupart des installations, les barrires immatrielles et les scrutateurs sont monts
verticalement (approche normale) ou horizontalement (approche parallle). Ces montages ne
sont pas considrs comme angulaires tant quils sont dans une tolrance de 5 par rapport
leur axe normal. Lorsque cet angle devient suprieur 5, des risques potentiels supplmen-
taires lis aux approches prvisibles (par exemple, le raccourcissement de la distance de d-
tection) doivent tre pris en considration. En gnral, les angles suprieurs 30 par rapport
au plan de rfrence (le sol par exemple) doivent tre associs une approche normale et
ceux infrieurs cette valeur une approche parallle.
Tapis de scurit
Avec les tapis de scurit, la distance de scurit doit prendre en considration la vitesse de
dplacement et la foule des oprateurs. Considrant que loprateur se dplace en marchant
et que le tapis de scurit est fix au sol, le premier pas de loprateur sur le tapis correspon-
dra un facteur de pntration de 1 200 mm. Si loprateur doit monter sur une plate-forme,
ce facteur de pntration pourra tre rduit dune valeur de 40 % de la hauteur de la marche.
Exemple
Exemple : un oprateur approche normalement dune barrire immatrielle de 14 mm connecte

un relais de surveillance de scurit, lui-mme raccord un contacteur dalimentation c.c. avec
suppresseur diode. Le temps de rponse du systme de scurit (Tr) est de 20 + 15 + 95 =
130 ms. Le temps darrt de la machine (Ts+Tc) est de 170 ms. Aucun contrle de freinage nest
utilis. La valeur Dpf sera de 24,2 mm et la valeur C sera de 0. Le calcul est le suivant :
Dpf = 3,4 (14 6,875) = 24,2 mm (1 in) C = 8 (14 14) = 0
Ds = K x (Ts + Tc + Tr + Tbm) + Dpf S=KxT+C

Ds = 63 x (0,17 + 0,13 + 0) + 1 S = 1 600 x (0,3) + 0
Ds = 63 x (0,3) + 1 S = 480 mm
Ds = 18,9 + 1
Ds = 505 mm
Par consquent, la distance de scurit minimale laquelle la barrire immatrielle devra tre
place par rapport la source de danger sera de 508 mm, dans loptique dune utilisation de la
machine nimporte o dans le monde.
62
SAFEBOOK 4
Prvention des remises sous tension accidentelles
Prvention des remises sous tension accidentelles

La prvention des remises sous tension accidentelles est aborde par diverses normes. Cest
par exemple le cas de lISO 14118, lEN 1037, lISO 12100, lOSHA 1910.147, lANSI Z244-1,
la CSA Z460-05 et lAS 4024.1603. Ces normes ont un leitmotiv commun : la mthode pour
empcher toute remise sous tension accidentelle consiste fondamentalement supprimer
toute possibilit dalimentation du systme et le verrouiller en position dsactive. Lobjectif
est de permettre aux personnes de pntrer en toute scurit dans les zones dangereuses de
la machine.
Condamnation/signalisation
Les machines neuves doivent inclure par construction des dispositifs de coupure verrouillables
de leurs alimentations. Cette disposition sapplique tous les types dnergie. Ceci inclut
notamment lnergie lectrique, hydraulique, pneumatique, gravitationnelle et laser. La
condamnation implique le verrouillage des dispositifs de coupure dnergie. Ce verrouillage
ne devra pouvoir tre annul que par la personne layant mis en place ou par un suprieur
hirarchique, dans des conditions contrles. Si plusieurs personnes sont appeles travailler
conjointement sur une mme machine, chacune de ces personne doit placer son propre
verrou sur le dispositif de coupure dnergie. Le propritaire de chaque moyen de verrouillage
doit pouvoir tre identifi.
Aux tats-Unis, le systme de la signalisation ( tagout ) est une alternative la

condamnation ( lockout ) pour les machines anciennes qui nont jamais t quipes de
dispositifs de verrouillage. Dans ce cas, la machine est arrte et une tiquette est appose
pour prvenir le personnel de ne pas redmarrer la machine tant que la personne qui a
appos ltiquette travaille sur la machine. Depuis 1990, les machines devant subir des
modifications doivent en profiter pour se mettre en conformit et inclure un dispositif de
coupure dnergie verrouillable.
Un dispositif de coupure dnergie est un dispositif mcanique empchant physiquement

la transmission ou la libration de lnergie. Ce dispositif pourra tre un disjoncteur, un
sectionneur, un interrupteur manuel, un combinaison prise/fiche de raccordement ou une
vanne de fermeture manuelle. Les dispositifs de coupure lectriques doivent isoler tous
les conducteurs dalimentation non raccords la terre. Aucun ple ne doit rester actif
individuellement.
Lobjectif des systmes de condamnation et de signalisation est dempcher un redmarrage

accidentel de la machine. Un redmarrage accidentel peut avoir diffrentes causes : une
dfaillance du systme de commande, une action malencontreuse (sur une commande de
dmarrage, un capteur, un contacteur ou une vanne), la restauration automatique de lalimen-
tation aprs une priode dinterruption, ou toutes autres causes internes ou externes. Une fois
la procdure de condamnation ou de signalisation ralise, la dissipation de lnergie doit tre
vrifie.
63
SAFEBOOK 4
Systmes de coupure de scurit
Les systmes de coupure de scurit excutent un arrt en rgle de la machine. Ils fournis-
sent galement des moyens de condamnation simples de son alimentation. Cette approche
est particulirement adapte des machines de taille importante et des ensembles de
production, notamment lorsque les sources dnergie sont multiples et situes un niveau
diffrent ou dans un lieu loign.
Interrupteurs de charge
Pour lisolation locale de dispositifs lectriques, des interrupteurs permettant la coupure et

le verrouillage de lalimentation de ces dispositifs peuvent tre placs juste en amont. Les
interrupteurs de charge Srie 194E sont un exemple de produits capables dassurer un tel
isolement avec verrouillage.
Systmes cls captives
Les systmes cls captives sont une autre mthode permettant de raliser une condamna-
tion. Le premier niveau dun systme cls captives consiste, dans la plupart des cas, en
un dispositif de coupure de lnergie. Lorsque cet interrupteur est coup au moyen dune cl
primaire , lalimentation lectrique de la machine se trouve coupe simultanment sur tous
les conducteurs dalimentation non relis la terre. La cl primaire peut alors tre retire et
emmene sur le lieu o laccs la machine est ncessaire. Divers composants peuvent tre
ajouts pour rpondre des besoins de condamnation plus complexes.
Mesures alternatives la condamnation
Les procdures de condamnation et de signalisation doivent tre utilises pour le dpannage

et de la maintenance des machines. Les interventions dans le cadre des oprations normales
de production sont, quant elles, supposes tre couvertes par les mesures de protection
en place. La nuance entre le dpannage et la maintenance et les oprations normales de
production nest cependant pas toujours claire.
Certains rglages mineurs et tches dentretien courant, effectus dans le cadre des
oprations normales de production, ne ncessitent pas ncessairement une condamnation
de la machine. On citera par exemple, les chargements et dchargements de matires et de
produits, les changements et les rglages mineurs doutils, le graissage et llimination des
dchets. Ces tches doivent avoir un caractre routinier, rptitif et faire partie intgrante
du processus dexploitation de lquipement dans le cadre de la production. Le travail doit
nanmoins tre effectu en utilisant des moyens de protections alternatifs, comme des
dispositifs de protection physique, dont lefficacit soit garantie. Ces dispositifs de protection
physique incluent notamment les grilles verrouillage de scurit, les barrires immatrielles
et les tapis de scurit. Lorsque ces derniers sont utiliss en liaison avec un systme logique
de scurit et des dispositifs de sorties appropris, les oprateurs pourront accder en toute
scurit aux zones dangereuses de la machine dans le cadre des tches dexploitation
normales et des oprations dentretien mineures.
64
SAFEBOOK 4
Systmes de commande de scurit et scurit fonctionnelle
Systmes de commande de scurit

Introduction
Quest-ce quun systme de commande de scurit (souvent dsign par lacronyme anglais
SRCS) ? Il sagit de la partie du systme de commande dune machine ayant pour objet de
prvenir lapparition de conditions dangereuses. Il peut sagir dun systme spcifique externe
ou il peut tre intgr au systme normal de commande de la machine.
Son degr de complexit peut aller dun systme simple (par exemple un interrupteur de
verrouillage sur grille de protection et un interrupteur darrt durgence monts en srie avec
la bobine de commande dun contacteur de puissance) un systme composite intgrant la
fois des dispositifs simples et des dispositifs complexes communicant entre eux logiciellement
ou matriellement.
Les systmes de commande de scurit sont conus pour excuter des fonctions de scurit.
Le systme doit continuer fonctionner correctement dans toutes les situations prvisibles.
Quest-ce quune fonction de scurit, comment concevoir un systme de scurit et comment
lidentifier ensuite ?
Fonction de scurit
Une fonction de scurit est assure par les composants de scurit du systme de com-
mande de la machine. Elle a pour but de placer ou de maintenir lquipement protg ltat
de scurit par rapport un danger particulier. Un dfaillance de la fonction de scurit peut
entraner laugmentation immdiate du risque dutilisation de lquipement, cest--dire dune
situation dangereuse.
Une machine doit prsenter au moins un danger potentiel, autrement ce nest pas une
machine. On parle de situation dangereuse lorsquune personne est expose un danger.
Une situation dangereuse nimplique pas ncessairement que la personne soit blesse. Cette
personne peut en effet tre capable de reconnatre le danger et dviter les blessures. La per-
sonne expose peut cependant ne pas tre consciente du danger. Le danger peut aussi pro-
venir dun redmarrage accidentel. La tche principale du concepteur du systme de scurit
est donc de prvenir les situations dangereuses et dempcher les redmarrages accidentels.
La fonction de scurit peut souvent tre dtermine par des contraintes multi-critres. Par
exemple, la fonction de scurit lie une grille de protection verrouillage de scurit est
caractrise par trois critres :
1. la source du danger contenu par la grille de protection ne peut tre active tant que la
barrire nest pas ferme ;
2. louverture de la grille doit entraner la coupure de la source du danger si elle est

active au moment o cela se produit ;
3. la fermeture de la grille ne doit pas ractiver la source du danger contenu par elle.
65
SAFEBOOK 4
Lors de la dfinition dune fonction de scurit destine une application spcifique, le mot
danger devra tre remplac par la description de la source de danger spcifique. Cette
source de danger ne doit pas tre confondue avec ses consquences. Lcrasement, le
sectionnement de membres et les brlures sont les consquences dun danger. Une source
de danger sera par exemple constitue par un moteur, un vrin, un couteau, une torche, une
pompe, un faisceau laser, un robot, un organe effecteur, une bobine solnode, une vanne ou
tout autre type dactionneur ou de danger mcanique li la gravit.
On trouve souvent la formule lors de ou pralablement une sollicitation de la fonction

de scurit dans la littrature relative aux systmes de scurit. Quest-ce donc quune
sollicitation de la fonction de scurit ? Il pourra sagir par exemple de louverture dune grille
de protection verrouillage de scurit, linterruption dune barrire immatrielle, le fait de
marcher sur un tapis de scurit ou de lappui sur un bouton darrt durgence. Lattente de
loprateur est que la source du danger soit dsactive ou quelle le reste si elle est dj
coupe.
La fonction de scurit est excute par les divers composants de scurit du systme de
commande de la machine. Elle nest pas excute par un dispositif unique, par exemple
uniquement la grille de protection. Le dispositif dinterverrouillage de cette grille a pour
objet envoyer un signal de commande un dispositif logique qui, son tour, va dsactiver
lactionneur. La fonction de scurit commence donc par lmission dune commande et
se termine par son excution.
Le systme de scurit doit tre conu avec un niveau dintgrit adapt aux risques prsen-
ts par la machine. Plus ces risques sont importants, plus les niveaux dintgrit devront tre
levs pour garantir lefficacit de la fonction de scurit. Les systmes de scurit des
machines peuvent tre classifis selon le niveau de performance correspondant leur capa-
cit excuter leurs fonctions de scurit ; ou, en dautres termes, suivant leur niveau dint-
grit de scurit fonctionnelle.
Scurit fonctionnelle des systmes de commande

Important : les normes et les rquisitions abordes dans cette section sont relativement
nouvelles. Des commissions de travail sont encore en train den finaliser certains aspects.
Ils concernent notamment la clarification et les interconnexions de certaines de ces normes.
Il est donc possible que des modifications de certaines informations fournies dans ces pages
interviennent. Pour tre inform des dernires volutions, on se reportera ladresse :
http://www.ab.com/safety.
Quest-ce que la scurit fonctionnelle ?
La scurit fonctionnelle est une composante du systme de scurit global. Elle est dtermi-
ne par la capacit de raction conforme des processus ou des quipements aux signaux
dentre. La norme CEI TR 61508-0 fournit les exemples suivants pour mieux comprendre la
signification de la scurit fonctionnelle. Lutilisation dun protecteur thermique log dans
les bobinages dun moteur lectrique pour couper lalimentation de ce dernier en cas de sur-
66
SAFEBOOK 4
chauffe est un exemple de scurit fonctionnelle. Mais utiliser pour les fils de ces bobinages
un niveau disolation leur permettant de supporter des tempratures leves nest pas un
exemple de scurit fonctionnelle (bien que ce soit quand mme un exemple de mesure de
scurit destin protger le moteur contre le mme danger). titre dexemple complmen-
taire, comparons une barrire de protection simple une grille de protection verrouillage de
scurit. On ne peut pas considrer que la barrire de protection simple assure une scurit
fonctionnelle . Pourtant elle prvient les accs la source de danger de la mme faon que
la grille de protection verrouillage de scurit. La grille de protection verrouillage de scu-
rit est par contre typiquement un dispositif de scurit fonctionnelle. En effet, lorsque cette
grille est ouverte, son mcanisme dinterverrouillage envoie un signal dentre au systme
charg de maintenir la scurit de linstallation. De mme, un quipement de protection indivi-
duelle (EPI) sera utilis comme mesure de protection pour amliorer la scurit du personnel.
Mais cet EPI ne sera cependant pas considr comme un dispositif de scurit fonctionnelle.
Le terme de scurit fonctionnelle a t introduit par la norme CEI 61508:1998. Depuis, on

a tendance lassocier seulement aux systmes de scurit programmables. Cest une erreur.
La scurit fonctionnelle peut sappliquer de nombreux dispositifs entrant dans la composi-
tion de systmes de scurit. Des dispositifs comme des barrires immatrielles de scurit,
des relais de scurit, des automates de scurit, des contacteurs de scurit et des varia-
teurs de scurit peuvent tre interconnects pour constituer un systme de scurit qui
accomplira une fonction de scurit particulire. Cest le principe mme de la scurit fonction-
nelle. Par consquent, un systme de commande lectrique scurit fonctionnelle est parfai-
tement apte matriser les dangers crs par les parties en mouvement des machines.
Deux types de paramtres sont considrer pour la mise en uvre dun systme de scurit
fonctionnelle :
la fonction de scurit ;
lintgrit de scurit.
Lvaluation des risques joue un rle cl pour la dfinition de ces paramtres ou exigences
de scurit fonctionnelle. Lanalyse des tches et des dangers conduit llaboration des
exigences fonctionnelles de scurit (cest dire, la fonction de scurit). La quantification
des risques permet de mettre en vidence les exigences dintgrit de la scurit (cest dire,
le niveau dintgrit de scurit ou le niveau de performance).
Les quatre principales normes de scurit fonctionnelle des machines en vigueur sont les
suivantes :
1. CEI/EN 61508 Scurit fonctionnelle des systmes lectriques, lectroniques et

lectroniques programmables relatifs la scurit .
Cette norme regroupe les rquisitions et les prescriptions applicables la conception

des systmes et sous-systmes lectroniques et programmables complexes. Cette
norme a un caractre gnrique. Elle nest donc pas limite au secteur des machines.
67
SAFEBOOK 4
2. CEI/EN 62061 Scurit des machines Scurit fonctionnelle des systmes de

commande lectriques, lectroniques et lectroniques programmables relatifs la
scurit .
Cette norme est la version spcifique aux machines de la prcdente norme

CEI/EN 61508. Elle dfinit les exigences applicables la conception des systmes de
commande lectriques relatifs la scurit des machines, ainsi qu la conception des
sous-systmes et dispositifs de moindre complexit. Elle stipule que les sous-systmes
complexes ou programmables devront tre conformes la norme CEI/EN 61508.
3. EN ISO 13849-1:2008 Scurit des machines Parties des systmes de commande

relatives la scurit .
Cette norme est destine fournir une transition directe avec les Catgories dfinies
par lancienne norme EN 954-1.
4. CEI 61511 Scurit fonctionnelle Systmes quips pour la scurit et destins

aux industries de procds .
Cette norme est la transposition spcifique au secteur des industries de process de

la norme CEI/EN 61508.
Les normes de scurit fonctionnelle reprsentent un pas en avant significatif. Elles permet-
tent daller au-del des exigences relatives la fiabilit de la commande et au systme des
Catgories de la prcdente version de la norme ISO 13849-1:1999 (EN 954-1:1996).
Ces catgories ne disparaissent pas totalement pour autant. Elles sont toujours prsentes
dans la nouvelle version de la norme EN ISO 13849-1. Celle-ci utilise cependant le concept
de scurit fonctionnelle et introduit une nouvelle terminologie et de nouvelles exigences. Elle
prsente des ajouts et des diffrences significatifs par rapport lancienne version EN 954-1
(ISO 13849-1:1999). Dans ce chapitre, EN ISO 13849-1 fait rfrence la version actuelle
de la norme (lEN ISO 13849-1:2008, qui reprend le texte de la norme ISO 13849-1:2006).
Normes CEI/EN 62061 et EN ISO 13849-1:2008
Les normes CEI/EN 62061 et ISO/EN 13849-1 concernent toutes deux les systmes de
commande lectrique relatifs la scurit. Il est prvu quelles soient terme regroupes en
une seule norme utilisant une terminologie commune. Toutes deux permettent de parvenir
au mme rsultat, mais elles font appel des mthodes diffrentes. Leur finalit est de
fournir aux utilisateurs une possibilit de choix en fonction de leur situation particulire. Ces
utilisateurs peuvent donc dcider dutiliser lune ou lautre. Elles sont, de plus, harmoniss
sous la Directive Machines europenne.
Ces deux normes conduisent dfinir des niveaux de scurit comparables, quils soient
rfrencs SIL ou PL . Leurs diffrences mthodologiques leur permettent de sadapter
aux spcificits des utilisateurs auxquels elles sont destines.
68
SAFEBOOK 4
La mthodologie utilise par la norme CEI/EN 62061 autorise la mise en uvre de fonction-
nalits de scurit complexes. Elles peuvent tre dployes dans le cadre darchitectures sys-
tme qui ntaient pas envisages jusqualors. Lobjectif de la norme ISO 13849-1 est doffrir
une solution plus directe et moins complexe pour des fonctionnalits de scurit plus conven-
tionnelles, dployes dans le cadre darchitectures systmes classiques.
Llment qui diffrencie le plus ces deux normes est leur champ dapplication respectif.
La norme CEI/EN 62061 est limite aux seuls systmes lectriques. Tandis que la norme
ISO/EN 13849-1 sapplique aussi bien aux systmes pneumatiques, hydrauliques et
mcaniques, quaux systmes lectriques.
Rapport technique conjoint sur les normes CEI/EN 62061 et EN ISO 13849-1
Un rapport conjoint a t prpar par la CEI et lISO afin de permettre aux utilisateurs des
deux normes de sy retrouver.
Il prcise la relation entre les deux normes et explique comment tablir la correspondance
entre les niveaux de performance PL (Performance level) de la norme EN ISO 13849-1 et les
niveaux dintgrit de scurit SIL (Safety Integrity Level) de la norme CEI.EN 62061, que cela
soit au niveau des systmes ou des sous-systmes.
Afin de dmontrer que les deux normes aboutissent aux mmes rsultats, le rapport donne un
exemple de systme de scurit calcul selon la mthodologie de chacune dentre elles. Ce
rapport clarifie galement plusieurs points qui avaient conduit des interprtations diffrentes.
Lun de ces points les plus critiques est certainement la question de lexclusion de dfauts.
En gnral, lorsquun niveau de performance PLe est requis pour la mise en uvre dune
fonction de scurit par un systme de commande de scurit, il nest pas normal de jouer
uniquement sur les exclusions de dfauts pour obtenir ce niveau de performance. Cela
dpendra de la technologie utilise et de lenvironnement de travail prvu. Il est donc essentiel
que les concepteurs attachent une importance accrue la dfinition des exclusions de dfauts
lorsque les exigences de niveau de performance PL augmentent.
En rgle gnrale, lexclusion de dfauts ne pourra pas se faire sur le ct mcanique des
dtecteurs de position lectromcaniques et des interrupteurs manuels (ex. : dispositifs darrt
durgence) si lon veut garantir un niveau de performance PLe dans la conception du systme
de commande de scurit. Les exclusions de dfaut susceptibles dtre attaches des
conditions de dfaut mcanique particulires (par exemple, lusure, la corrosion, les ruptures)
sont dfinies dans le tableau A.4 de la norme ISO 13849-2.
Par exemple, un systme dinterverrouillage de porte devant garantir un niveau de performance

PLe, devra avoir un facteur de tolrance aux pannes minimum de 1 (par exemple, en utilisant
deux dtecteurs de position mcaniques conventionnels). Il nest en effet normalement pas
admissible dexclure des dfauts tels que des ruptures dactionneurs de contacts ce niveau
de performance. Cependant, il peut tre envisag dexclure des dfauts comme un court-circuit
dans le cblage dun panneau de commande conu conformment aux normes applicables.
69
SAFEBOOK 4
SIL et CEI/EN 62061
La norme CEI/EN 62061 dfinit de faon combine lampleur du risque rduire et la capacit
du systme de commande rduire ce risque, en termes de niveaux dintgrit de scurit SIL
(Safety Integrity Level). Il existe 3 niveaux SIL applicables au secteur des machines. Le niveau
le plus faible est SIL 1, le plus lev est SIL 3.
Tant donn que la classification SIL est galement utilise dans dautres secteurs industriels
comme la ptrochimie, la production dnergie et le transport ferroviaire, la norme CEI/EN 62061
trouve toute son utilit lorsque des machines sont utilises dans ces secteurs. Des risques plus
importants encore peuvent exister dans dautres secteurs comme les industries de process.
Cest pour cette raison que la norme CEI 61508, ainsi que la norme CEI 61511 spcifique au
secteur des procds, incluent un niveau SIL 4.
Un niveau SIL est applicable une fonction de scurit. Les sous-systmes composant le
systme charg dassurer cette fonction de scurit doivent avoir des caractristiques SIL
compatibles. On parlera parfois dans ce cas du niveau SIL maximum des sous-systmes ou
SIL CL (SIL Claim Limit). Une tude complte et approfondie de la norme CEI/EN 62061 est
ncessaire avant de pouvoir lappliquer correctement.
PL et EN ISO 13849-1:2008
La norme EN ISO 13849-1:2008 nutilise pas lacronyme SIL, mais celui de PL (pour Perfor-
mance Level, niveau de performance). Les classifications PL et SIL sont comparables de
nombreux gards. Il existe cinq niveaux PL. PLa est le plus faible et PLe est le plus lev.
Comparaison des niveaux PL et SIL
Ce tableau prsente les quivalences approximatives entre les classifications PL et SIL

lorsquelles sappliquent des structures de circuit de scurit classiques.
PL PFHd SIL
(niveau de (probabilit de dfaillance (niveau dintgrit
performance) dangereuse par heure) de la scurit)
a 105 <104 Aucun
b 3 x 106 <105 1
c 10 <3 x 10
6 6
1
d 107 <106 2
e 108 <107 3
Correspondance approximative entre les niveaux PL et SIL
70
SAFEBOOK 4
Conception de systme selon la norme
EN ISO 13849-1:2008
IMPORTANT : le tableau prcdent est fourni titre informatif uniquement. Il NE DOIT PAS
tre utilis comme base pour effectuer des conversions. La totalit des exigences de chacune
de ces normes doit tre prises en considration.
Conception de systme selon lEN ISO 13849 et SISTEMA

Une tude complte et approfondie de la norme EN ISO 13849-1:2008 est ncessaire avant
de pouvoir lappliquer correctement. Ce qui suit ne constitue quun aperu sommaire.
Cette norme dfinit des rgles pour la conception et lintgration de composants de scurit
dans un systme de commande, notamment au niveau de certains aspects logiciels. La norme
concerne le systme de scurit dans son ensemble, mais elle peut galement tre applique
aux composants de ce systme.
Logiciel SISTEMA de calcul du niveau PL
SISTEMA est un outil logiciel destin limplmentation de la norme EN ISO 13849-1.

Son utilisation simplifie trs largement la mise en uvre de cette norme.
SISTEMA est lacronyme de Safety Integrity Software Tool for the Evaluation of Machine Appli-
cations (logiciel de calcul dintgrit de scurit pour lvaluation des applications machines).
Il a t dvelopp par le BGIA allemand et est libre de droits. Il ncessite la saisie de divers
types de donnes relatives la scurit fonctionnelle, dcrites plus loin dans ce chapitre.
Ces donnes peuvent tre entres manuellement ou automatiquement par le biais dune
bibliothque de donnes SISTEMA propre un fabricant (SISTEMA Data Library).
La bibliothque de donnes SISTEMA de Rockwell Automation est disponible au tlcharge-

ment, ainsi quun lien vers le site de tlchargement de SISTEMA, ladresse :
www.discoverrockwellautomation.com/safety
Prsentation de la norme EN ISO 13849-1
Cette norme a un champ dapplication trs vaste car elle sapplique toutes les technologies,
notamment : lectrique, hydraulique, pneumatique et mcanique. Bien que la norme
ISO 13849-1 puisse tre utilise pour des systmes complexes, elle renvoie galement le
lecteur aux normes CEI 62061 et CEI 61508 pour les systmes logiciels intgrs complexes.
Voyons quelles sont les diffrences fondamentales entre lancienne norme EN 954-1 et la
nouvelle norme EN ISO 13849-1. Lancienne norme dfinissait des Catgories [B, 1, 2, 3 ou 4].
La nouvelle norme dfinit des niveaux de performance PL [a, b, c, d ou e]. Le concept de
Catgories est conserv mais des exigences supplmentaires sont satisfaire avant de
pouvoir revendiquer un niveau PL pour un systme.
71
SAFEBOOK 4
Lensemble des paramtres peut tre list de faon simplifie comme suit :
Larchitecture du systme. Ceci recouvre principalement ce qui tait prcdemment

dfini par les Catgories.
Les donnes de fiabilit requises pour les composants du systme.
Le taux de couverture des tests de diagnostic DC (Diagnostic Coverage) du systme.

Il reprsente le niveau de surveillance des dfauts dans le systme.
La protection contre les dfaillances de cause commune.
La protection contre les dfauts systmatiques.
Le cas chant, les exigences particulires au niveau logiciel.
Nous reviendrons plus en dtail sur ces facteurs ultrieurement. Mais avant cela, il est important
de bien comprendre les intentions et les principes de base de la norme dans son ensemble. Il
est clair ce stade quil y a beaucoup de nouveaux concepts assimiler. Mais les dtails pren-
dront plus de sens une fois bien compris les objectifs et la raison dtre de cette nouvelle norme.
Premirement, pourquoi une nouvelle norme tait-elle ncessaire ? Il est vident que les
technologies applicables aux systmes de scurit des machines ont progress et se sont
modifies considrablement au cours des dix dernires annes. Jusqu un temps
relativement rcent, les systmes de scurit taient bass sur lutilisation dquipements
simples prsentant des modes de dfaillance trs faciles prvoir. Les dernires annes
ont vu lapparition croissante de dispositifs lectroniques et programmables de plus en plus
complexes dans les systmes de scurit. Ceci a eu un effet favorable sur les cots, la
flexibilit et la compatibilit. Mais cela sest traduit galement par le fait que les normes en
vigueur ntaient plus adaptes. Pour savoir si un systme de scurit est suffisant, il faut en
savoir plus sur ce systme. Cest pourquoi la nouvelle norme demande plus dinformations.
Alors que les systmes de scurit font de plus en plus appel une approche de type bote
noire , leur conformit aux normes devient cruciale. Ces normes doivent donc tre capables
dinterroger pertinemment la technologie. Pour accomplir cela, elles doivent pouvoir intgrer
tous les facteurs fondamentaux concernant la fiabilit, la dtection des dfauts et lintgrit
architecturale et systmique. Cest lobjectif de la norme EN ISO 13849-1.
Pour parcourir de faon logique lensemble de cette norme, les motivations de deux types
dutilisateurs fondamentalement diffrents doivent tre pris en compte : les concepteurs de
sous-systmes de scurit et les concepteurs de systmes de scurit proprement-dits. Dans
les faits, un concepteur du sous-systme (typiquement, un fabricant de composants de scu-
rit) sera soumis un niveau de complexit suprieur. Il devra en effet fournir toutes les infor-
mations ncessaires pour garantir au concepteur de systme que son sous-systme prsente
une intgrit adapte au systme que celui-ci envisage. Cela ncessitera concrtement un
certain nombre dessais, danalyses et de calculs. Les rsultats devront tre prsents sous la
forme requise par la norme.
72
SAFEBOOK 4
EN ISO 13849-1:2008
Le concepteur de systme (typiquement, un concepteur ou un intgrateur de machines)

utilisera les donnes du sous-systme pour effectuer des calculs relativement simples afin
de dterminer le niveau de performance (PL) global de son systme.
Le niveau de performance ncessaire PLr sera utilis pour dterminer le niveau de perfor-
mance requis pour la fonction de scurit. Pour dterminer ce niveau PLr, la norme propose
un graphe des risques permettant dintgrer les facteurs de gravit des blessures, de fr-
quence dexposition et de possibilit dvitement propres lapplication.
P1 Catgories
a
F1
S1 P2 B 1 2 3 4
P1 b S1
F2
Dmar- P2 P1
rage P1 c F1
F1
P2
S2 P2
P1 d S2 P1
F2
P2
e F2
P2
Graphe des risques selon lAnnexe A de la norme Graphe des risques selon
EN ISO 13849-1 lAnnexe B de la norme EN 945-1
Le rsultat obtenu sera le niveau PLr. Les utilisateurs de lancienne norme EN 954-1 reconna-
tront cette approche. Mais ils noteront que la ligne S1 est dsormais subdivise, contrairement
au graphique utilis par cette norme. Ceci pourra ventuellement impliquer la ncessit de
reconsidrer lintgrit des mesures de scurit qui taient prises jusqualors pour les niveaux
de risque les moins levs.
Il reste cependant un aspect trs important de la nouvelle norme aborder. Nous savons
dsormais grce cette norme quel niveau de performance devrait avoir le systme et
galement comment dterminer son niveau prsent. Mais nous ne savons pas ce quil doit
faire. Nous devons donc dfinir ce que doit tre la fonction de scurit. Il apparat vident
que la fonction de scurit doit tre adapte la tche. Comment donc sassurer quelle
lest ? Comment la norme nous aide-t-elle le vrifier ?
Il est important de bien comprendre que la fonction raliser ne peut tre dtermine que par
les caractristiques spcifiques lapplication relle. Ceci peut tre considr comme la phase
de dfinition du concept de scurit. Elle ne pourra pas tre totalement couverte par la norme
car celle-ci ne peut pas connatre toutes les caractristiques des applications particulires. Ceci
sapplique souvent galement au constructeur de machines. Il fabrique en effet les machines,
mais il ne connat pas forcment les conditions exactes dans lesquelles elles seront utilises.
La norme apporte cependant une aide en proposant une liste regroupant un grand nombre de
fonctions de scurit couramment utilises (par exemple, la fonction darrt de scurit initie
73
SAFEBOOK 4
par un dispositif de protection, la fonction dinhibition, la fonction de dmarrage/redmarrage)

et en indiquant certaines des exigences gnralement associes ces fonctions. Lutilisation
dautres normes, comme lEN ISO 12100 : (Principes de base pour la conception), et lEN
ISO 14121 : (valuation des risques), est fortement recommandes ce stade. Il existe gale-
ment un grand nombre de normes adaptes spcifiquement certains types de machines et
qui fournissent des solutions ddies pour ces machines. Dans les normes europenne (EN),
elles sont dsignes par normes de type C . Certaines dentre elles ont des quivalents
directs dans les normes ISO.
Nous avons donc mis en vidence que ltape de dfinition du concept de scurit tait
influence par le type de la machine, mais aussi par les caractristiques de lapplication et
de lenvironnement dans lequel elle est dploye. Le constructeur de machine devra anticiper
au maximum ces facteurs pour dfinir son concept de scurit. Les conditions dutilisation
normales (cest dire, prvues) devront en consquence tre indiques dans le manuel
utilisateur. Lutilisateur de la machine devra pour sa part sassurer quelles sont compatibles
avec ses conditions dutilisation relles.
Nous avons dsormais une description de la fonction de scurit. Grce lannexe A de

la norme, nous avons galement dfini le niveau de performance ncessaire PLr pour les
composants de scurit du systme de commande (parfois dsigns par lacronyme anglais
SRP/CS) qui seront chargs de mettre en uvre cette fonction. Nous devons maintenant
concevoir le systme proprement-dit et nous assurer quil est conforme au niveau PLr.
Un facteur dcisif du choix de la norme de rfrence utiliser (EN ISO 13849-1 ou

EN/CEI 62061) sera la complexit de la fonction de scurit. Dans la majorit des cas,
en ce qui concerne les machines, la fonction de scurit sera relativement simple et la
norme EN ISO 13849-1 sera loption la mieux adapte. Les donnes de fiabilit, le taux
de couverture des tests de diagnostic (DC), larchitecture systme (Catgorie), les
dfaillances de cause commune et, ventuellement, les contraintes logicielles seront
prises en compte pour lvaluation du niveau de performance PL.
Ce qui suit nest quune description simplifie destine uniquement fournir un aperu de la
dmarche. Il est important davoir bien lesprit quabsolument toutes les dispositions incluses
dans le texte de la norme doivent tre intgres. Il existe cependant une aide pour cela. Le
logiciel SISTEMA est l pour apporter une assistance au niveau documentaire et celui des
calculs. Il est capable galement de produire un dossier technique.
Au moment de la publication de ce document, SISTEMA tait disponible en allemand et en

anglais. Dautres langues devraient tre ajoutes prochainement. Le BGIA, dveloppeur de
SISTEMA, est un organisme de recherche et dessais bas en Allemagne et qui fait autorit.
Il est particulirement impliqu dans la rsolution des problmes scientifiques et techniques
lis la scurit dans le cadre des politiques dassurance obligatoire et de prvention des
accidents en Allemagne. Il collabore avec des organismes ddis lhygine et la scurit
au travail dans plus de 20 pays. Les experts du BGIA, en liaison avec leurs collgues du BG,
ont largement particip la rdaction des normes EN ISO 13849-1 et CEI/EN 62061.
74
SAFEBOOK 4
EN ISO 13849-1:2008
La bibliothque de donnes de composants de scurit Rockwell Automation conue pour

SISTEMA est disponible sur :
Quelle que soit la faon dont le calcul du niveau PL est effectu, il est important de partir
de bonnes bases. Nous devons aborder notre systme de la mme faon que la norme.
Commenons donc par cela.
Structure du systme
Tout systme peut tre dcompos selon ses composants de base ou sous-systmes .
Chaque sous-systme possde sa propre fonction discrte. La plupart des systmes peuvent
tre dcomposs en trois fonctions de base : entre, traitement logique et actionnement
(certains systmes simples nutilisent pas de traitement logique). Les groupes de composants
qui assurent ces fonctions constituent les sous-systmes.
Sous-systme Sous-systme Sous-systme

dentre de programme de sortie
Tout systme peut tre dcompos selon ses composants de base ou sous-systmes .
Chaque sous-systme possde sa propre fonction discrte. La plupart des systmes peuvent
tre dcomposs en trois fonctions de base : entre, traitement logique et actionnement
(certains systmes simples nutilisent pas de traitement logique). Les groupes de composants
qui assurent ces fonctions constituent les sous-systmes.
Sous-systme Sous-systme
dentre de sortie
Interrupteur de fin de course Contacteur de scurit
Interrupteur de scurit et contacteur de scurit
Un exemple de systme lectrique simple mono-voie est prsent ci-dessus. Il nest constitu
que dun sous-systme dentre et dun sous-systme de sortie.
75
SAFEBOOK 4

dentre logique de sortie
Sortie
vers
dautres
systmes
Interrupteur de fin de course SmartGuard 600 Contacteur de scurit
Interrupteur de scurit, automate de scurit et contacteur de scurit
Le systme ci-dessus est un peu plus complexe car il fait appel un traitement logique.
Lautomate de scurit pourra lui-mme avoir une tolrance interne aux dfauts (par exemple,
grce lutilisation dune deuxime voie). Mais le systme global sera toujours limit une
seule voie cause de lunique interrupteur de fin de course et de lunique contacteur de
scurit.

Systme de scurit deux voies
Si lon reprend les architectures de base prsentes dans les schma prcdent, on constate
quil y a galement dautres points prendre en compte. Dabord, combien de voies le
systme possde-t-il ? Un systme mono-voie sera en dfaut si lun de ses sous-systmes
est en dfaut. Un systme deux voies (galement appel redondant) devra prsenter deux
dfauts, un sur chaque voie, avant que le systme ne soit en dfaut. tant donn quil utilise
deux voies, il peut tolrer un dfaut sur lune dentre elles et continuer fonctionner. Le
schma ci-dessus prsente un tel systme deux voies.
76
SAFEBOOK 4
EN ISO 13849-1:2008
Il est vident quun systme deux voies aura moins de chance de tomber en panne et de
provoquer une situation dangereuse quun systme mono-voie. Mais il est possible de le
rendre encore plus fiable (pour ce qui est de sa fonction de scurit) si nous lui incluons des
fonctionnalits de diagnostic afin de dtecter les dfauts potentiels. Naturellement, une fois
un dfaut dtect, il sera ncessaire galement dy ragir et de placer le systme ltat de
scurit. Le schma suivant montre lajout de fonctionnalits de diagnostic au systme par
lintermdiaire de techniques de surveillance interne.

Surveillance
Surveillance
Surveillance
Systme de scurit deux voies avec diagnostics
Un systme comprend gnralement (mais pas ncessairement toujours) deux voies sur tous
ses sous-systmes. Nous constatons sur lexemple que chaque sous-systme possde deux
sous-voies . La norme parle de blocs pour dsigner cette configuration. Un sous-systme
deux voies possde au minimum deux blocs et un sous-systme une voie au minimum un
bloc. Il peut se produire que certains systmes utilisent une combinaison de blocs une et deux
voies.
Si nous voulons analyser de faon plus approfondie le systme en exemple, nous devons
nous intresser particulirement aux composants de ces blocs. Le logiciel SISTEMA utilise
le terme d lments pour les dsigner.
77
SAFEBOOK 4

Elment Elment
Bloc
VOIE 1
Surveillance
Couplage Contacts
Surveillance
VOIE 2
Couplage Contacts
Bloc Surveillance
Elment Elment
Diagnostics Diagnostics
Dcomposition dun systme de scurit deux voies avec diagnostics
Dans ce nouveau schma, le sous-systme des interrupteurs de fin de course est prsent
dcompos selon ses lments. Le sous-systme du contacteur de sortie est lui dcompos
selon ses blocs. Quant au sous-systme logique, il nest pas dcompos. Les fonctions de
surveillance relatives aux interrupteurs de fin de course aussi bien quaux contacteurs sont
excutes par lautomate. En consquence, les cadres dlimitant les sous-systmes dinter-
rupteurs de fin de course et de contacteur sont reprsents en lger chevauchement sur le
cadre dlimitant le sous-systme logique.
Ce principe de dcomposition lmentaire du systme est retenu dans la mthodologie

propose par la norme EN ISO 13849-1 ainsi que dans le principe de structuration du systme
de base utilis par SISTEMA. Cependant, il est important de noter quil existe quelques
diffrences infimes entre les deux. La norme nest pas restrictive quant la mthodologie.
Cependant, dans sa mthode simplifie destimation du niveau PL, la premire tape consiste
normalement dcomposer la structure du systme en voies et en blocs sur chacune de ces
voie. Avec SISTEMA, le systme sera habituellement dcompos en sous-systmes. La
norme ne se rfre pas explicitement au concept de sous-systme. Son utilisation par
SISTEMA permet cependant dobtenir une approche plus comprhensible et plus intuitive. Il
ny a bien sr aucun effet sur le rsultat final. SISTEMA et la norme utilisent des principes et
des formules de calcul identiques. Il est galement intressant de noter que lapproche par
sous-systmes est galement utilise par la norme EN/CEI 62061.
78
SAFEBOOK 4
EN ISO 13849-1:2008
Le systme que nous avons utilis comme exemple nest autre que lun des cinq types
darchitecture systme de base mentionns par la norme. Toute personne familire avec
le systme des Catgories identifiera cet exemple comme typique de la Catgorie 3 ou 4.
La norme se base en effet sur les catgories originales de la norme EN 954-1 pour la dfinition
de ses cinq types darchitecture systme. Elle les appelle catgories darchitecture dsi-
gne . Les exigences propres ces catgories sont presque (mais pas tout fait) identiques
celles de la norme EN 954-1. Les catgories darchitecture dsigne sont reprsentes dans
les figures suivantes. Il est important de noter quelles peuvent sappliquer un systme com-
plet aussi bien qu un sous-systme. Ces schmas ne doivent pas tre compris uniquement
comme la reprsentation dune structure physique. ils sont plutt considrer comme la repr-
sentation graphique des exigences conceptuelles.
Dispositif Programme Dispositif

dentre de sortie
Architecture dsigne de Catgorie B
Larchitecture dsigne de catgorie B doit utiliser des principes de scurit de base (voir
lannexe de la norme EN ISO 13849-2). Le systme ou le sous-systme peut tre mis en
dfaut en cas dapparition dune seule dfaillance. Voir la norme EN ISO 13849-1 pour
lensemble des exigences applicables.
Dispositif Programme Dispositif

dentre de sortie
Architecture dsigne de Catgorie 1
Larchitecture dsigne de catgorie 1 prsente la mme structure que celle de catgorie B.

Elle peut galement tre mis en dfaut en cas dapparition dune seule dfaillance. Mais, tant
donn quelle est tenue dutiliser des principes de scurit plus volus que la catgorie B
(voir lannexe de la norme EN ISO 13849-2), lvnement sera moins probable que pour cette
catgorie. Voir la norme EN ISO 13849-1 pour lensemble des exigences applicables.
79
SAFEBOOK 4
Dispositif Cblage Programme Cblage Dispositif

dentre de sortie
Surveillance
Test
Test
Sortie
Larchitecture dsigne de catgorie 2 doit utiliser des principes de scurit de base (voir
lannexe de la norme EN ISO 13849-2). Une fonction de diagnostics de surveillance par
lintermdiaire de tests fonctionnels du systme ou du sous-systme, doit galement tre
prvue. Ces tests doivent tre effectus au dmarrage, puis priodiquement selon une
frquence correspondant au moins cent tests pour chaque sollicitation de la fonction de
scurit. Le systme ou le sous-systme peut tout de mme tre mis en dfaut si dune
seule dfaillance se produit entre les tests fonctionnels. Mais cela aura gnralement moins
de chance de se produire que dans le cas de la catgorie 1. Voir la norme EN ISO 13849-1
pour lensemble des exigences applicables.

dentre de sortie
Surveillance
Surveillance
croise

dentre de sortie
Surveillance
Larchitecture dsigne de catgorie 3 doit utiliser des principes de scurit de base (voir
lannexe de la norme EN ISO 13849-2). Elle est soumise galement la contrainte que le
systme ou le sous-systme ne soit pas mis en dfaut en cas dapparition dune seule
dfaillance. Cela signifie que le systme devra prsenter une tolrance une dfaillance
unique pour sa fonction de scurit. La faon la plus classique de rpondre cette exigence
est dutiliser une architecture deux voies, comme illustr ci-dessus. De plus, il est galement
demand que, chaque fois que cest possible, cette dfaillance unique soit dtecte. Cette
80
SAFEBOOK 4
EN ISO 13849-1:2008
exigence est identique celle impose originellement pour la Catgorie 3 par la norme
EN 954-1. Dans ce contexte, linterprtation de lexpression chaque fois que cest possible
stait avre parfois problmatique. Elle signifiait en effet que la Catgorie 3 pouvait accepter
aussi bien un systme redondant mais sans dtection de dfauts (souvent appel de faon
image mais juste redondance aveugle ) quun systme redondant dans lequel tous les
dfauts isols soient dtects. Cette question a t rgle par la norme EN ISO 13849-1.
Celle-ci impose en effet dapprcier la qualit de couverture des tests de diagnostic (DC).
Nous pouvons constater que plus la fiabilit [MTTFd] du systme sera leve, plus ce taux
DC sera faible. Cependant, il est clair galement que ce taux DC devra tre au moins de 60 %
pour une architecture dsigne de catgorie 3.

dentre de sortie
Surveillance
Surveillance
croise

dentre de sortie
Surveillance
Larchitecture dsigne de catgorie 4 doit utiliser des principes de scurit de base (voir lan-
nexe de la norme EN ISO 13849-2). Elle est soumise un ensemble de contraintes sembla-
bles celles applicables la Catgorie 3. Mais elle impose un niveau de surveillance plus
lev, cest dire un taux de couverture des tests de diagnostic suprieur. Ceci est indiqu par
les pointills en gras qui reprsentent les fonctions de surveillance. Sur le fond, la diffrence
entre les Catgories 3 et 4 est la suivante : pour la Catgorie 3 la plupart des dfauts doivent
tre dtects, alors que pour la Catgorie 4 tous les dfauts individuels doivent ltre systma-
tiquement. Le taux de couverture des tests de diagnostic doit, dans ce cas, tre au moins de
99 %. Mme des dfauts combins ne doit pas pouvoir provoquer de dfaillance dangereuse.
Donnes de fiabilit
La norme EN ISO 13849-1 utilise des donnes de fiabilit quantifies pour le calcul du niveau
PL que devra assurer la partie scurit dun systme de commande. Ceci reprsente une
diffrence significative par rapport la norme EN 954-1. La premire interrogation que cela
soulve est : o pouvons-nous obtenir ces donnes ? Il est toujours possible dutiliser des
donnes provenant de tables de fiabilit prouves. Mais la norme indique clairement que la
source privilgier est le fabricant. Dans cet esprit, Rockwell Automation met disposition les
informations pertinentes concernant ses produits sous forme dune bibliothque de donnes
pour SISTEMA. Ces donnes seront galement publies sous dautres formes en temps utile.
81
SAFEBOOK 4
Avant de poursuivre, nous devons examiner les types de donnes ncessaires et galement
comprendre comment elles peuvent tre produites.
Le type de donnes idalement requis par la norme (et par SISTEMA) pour dterminer le
niveau de performance PL est la probabilit de dfaillance dangereuse par heure PFH. Il sagit
de la mme variable que celle dsigne par lacronyme PFHd dans la norme CEI/EN 62061.
PL PFHd SIL
(niveau de (probabilit de dfaillance (niveau dintgrit
performance) dangereuse par heure) de scurit)
a 105 <104 Aucun
b 3 x 106 <105 1
c 106 <3 x 106 1
d 10 <10
7 6
2
e 108 <107 3
Le tableau ci-dessus montre le rapport entre la valeur PFH et les niveaux PL et SIL. Pour
certains sous-systmes, le PFH peut tre obtenu directement auprs du fabricant. Cela facilite
grandement les choses pour le calcul. Le fabricant devra gnralement avoir effectu des
calculs et/ou des tests relativement complexes sur ses sous-systmes afin dtre en mesure de
fournir cette information. Lorsque cette donne nest pas disponible, la norme EN ISO 13849-1
propose une alternative simplifie. Elle est base sur lutilisation de la dure moyenne de
fonctionnement avant dfaillance dangereuse (MTTFd) dans le cas dun systme mono-voie.
Le niveau PL (et donc le PFH) du systme ou du sous-systme peut ensuite tre calcul en
utilisant la mthodologie et les formules de la norme. Ceci sera mme ralis plus facilement
encore laide de SISTEMA.
Remarque : il est important de retenir que, pour un systme deux voies (avec ou sans
diagnostics), il nest pas permis dutiliser le rapport 1/PFHd pour dterminer le MTTFd dans le
cadre de la norme EN ISO 13849-1. Cette norme ne fait rfrence en effet quau MTTFd dun
systme mono-voie. Cette valeur sera diffrente de celle du MTTFd combin des deux voies
dun sous-systme deux voies. Si le PFHd dun sous-systme deux voies est connu, il
suffit de lentrer directement dans SISTEMA.
MTTFd dun systme mono-voie
Cette valeur reprsente le temps moyen avant lapparition dun dfaut pouvant entraner
la dfaillance de la fonction de scurit. Elle est exprime en annes. Il sagit de la valeur
moyenne des MTTFd des blocs de chaque voie. Elle peut sappliquer un systme aussi
bien qu un sous-systme. La norme fournit la formule suivante pour le calcul de la moyenne
des MTTFd de tous les lments utiliss dans un systme ou un sous-systme mono-voie.
82
SAFEBOOK 4
EN ISO 13849-1:2008
A ce niveau, la valeur ajoute de SISTEMA apparat vidente. Il fait gagner en effet aux
utilisateurs un temps prcieux dans la consultation des tableaux et le calcul de ces formules
puisque ces tches sont ralises par le logiciel. Les rsultats finaux peuvent tre imprims
sous forme dun rapport en plusieurs pages.
(Formule D1 de la norme EN ISO 13849-1)

1 1 nj
= =
MTTFd i=1 MTTFdi j=1 MTTFdj
Dans la plupart des systmes deux voies, celles-ci sont identiques. En consquence, le
rsultat de la formule peut sappliquer lune ou lautre voie.
Si les voies du systme ou du sous-systme sont diffrentes, la norme fournit une autre
formule pour traiter ce cas.
2 1
MTTFd = MTTFdC1 +MTTFdC2
3 1 1
+
MTTFdC1 MTTFdC2
Elle revient en fait faire la moyenne des deux moyennes. A des fins de simplification, il est
galement permis dutiliser uniquement la valeur de voie la plus dfavorable.
La norme classe le MTTFd selon trois niveaux, comme indiqu ci-dessous :
valuation du MTTFd Plage de valeurs MTTFd pour

de chaque voie chaque voie
Faible 3 ans <= MTTFd <10 ans

Moyen 10 ans <= MTTFd <30 ans
lev 30 ans <= MTTFd <100 ans
Niveaux MTTFd
Il est noter que la norme EN ISO 13849-1 limite le MTTFd pratique dun sous-systme
mono-voie 100 ans maximum, mme si les valeurs relles dtermines par le calcul peuvent
savrer parfois bien suprieures.
Comme nous le verrons plus loin, la valeur MTTFd ainsi obtenue sera ensuite combine avec
la Catgorie darchitecture dsigne et le taux DC de couverture des tests de diagnostic afin
dobtenir une estimation provisoire du niveau PL. Le terme provisoire est utilis ici parce
que dautres exigences, notamment lintgrit systmatique et les mesures contre les causes
de dfaillance communes, devront encore tre satisfaites lorsque cela est ncessaire.
83
SAFEBOOK 4
Mthodes de dtermination des donnes
Il est maintenant ncessaire dexaminer un peu plus en dtail comment les fabricants
dterminent leurs donnes de PFHd ou de MTTFd. La comprhension de ce processus est
essentielle pour pouvoir utiliser bon escient ces donnes constructeur. Les composants
peuvent tre regroups en trois types fondamentaux :
Mcaniques (lectromcaniques, mcaniques proprement-dits, pneumatiques,

hydrauliques, etc.)
lectroniques (utilisant notamment des semi-conducteurs)
Logiciels
Il existe des diffrences fondamentales entre les mcanismes de dfaillance commune de ces
diffrents types de technologies. Sur le fond, on peut les rsumer de la faon suivante :
Technologie mcanique :
La dfaillance sera proportionnelle la fois la fiabilit intrinsque et au taux dutilisation.

Plus le taux dutilisation sera lev, plus les composants auront une chance de se trouver
altrs et de tomber en panne. Il convient de noter que ce facteur ne constitue pas la
seule cause de dfaillance, mais moins de limiter le temps et les cycles de fonctionne-
ment, il sera prdominant. Il va de soit quun contacteur ayant un cycle de commutation
dune fois toutes les dix secondes garantira un fonctionnement fiable bien moins long-
temps que le mme contacteur fonctionnant une seule fois par jour. Les dispositifs de
type matriel incorporent gnralement des composants conus individuellement pour
une utilisation spcifique. Ces composants ont t forms, mouls, couls, usins, etc.
Puis ils ont t combins entre eux au moyen daccessoires de couplage, de ressorts,
daimants, de bobines lectriques, etc. afin de constituer un mcanisme. Etant donn que
ces composants de base ne disposent gnralement pas dhistorique dutilisation dans
dautres applications, il ne sera pas possible dobtenir des donnes de fiabilit prexis-
tantes les concernant. Lestimation du PFHd ou du MTTFd pour un mcanisme est norma-
lement bas sur des tests. Les deux normes EN/CEI 62061 et EN ISO 13849-1 mettent en
avant une procdure de test dnomme B10d.
Dans ce test B10d, un certain nombre dchantillons du dispositif (gnralement au moins

dix) sont tests dans des conditions reprsentatives. Le nombre moyen de cycles de
fonctionnement obtenus avant que 10 % de ces chantillons prsentent une dfaillance
entranant une situation dangereuse, est dsign comme valeur B10d. En pratique, il sera
frquent que les chantillons tombant en panne passent en fait dans un tat assurant
toujours le maintien des conditions de scurit. Dans ce cas alors, la norme indique que
la valeur B10d (danger) peut tre considre comme gale deux fois la valeur B10
(de scurit).
84
SAFEBOOK 4
EN ISO 13849-1:2008
Technologie lectronique :
Il nexiste dans ce cas aucune dtrioration physique due la prsence de pices en

mouvement. Si lon suppose un environnement de fonctionnement conforme aux caract-
ristiques lectriques, de temprature et autres spcifies, la cause de dfaillance princi-
pale dun circuit lectronique sera lie la fiabilit intrinsque de ses composants (ou, plus
exactement, leur manque de fiabilit). De nombreuses raisons peuvent tre lorigine de
la dfaillance de composants individuels : imperfections introduites pendant la fabrication,
surtensions excessives, problmes de connexion mcanique etc. En gnral, les dfail-
lances de composants lectroniques sont difficiles prvoir par analyse et elles apparais-
sent comme tant de nature alatoire. En consquence, le test dun dispositif lectronique
en laboratoire ne rvlera pas ncessairement de profils types de dfaillance long terme.
Pour dterminer la fiabilit de ces dispositifs lectroniques, il faudra donc gnralement

avoir recours lanalyse et au calcul. Il est possible de trouver des donnes pertinentes
pour les composants spcifiques dans des tableaux de donnes de fiabilit. Il est gale-
ment possible de dterminer les modes de dfaillance dangereux dun composant par
lanalyse. Il est admis et courant de faire une moyenne pondre entre les modes de
dfaillance de scurit (50 %) et dangereux (50 %) du composant. Cela produit gnrale-
ment un rsultat de type plutt conservateur .
La norme CEI 61508 fournit des formules pouvant tre utilises pour le calcul de la proba-
bilit globale de dfaillance dangereuse PFH ou PFD du dispositif (cest dire, du sous-
systme). Ces formules sont trs complexes et prennent en compte (lorsquapplicable) la
fiabilit du composant, les risques de dfaillance de cause commune (coefficient bta), le
taux de couverture des tests de diagnostic (DC), lintervalle entre les tests fonctionnels et
lintervalle entre les tests de validit. La bonne nouvelle est que ces calculs complexes se-
ront normalement raliss par le fabricant du dispositif ! Les deux normes EN/CEI 62061
et EN ISO 13849-1 acceptent que le PFHd dun sous-systme soient calcul selon les
formules de la norme CEI 61508. Le rsultat de ce calcul pourra tre utilis directement
selon lannexe K de la norme EN ISO 13849-1 ou dans loutil de calcul SISTEMA.
85
SAFEBOOK 4
Technologie logicielle :
Les dfaillances logicielles sont par nature intrinsquement systmiques. Tout dfaut sera
d la faon dont le logiciel a t conu, crit ou compil. Par consquent les dfaillances
ne pourront tre causes que par le systme dans lequel elles se produisent, et non par
son utilisation. Pour matriser ces dfaillances, il faut donc matriser le systme. Les deux
normes CEI 61508 et EN ISO 13849-1 dfinissent des rgles et des mthodologies pour
cela. Il nest pas ncessaire dentrer dans le dtail ici. On retiendra simplement quelles
utilisent un modle en V classique. Le logiciel intgr est un point non ngligeable pour le
concepteur du dispositif. Lapproche traditionnelle consiste dvelopper le logiciel intgr
conformment aux mthodes formelles dfinies dans la partie 3 de la norme CEI 61508.
En ce qui concerne le programme dapplication, cest dire le logiciel permettant lutilisa-
teur de dialoguer avec le systme, la plupart des dispositifs de scurit programmables
sont fournis avec des blocs fonctions ou des sous-programmes certifis . Cela simplifie
les tches de validation du programme dapplication. Car il ne faut pas oublier quune fois
ce programme dapplication termin, il devra toujours tre valid. La faon dont les blocs
sont relis entre eux et paramtrs doit tre contrle et valide par rapport la tche pr-
vue. Les deux normes EN ISO 13849-1 et CEI/EN 62061 fournissent des recommanda-
tions pour cette procdure.
Caractristiques
Caractri- Logiciel
du logiciel Validation Validation
stiques valid
de scurit
des fonctions
de scurit
Conception Test
du systme dintgration
Conception Test du
du module module
Rsultat
Codage
Vrification
Modle en V pour le dveloppement du logiciel
86
SAFEBOOK 4
EN ISO 13849-1:2008
Couverture de diagnostic
Nous avons dj abord ce point lorsque nous avons trait des Catgories darchitecture
dsigne 2, 3 et 4. Ces Catgories requirent en effet certains tests de diagnostic afin de
vrifier que la fonction de scurit est toujours active. Lexpression taux de couverture
des tests de diagnostic (traditionnellement dsign par DC) est utilise pour caractriser
lefficacit de ces tests. Il est important de raliser que le taux DC nest pas bas uniquement
sur le nombre de composants pouvant prsenter une dfaillance dangereuse. Il prend en
compte le taux de dfaillance dangereuse total. Le symbole est utilis pour dsigner ce
taux de dfaillance . DC exprime la relation entre les taux dapparition des deux types
suivants de dfaillance dangereuse :
Les dfaillances dangereuses dtectes [dd], cest--dire les dfauts susceptibles de

provoquer ou de conduire une perte de la fonction de scurit, mais qui sont dtects.
Aprs cette dtection, une fonction de raction au dfaut entranera le passage du
dispositif ou du systme ltat de scurit.
La dfaillance dangereuse [d], cest--dire lensemble des dfauts pouvant potentielle-

ment provoquer ou conduire une perte de la fonction de scurit. Elle inclut donc les
dfauts dtects et ceux qui ne le sont pas. videmment, les dfauts qui sont rellement
dangereux sont ceux qui ne sont pas dtects (dsigns par du).
La valeur DC est fournie par la formule :
DC = dd/d (exprim en pourcentage).
La dfinition du taux de couverture de diagnostic DC est commune aux normes EN ISO 13849-1
et EN/CEI 62061. Cependant, la faon de le calculer diffre. La seconde norme propose un
calcul bas sur lanalyse du mode de dfaillance, alors que lEN ISO 13849-1 offre une mthode
simplifie utilisant des tables de rfrence. Diverses techniques de diagnostic courantes y sont
listes avec, en regard, le taux DC quelles sont supposes permettre dobtenir. Dans certains
cas, une analyse rationnelle reste cependant ncessaire. Pour certaines de ces techniques en
effet, le taux de couverture des tests de diagnostic DC obtenu sera fonction de la frquence
laquelle le test est effectu. Cette approche a t parfois critique comme tant trop imprcise.
Dans la pratique, lestimation du taux DC sera influence par un grand nombre de variables.
Quelle que soit la technique utilise, le rsultat ne pourra donc en gnral pas prtendre un
autre qualificatif quapproximatif.
87
SAFEBOOK 4
Il est cependant important de savoir que les tables de rfrence de la norme EN ISO 13849-1
sont le produit de recherches extensives ralises par le BGIA partir des rsultats fournis
par des techniques de diagnostic prouves sur des applications relles. Dans un esprit de
simplification, la norme rpartit les valeurs DC selon quatre niveaux defficacit de base :
<60 % = nul
de 60 % <90 % = faible
de 90 % <99 % = moyen
99 % = lev
Cette approche par niveaux defficacit plutt quen valeurs de pourcentage spcifiques peut
galement tre considre comme plus raliste en termes de prcision. Loutil SISTEMA
utilise les mmes tables de rfrence que la norme. Avec le dveloppement de lutilisation de
composants lectroniques complexes dans les dispositifs de scurit, le facteur DC devient de
plus en plus important. Il est penser que les volutions futures des normes apporteront des
approfondissements sur ce point. En attendant, une analyse technique rationnelle et un peu
de bon sens devraient tre suffisants pour faire le choix optimal du niveau defficacit DC.
Dfaillance de cause commune
Dans la plupart des systmes ou sous-systmes deux voies (cest dire, ne tolrant quun
seul dfaut), le principe du diagnostic est bas sur le postulat quil ne se produira pas de
dfaillances dangereuses sur les deux voies en mme temps. Lexpression en mme
temps peut tre formule de faon plus exacte ainsi : dans lintervalle entre les tests de
diagnostic . Si cet intervalle entre les tests de diagnostic est raisonnablement court (par
exemple, infrieur huit heures), il est raisonnable de considrer que deux dfauts distincts
et non lis auront peu de chance de se produire dans ce laps de temps. Cependant, la norme
prcise clairement quil faut bien sassurer que les possibilits dapparition du dfaut soient
distinctes et non lies. Par exemple, si la dfaillance dun composant peut entraner de faon
prvisible la dfaillance dautres composants, la rsultante de ces diffrents dfauts combins
sera considre comme un dfaut unique.
Il est galement possible quun vnement entranant la dfaillance dun composant particulier
soit susceptible de provoquer la dfaillance dautres composants. Cest ce quon appelle une
dfaillance de cause commune (habituellement dsigne par lacronyme CCF). La propen-
sion dapparition dune dfaillance CCF est habituellement symbolise par le coefficient bta ().
88
SAFEBOOK 4
EN ISO 13849-1:2008
Il est trs important que les concepteurs de sous-systmes et de systmes soient sensibiliss
aux possibilits dapparition de dfaillances CCF. Il existe de nombreux types de dfaillances
CCF et, par consquent, de nombreuses faons de les viter. La norme EN ISO 13849-1 pro-
pose une alternative raisonnable entre les extrmes que constituent une trop grande complexit
et une trop grande simplification. De la mme faon que la norme EN/CEI 62061 qui adopte,
quant elle, une approche essentiellement qualitative. Elle propose une liste de mesures recon-
nues comme efficaces dans la prvention des dfaillances CCF.
Mesure contre les dfaillances

N Note
de cause commune
1 Sparation/isolement 15
2 Diversification 20
3 Conception/application/exprience 20
4 valuation/analyse 5
5 Comptence/formation 5
6 Environnement 35
Systme dvaluation des dfaillances de cause commune
Un nombre appropri de ces mesures devra tre mis en uvre dans la conception du systme
ou du sous-systme. On pourra rtorquer lgitimement que le seul recours cette liste nest
certainement pas suffisant pour prvenir tout risque dapparition de dfaillances CCF. Nan-
moins, si lesprit de cette liste est bien compris, il apparatra clairement que son premier objec-
tif est dinciter le concepteur analyser les risques dapparition de dfaillances CCF et met-
tre en uvre les mesures de prvention appropries en fonction de la technologie et des
caractristiques de lapplication prvue. Lutilisation de la liste force prendre en compte un
certain nombre de techniques fondamentales permettant dobtenir une efficacit maximum.
La diversit des modes de dfaillance et des comptences de conception seront ainsi mises
en vidence. Loutil SISTEMA de BGIA se base galement sur les tables de rfrence de
dfaillances CCF de la norme. Il les prsente sous une forme trs pratique utiliser.
89
SAFEBOOK 4
Dfauts systmatiques
Nous avons dj voqu la question de la quantification des donnes de fiabilit de scurit

dans le cadre du MTTFd et de la probabilit de dfaillance dangereuse. Cependant, cette
question a dautres ramifications. Lorsque nous avons utilis ces termes, nous faisions rfrence
quaux dfauts alatoires par nature. En effet, la norme CEI/EN 62061 parle spcifiquement de
probabilit de dfaillance matrielle alatoire (ou PFHd). Mais il existe un type de dfauts,
gnriquement appels dfauts systmatiques , qui peuvent dcouler derreurs commises
au niveau de la conception ou du processus de fabrication. Un exemple classique en est fourni
par les erreurs de programmation logicielle. Dans son Annexe G, la norme dfinit des mesures
destines viter ces erreurs (et donc les dfaillances induites). Ces mesures incluent des
dispositions telles que lutilisation de matriaux et de techniques de fabrication adapts, des
revues de conception, lanalyse et la modlisation sur ordinateur. Il existe galement des
vnements prvisibles et des caractristiques susceptibles dapparatre dans lenvironnement
dutilisation qui pourront provoquer des dfaillances si leurs effets potentiels ne sont pas sous
contrle. LAnnexe G propose galement des mesures ce niveau. Par exemple, il est facile
de prvoir quil pourra se produire des pertes occasionnelles dalimentation. En consquence,
la mise hors tension des composants devra entraner la mise en scurit du systme. Ces
mesures peuvent sembler relever du simple bon sens, et cest le cas. Elles nen sont pas moins
essentielles. Toutes les autres rquisitions de la norme deviennent sans objet si la surveillance et
la prvention des dfaillances systmatiques ne sont pas considres avec limportance quelles
mritent. Cela ncessite parfois galement des mesures de mme type que celles utilises pour
le contrle des dfaillances matrielles alatoires (afin de garantir le niveau de PFHd souhait),
comme les tests de diagnostic automatiques et lutilisation de matriels redondants.
Exclusion de dfauts
Lun des outils fondamentaux pour lanalyse des systmes de scurit est lanalyse des
dfaillances. Le concepteur et lutilisateur doivent comprendre comment le systme de
scurit va fonctionner en prsence de dfauts. De nombreuses techniques existent pour
raliser cette analyse. Citons par exemple, lanalyse de larbre des dfaillances, des modes
de dfaillance, de leurs effets et de leur criticit, lanalyse de larborescence des vnements
et la revue des charge et des rsistances.
Au cours de cette analyse, il sera possible de dcouvrir certains dfauts ne pouvant pas tre
dtects par les tests de diagnostic automatiques ( moins dimpliquer des cots conomiques
disproportionns). De plus, la probabilit dapparition de ces dfauts pourra tre rendue extr-
mement faible grce lutilisation de mthodes de limitation au niveau de la conception, de la
construction et des tests. Dans ces conditions, certains dfauts pourront tre exclus du champ
de surveillance. Lexclusion de dfaut consiste ngliger dlibrment un dfaut dont la pro-
babilit dapparition dans le systme de commande de scurit (SRCS) sera ngligeable.
90
SAFEBOOK 4
EN ISO 13849-1:2008
La norme ISO 13849-1:2006 autorise lexclusion de dfauts sur la base de limprobabilit tech-
nique de son apparition, de lexprience technique gnralement reconnue et des exigences
techniques relatives lapplication. La norme ISO 13849-2:2003 fournit quant elle des exem-
ples et des justifications dexclusion de certains dfauts dans des systmes lectriques, pneu-
matiques, hydrauliques et mcaniques. Les exclusions de dfauts doivent tre dclares et
justifies de faon dtaille dans la documentation technique.
Il sera dans certains cas impossible deffectuer lvaluation un systme SRCS sans admettre
que certains dfauts doivent tre exclus. Pour plus dinformations sur lexclusion de dfauts,
se reporter la norme ISO 13849-2.
Plus le niveau de risque devient important, plus la justification de lexclusion de dfauts devient
rigoureuse. En gnral, lorsquun niveau de performance PLe est requis pour la mise en u-
vre dune fonction de scurit par un systme de commande de scurit, il nest pas normal de
jouer uniquement sur les exclusions de dfauts pour obtenir ce niveau de performance. Cela
dpendra de la technologie utilise et de lenvironnement de travail prvu. Il est donc essentiel
que les concepteurs attachent une importance accrue la dfinition des exclusions de dfauts
lorsque les exigences de niveau de performance PL augmentent.
Par exemple, un systme dinterverrouillage de porte devant garantir un niveau de perfor-

mance PLe, devra avoir un facteur de tolrance aux pannes minimum de 1 (par exemple, en
utilisant deux dtecteurs de position mcaniques conventionnels). Il nest en effet normale-
ment pas admissible dexclure des dfauts tels que des ruptures dactionneurs de contacts
ce niveau de performance. Cependant, il peut tre envisag dexclure des dfauts, comme un
court-circuit dans le cblage dun panneau de commande conu conformment aux normes
applicables.
Niveau de performance (PL)
Le niveau de performance est une valeur discrte qui dfinit la capacit des composants de
scurit du systme de commande excuter une fonction de scurit.
Pour valuer le niveau de performance obtenu par la mise en uvre de lune des cinq
architectures dsignes, les donnes suivantes sont ncessaire concernant le systme
(ou le sous-systme) :
La valeur MTTFd (dure moyenne de fonctionnement avant dfaillance dangereuse de

chaque voie)
Le taux DC (couverture de diagnostic)
LArchitecture (la Catgorie)
91
SAFEBOOK 4
Le schma suivant prsente une mthode graphique pour dterminer le niveau PL en combi-
nant ces facteurs. Le tableau se trouvant la fin de ce document prsente les rsultats tabu-
laires des diffrents modles de Markov qui sont lorigine de ce schma. On se rfrera ce
tableau lorsquune estimation plus prcise est ncessaire.
a
Niveau de performance
e
Cat B Cat 1 Cat 2 Cat 2 Cat 3 Cat 3 Cat 4
DCmoyAucun DCmoyAucun DCmoyFaible DCmoyMoyen DCmoyFaible DCmoyMoyen DCmoylev
MTTFd Faible
MTTFd Moyen
MTTFd lev Dtermination graphique du niveau de performance PL
Dautres conditions sont galement satisfaire pour atteindre le niveau PL requis. Elles
comprennent les dispositions relatives aux dfaillances de cause commune, aux dfaillances
systmatiques, aux conditions ambiantes et au temps de mission.
Si la valeur PFHd du systme ou du sous-systme est connue, le tableau 10.4

(dans lAnnexe K de la norme) peut tre utilis pour dduire le niveau PL.
Conception et combinaison de sous-systmes
Des sous-systmes ayant un niveau PL valid peuvent tre combins simplement dans un
systme global laide du tableau 10.3. Le principe de ce tableau est simple comprendre.
Premirement, la valeur du systme est celle de son sous-systme le plus faible. Deuxime-
ment, plus il y a de sous-systmes, plus la possibilit de pannes est grande.
92
SAFEBOOK 4
EN ISO 13849-1:2008
Calcul du niveau de performance PL dans le cas de

PLlow Nlow PL sous-systmes associs en srie
>3 non autoris Dans le systme prsent ci-dessous en

a
3 a exemple, les niveaux de performances les
plus faibles sont ceux des sous-systmes 1
>2 a et 2. Tous deux sont en effet de niveau
b
2 b PLb. En consquence, en suivant la ligne b
(au niveau de la colonne PLlow), puis la
>2 b
c ligne infrieur ou gal 2 (au niveau de
2 c la colonne Nlow) sur le tableau, nous trou-
vons que le niveau PL global du systme
>3 c
d est b (dans la colonne PL). Si les trois
3 d sous-systmes taient de niveau PLb, le
niveau PL global obtenu serait PLa.
>3 d
e
3 e
Sous-systme 1 Sous-systme 2 Sous-systme 3

PLb PLb PLc
Combinaison de sous-systmes en srie dans un systme de niveau PLb
Validation
La validation joue un rle trs important dans les processus de dveloppement et de mise en
service du systme de scurit. La norme ISO/EN 13849-2:2003 dfinit les rgles de cette
validation. Elle fait appel un plan de validation et propose pour raliser ces validations des
techniques de test et danalyse, comme lanalyse de larbre des dfaillances ou lanalyse des
modes de dfaillance, de leurs effets et de leur criticit (AMDEC). La plupart de ces exigences
sappliquent gnralement au fabricant du sous-systme plutt qu son utilisateur.
Mise en service de la machine
Lors de la phase de mise en service du systme ou de la machine, la validation des fonctions

de scurit doit tre excute dans tous les modes de fonctionnement. Elle doit inclure toutes
les situations normales ainsi que les situations anormales prvisibles. Les diffrentes combi-
naisons dentres et de squences de fonctionnement doivent galement tre prises en
compte. Cette procdure est importante. Il est en effet ncessaire de toujours vrifier ladqua-
tion du systme aux conditions de fonctionnement et denvironnement relles. Certaines de
ces conditions en effet peuvent savrer diffrentes de celles qui avaient prvues lors de la
conception.
93
SAFEBOOK 4
Conception du systme selon la norme CEI/EN 62061

La norme CEI/EN 62061, Scurit des machines Scurit fonctionnelle des systmes de
commande lectriques, lectroniques et lectroniques programmables relatifs la scurit ,
est la version adapte spcifiquement aux machines de la norme CEI/EN 61508. Elle dfinit
les rgles applicables la conception des systmes de commande lectriques relatifs la
scurit pour ces machines. Elle sapplique galement la conception des sous-systmes et
des dispositifs peu complexes.
Lvaluation des risques dbouche sur une stratgie de rduction des risques. Celle-ci permet
son tour didentifier les fonctions de commande de scurit ncessaires. Ces fonctions
doivent tre dcrites en intgrant les lments suivants :
les spcifications des exigences fonctionnelles ;
les spcifications des exigences dintgrit de scurit.
Les exigences fonctionnelles regroupent un certain nombres de points comme la frquence

de fonctionnement, le temps de rponse ncessaire, les modes de fonctionnement, les cycles
de travail, les conditions dutilisation et les fonctions de raction aux dfauts. Les exigences
dintgrit de scurit sont classes selon diffrents niveaux appels niveaux dintgrit de
scurit SIL (Safety Integrity Level). En fonction de la complexit du systme, tout ou partie
des lments du tableau ci-dessous devront tre pris en compte pour dterminer si la
configuration du systme est conforme la classification SIL ncessaire.
lments prendre en compte pour la classification SIL Symbole
Probabilit de dfaillance dangereuse par heure PFHd
Tolrance aux pannes matrielles Pas de symbole
Proportion de dfaillances non dangereuses SFF
Intervalle entre tests de validit T1
Intervalle entre tests de diagnostic T2
Sensibilit aux dfaillances de cause commune
Taux de couverture des tests de diagnostic DC
lments prendre en compte pour la dtermination du niveau SIL
Sous-systmes
Le terme sous-systme a une signification particulire dans la norme CEI/EN 62061. Cest
le premier niveau de la dcomposition dun systme en sous-parties qui, si elles viennent se
mettre en dfaut, entraneront la dfaillance de la fonction de scurit. Par consquent, si
94
SAFEBOOK 4
Conception de systme selon la norme CEI/EN 62061
deux interrupteurs redondants sont utiliss dans un systme, ces interrupteurs ne constituent
pas individuellement un sous-systme. Cest lensemble de ces deux interrupteurs et les
ventuelles fonction de diagnostic associes qui constitue le sous-systme.
Probabilit de dfaillance dangereuse par heure (PFHd)
La norme CEI/EN 62061 utilise les mmes mthodes de base que celles prsentes dans le
chapitre relatif la norme EN ISO 13849-1 pour dterminer le taux de dfaillance au niveau
des composants. Des dispositions et des mthodes identiques sappliquent aux composants
mcaniques et lectroniques. Dans la norme CEI/EN 62061 il nest cependant pas fait
rfrence une valeur MTTFd exprime en annes. Le taux de dfaillance horaire () sera
calcul soit directement, soit au moyen, ou partir, de la valeur B10 selon la formule suivante :
= 0,1 x C/B10 (dans laquelle C = nombre de cycles de fonctionnement par heure)
Il existe une diffrence de mthodologie significative entre les deux normes pour la dtermina-
tion du PFHd total dun sous-systme ou dun systme. Une analyse des composants doit ici
tre ralise afin de dterminer la probabilit de dfaillance des sous-systmes. Des formules
simplifies sont fournies pour le calcul des architectures courantes de sous-systme (dcrites
plus loin). Lorsque ces formules ne sont pas adaptes, il sera ncessaire dutiliser des m-
thodes de calcul plus complexes, comme les modles de Markov. Les probabilits de dfail-
lance dangereuse (PFHd) de chaque sous-systme seront alors additionnes pour dterminer
le PFHd total du systme. Le tableau 15 (Tableau 3 dans la norme) peut alors tre utilis pour
dterminer le niveau dintgrit de scurit SIL adapt cette valeur de PFHd.
DssB = (1-)2 x De1 x De2 x T1 + x (De1 + De2)/2
Les formules correspondant cette architecture prennent en compte une disposition en

parallle des lments du sous-systme et agrgent les deux lments suivants provenant
du tableau prcdent :
le coefficient (bta) exprime la sensibilit aux dfaillances de cause commune
SIL
PFHd
(niveau dintgrit
(probabilit de dfaillance dangereuse par heure)
de scurit)
3 108 <107
2 107 <106
1 106 <105
Probabilit de dfaillance dangereuse par rapport aux niveaux SIL
95
SAFEBOOK 4
Les donnes de PFHd dun sous-systme sont gnralement fournies par le fabricant du
matriel. Les informations relatives aux composants et systmes de scurit de Rockwell
Automation sont disponibles sous diffrentes formes, et notamment ladresse :
La norme CEI/EN 62061 tablit clairement galement que des tables de donnes de fiabilit
peuvent tre utiliss le cas chant.
Pour les dispositifs lectromcaniques peu complexes, le mcanisme dapparition de panne

est gnralement li au nombre et la frquence des oprations plutt quau temps
simplement. En consquence, dans le cas de ces composants, les donnes sont obtenues
partir de tests types (comme par exemple, le test B10 dcrit dans le chapitre sur la norme
EN ISO 13849-1). Des informations relatives lapplication, comme le nombre de cycles de
fonctionnement attendus par an, seront alors ncessaires pour convertir la valeur B10d, ou
les donnes similaires, en PFHd.
Remarque : la relation suivante est gnralement vrifie (sous rserve de lapplication

ventuelle dun facteur de conversion des annes en heures) :
PFHd = 1/MTTFd
Cependant, il faut toujours avoir lesprit que, pour un systme deux voies (avec ou sans
diagnostics), il nest pas permis dutiliser le rapport 1/PFHd pour calculer le paramtre MTTFd
requis par la norme EN ISO 13849-1. Cette norme fait en effet rfrence au MTTFd unique-
ment dans le cadre de systmes mono-voie. Cest une valeur trs diffrente du MTTFd rsul-
tant de la combinaison des deux voies dun sous-systme deux voies.
Contraintes architecturales
La particularit essentielle de la norme CEI/EN 62061 est la division du systme de scurit

en sous-systmes. Le niveau dintgrit de scurit de son matriel pouvant tre revendiqu
par un sous-systme est non seulement limit par son PFHd, mais aussi par sa tolrance aux
dfauts matriels et sa proportion de dfaillances non dangereuse (SFF). La tolrance aux
dfauts matriels dfinit la capacit du systme excuter sa fonction en prsence de
dfauts. Une tolrance aux dfauts gale zro signifie que la fonction ne sera plus excute
ds lors quun seul dfaut se produira. Une tolrance aux dfauts de un autorisera le sous-
systme excuter sa fonction en prsence dun dfaut unique. La proportion de dfaillances
non dangereuses (SFF) reprsente la fraction du nombre de dfauts total nentranant pas de
dfaillance dangereuse. La combinaison de ces deux lments constitue ce quon appelle la
contrainte architecturale. Elle dtermine le niveau SIL maximum ralisable ou SIL CL. Le
tableau suivant prsente cette relation entre la contrainte architecturale et le niveau SIL CL.
Un sous-systme (et donc son systme) doit respecter la fois les exigences de PFHd et les
contraintes architecturales. De mme quil doit satisfaire toutes les autres dispositions
applicables de la norme.
96
SAFEBOOK 4
Proportion de
dfaillances non Tolrance aux pannes matrielles
dangereuses
(SFF) 0 1 2
Non autoris sauf exception

<60 % SIL 1 SIL 2
particulire
60 % <90 % SIL 1 SIL 2 SIL 3

90 % <99 % SIL 2 SIL 3 SIL 3
99 % SIL 3 SIL 3 SIL 3
Contraintes architecturales et niveaux SIL
Par exemple, une architecture de sous-systme possdant une tolrance un seul dfaut et
une proportion de dfaillances non dangereuses de 75 % sera limite un niveau maximal
SIL 2, quelle que soit sa probabilit de dfaillance dangereuse. Lorsque des sous-systmes
sont combins, le niveau SIL global du systme SRCS rsultant sera limit un niveau
infrieur ou gal au niveau SIL CL le plus bas de tous les sous-systmes participant la
fonction de commande de scurit.
Ralisation du systme
Pour calculer la probabilit de dfaillance dangereuse, chaque fonction de scurit doit tre
dcompose en blocs fonctionnels qui seront ensuite utiliss comme base des sous-systmes.
La conception traditionnelle dun systme destin lexcution dune fonction de scurit
consiste en un dispositif de dtection connect un dispositif logique lui-mme connect
un actionneur. Ceci constitue une disposition en srie de ces sous-systmes. Comme
nous lavons vu prcdemment, si nous pouvons dterminer la probabilit de dfaillance
dangereuse de chaque sous-systme et connatre son niveau SIL CL, il sera alors facile de
calculer la probabilit de dfaillance du systme en additionnant les probabilits de dfaillance
de chacun de ses sous-systmes. Ce principe est illustr ci-dessous.
SOUS-SYSTME 1 SOUS-SYSTME 2 SOUS-SYSTME 3

Dtection de position Rsolution de Actionneurs de sortie
programme
Critres fonctionnels Critres fonctionnels Critres fonctionnels

et dintgrit CEI/EN 62061 et dintgrit CEI/EN 62061 et dintgrit CEI/EN 62061
Contraintes architecturales Contraintes architecturales Contraintes architecturales

SIL CL 2 SIL CL 2 SIL CL 2
PFHd = 1x107 PFHd = 1x107 PFHd = 1x107
= PFHd 1 + PFHd 2 + PFHd 3

= 1x107 + 1x107 + 1x107
= 3x107 c.--d., convenant SIL 2
97
SAFEBOOK 4
Si, par exemple, nous souhaitons obtenir un niveau SIL 2, chaque sous-systme doit avoir
un niveau dintgrit maximum SIL CL dau moins SIL 2. La somme des probabilits de
dfaillance dangereuse (PFHd) du systme ne doit par ailleurs pas dpasser les limites
indique dans le prcdent tableau Probabilit de dfaillance dangereuse par rapport
aux niveaux SIL .
Conception de sous-systme selon la norme CEI/EN 62061
Lorsque le concepteur du systme utilise des composants dj prt lemploi dans des
sous-systmes conformes la norme CEI/EN 62061, les choses deviennent beaucoup plus
simples car les exigences propres la conception des sous-systmes ne sappliqueront pas
dans ce cas. Ces exigences sont, en gnral, dj intgres par le fabricant du dispositif
(sous-systme). Cest un avantage car elles sont bien plus complexes que celles requises
pour la conception du systme proprement-dit.
La norme CEI/EN 62061 impose que les sous-systmes complexes comme les automates
de scurit soient conformes la norme CEI 61508 ou aux autres normes applicables. Cela
implique que les dispositifs utilisant des composants lectroniques programmables complexes
bnficieront de toute la rigueur de la norme CEI 61508. Or, son application est parfois trs
stricte et exigeante. Par exemple, lvaluation de la probabilit de dfaillance dangereuse
(PFHd) dun sous-systme complexe peut savrer un processus trs complexe faisant appel
des techniques comme les modles de Markov, les schmas fonctionnels de fiabilit ou
lanalyse de larbre des dfaillances.
La norme CEI/EN 62061 dfinit des rgles applicables la conception des sous-systmes de
moindre complexit. Sont habituellement concerns des composants lectriques relativement
simples, comme les interrupteurs dinterverrouillage et les relais de surveillance de scurit
lectromcaniques. Les exigences ne sont pas aussi pointues que celles de la norme
CEI 61508. Mais leur application peut cependant savrer trs dlicate.
La norme CEI/EN 62061 retient quatre architectures de sous-systme logique et propose des
formules de calcul correspondantes. Celles-ci peuvent tre utilises pour valuer la probabilit
de dfaillance dangereuse (PFHd) dun sous-systme de faible complexit. Ces architectures
sont purement des reprsentations logiques. Elles ne doivent pas tre considres comme
des architectures physiques. Ces quatre architectures sont rsumes dans les schmas
suivants.
Pour les architectures de sous-systme de base reprsentes ci-dessous, les probabilits de

dfaillance dangereuse sajoutent simplement les unes aux autres.
98
SAFEBOOK 4
Sous-systme A
Elment 1 du Elment n du
sous-systme sous-systme
De1 Den
Architecture de sous-systme logique de type A
DssA= De1 + . . . + Den

PFHDssA = DssA x 1h
(lambda) est utilis pour indiquer le taux de dfaillance. Lunit de mesure de ce taux de
dfaillance est le nombre de dfaillances par heure. D indique le taux de dfaillances
dangereuses. DssA dsigne quant lui le taux de dfaillance dangereuse du sous-systme A ;
cest la somme des taux de dfaillance des lments individuels, e1, e2, e3, en inclus. La
probabilit de dfaillance dangereuse est multiplie par 1 heure pour crer la probabilit de
dfaillance par heure.
Le schma suivant prsente un systme tolrance de dfaut unique sans fonction de

diagnostic. Lorsque larchitecture na ainsi quune tolrance de dfaut unique, il existe un
risque potentiel de dfaillance de cause commune prendre en considration. Les effets
des dfaillances de cause commune sont brivement dcrits plus loin dans ce chapitre.
Sous-systme B
Elment 1 du
sous-systme
De1 Dfaillance
de cause
Elment 2 du commune
sous-systme
De2
Architecture de sous-systme logique de type B
DssB = (1-)2 x De1 x De2 x T1 + x (De1 + De2)/2

PFHDssB = DssB x 1h
Les formules propres cette architecture intgrent la disposition en parallle des lments
du sous-systme et agrgent les deux lments suivants provenant du prcdent tableau
lments prendre en compte pour la dtermination du niveau SIL .
99
SAFEBOOK 4
la sensibilit aux dfaillances de cause commune (bta) ;
T1 lintervalle entre les tests de validit ou la dure vie (la plus petite valeur des deux). Les
tests de scurit sont conus pour dtecter les dfauts et les dtriorations de fonctionnement
du sous-systme de scurit afin de permettre sa restauration ventuelle. En pratique, cela
signifiera gnralement son remplacement (cela correspond au concept de temps de
mission de la norme EN ISO 13849-1).
Le schma suivant est la reprsentation fonctionnelle dun systme tolrance zro dfaut
avec fonction de diagnostic. La couverture de diagnostic est utilise pour rduire la probabilit
de pannes matrielles dangereuses. Les tests de diagnostic sont ralis automatiquement.
La dfinition du taux de couverture des tests de diagnostic est la mme que dans la norme
EN ISO 13849-1. Il sagit du rapport entre le taux de dfaillances dangereuses dtectes et le
taux de dfaillances dangereuses global.
Sous-systme C
Elment 1 Elment n
du sous-systme du sous-systme
De1 Den
Fonction(s) de diagnostic
Architecture de sous-systme logique de type C
DssC = De1 (1-DC1)+ . . . + Den (1-DCn)

PFHDssC = DssC x 1h
Ces formules incluent le taux de couverture des tests de diagnostic (DC) pour chacun des
lments du sous-systme. Les taux de dfaillances de chaque sous-systme sont diminus
de la valeur du taux de couverture des tests de diagnostic correspondante.
Ci-dessous est prsent le quatrime exemple darchitecture de sous-systme. Ce sous-

systme a une tolrance de dfaut unique et inclut une fonction de diagnostic. Le risque
potentiel de dfaillance de cause commune doit galement tre pris en considration avec
les systme tolrance de dfaut unique.
100
SAFEBOOK 4
Sous-systme D
Elment 1
du sous-systme
De1 Dfaillance
de cause
commune
Fonction(s)
de diagnostic
Elment 2
du sous-systme
De2
Architecture de sous-systme logique de type D
Si les lments du sous-systme sont diffrents, les formules suivantes sont utilises :
DssD = (1 )2 { De1 x De2 x (DC1 + DC2) x T2/2 + De1 x De2 x (2- DC1 DC2) x T1/2 } +
x (De1 + De2)/2
PFHDssD = DssD x 1h
Si les lments du sous-systme sont identiques, les formules suivantes sont utilises :
DssD = (1 )2 {[ De2 x 2 x DC] x T2/2 + [De2 x (1-DC)] x T1 }+ x De

PFHDssD = DssD x 1h
On remarquera que les deux formules utilisent un paramtre supplmentaire, lintervalle de

diagnostic T2. Il sagit simplement dun contrle priodique de la fonction. Il est moins complet
que le test de validit.
titre dexemple, nous prendrons les valeurs suivantes et nous considrerons que les
lments du sous-systme sont diffrents :
= 0,05
De = 1 x 106 dfauts/heure
T1 = 87 600 heures (10 ans)
T2 = 2 heures
DC = 90 %
PFHDssD = 5.791E-08 pannes dangereuses par heure. On se trouve donc dans la plage
correspondant au niveau SIL 3
101
SAFEBOOK 4
Effet de lintervalle entre les tests de validit
La norme CEI/EN 62061 indique quun intervalle entre tests de validit PTI (Proof Test Interval)
de 20 ans est souhaitable (mais non obligatoire). Voyons leffet de cet intervalle entre les tests
de validit sur le systme. Si nous recalculons la formule avec T1 = 20 ans, nous obtenons
une valeur PFHDssD = 6.581E-08. Ce rsultat se trouve toujours dans la plage requise pour le
niveau SIL 3. Pour son calcul du taux de dfaillance dangereuse global, le concepteur gardera
lesprit que ce sous-systme particulier doit tre combin dautres sous-systmes.
Analyse des effet des dfaillances de cause commune
Voyons maintenant leffet que les dfaillances de cause commune ont sur le systme.
Supposons que nous prenions des mesures supplmentaires et que notre valeur (bta)
passe 1 % (0,01), alors que lintervalle entre tests de validit reste 20 ans. Le taux de
dfaillance dangereuse passera alors 2.71E-08. Ceci signifie que le sous-systme sera
ainsi mieux adapt une utilisation dans un systme SIL 3.
Dfaillance de cause commune (CCF)
Une dfaillance de cause commune est cause par un ensemble de dfauts caractre
dangereux ayant une cause identique. Les informations relatives aux dfaillance de cause
commune sont gnralement ncessaires uniquement au concepteur du sous-systme,
habituellement son fabricant. Elles sont utilises dans la formule prcdemment fournie pour
lestimation de la valeur PFHd dun sous-systme. Elles ne sont gnralement pas ncessaire
au niveau de la conception du systme.
LAnnexe F de la norme CEI/EN 62061 propose une approche simple pour estimer la valeur
CCF. Le tableau suivant prsente un rsum de la mthode dvaluation utilise.
Mesure contre les dfaillances de

N Note
cause commune
1 Sparation/isolement 25
2 Diversification 38
3 Conception/application/exprience 2
4 valuation/analyse 18
5 Comptence/formation 4
6 Environnement 18
Grille dvaluation des mesures contre les dfaillances de cause commune
Des points sont attribus pour chaque mesure spcifique mise en uvre contre les pannes
dorigine commune. Ces points sont totaliss pour dterminer le coefficient de dfaillance de
102
SAFEBOOK 4
cause commune, tel que prsent dans le tableau suivant. Ce coefficient bta est utilis pour
la modlisation des sous-systme afin d ajuster le taux de dfaillance.
Coefficient de dfaillance de cause

Note globale
commune ()
<35 10 % (0,1)
35 65 5 % (0,05)
65 85 2 % (0,02)
85 100 1 % (0,01)
Coefficient bta de dfaillance de cause commune
Taux de couverture des tests de diagnostic (DC)
Des tests de diagnostic automatiques sont utiliss pour rduire la probabilit de dfaillances
matrielles dangereuses. Lidal serait de pouvoir dtecter toutes les dfaillances matrielles
dangereuses. Mais en pratique, la valeur maximale est fixe 99 % (cest dire 0,99).
Le taux de couverture des tests de diagnostic est le rapport entre la probabilit de dfaillances
dangereuses dtectes et la probabilit de dfaillances dangereuses totale.
Probabilit de dfaillances dangereuses dtectes, DD

DC = ----------------------------------------------------------------------------
Probabilit de dfaillances dangereuses totale, Dtotal
La valeur DC sera toujours comprise entre zro et un.
Tolrance aux dfauts matriels
La tolrance aux dfauts matriels reprsente le nombre de dfauts quun sous-systme peut
supporter avant de provoquer une dfaillance dangereuse. Par exemple, une tolrance aux
dfauts matriels de 1 signifie que 2 dfauts pourront entraner la perte de la fonction de
commande de scurit (mais pas un dfaut seul).
Gestion de la scurit fonctionnelle
La norme fixe des rgles de contrle des activits techniques et de gestion affrentes
lexploitation dun systme de commande de scurit lectrique.
103
SAFEBOOK 4
Intervalle entre tests de validit
Lintervalle entre tests de validit reprsente la dure au bout de laquelle il sera ncessaire de
recontrler entirement le sous-systme ou de le remplacer afin de garantir quil soit toujours
ltat comme neuf . En pratique, dans le secteur des machines, ceci est obtenu par rempla-
cement. Lintervalle entre tests de validit est donc gnralement assimil la dure de vie. La
norme EN ISO 13849-1:2008 parle, elle, de Temps de mission.
Un test priodique est un contrle destin dtecter les dfauts et les dtriorations dun
systme de commande de scurit. Il doit permettre la restauration de ce systme dans un
tat aussi proche que possible de son tat neuf. Ce test priodique doit pouvoir dtecter
100 % des dfaillances dangereuses. Les voies spares doivent tre testes sparment.
A linverse des tests de diagnostic qui sont automatiques, les tests de validit sont gnrale-
ment raliss manuellement et hors ligne. Du fait de leur caractre automatique, les tests de
diagnostic sont effectus frquemment, alors que les tests de validit sont raliss ponctuelle-
ment. Par exemple, le cblage dun dispositif dinterverrouillage mont sur une grille de protec-
tion pourra tre contrl automatiquement pour y dtecter dventuels courts-circuits et cou-
pures de circuits au moyen dun test de diagnostic (par exemple, par impulsions).
Lintervalle entre tests de validit doit tre spcifi par le fabricant. Parfois, le fabricant fournit
diffrents intervalles entre tests de validit.
Proportion de dfaillances non dangereuses (SFF)
La proportion de dfaillances non dangereuses est similaire au taux de couverture des tests
de diagnostic, mais elle prend de plus en compte la propension inhrente au systme se
mettre en scurit en cas dapparition de dfaut. Par exemple, lorsquun fusible grille, il y a
apparition dun dfaut. Mais il est trs probable que ce dfaut ne se traduira que par une cou-
pure du circuit. Dans la plupart des cas, il sagira donc dune dfaillance non dangereuse .
La valeur SFF exprime le rapport : (somme des dfaillances non dangereuses plus nombre
de dfaillances dangereuses dtectes) sur (somme des dfaillances non dangereuses
plus nombre de dfaillances dangereuses dtectes et non dtectes). Il est important de rete-
nir que les seuls types de dfaillances pris en considration ici sont ceux qui ont un effet sur la
fonction de scurit.
La plupart des dispositifs mcaniques peu complexes, comme les boutons darrt durgence
ou les dispositifs dinterverrouillage, possdent (intrinsquement) une certaine proportion de
dfaillances non dangereuses. La plupart des dispositifs lectroniques de scurit sont conus
de faon redondante et avec des fonctionnalits dauto-contrle. Une valeur SFF suprieure
90 % y est donc courante. Elle rsultera cependant le plus souvent totalement du taux de
couverture des tests de diagnostic. La valeur SFF est normalement fournie par le fabricant.
104
SAFEBOOK 4
Conception du systme selon la norme CEI/EN 62061
La proportion de dfaillances non dangereuses (SFF) peut tre calcule laide de lquation
suivante :
SFF = ( S + DD)/( S + D)
dans laquelle :
S = nombre de dfaillances non dangereuses ;
S + D = nombre de dfaillances total ;
DD = nombre de dfaillances dangereuses dtectes ;
D = nombre de dfaillances dangereuses.
Dfaillance systmatique
La norme dfinit des rgles pour maintenir sous contrle et viter les dfaillances systma-
tiques. Les dfaillances systmatiques sont diffrentes des dfaillances matrielles alatoires.
Celles-ci sont des pannes pouvant survenir nimporte quel moment et qui rsultent gnrale-
ment dune dgradation des composants matriels. Les types de dfaillance systmatique les
plus courants sont les erreurs de conception du logiciel, les erreurs de conception du matriel,
les erreurs de spcification de paramtres et de procdure de fonctionnement. Voici quelques
exemples de mesures prendre pour viter ces dfaillances systmatiques :
slection, combinaison, disposition, assemblage et installation appropris des

composants ;
utilisation de bonnes pratiques dingnierie ;
respect des caractristiques et des instructions de montage du fabricant ;
respect de la compatibilit entre les composants ;
prise en compte des conditions denvironnement ;
utilisation de matriaux appropris.
105
SAFEBOOK 4
Systmes de commande de scurit, considrations relatives

la structure
Prsentation
Ce chapitre aborde les aspects et les principes gnraux de type structurels prendre en consi-
dration lors de la conception dun systme de commande de scurit, quelle que soit la norme
suivie. Il reprend majoritairement lapproche par Catgories de lancienne norme EN 954-1. Ces
Catgories sintressent en effet principalement la structure des systmes de commande.
Catgories de systmes de commande
Les catgories de systmes de commande ont t introduites par lancienne norme

EN 954-1:1996 (ISO 13849-1:1999). Elles sont cependant toujours frquemment utilises pour
dcrire les systmes de commande de scurit et font toujours partie intgrante de la norme
EN ISO 13849-1, comme nous lavons vu au chapitre Systmes de commande de scurit
et scurit fonctionnelle .
Il existe cinq catgories dcrivant la performance de raction aux dfauts dun systme de
commande de scurit. On se reportera au tableau 19 pour le rsum de ces catgories. Les
remarques suivantes sont formuler concernant ce tableau.
Remarque 1 : la Catgorie B ne propose aucune mesure de scurit particulire par elle-

mme, mais elle constitue la base pour les autres catgories.
Remarque 2 : une srie de plusieurs dfaillances dues une cause dorigine commune
ou aux consquences invitables dune dfaillance initiale, doit tre considre comme
une dfaillance unique.
Remarque 3 : le nombre de dfauts pris en compte peut se limiter deux dfauts combi-
ns si cela est justifi. Mais, dans le cas de circuits complexes (systmes microproces-
seur par exemple), il peut savrer ncessaire de prendre en compte un plus grand nom-
bre de dfauts combins.
La Catgorie 1 vise la prvention des dfaillances. Celle-ci est obtenue par lutilisation de
principes de conception, de composants et de matriaux adapts. Les lments-cls pour
cette catgorie sont la simplicit du principe et de la conception, ainsi que la stabilit et le
comportement dans le temps des matriaux.
Les Catgories 2, 3 et 4 supposent que les pannes soient dtectes dans le cas o elles ne
peuvent pas tre prvenues, et que des mesures appropries soient prises.
La redondance, la diversification et la surveillance sont les lments-cls pour ces catgories.

La redondance est la duplication dune mme technique de protection. La diversification
consiste utiliser deux techniques diffrentes. La surveillance consiste contrler ltat des
dispositifs de scurit, puis dclencher des actions appropries selon cet tat. La mthode
habituellement utilise (mais pas ncessairement la seule) pour raliser cette surveillance est
le ddoublement des fonctions de scurit critiques et la comparaison de leur fonctionnement.
106
SAFEBOOK 4
Systmes de commande de scurit, considrations
relatives la structure
Rsum des exigences Comportement du systme
CATGORIE B (voir Remarque 1) Lorsquune dfaillance se produit, elle peut

La partie des systmes de commande relative la scurit entraner la perte de la fonction de scurit.
et/ou leur quipement de protection ainsi que ses compo-
sants, doit tre conue, fabrique, slectionne et assemble
conformment aux normes applicables de faon pouvoir
rsister aux contraintes attendues. Les principes de scurit
de base doivent tre appliqus.
CATGORIE 1 Comme indiqu pour la Catgorie B mais

Les exigences de la Catgorie B sappliquent avec en plus avec une fiabilit suprieure de la fonction de
lutilisation de principes et de composants de scurit scurit. (Plus la fiabilit est leve, plus la
prouvs. probabilit de dfaillance est faible.)
CATGORIE 2 La perte de la fonction de scurit est

Les exigences de la Catgorie B ainsi que lutilisation dun dtecte par le contrle. Lapparition dun
principe de scurit prouv sont applicables. La ou les dfaut entre deux contrles priodiques peut
fonction(s) de scurit sont contrles au dmarrage de la conduire la perte de la fonction de scurit.
machine et priodiquement par le systme de commande.
Si un dfaut est dtect, la mise en scurit de la machine
doit tre effectue ou, si cest impossible, une alarme doit
tre dclenche. La norme EN ISO 13849-1 postule que la
frquence de test est au moins 100 fois suprieure la
frquence de sollicitation. De mme, elle postule que la valeur
MTTFd du dispositif de test externe est suprieure la moiti
de celle de lquipement test.
CATGORIE 3 (voir Remarques 2 et 3) La fonction de scurit reste assure mme

Les exigences de la Catgorie B ainsi que lutilisation dun en prsence dun dfaut unique. Certains
principe de scurit prouv sont applicables. Le systme doit dfauts, mais pas ncessairement tous, sont
tre conu de telle sorte que lapparition dun dfaut unique dtects. Une accumulation de dfauts non
sur nimporte lequel de ses composants ne puisse entraner dtects peut conduire la perte de la
la perte de la fonction de scurit. Lorsque cest ralisable, fonction de scurit.
ce dfaut unique devra pouvoir tre dtect.
CATGORIE 4 (voir Remarques 2 et 3) La fonction de scurit reste toujours active,

Les exigences de la Catgorie B ainsi que lutilisation dun mme en cas de dfaillances multiples.
principe de scurit prouv sont applicables. Le systme doit Les dfauts seront dtects temps pour
tre conu de telle sorte que lapparition dun dfaut unique empcher la perte des fonctions de scurit.
sur nimporte lequel de ses composants ne puisse entraner
la perte de la fonction de scurit. Ce dfaut unique devra
pouvoir tre dtect lors de lappel de la fonction de scurit
ou avant lappel suivant. Si cette dtection est impossible, une
accumulation de dfauts ne devra pas conduire la perte de
la fonction de scurit.
107
SAFEBOOK 4
Catgorie B
La catgorie B dfinit les critres de base pour tout systme de commande, quil soit de
scurit ou non. Un systme de commande doit pouvoir fonctionner dans lenvironnement
pour lequel il prvu. Le concept de fiabilit fournit une base pour la caractrisation des
systmes de commande. La fiabilit est en effet dfinie comme la probabilit pour un dispositif
dexcuter la fonction pour laquelle il a t conu dans un laps de temps dfini et dans des
conditions attendues.
La Catgorie B nimpose que la mise en uvre de principes de scurit lmentaires. La

norme ISO 13849-2 dfinit les principes de scurit de base pour les systmes lectriques,
pneumatiques, hydrauliques et mcaniques. Les critres de scurit lectriques peuvent tre
rsums ainsi :
Choix, combinaison, disposition, montage et installation conformes

(cest--dire, suivant les instructions du fabricant)
Compatibilit des composants en termes de tension et dintensit
Tenue aux conditions ambiantes
Utilisation du principe de coupure des alimentations
Suppression des transitoires
Limitation du temps de rponse
Protection contre les redmarrages accidentels
Fixation scurise des capteurs (exemple : montage des dispositifs dinterverrouillage)
Protection du circuit de commande
(conformment aux normes NFPA 79 et CEI 60204-1)
Continuit de masse conforme
Le concepteur doit slectionner, installer et assembler les composants selon les instructions
du fabricant. Ces dispositifs doivent tre capables de fonctionner avec toutes les valeurs de
tension et dintensit nominales prvisibles dans linstallation. Les conditions ambiantes
prvisibles, comme la compatibilit lectromagntique, la rsistance aux vibrations, la tenue
aux chocs, la rsistance aux contaminants et aux projections, doivent galement tre prises
en considration. Le principe de coupure des alimentations doit tre respect. Une protection
contre les transitoires doit tre installe sur les bobines de contacteur. Le moteur doit tre
protg contre les surcharges. Le cblage et la mise la terre doit tre conformes aux normes
lectriques applicables.
Catgorie 1
La catgorie 1 impose au systme de respecter les conditions de la catgorie B et dutiliser

des composants de scurit prouvs. Quentend-on par composants de scurit et comment
peut-on tre sr quils sont prouvs ? La norme ISO 13849-2 apporte une rponse ces
questions dans le cas des systmes mcaniques, hydrauliques, pneumatiques et lectriques.
LAnnexe D concerne plus particulirement les composants lectriques.
108
SAFEBOOK 4
Ces composants sont considrs comme prouvs sils ont dj t utiliss avec succs dans
de nombreuses applications similaires. Les nouveaux composants de scurit sont considrs
comme prouvs sils ont t conus et tests en accord avec les normes applicables.
Composant prouv Norme
Interrupteur activation en mode positif

CEI 60947-5-1
(ouverture directe)
Dispositif darrt durgence ISO 13850, CEI 60947-5-5

Fusible CEI 60269-1
Disjoncteur CEI 60947-2
Contacteurs CEI 60947-4-1, CEI 60947-5-1
Contacts couplage mcanique CEI 60947-5-1
Contacteur auxiliaire (par exemple,

EN 50205
contacteur, relais de commande,
CEI 60204-1, CEI 60947-5-1
relais guidage positif)
Transformateur CEI 60742

Cble CEI 60204-1
Dispositifs dinterverrouillage ISO 14119
Thermostat CEI 60947-5-1
CEI 60947-5-1 + normes pneumatiques et

Pressostat
hydrauliques
Dispositif ou quipement CPS

( commutation de commande et de CEI 60947-6-2
protection)
Automate programmable CEI 61508, CEI 62061
109
SAFEBOOK 4
Si lon veut utiliser des composants prouvs dans un systme de catgorie B, cela signifie
quil faudra remplacer les dtecteurs de position traditionnels par des interrupteurs broche
ouverture directe. Cela impliquera galement de surdimensionner le contacteur pour une
meilleure protection contre le risque de soudage des contacts.
Le schma ci-joint mon-

+V tre les modifications ap-
L1 L2 L3
SCP
K1
portes un systme
Dmarrage SCP simple de Catgorie B
Aux
pour le faire passer en
Arrt K1 Catgorie 1. Le disposi-
tif dinterverrouillage et
Inter- OP le contacteur jouent un
rupteur
broche
rle cl dans la coupure
Grille
ferme de lalimentation sur
Moteur
(danger) lactionneur, lorsquil est
TS K1
ncessaire daccder
Contacteur
la source de danger.
Terre
Le dispositif dinterver-
Systme de scurit simple de Catgorie 1
rouillage broche est
conforme la norme
CEI 60947-5-1 relative aux contacts ouverture directe. Ceci est symbolis sur le schma par
la flche dans un cercle. Grce lutilisation de composants prouvs, la probabilit de cou-
pure dalimentation est plus grande dans la Catgorie 1 que dans la Catgorie B. Lutilisation
de ces composants prouvs a pour objectif dempcher la perte de la fonction de scurit.
Malgr ces amliorations, un dfaut unique peut toujours cependant entraner la perte de la
fonction de scurit.
Les systmes de catgories B et 1 ont une simple finalit de prvention. Leur conception est
destine viter une situation dangereuse. Lorsque cette simple prvention ne permet pas
une rduction suffisante des risques, une dtection des dfauts doit tre utilise en sus. Les
Catgories 2, 3 et 4 permettent cette dtection de dfauts, avec des niveaux dexigence
croissants dans la rduction des risques.
110
SAFEBOOK 4
Catgorie 2
En plus de respecter les critres de la Catgorie B et dutiliser des principes de scurit

prouvs, un systme de scurit de Catgorie 2 doit utiliser un dispositif de test. Ces tests
doivent permettre de dtecter tous dfauts sur la partie scurit du systme de commande.
Lorsquaucun dfaut nest dtect, le systme peut fonctionner normalement. Si des dfauts
sont dtects, le test doit mettre une commande. Lorsque cest possible, cette commande
doit faire passer la machine ltat de scurit.
Cblage Cblage
Entre Programme Sortie
Dtection de dfaut
raisonnablement applicable
Test
Test Sortie
Le test doit permettre une dtection de dfauts raisonnablement simple mettre en uvre.
Le dispositif de test peut faire partie intgrante du systme de scurit ou tre un quipement
spar.
Les tests doivent tre effectus :

la mise sous tension initiale de la machine ;
avant le dmarrage de la source de danger ;
priodiquement si cela est jug ncessaire par lvaluation des risques.
Remarque : la norme EN ISO 138491-1 considre que le test de la fonction de scurit doit
tre effectu selon un ratio de 100 pour 1 par rapport aux sollicitations de cette fonction.
Lexemple prsent ne permettrait pas de satisfaire ces exigences.
Lutilisation des termes lorsque cest possible et raisonnablement simple indique bien
quil est admis que toutes les dfauts ne puissent pas tre dtects. Etant donn quil sagit
dun systme mono-voie (cest--dire, seul un fil reliant le capteur dentre au sous-systme
logique, puis celui-ci lactionneur en sortie), un seul dfaut peut ainsi provoquer la perte de
la fonction de scurit. Dans certains cas, la Catgorie 2 ne pourra donc pas tre totalement
applicable un systme de scurit, du fait que tous les composants ne peuvent pas tre
vrifis.
111
SAFEBOOK 4
+V
SCP
K1
Dmarrage
Aux
L1 L2 L3
Arrt SCP
Relais
de K1
surveillance
Grille OP
ferme
Interrupteur
broche
TS K1 Contacteur Moteur
(danger)
Terre
Systme de scurit de Catgorie 2
Le schma prsente un systme simple de Catgorie 1 qui a t amlior pour tre conforme
la Catgorie 2. Un relais de surveillance de scurit (MSR) assure la fonction de test. A la
mise sous tension, le relais MSR effectue une vrification de ses composants internes. Si
aucun dfaut nest dtect, ce relais vrifie linterrupteur broche en surveillant le cycle de
fonctionnement de ses contacts. Si aucun dfaut nest dtect et que la grille de protection
est ferme, le relais MSR vrifie alors le dispositif de sortie, cest--dire les contacts lis
mcaniquement au contacteur principal. Si aucun dfaut nest dtect et que ce contacteur
est dsactiv, le relais activera sa propre sortie interne et connectera la bobine K1 au bouton
darrt. partir de ce moment, les composants standard du systme de commande de la
machine et son circuit de dmarrage/arrt/verrouillage seront disponibles pour arrter ou
dmarrer la machine.
Louverture de la grille de protection dsactivera la sortie du relais MSR. Lorsque la grille sera
referme, le relais recommencera ses vrifications du systme de scurit. Si aucune panne
nest dtecte, le relais MSR ractivera sa sortie interne. Ce relais de surveillance de scurit
permet ainsi au circuit dtre conforme la Catgorie 2 grce sa capacit effectuer des
tests sur le dispositif dentre, le dispositif logique (cest dire, sur lui-mme) et sur le disposi-
tif de sortie. Ces tests sont alors raliss lors de la mise sous tension initiale et avant le
dmarrage de la source de danger.
Du fait des capacits logiques intrinsques de ce type de dispositif, un systme de scurit

pourra tre conu conformment la Catgorie 2 en utilisant un automate. Comme indiqu
lors de la prsentation prcdente de la Catgorie 1, la justification du caractre prouv de
cet automate (y compris de ses capacits de test) constituera cependant le dfi. Pour les
systmes de scurit complexes demandant une classification en Catgorie 2, un automate
de scurit conforme la norme CEI 61508 devra tre substitu lautomate standard.
112
SAFEBOOK 4
Le schma prsente un
+V exemple de systme
SCP Dmar- SCP
rage TS complexe utilisant un
automate de scurit.
Arrt
K1 Un automate de scu-
Sw1 TS
Pour la scurit rit est considr
Sw2 Entre Pro- Sortie K2 comme prouv si
Sw3 gramme sa conception est
K3
conforme aux normes
TS applicables. Les
K1 K2
K3 contacts mcanique-
ment lis des contac-
Terre
teurs de sortie sont
Systme de scurit complexe de Catgorie 2
relis lentre de
lautomate pour les tests. Ces contacts peuvent tre branchs en srie sur une mme borne
de raccordement dentre ou sur des bornes de raccordement dentre individuelles, selon la
nature du programme logique.
Bien que des composants de scurit prouvs soient utiliss, un seul dfaut se produisant
entre les tests de diagnostic peut entraner la perte de la fonction de scurit. Par consquent,
les systmes de Catgorie 2 ne sont utiliss que pour des applications prsentant un risque
faible. Lorsquune tolrance aux dfauts plus leve est requise, le systme de scurit devra
donc se conformer la Catgorie 3 ou 4.
Catgorie 3
En plus de respecter les critres de la Catgorie B et dutiliser des procds de scurit

prouvs, un systme de scurit de Catgorie 3 ncessite que la fonction de scurit puisse
tre excute mme en prsence dun dfaut unique. Ce dfaut doit tre dtect au moment
ou avant la sollicitation suivante de la fonction de scurit, lorsque cela est raisonnablement
simple raliser.
Nous retrouvons nouveau ici lexpression lorsque raisonnablement simple . Il est donc
admis que certains dfauts pourront ne pas tre dtects. Tant que ces dfauts non dtects
nentranent pas la perte de la fonction de scurit, celle-ci peut tre classifie en Catgorie 3.
Cependant, une accumulation de dfauts non dtects pourra entraner la perte de la fonction
de scurit.
Cblage Cblage Le schma ci-joint permet de com-

Entre Programme Sortie prendre le principe dun systme de
Dtection de dfaut Catgorie 3. Un systme redondant
raisonnablement combin un dispositif de surveil-
applicable lance croise raisonnablement simple
Cblage et la supervision des sorties, sera
Entre Programme Sortie
utilis pour garantir le bon fonctionne-
Cblage
ment de la fonction de scurit.
113
SAFEBOOK 4
+V
SCP K1
L1 L2 L3
Aux
Dmar- K2 SCP
rage Aux
Ch2 Arrt
K1
Ch1
Relais Ch1
de K2
surveillance Ch2
Grille
OP
ferme Interrupteur
broche
TS K1 K2 TS Moteur
(danger)
Terre
Contacteurs
Systme de scurit de Catgorie 3
Le schma prsente un systme de Catgorie 3. Un jeu de contacts redondants est ajout

linterrupteur de scurit broche. Le relais MSR possde lui-mme en interne des circuits
redondants qui se surveillent rciproquement. Un jeu de contacteurs redondants coupe lali-
mentation du moteur. Les contacteurs sont surveills par le relais MSR de faon raisonnable-
ment simple par le biais des contacts lis mcaniquement.
La dtection des dfauts doit sappliquer chaque partie du systme de scurit, ainsi quaux
connexions (cest--dire en fait, lensemble du systme). Quels sont les modes de dfail-
lance dun interrupteur broche double voie ? Quels sont les modes de dfaillance du relais
MSR ? Quels sont les modes de dfaillance des contacteurs K1 et K2 ? Quels sont les modes
de dfaillance du cblage ?
Linterrupteur de scurit broche est quip de contacts ouverture directe. Nous en

dduisons donc que louverture de la grille de protection se traduit par louverture dun contact
ferm. Ceci rsout un mode de dfaillance. Existe-t-il dautres modes de dfaillance ?
Le contact ouverture est gnralement dot dun ressort de rappel. Si la tte du dispositif est
retire ou casse, les contacts de scurit reviendront donc en position ferme (de scurit)
par laction du ressort. De nombreux dispositifs dinterverrouillage sont conus avec des ttes
amovibles pour faciliter leur installation dans des applications diverses. La tte peut ainsi tre
retire et place dans deux quatre positions diffrentes.
Un dfaut peut se produire si les vis de fixation de la tte ne sont pas serres correctement.
Dans ce cas, les vibrations de la machine risqueront de provoquer leur dvissage complet. La
tte de commande nexercera plus de pression sur les contacts de scurit et ces contacts se
114
SAFEBOOK 4
fermeront du fait de la pousse du ressort. En consquence, louverture de la grille de

protection nouvrira pas les contacts de scurit et une dfaillance dangereuse se produira.
Le mcanisme de fonctionnement de linterrupteur doit galement tre examin. Quelle est

la probabilit pour que la dfaillance dun seul composant entrane la perte de la fonction
de scurit ? Une pratique courante consiste utiliser des interrupteurs broche double
contact dans les circuits de Catgorie 3. Cet utilisation doit donc tre lie lexclusion du
dfaut douverture des contacts de scurit de linterrupteur. Cest ce quon appelle une
exclusion de dfaut . Elle sera aborde plus loin dans ce chapitre.
Un relais de surveillance de scurit (MSR) est souvent dj valu par son fabricant et se
voit affect une Catgorie (et/ou un niveau PL ou SIL CL). Les possibilits offertes par ces
relais MSR incluent souvent une double voie, la surveillance croise, la surveillance de
dispositifs externes et la protection contre les courts-circuits. Il nexiste aucune norme
particulire fournissant des recommandations sur la conception ou lutilisation de ces relais
de surveillance de scurit. Lvaluation des relais MSR a pour but de dfinir leur capacit a
excuter leur fonction de scurit conformment la norme EN ISO 13849-1 ou lancienne
norme EN 954-1. La classification dun relais MSR doit tre identique ou suprieure la
classification du systme dans lequel il est employ.
Lutilisation de deux contacteurs permet de sassurer que la fonction de scurit est bien
assure par les dispositifs de sortie. Avec sa protection contre les surcharges et les courts-
circuits, la probabilit de panne dun contacteur cause du soudage de ses contacts est faible.
Mais elle nest pas nulle. Un contacteur pourra galement tre dfaillant du fait du maintien de
ses contacts de commutation dalimentation en position ferme en raison dun induit bloqu.
Si lun des contacteurs gnre une dfaillance dangereuse, le second pourra toujours couper
lalimentation de la source de danger. Ce relais MSR dtectera le contacteur dfaillant lors du
dmarrage du cycle suivant de la machine. Lorsque la grille de protection sera referme et
que le bouton de dmarrage sera enfonc, les contacts couplage mcanique du contacteur
dfaillant resteront ouverts et le relais MSR ne pourra pas fermer ses contacts de scurit, ce
qui rvlera le dfaut.
Pannes non dtectes
Avec une structure de systme de Catgorie 3, il peut toujours exister des dfauts ne pouvant
pas tre dtects. Nanmoins, ils ne devront pas, en tant que tels, entraner la perte de la
fonction de scurit.
Lorsque des dfauts sont dtects, nous devons dautre part savoir si, dans certaines
circonstances, ils pourraient tre masqus ou acquitts de faon involontaire par laction
dautres dispositifs au sein du systme.
115
SAFEBOOK 4
+V
SCP K1
Dfaut de L1 L2 L3
Aux
cblage dans SCP
le systme
Dmar- K2
rage
Aux
Sw1 Sw2 Sw3
Ch2
Arrt
K1
Ch1
Relais Ch1 K2
de sur-
veillance Ch2
OP
TS K1 K2 TS Moteur
(danger)
Terre
Contacteurs
Raccordement en srie de dispositifs dentre
Le schma ci-dessus prsente une pratique courante de raccordement de dispositifs multiples

un relais de surveillance de scurit. Chaque dispositif contient deux contacts ouverture
(normalement ferms). Ces dispositifs peuvent tre constitus par une combinaison
dinterrupteurs dinterverrouillage ou de boutons darrt durgence. Cette approche permet
de rduire le cot du cblage puisque ces capteurs sont monts en srie. Mais, supposons
quun court-circuit se produise sur lun des contacts (Sw2 sur le schma). Ce dfaut peut-il
tre dtect ?
Si linterrupteur Sw1 (ou Sw3) est ouvert, les circuits des deux voies Ch1 et Ch2 seront
ouverts et le relais MSR coupera lalimentation de la source de danger. Si alors Sw3 est ouvert
puis referm, le dfaut sur ses contacts ne sera pas dtect car il ny aura pas de changement
dtat du relais MSR. Les deux voies Ch1 et Ch2 resteront donc ouvertes. Si alors Sw1
(ou Sw3) est ferm, la source de danger pourra tre ractive par une simple pression sur le
bouton de dmarrage. Dans ces circonstances, le dfaut naura pas entran la perte de la
fonction de scurit mais il naura pas t dtect. Il restera prsent dans le systme et
lapparition dun dfaut ultrieur (un court-circuit sur le deuxime contact de Sw2) pourrait
entraner cette fois la perte de la fonction de scurit.
116
SAFEBOOK 4
Si Sw2 a t uniquement ouvert et ferm, sans activation des autres interrupteurs, la voie Ch1
souvre et la voie Ch2 reste ferme. Le relais MSR met la source de danger hors tension du
fait de louverture de Ch1. Lorsque Sw2 se ferme. le moteur ne pourra pas tre redmarr en
appuyant sur le bouton de dmarrage. Ceci sexplique par le fait que Ch2 ne sest pas ouverte.
Le dfaut est ainsi dtect. Cependant, si pour une quelconque raison, Sw1 (ou Sw3) vient
alors souvrir et se refermer, les circuits des deux voies Ch1 et Ch2 seront ouverts puis
referms. Cette squence simulera un acquittement du dfaut et entranera un rarmement
involontaire du relais MSR.
Ceci pose la question du taux de couverture des tests de diagnostic (DC) pouvant tre
revendiqu par les interrupteurs individuels dans une telle structure (dans le cadre de la norme
EN ISO 13849-1 ou de la CEI 62061). la date de publication de ce document, il nexiste
pas de recommandations spcifiques dfinitives sur ce sujet. Mais un taux DC de 60 % est
gnralement retenu condition que les interrupteurs soient tests individuellement une
frquence approprie, de faon permettre de rvler les dfauts ventuels. Sil est prvisible
quun ou plusieurs interrupteurs ne seront jamais tests individuellement, alors leur taux DC
devrait tre fix comme tant zro. Au moment de la publication de ce document, la norme
EN ISO 13849-2 est en cours de rvision. Lorsque sa nouvelle version sera publie, il est donc
possible quelle apporte dautres instructions sur ce point.
Le raccordement en srie de contacts mcaniques est limit la Catgorie 3. Il peut en effet

conduire la perte de la fonction de scurit en raison dune accumulation de dfauts. Dun
point de vue pratique, la rduction du taux DC (et donc de la valeur SFF) limite les niveaux PL
et SIL maximum pouvant tre obtenus PLd et SIL 2.
Il est intressant de noter que ces caractristiques spcifiques aux structures de Catgorie 3
ont toujours ncessit une attention particulire. Mais, avec les rcentes normes de scurit
fonctionnelle, elles deviennent vritablement sensibles.
117
SAFEBOOK 4
L1 L2 L3
+V
SCP
24 V c.c.
Arrt durgence Dmarrage Alimentation

de commande
de barrire
Arrt
Relais Ch1
de
surveillance Ch2
Ch1
Comm Circuit de
Ch2 Activation commande
de barrire
Terre
Variateur
de frquence
de scurit Moteur
(danger)
Variateurs de scurit avec arrt durgence de Catgorie 3
Le schma prsente un circuit de Catgorie 3 utilisant un variateur de frquence de scurit.

La combinaison des rcents dveloppements technique en matire de variateurs et des
volutions des normes EN/CEI 60204-1 et NFPA 79, permet dutiliser des variateurs dits de
scurit dans les circuits darrt durgence sans quil soit ncessaire de rajouter un sectionneur
lectromcanique sur lactionneur (le moteur, par exemple).
Une pression sur linterrupteur darrt durgence ouvre les sorties du relais MSR. Ceci envoie
un signal darrt au variateur, supprime le signal de validation et coupe lalimentation de la
commande de gchette. Le variateur excute un arrt de Catgorie 0 (coupure instantane
de lalimentation du moteur). Cette fonction est dsigne par arrt scuris du couple .
Le variateur est class en Catgorie 3 parce quil utilise des signaux redondants pour couper
lalimentation du moteur, le signal de validation et celui dun relais guidage positif. Le relais
guidage positif est un moyen raisonnablement simple de fournir un signal en retour
lactionneur. Le variateur lui-mme est analys pour contrler quun dfaut unique ne puisse
pas entraner la perte de la fonction de scurit.
118
SAFEBOOK 4
+V
SCP K1
L1 L2 L3
Aux
K2 SCP
Dmarrage
Aux
Ch2 Arrt
K1
Ch1
Relais Ch1
de K2
surveillance Ch2
Grille
OP
ferme Interrupteur
broche
TS K1 K2 TS Moteur
(danger)
Terre
Contacteurs
Dfaut de cblage
Exemple derreur de cblage dans le systme
Le schma ci-dessus prsente un exemple derreur de cblage ; en loccurrence, un court-

circuit entre la sortie de scurit de la voie 2 du relais MSR et la bobine du contacteur K1.
Tous les composants fonctionnent normalement. Cette erreur de cblage pourra stre
produite avant la mise en service de la machine ou ultrieurement, lors doprations de
maintenance ou dvolutions du systme.
Ce dfaut peut-il tre dtect ?
Dans cette exemple, le dfaut ne peut pas tre dtect par le systme de scurit. Fort
heureusement, il nest pas de nature en lui-mme provoquer la perte de la fonction de
scurit. Ce dfaut, ainsi que celui qui en dcoule entre la voie Ch1 et K2, doit tre dtect
au moment de la mise en service ou des vrifications suivant lintervention de maintenance.
La liste des exclusions de dfauts admissibles fournie dans le tableau D4 de lAnnexe D
de la norme EN ISO 13849-2 indique clairement que ce type de dfauts peut tre exclu si
lquipement est mont lintrieur dune armoire lectrique et que cette armoire aussi bien
que ses cblages sont conformes aux rquisitions de la norme CEI/EN 60204-1. Le rapport
technique conjoint sur lEN ISO 13849-1 et la CEI 62061 indique galement clairement que
cette exclusion de dfauts peut tre accepte jusquaux niveaux PLe et SIL 3 inclus. Elle peut
galement sappliquer la Catgorie 4.
119
SAFEBOOK 4
Un dfaut de cblage entre voies

dans le systme
+V
SCP K1
L1 L2 L3
Aux
K2 SCP
OSSD1 Dmarrage
Aux
OSSD2
Arrt
K1
Emetteur Rcepteur
Relais Ch1 K2
de
surveillance Ch2
OP
TS K1 K2 TS Moteur
(danger)
Terre
Erreur de cblage entre voies sur un systme
Contacteurs
barrires immatrielles
Le schma montre un exemple de systme de scurit utilisant des barrires immatrielles

(sorties OSSD)
Le systme de scurit peut-il dtecter ce dfaut ?
Le relais MSR ne pourra pas dtecter ce dfaut parce que les entres restent alimentes par
la ligne (+V). Dans cet exemple, lerreur de cblage pourra cependant tre dtecte par la
barrire immatrielle. Certaines barrires immatrielles utilisent en effet une technique de
dtection de dfaut appele test impulsions. Avec ce type de barrire, la dtection du dfaut
sera immdiate et les sorties seront coupes. Sur dautres types, la dtection se fera lorsque
la barrire immatrielle est initialise. Lorsque la barrire tentera dactiver ses sorties, le dfaut
sera dtect et les sorties resteront dsactives. Dans les deux cas, la source de danger
restera dsactive tant que le dfaut sera prsent.
Dtection de dfaut par impulsions
Les circuits de scurit sont conus pour vhiculer le courant lorsque le systme de scurit
est actif et que la source de danger est protge matriellement. Le test par impulsions est
une technique consistant faire chuter lintensit du circuit zro pendant un trs bref
intervalle. Ce temps de coupure est trop court pour que le circuit de scurit ait le temps de
ragir et de dsactiver la source de danger. Mais il est suffisamment long pour tre dtect
par un systme microprocesseur. Les impulsions sont dcales les unes par rapport aux
autres sur chacune des voies. Si un court-circuit par croisement se produit, le microprocesseur
dtectera les impulsions sur les deux voies et enverra une commande darrt de la source de
danger.
120
SAFEBOOK 4
Catgorie 4
Comme la Catgorie 3, la Catgorie 4 exige que le systme soit conforme aux rquisitions de
la Catgorie B, quil respecte les principes de scurit et soit capable dexcuter la fonction
de scurit en prsence dune accumulation de dfauts. A linverse de la Catgorie 3 dans
laquelle une telle accumulation de dfauts peut entraner la perte de la fonction de scurit,
la Catgorie 4 impose que la fonction de scurit puisse tre excute mme en prsence
de plusieurs dfauts. Lorsquon parle daccumulation de dfauts, 2 suffisent normalement.
Mais 3 dfauts au minimum peuvent savrer ncessaires pour certains systmes.
Cblage Cblage La figure ci-contre prsente le

Entre Pro- Sortie
gramme schma de principe type dun
systme de Catgorie 4. Un
Surveillance obligatoire
pour la dtection contrle des deux dispositifs de
des dfauts sortie et une surveillance croise
Cblage Pro- sont exigs de faon systmatique
Entre Sortie
gramme et non uniquement lorsque cela
Cblage
est raisonnablement possible .
Ce point permet de diffrencier
la Catgorie 4 de la Catgorie 3.
+V
SCP K1
L1 L2 L3
Aux
Dmar- K2 SCP
rage Aux
Ch2 Arrt
K1
Ch1
Relais Ch1
de K2
surveillance Ch2
Grille
OP
ferme Interrupteur
broche
TS K1 K2 TS Moteur
(danger)
Terre
Contacteurs
Systme de Catgorie 4 avec exclusion de dfaut sur linterrupteur de scurit broche
Le schma ci-dessus prsente un exemple de circuit de Catgorie 4 utilisant une exclusion de

dfaut pour linterrupteur broche. Lexclusion de dfaut permet dignorer un ventuel dfaut
douverture des contacts de linterrupteur broche. Lexclusion de dfaut doit tre justifie
techniquement et doit tre enregistre dans la documentation du systme. Les critres de
justification techniques pourront tre la vitesse et lalignement de lactionneur, la prsence de
dispositifs darrt mcaniques ou dune tte de commande de scurit.
121
SAFEBOOK 4
Si le concepteur du systme de scurit souhaite monter des interrupteurs broche mais ne

veut pas faire dexclusion de dfaut sur ces interrupteurs, il devra alors utiliser deux de ces
interrupteurs broche pour tre conforme la Catgorie 4. Le relais de surveillance de
scurit devra lui-mme tre conforme la Catgorie 4, et les deux contacteurs de sortie
utilisant des contacts couplage mcanique, devront tre surveills.
La diversification des mthodes de dtection pourra alors tre utilise pour rduire encore plus
la probabilit de perte de la fonction de scurit en mode commun ou en cas de dfaillance
de cause commune. Lun des deux interrupteurs de scurit broche pourra tre utilis en
mode ngatif. Un tel interrupteur fonctionnant en mode ngatif ne sera acceptable que si le
deuxime interrupteur utilise des contacts ouverture directe ( action positive). Le schma
suivant prsente un exemple de cette approche complmentaire. Dans cette approche, le
relais MSR doit donc tre prvu pour accepter les entres normalement ouvertes et
normalement fermes.
Mode ngatif
+V
SCP K1
L1 L2 L3
Aux
Ch1
K2 SCP
Dmarrage
Aux
Arrt
K1
Relais Ch1 K2
de
surveillance Ch2
Grille
OP
ferme Interrupteurs
broche
Ch2 TS K1 K2 TS Moteur
(danger)
Terre
Contacteurs
Systme de Catgorie 4 avec interrupteurs de
scurit broche redondants complmentaires
Caractristiques nominales des composants et du systme
Le concept de catgorie est utilis aussi bien pour la classification des composants de scurit
(dispositifs) que pour celle des systmes. Ceci cre une certaine confusion quil sera possible
de clarifier travers ltude des composants et de leurs possibilits. En analysant les exem-
ples prcdents, on constate quun composant comme un interrupteur de scurit class en
Catgorie 1 peut tre utilis tout seul dans un systme de Catgorie 1 et quil peut galement
tre utilis dans un systme de Catgorie 2 si une surveillance de son fonctionnement est pr-
vue en plus. Il pourra galement tre incorpor dans un systme de Catgorie 3 ou 4 sil est
122
SAFEBOOK 4
mont en double et quune fonction de diagnostic est assure par un relais de surveillance de
scurit.
Certains composants, comme les relais de surveillance et les automates de scurit

programmables, ont leur propre systme de diagnostic interne et effectuent un auto-contrle
afin de garantir leur bon fonctionnement. Ils peuvent donc tre classs directement parmi les
composants de scurit compatibles avec les Catgories 2, 3 et 4 sans besoin de mesures
supplmentaires.
Considrations relatives aux dfauts et leur exclusion
Lanalyse de scurit implique lanalyse approfondie des dfauts potentiels. Une anticipation
trs prcise du comportement du systme de scurit en cas dapparition de ces dfauts sera
galement ncessaire. Les normes ISO 13849-1 et ISO 13849-2 fournissent des dtails sur
les critres et les exclusions de dfauts.
Si un dfaut produit la dfaillance en srie dautres composants, ce dfaut dorigine et tous les
autres dfauts conscutifs seront considrs comme un seul et mme dfaut.
Si plusieurs dfauts rsultent dune mme cause, ces diffrents dfauts seront considrs
comme un seul et mme dfaut. Cest ce quon appelle une dfaillance de cause commune.
Lapparition de plusieurs dfauts simultans est considre comme trs improbable. Elle ne
sera pas prise en considration dans cette analyse. On postule habituellement quun seul
dfaut pourra se produire entre les sollicitations de la fonction de scurit, condition que
les intervalles entre les appels de cette fonction ne soient pas trop longs.
Exclusions de dfauts
Lancienne norme EN 954-1, et les normes plus rcentes EN ISO 13849-1 et CEI 62061
permettent toutes de recourir lexclusion de dfauts dans le processus de dtermination
de la classe dun systme de scurit, sil peut tre dmontr que lapparition de ces dfauts
particuliers est extrmement improbable. Lorsque des exclusions de dfauts sont ainsi
ralises, il est important quelles soient rigoureusement justifies et quelles soient valables
pour toute la dure de vie du systme de scurit. Plus le niveau de risque gr par le systme
de scurit est lev, plus la justification requise pour lexclusion dun dfaut devra tre stricte.
Ceci a toujours provoqu une certaine confusion sur les types de dfauts pouvant tre exclus
ou non. Comme nous lavons dj vu dans ce chapitre, les rcentes versions des normes et
leurs documents dapplication ont apport des clarifications sur certains aspects de ce
problme.
En gnral, lorsquun niveau PLe ou SIL 3 est requis pour la mise en uvre dune fonction de
scurit par un systme de scurit, il nest pas normal de jouer uniquement sur les exclusions
de dfauts pour obtenir ce niveau de performance. Cela dpendra de la technologie utilise et
de lenvironnement de travail prvu. Il est donc essentiel que les concepteurs attachent une
importance accrue la dfinition des exclusions de dfauts lorsque les exigences de niveau
123
SAFEBOOK 4
PL ou SIL augmentent. Par exemple, une exclusion de dfauts ne pourra pas tre utilise sur
le ct mcanique des dtecteurs de position lectromcaniques et des interrupteurs manuels
(par exemple, un dispositif darrt durgence) afin dobtenir une classification PLe ou SIL 3 du
systme. Les exclusions de dfaut susceptibles dtre attaches des conditions de dfaut
mcanique particulires (par exemple, lusure, la corrosion, les ruptures) sont dfinies dans le
tableau A.4 de la norme ISO 13849-2. Par exemple, un systme dinterverrouillage de grille
devant garantir un niveau PLe ou SIL 3 devra avoir un facteur de tolrance aux dfauts mini-
mum de 1 (par exemple, en utilisant deux dtecteurs de position mcaniques conventionnels).
Il nest en effet normalement pas admissible dexclure des dfauts tels que des ruptures
dactionneurs de contacts ce niveau de performance. Cependant, il peut tre envisag
dexclure des dfauts, comme un court-circuit dans le cblage dun panneau de commande
conu conformment aux normes applicables.
Des informations complmentaires sur les exclusions de dfauts seront fournies par la
prochaine rvision de la norme EN ISO 13849-2.
Catgories darrt selon les normes CEI/EN 60204-1 et NFPA 79
Lorsquon parle de systme de commande de scurit, le terme Catgorie est utilis dans
deux significations diffrentes, ce qui cre une confusion regrettable. Jusqu prsent, nous
avons principalement parl des catgories de scurit telles quelles ont t dfinies par la
norme EN 954-1. Elles correspondent une classification des performances dun systme de
scurit par rapport certaines conditions de dfaut.
Mais, il existe galement une classification dite des catgories darrt dfinie par les
normes CEI/EN 60204-1 et NFPA 79. Elle consiste en trois Catgories darrt.
La Catgorie darrt 0 : impose la coupure immdiate de lalimentation sur les actionneurs.

Ce type darrt est parfois qualifi de non contrl. Dans certains cas en effet, le mouvement
pourra prendre un temps notable avant de cesser, par exemple dans le cas dun moteur
tournant en roue libre avant de sarrter dfinitivement.
La Catgorie darrt 1 : impose le maintien de lalimentation jusqu larrt complet du moteur

afin de pouvoir le freiner lectriquement, puis la coupure de cette alimentation ensuite.
La Catgorie darrt 2 : nimpose pas la coupure de lalimentation de lactionneur.
Il est noter que seules les catgories darrt 0 ou 1 peuvent tre utilise en cas darrt
durgence. Le choix entre ces deux catgories doit tre dtermin par lvaluation des risques.
Tous les exemples de circuits prsents jusqu prsent dans ce chapitre utilisaient une
Catgorie darrt 0. Une Catgorie darrt 1 aurait ncessit une sortie temporise sur le relais
de coupure dalimentation terminal. Une grille verrouillage de scurit est souvent associe
un dispositif darrt de Catgorie 1. Ceci permet de maintenir cette grille en position ferme
tant que la machine nest pas rendue ltat de scurit (cest dire, totalement arrte).
124
SAFEBOOK 4
Arrter une machine sans se proccuper du type dautomate programmable utilis peut
affecter le redmarrage et entraner une dtrioration grave des outils et de la machine.
Un automate standard (non class de scurit) ne peut pas en effet tre utilis pour une
fonction darrt de scurit. Par consquent, dautres solutions doivent tre envisages.
Les deux solutions dcrites la suite sont envisageable :
1. Relais de scurit action retarde
Un relais de scurit avec des sorties action instantane et temporise est utilis. Les
sorties action instantane sont raccordes aux entres du dispositif programmable (par
exemple, lautomate) et les sorties temporises sont raccordes au contacteur. Lorsque
linterrupteur de scurit est actionn, les sorties instantanes du relais de scurit changent
dtat, indiquant au systme programmable quil peut procder larrt selon la squence
normale. Aprs quun dlai court mais suffisant pour lexcution de ce processus se soit
coul, la sortie temporise du relais de scurit change dtat et coupe le contacteur
principal.
Remarque : le calcul du temps darrt complet devra prendre en compte la temporisation

des sorties du relais de scurit. Ceci est particulirement important pour la dtermination
du positionnement des dispositifs en fonction de la distance de scurit.
2. Automates programmables de scurit
Les fonctions logiques et de temporisation ncessaires peuvent tre mises en uvre facile-
ment laide dun automate (de scurit) ayant un niveau dintgrit de scurit appropri.
En pratique, cest ce que ralise un automate de scurit comme le SmartGuard ou le
GuardLogix.
Exigences relatives aux systmes de commande de scurit aux USA
Aux tats-Unis, les exigences concernant les systmes de commande de scurit sont
dcrites dans un certain nombre de normes diffrentes. Deux dentre elles mergent particuli-
rement : lANSI B11.TR3 et lANSI R15.06. Le rapport technique ANSI B11.TR3 dfinit ainsi
quatre niveaux qui sont caractriss par leur capacit de rduction des risques. Les caractris-
tiques de ces diffrents niveaux sont prsentes la suite.
Niveau de rduction des risques le plus faible
Selon la norme ANSI B11.TR3, les dispositifs de protection fournissant le niveau de rduction
des risques le plus faible incluent les dispositifs lectriques, lectroniques, hydrauliques ou
pneumatiques ainsi que les systmes de commande associs utilisant une configuration
mono-voie. Lobligation dutiliser des dispositifs de scurit homologus est implicite dans
la liste des rquisitions. Ceci correspond trs troitement la Catgorie 1 de la norme
ISO 13849-1.
125
SAFEBOOK 4
Niveau de rduction des risques intermdiaire/faible
des risques intermdiaire/faible incluent les systmes de commande redondants pouvant tre
contrls manuellement afin de vrifier le bon fonctionnement du systme de scurit. Si lon
sen tient strictement aux exigences de base pour ce niveau, le systme doit utiliser une
redondance simple. Lutilisation dune fonction de vrification nest pas obligatoire. Sans cette
fonction de vrification, lun des composants de scurit redondants pourra tomber en panne
et le systme de scurit ne sen apercevra pas. Ceci revient donc un systme mono-voie.
Ce niveau de rduction des risques correspondra donc la Catgorie 2 lorsquil utilise une
fonction de vrification.
Niveau de rduction des risques intermdiaire/lev
des risques intermdiaire/lev incluent les systmes de commande redondants avec auto-
contrle au dmarrage, afin de vrifier le bon fonctionnement du systme de scurit. Pour
les machines qui sont dmarres chaque jour, cette procdure dauto-contrle apporte une
amlioration significative de lintgrit de scurit par rapport aux systmes purement
redondants. Pour les machines qui fonctionnent 24 heures par jour 7 jours sur 7, lauto-
contrle napportera au mieux quune amlioration marginale. Lutilisation dun systme de
contrle priodique du systme de scurit permet dassimiler ces exigences celles de la
Catgorie 3.
Niveau de rduction des risques le plus lev
La norme ANSI B11.TR3 confre le niveau le plus lev de rduction des risques aux systmes
de commande redondants auto-contrle permanent. La procdure dauto-contrle doit vrifier
en permanence le bon fonctionnement du systme de scurit. Le dfi pour le concepteur du
systme de scurit sera donc de dfinir ce qui doit tre contrl en permanence. De nombreux
systmes de scurit neffectuent leurs vrifications quau dmarrage et lorsquune requte est
adresse au systme de scurit.
A linverse, certains composants excutent un auto-contrle permanent. Les barrires

immatrielles, par exemple, activent et dsactivent squentiellement leurs LED. Etant donn
que cet auto-contrle est permanent, si un dfaut est dtect, la barrire immatrielle dsactive
ses sorties avant quune requte ne soit adresse au systme de scurit. Les relais et les
automates de scurit microprocesseur sont dautres exemples de composants excutant
un auto-contrle permanent.
Lexigence dauto-contrle permanent du systme de commande na pas pour objectif

de limiter le choix des composants aux seuls barrires immatrielles et dispositifs logiques
microprocesseurs. La vrification doit se faire au dmarrage et aprs chaque requte
adresse au systme de scurit. Ce niveau de rduction des risques est conu pour tre
assimil la Catgorie 4 de la norme ISO 13849-1.
126
SAFEBOOK 4
Normes relatives aux robots : tats-Unis/Canada
Les normes relatives aux robots aux tats-Unis (lANSI RIA R15.06) et au Canada (la
CSA Z434-03) sont trs similaires. Toutes deux possdent quatre niveaux, similaires aux
Catgories de la norme EN 954-1:1996, et qui sont dcrits ci-dessous.
Simple
Se situant au niveau dexigences le plus faible, les systmes de commande de scurit

simples doivent tre conus et raliss en utilisant des circuits mono-voie conformes. Ils
peuvent galement tre programmables. Au Canada, ce niveau est de plus limit aux
applications de signalisation et dannonciation. Le dfi pour le concepteur du systme de
scurit sera donc de dfinir ce qui est conforme . Quest-ce quun systme mono-voie
conforme ? Par rapport quoi ce systme sera-t-il conforme ? Le niveau Simple se rapproche
le plus de la Catgorie B de la norme EN 954-1:1996.
Mono-voie
Le niveau immdiatement suprieur sapplique un systme de commande de scurit mono-

voie :
utilisant un dispositif de type matriel ou logiciel/firmware de scurit ;
incluant des composants de scurit homologus ;
utilis conformment aux recommandations du fabricant ;
utilisant une conception de circuit prouve.
Un exemple de conception de circuit prouve sera un dispositif lectromcanique mono-voie

normalement ferm qui signalera larrt du robot en labsence de tension. Sagissant dun
systme mono-voie, la dfaillance dun seul composant peut entraner la perte de la fonction
de scurit. Ce niveau se rapproche le plus de la Catgorie 1 de la norme EN 9541:1996.
Dispositif logiciel/firmware de scurit
Bien que les systmes de type matriel aient t traditionnellement la mthode privilgie de
protection des robots, les dispositifs de type logiciel/firmware deviennent une option de plus
en plus retenue en raison de leur capacit prendre en charge des systmes complexes. Les
dispositifs de type logiciels/firmware (contrleurs logiques programmables ou automates de
scurit) sont autoriss condition dtre homologus de scurit. Cette homologation impose
que la dfaillance dun seul composant ou du firmware de scurit nentrane pas la perte de
la fonction de scurit. Lorsquun dfaut est dtect, toute poursuite du fonctionnement
automatique du robot est empche jusqu ce que le dfaut soit acquitt.
127
SAFEBOOK 4
Pour obtenir sa classification de scurit, le dispositif logiciel/firmware doit tre test par un
laboratoire agr par rapport une norme en vigueur. Aux tats-Unis, lOSHA tient jour une
liste des laboratoires dessai agrs au niveau national ( NRTL ). Au Canada, le Conseil
canadien des normes (CCN) tient jour une liste similaire.
Mono-voie avec surveillance
Les systmes de commande de scurit mono-voie avec surveillance doivent se conformer

aux rquisitions applicables aux systmes mono-voie. ils doivent tre homologus de scurit
et tre contrls. Le contrle de la fonction de scurit doit tre excut au dmarrage de la
machine et intervalles rguliers pendant le fonctionnement. Un contrle automatique est
prfrable un contrle manuel.
Cette fonction de contrle doit autoriser le fonctionnement lorsquaucune panne nest dtecte
ou elle doit gnrer une commande darrt dans lautre cas. Une alarme doit tre mise si une
source de danger persiste aprs la cessation du mouvement. Lopration de contrle ne doit,
bien videmment, pas crer de situation dangereuse par elle-mme. Aprs une dtection de
dfaut, le robot doit demeurer ltat de scurit tant que ce dfaut nest pas rectifi. Le
niveau Mono-voie avec surveillance se rapproche le plus de la Catgorie 2 de la norme
EN 954-1:1996.
Fiabilit de commande
Le plus haut niveau de rduction des risques selon les normes applicables aux robots, aux
tats-Unis comme au Canada, est obtenu par des systmes de commande de scurit
respectant des critres de fiabilit de commande. Les systmes de commande de scurit
garantissant la fiabilit de commande sont des architectures double voie avec surveillance.
La fonction darrt du robot ne doit pas tre empche par la dfaillance dun seul composant,
y compris de la fonction de surveillance elle-mme.
Cette fonction de surveillance doit gnrer une commande darrt lors de la dtection dun
dfaut. Une alarme doit tre mise si une source de danger persiste aprs la cessation du
mouvement. Le systme de scurit doit demeurer ltat de scurit tant que le dfaut nest
pas rectifi. Il est prfrable que le dfaut soit dtect lors de son apparition. Si cela nest pas
possible obtenir, ce dfaut devra tre dtect lors de la sollicitation suivante du systme de
scurit. Les dfaillances de cause commune doivent tre prises en considration sil existe
une probabilit significative quelles se produisent.
Au Canada, il existe deux exigences supplmentaires par rapport aux tats-Unis. Premire-
ment, les systmes de commande de scurit doivent tre indpendants des systmes de
commande programmables standard. Deuximement, le systme de scurit ne doit pas
pouvoir tre facilement dsactiv ou contourn sans que cela soit dtect.
Les systmes garantissant la fiabilit de commande se rapprochent des Catgories 3 et 4 de

la norme EN 954-1:1996.
128
SAFEBOOK 4
Commentaires sur la fiabilit de commande
Laspect le plus important de ce concept de fiabilit de commande est la tolrance aux dfauts.
Les textes indiquent comment le systme de scurit doit ragir en prsence dun seul
dfaut , de tout dfaut unique ou de toute dfaillance dun seul composant .
Il en dcoule trois considrations trs importantes concernant les dfauts : (1) Tous les dfauts
ne sont pas ncessairement dtects, (2) lajout du mot composant soulve la question du
cblage et (3) ce cblage fait partie intgrante du systme de scurit. Les erreurs de cblage
peuvent entraner la perte de la fonction de scurit.
Lobjectif de la fiabilit de commande est clairement de permettre lexcution de la fonction

de scurit mme en prsence dun dfaut. Si ce dfaut est dtect, le systme de scurit
doit excuter une mesure de scurit, avertir de la prsence du dfaut et empcher le
fonctionnement de la machine jusqu ce que le dfaut soit rectifi. Si le dfaut nest pas
dtect, la fonction de scurit doit quand mme pouvoir tre excute en cas de sollicitation.
129
SAFEBOOK 4
Exemple dapplication utilisant SISTEMA

Cet exemple dapplication va nous permettre de voir comment cbler, configurer et program-
mer un systme base dun automate Compact GuardLogix et dE/S PointGuard I/O contr-
lant deux zones de scurit. Chacune de ces zones est protge par un interrupteur de scu-
rit unique qui, lorsquil est actionn, envoie un signal de coupure de lalimentation de cette
zone sur une paire de contacteurs redondants. Le dispositif est identique pour les deux zones.
Ces deux zones sont galement protges par un dispositif darrt durgence gnral qui,
lorsquil est actionn, envoie un signal darrt de scurit dans les deux directions.
Remarque : cet exemple na quun caractre dillustration. En raison de la diversit des

variables et contraintes propres chaque installation particulire, Rockwell Automation ne
saurait tre tenu pour responsable ou redevable des ventuelles consquences de son
application en conditions relles.
Caractristiques et avantages
Compact GuardLogix permet aux applications standard et de scurit dtre excutes

par un seul automate.
Les E/S standard et de scurit peuvent tre regroupes sur un adaptateur Ethernet
unique.
Ltat de la scurit et les diagnostics peuvent tre facilement transfrs de

lapplication de scurit lapplication standard afin dtre affichs sur lIHM. De
mme, ils peuvent tre transfrs vers dautres dispositifs distants par Ethernet.
Lapplication dcrite ici peut tre largie et incorpore dans une application client.
Description
Cette applications est destine la surveillance de deux zones. Chacune de ces zones est
protge par un interrupteur de scurit SensaGuard. Si lune des grilles est ouverte, les
contacteurs de sortie sont dsactivs, ce qui arrtera toute machine appartenant cette zone.
Le rarmement est manuel. Les deux zones sont galement protges par un interrupteur
darrt durgence gnral. Si cet arrt durgence est actionn, les deux jeux de contacteurs
sont dsactivs.
Fonction de scurit
Chaque interrupteur de scurit SensaGuard est raccord une paire dentres de scurit
sur un module 1734-IB8S (POINTGuard I/O). Ce module dE/S communique avec lautomate
de scurit Compact GuardLogix (1768-L43S) via le protocole CIP Safety sur un rseau
EtherNet/IP. Le programme de scurit du processeur de scurit contrle ltat des entres
de scurit au moyen dune instruction de scurit pr-certifie dnomme DCS (Dual Chan-
nel Input Stop Entre darrt deux voies). Ce programme de scurit est excut en paral-
lle dans le cadre dune architecture 1oo2 . Lorsque toutes les conditions sont remplies, la
130
SAFEBOOK 4
grille de scurit de trouve ferme, aucun dfaut nest dtect sur les modules dentre, larrt
durgence gnral nest pas dclench, et le bouton-poussoir de rarmement est enfonc. Un
deuxime bloc fonctionnel certifi dnomm CROUT (Configurable Redundant Output sortie
redondante configurable) contrle ltat des dispositifs de commande terminaux constitus par
une paire de contacteurs redondants type 100S. Lautomate renvoie alors un signal de sortie
au module 1734-OBS pour activer une paire de sorties destines activer les contacteurs de
scurit. La fonction darrt durgence gnrale est galement contrle par une instruction
DCS. Si larrt durgence gnral est actionn, il coupe lalimentation des deux zones.
Nomenclature
Cet exemple dapplication utilise les composants suivants.
Rfrence Description Quantit
Interrupteur SensaGuard
440N-Z21SS2A 2
Plastique, RFID, sans contact
Bouton-poussoir de rarmement 800F

800FM-G611MX10 Mtallique, protg, bleu, R, fixation mtallique 4
verrouillage, 1 contact N.O., standard
100S-C09ZJ23C Contacteurs de scurit Srie 100S-C 2
1768-ENBT Module passerelle EtherNet/IP CompactLogix 1
Processeur CompactLogix L43, 2 Mo de

1768-L43S mmoire standard, 0,5 Mo de mmoire de 1
scurit
Alimentation, entre 120/240 V c.a.,

1768-PA3 1
sortie 3,5 A sous 24 V c.c.
1769-ECR Cache de terminaison droit 1
1734-AENT Adaptateur Ethernet 24 V c.c. 1
Socle pour module avec bornier CEI vis

1734-TB 4
amovible
1734-IB8S Module dentres de scurit 2
1734-OB8S Module de sorties de scurit 1
1783-US05T Switch Ethernet non administr Stratix 2000 1
131
SAFEBOOK 4
Installation et cblage
Pour des informations plus dtailles sur linstallation et le cblage, on se reportera aux manuels
fournis avec les produits ou tlchargeables sur : http://literature.rockwellautomation.com
Aperu du systme
Le module dentres 1734-IB8S surveille les entres des deux interrupteurs SensaGuard.
Le SensaGuard utilise des sorties OSSD qui ralisent un test priodique des sorties. Ainsi, ce
sont les sorties OSSD qui vrifient lintgrit du cblage entre linterrupteur SensaGuard et les
entres de scurit.
Les sorties utilises pour les tests impulsion sont configures en sources 24 V.
Le dispositif de commande terminal est constitu par une paire de contacteurs de scurit type
100S, reprs K1 et K2. Ces contacteurs sont commands par lintermdiaire du module de
sortie de scurit 1734-OBS. Ils sont cbls en redondance et sont tests au dmarrage afin
de dtecter tout dfaut ventuel. Ce test de dmarrage consiste v8rifier le circuit de retour
sur lentre 2 (I2), avant que les contacteurs ne soient activs. Pour cela, une instruction de
sortie redondante configurable CROUT est utilise. Le systme est rarm par le bouton-
poussoir impulsion, PB1.
Cblage
Rinitialisation de dfaut PB2

Rinitialisation PB1
1734-IB8S
Arrt durgence
I0 I1 14 15 I0 I1
Blanc Blanc
I2 I3 16 17 I2 I3
Interrupteur
Interrupteur
Actionneur
Actionneur
Rose Rose
Gris Gris
Bleu Bleu COM COM COM COM COM COM
Marron Marron
Rouge Rouge T0 T1 T2 T3M T0 T1
Jaune Jaune
O0 O1 O4 O5
K1 K3
O2 O3 O6 O7
K2 K4
COM COM COM COM
M COM COM COM COM

M
1734-OB8S
132
SAFEBOOK 4
Configuration
Lautomate Compact GuardLogix est configur laide du logiciel RSLogix 5000, version 18
ou suprieure. Il convient dabord de crer un nouveau projet et y ajouter les modules dE/S.
Puis, on configurera ces modules dE/S pour les types dentres et de sorties adquats. Ce
document na pas pour objet de fournir la description dtaille de chacune de ces tapes. La
connaissance de lenvironnement de programmation RSLogix est prsuppose.
Configuration de lautomate et ajout des modules dE/S
Suivre ces tapes :
1. Dans le logiciel RSLogix 5000, crer un nouveau projet.
2. Dans la fentre Controller Organizer (arborescence de lautomate), ajouter le module

1768-ENBT au dossier 1768 Bus .
133
SAFEBOOK 4
3. Slectionner ce module 1768-ENBT et cliquer sur OK.
4. Donner un nom au module, taper son adresse IP, puis cliquer sur OK. Nous utilisons
ladresse 192.168.1.8 dans cet exemple. Mais la vtre pourra tre diffrente.
134
SAFEBOOK 4
5. Ajouter ladaptateur 1734-AENT en cliquant avec le bouton droit de la souris sur le module
1768-ENBT dans la fentre Controller Organizer (arborescence de lautomate) et en
slectionnant New Module (nouveau module).
6. Slectionner ladaptateur 1734-AENT et cliquer sur OK.
135
SAFEBOOK 4
7. Donner un nom au module, taper son adresse IP, puis cliquez sur OK. Nous utilisons
ladresse 192.168.1.11 dans cet exemple. Mais la vtre pourra tre diffrente.
8. Cliquer sur Change (modifier).
9. Dans le champ Chassis Size (taille du chssis), slectionner 4 pour ladaptateur

1734-AENT et cliquer sur OK. La taille du chssis correspond au nombre de modules qui
seront insrs dans ce chssis. Ladaptateur 1734-AENT tant considr comme se trouvant
lemplacement 0, pour deux modules dentres et un module de sorties, la taille du chssis
sera donc 4.
10. Dans le fentre Controller Organizer (arborescence de lautomate), cliquer avec

le bouton droit de la souris sur ladaptateur 1734-AENT et slectionner New Module
(nouveau module).
136
SAFEBOOK 4
11. Dvelopper le niveau Safety (scurit), slectionner le module 1734-IB8S et cliquer

sur OK.
12. Dans la bote de dialogue New Module (nouveau module), nommer le dispositif
CellGuard_1 et cliquer sur Change (modifier).
137
SAFEBOOK 4
13. Lorsque la bote de dialogue Module Definition (dfinition du module) souvre, rgler
le champ Input Status (tat dentre) sur Combined Status-Power (tat-alimentation
combins) et cliquer sur OK.
14. Fermer la bote de dialogue Module

Properties (proprits du module) en
cliquant sur OK.
15. Rpter les tapes 10 14 pour ajouter

un deuxime module dentres de scurit
1734-IB8S et un module de sorties de scurit
1734-OB8S.
Configuration des modules dE/S
Suivre cette procdure pour la configuration dun module dE/S POINT Guard I/O.
1. Dans la fentre Controller Organizer (arborescence de lautomate), cliquer avec le

bouton droit de la souris sur un module 1734-IB8S et slectionner Properties (proprits).
2. Cliquer sur Input Configuration (configuration dentre) et configurer le module comme

illustr.
138
SAFEBOOK 4
3. Cliquer sur Test Output (sortie de test) et configurer le module comme illustr.
4. Cliquer sur OK.
5. Dans la fentre Controller Organizer (arborescence de lautomate), cliquer avec le

bouton droit de la souris sur le deuxime module 1734-IB8S et slectionner Properties
(proprits).
6. Cliquer sur Input Configuration (configuration dentre) et configurer le module comme

illustr.
7. Cliquer sur Test Output (sortie de test) et configurer le module comme illustr.
139
SAFEBOOK 4
8. Cliquer sur OK.
9. Dans la fentre Controller Organizer (arborescence de lautomate), cliquer avec le bouton

droit de la souris sur le module 1734-OB8S et slectionner Properties (proprits).
10. Cliquer sur Output Configuration (configuration de sortie) et configurer le module

comme illustr.
11. Cliquer sur OK.
140
SAFEBOOK 4
Programmation
Linstruction Entre darrt deux voies DCS contrle les dispositifs de scurit double
entre dont la fonction principale est dassurer larrt de scurit dune machine. Ce pourront
tre, par exemple, un arrt durgence, une barrire immatrielle ou une grille de protection.
Linstruction peut activer la sortie 1 ( Output 1 ) uniquement lorsque les deux voies dentre
de scurit ( Channel A et Channel B ) sont actives, conformment la dfinition du
paramtre Input Type (type dentre), et que les actions de rarmement adquates ont
t excute. Linstruction DCS contrle la cohrence entre les deux voies dentre ( Equiva-
lent Active High ), puis dtecte et pige les dfauts lorsquune incohrence est dtecte
pendant une dure suprieure au temps de divergence configur (en ms). Linstruction de sor-
tie redondante configurable CROUT commande et contrle les sorties redondantes. Le temps
de rponse du retour de sortie est configurable. Linstruction prend en charge les signaux de
retour positifs et ngatifs.
Le programme de la routine de contrle des sorties de scurit empche la ractivation de ces

sorties si la voie dentre se rinitialise automatiquement, ce qui procure une fonctionnalit
danti arrimage pour le rarmement du circuit.
141
SAFEBOOK 4
Rinitialisation sur front descendant

La norme EN ISO 13849-1 stipule que les fonctions de rinitialisation des instructions doivent
tre excutes sur le front descendant des signaux. Pour se conformer cette exigence,
il convient dajouter une instruction One Shot Falling (impulsion monostable sur front
descendant) au code de rinitialisation, comme illustr ci-dessous.
Donnes de fonctionnement
Lorsquelles sont configures correctement, toute les fonctions de scurit peut tre affectes
dune classification de scurit PLe, CAT 4 conformment la norme EN ISO 13849.1 2008.
Les calculs sont bass sur un fonctionnement de 16 heures par jour pendant 360 jours par
an avec manuvre de la grille de protection une fois par heure. Ceci donne un total de
5 760 manuvres par an. La fonction darrt durgence gnrale est teste une fois par mois.
142
SAFEBOOK 4
Chacune des fonctions relatives la grille de protection peut tre reprsente comme
ci-dessous.
K1
100S
SensaGuard
1734-IB8S 1768-L43S 1734-OB8S
SS1
K2
100S
Sous-Systme 1 Sous-Systme 2 Sous-Systme 3 Sous-Systme 4 Sous-Systme 5
143
SAFEBOOK 4
La fonction darrt durgence peut tre reprsente comme suit.
ArUrgence 1 K1
S1 100S
1734-IB8S 1768-L43S 1734-OB8S
ArUrgence 1 K2
S2 100S
Sous-Systme 1 Sous-Systme 2 Sous-Systme 3 Sous-Systme 4 Sous-Systme 5
Cet exemple, son fichier de calcul SISTEMA et le programme dapplication pour RSLogix 5000
peuvent tre tlchargs ladresse :
www.discoverrockwellautomation.com
144
SAFEBOOK 4
Pour plus dinformations sur les produits utiliss dans cet exemple, se rfrer la bibliothque
de documentations en ligne de Rockwell Automations en utilisant les numros de publication
indiqus ci-dessous. Le site www.ab.com fournit galement un aperu gnral des produits.
Ladresse de la bibliothque en ligne est : www.theautomationbookstore.com
Publication Description
Automates Compact GuardLogix Informations relatives la configuration,

Manuel utilisateur au fonctionnement et la maintenance
Publication : 1768-UM002 des automates Compact GuardLogix
Modules dE/S de scurit POINT Guard I/O Informations relatives linstallation, la

Notice dinstallation et Manuel utilisateur configuration et au fonctionnement des
Publication : 1734-UM013 modules POINT Guard I/O
Informations dtailles sur les exigences

Systmes base dautomates GuardLogix
respecter pour atteindre et maintenir les
Manuel de rfrences de scurit
diffrents niveaux de scurit dans des
Publication : 1756-RM093
systmes automate GuardLogix.
Manuel de rfrences de jeux dinstructions Informations dtailles sur les jeux

pour applications de scurit GuardLogix. dinstructions destines aux applications
Publication : 1756-RM095 de scurit GuardLogix.
Jeu doutils Safety Accelerator Toolkit pour Guide de prise en main tape par tape
systmes de scurit GuardLogix des outils de conception, de programmation
Guide de mise en route et de diagnostic du kit Safety Accelerator
Publication : IASIMP-QS005 Toolkit.
Catalogue exhaustif des produits de

Catalogue des composants de scurit
scurit avec exemples dapplication et
Publication : S117-CA001A
dautres informations utiles
Rockwell Automation a dvelopp un catalogue dexemples dapplication du mme type. Il

peut tre tlcharg depuis la bibliothque de documentations en ligne. Accder au site et
taper SAFETY-AT dans le champ de recherche, aprs avoir affich Publication Number
dans le menu droulant.
Des calculs SISTEMA et des programmes dapplication RSLogix 5000 sont disponibles pour
certaines applications. Ils peuvent tre tlchargs ladresse :
www.discoverrockwellautomation.com
145
Probabilit moyenne de dfaillance dangereuse par heure (1/h) et niveau de performance (PL) correspondant
MTTFd pour
chaque voie Cat. B PL Cat. 1 PL Cat. 2 PL Cat. 2 PL Cat. 3 PL Cat. 3 PL Cat. 4 PL
en annes
DCmoy. = nul DCmoy. = nul DCmoy. = faible DCmoy. = moyen DCmoy. = faible DCmoy. = moyen DCmoy. = lev
3 3,80 x 105 a 2,58 x 105 a 1,99 x 105 a 1,26 x 105 a 6,09 x 106 b
5 5 5 5 6
3,3 a a a a b
SAFEBOOK 4
3,46 x 10 2,33 x 10 1,79 x 10 1,13 x 10 5,41 x 10

5 5 5 5 6
3,6 3,17 x 10 a 2,13 x 10 a 1,62 x 10 a 1,03 x 10 a 4,86 x 10 b
3,9 2,93 x 105 a 1,95 x 105 a 1,48 x 105 a 9,37 x 106 b 4,40 x 106 b
4,3 2,65 x 105 a 1,76 x 105 a 1,33 x 105 a 8,39 x 106 b 3,89 x 106 b
5 5 5 6 6
4,7 2,43 x 10 a 1,60 x 10 a 1,20 x 10 a 7,58 x 10 b 3,48 x 10 b
5 5 5 6 6
5,1 2,24 x 10 a 1,47 x 10 a 1,10 x 10 a 6,91 x 10 b 3,15 x 10 b
5 5 6 6 6
5,6 2,04 x 10 a 1,33 x 10 a 9,87 x 10 b 6,21 x 10 b 2,80 x 10 c
146
5 5 6 6 6
6,2 1,84 x 10 a 1,19 x 10 a 8,80 x 10 b 5,53 x 10 b 2,47 x 10 c
6,8 1,68 x 105 a 1,08 x 105 a 7,93 x 106 b 4,98 x 106 b 2,20 x 106 c
7,5 1,52 x 105 a 9,75 x 106 b 7,10 x 106 b 4,45 x 106 b 1,95 x 106 c
5 6 6 6 6
8,2 1,39 x 10 a 8,87 x 10 b 6,43 x 10 b 4,02 x 10 b 1,74 x 10 c
5 6 6 6 6
9,1 1,25 x 10 a 7,94 x 10 b 5,71 x 10 b 3,57 x 10 b 1,53 x 10 c
5 6 6 6 6
10 1,14 x 10 a 7,18 x 10 b 5,14 x 10 b 3,21 x 10 b 1,36 x 10 c
11 1,04 x 105 a 6,44 x 106 b 4,53 x 106 b 2,81 x 106 c 1,18 x 106 c
12 9,51 x 105 b 5,84 x 106 b 4,04 x 106 b 2,49 x 106 c 1,04 x 106 c
5 6 6 6 7
13 8,78 x 10 b 5,33 x 10 b 3,64 x 10 b 2,23 x 10 c 9,21 x 10 d
6 6 6 6 7
15 7,61 x 10 b 4,53 x 10 b 3,01 x 10 b 1,82 x 10 c 7,44 x 10 d
6 6 6 6 7
16 7,31 x 10 b 4,21 x 10 b 2,77 x 10 c 1,67 x 10 c 6,76 x 10 d
Probabilit moyenne de dfaillance dangereuse par heure (1/h) et niveau de performance (PL) correspondant
MTTFd pour
chaque voie Cat. B PL Cat. 1 PL Cat. 2 PL Cat. 2 PL Cat. 3 PL Cat. 3 PL Cat. 4 PL
en annes
DCmoy. = nul DCmoy. = nul DCmoy. = faible DCmoy. = moyen DCmoy. = faible DCmoy. = moyen DCmoy. = lev
18 6,34 x 106 b 3,68 x 106 b 2,37 x 106 c 1,41 x 106 c 5,67 x 107 d
6 6 6 6 7
20 5,71 x 10 b 3,26 x 10 b 2,06 x 10 c 1,22 x 10 c 4,85 x 10 d
6 6 6 6 7
22 5,19 x 10 b 2,93 x 10 c 1,82 x 10 c 1,07 x 10 c 4,21 x 10 d
24 4,76 x 106 b 2,65 x 106 c 1,62 x 106 c 9,47 x 107 d 3,70 x 107 d
27 4,23 x 106 b 2,32 x 106 c 1,39 x 106 c 8,04 x 107 d 3,10 x 107 d
6 6 6 7 7
30 3,80 x 10 b 2,06 x 10 c 1,21 x 10 c 6,94 x 10 d 2,65 x 10 d 9,54 x 108 e
6 6 6 7 7 8
33 3,46 x 10 b 1,85 x 10 c 1,06 x 10 c 5,94 x 10 d 2,30 x 10 d 8,57 x 10 e
6 6 7 7 7 8
36 3,17 x 10 b 1,67 x 10 c 9,39 x 10 d 5,16 x 10 d 2,01 x 10 d 7,77 x 10 e
6 6 7 7 7 8
39 2,93 x 10 c 1,53 x 10 c 8,40 x 10 d 4,53 x 10 d 1,78 x 10 d 7,11 x 10 e
147
43 2,65 x 106 c 1,37 x 106 c 7,34 x 107 d 3,87 x 107 d 1,54 x 107 d 6,37 x 108 e
47 2,43 x 106 c 1,24 x 106 c 6,49 x 107 d 3,35 x 107 d 1,34 x 107 d 5,76 x 108 e
6 6 7 7 7 8
51 2,24 x 10 c 1,13 x 10 c 5,80 x 10 d 2,93 x 10 d 1,19 x 10 d 5,26 x 10 e
6 6 7 7 7 8
56 2,04 x 10 c 1,02 x 10 c 5,10 x 10 d 2,52 x 10 d 1,03 x 10 d 4,73 x 10 e
6 7 7 7 8 8
62 1,84 x 10 c 9,06 x 10 d 4,43 x 10 d 2,13 x 10 d 8,84 x 10 e 4,22 x 10 e
68 1,68 x 106 c 8,17 x 107 d 3,90 x 107 d 1,84 x 107 d 7,68 x 108 e 3,80 x 108 e
75 1,52 x 106 c 7,31 x 107 d 3,40 x 107 d 1,57 x 107 d 6,62 x 108 e 3,41 x 108 e
6 7 7 7 8 8
82 1,39 x 10 c 6,61 x 10 d 3,01 x 10 d 1,35 x 10 d 5,79 x 10 e 3,08 x 10 e
6 7 7 7 8 8
91 1,25 x 10 c 5,88 x 10 d 2,61 x 10 d 1,14 x 10 d 4,94 x 10 e 2,74 x 10 e
6 7 7 7 8 8
100 1,14 x 10 c 5,28 x 10 d 2,29 x 10 d 1,01 x 10 d 4,29 x 10 e 2,47 x 10 e
EN ISO 13849-1:2008
SAFEBOOK 4
SAFEBOOK 4
148
SAFEBOOK 4
SAFEBOOK 4 Systmes de commande de scurit pour machines/Principes, normes et mise en uvre
R
Systmes de commande de
scurit pour machines
Principes, normes et mise en uvre
Publication : SAFEBK-RM002B-FR-P Mars 2011 2011 Rockwell Automation, Inc. Tous droits rservs.
Remplace la publication : SAFEBK-RM002A-FR-P

RockWell Automation (2011) - Safebook 4 - Systèmes de Commande de Sécurité Pour Machines (Principes, Normes Et Mise en Oeuvre)

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

RockWell Automation (2011) - Safebook 4 - Systèmes de Commande de Sécurité Pour Machines (Principes, Normes Et Mise en Oeuvre)

Încărcat de

Drepturi de autor:

Formate disponibile

SAFEBOOK 4

SAFEBOOK 4 Systmes de commande de scurit pour machines/Principes, normes et mise en uvre

Table des matires

Chapitre 2 Normes .......................................................................................................... 18

Chapitre 3 Stratgie de scurit .................................................................................... 23

Chapitre 4 Mesures de protection et quipement complmentaire ........................... 36

Chapitre 5 Calculs de distance de scurit .................................................................. 59

Chapitre 6 Prvention des remises sous tension accidentelles ................................ 63

Chapitre 7 Systmes de commande de scurit et scurit fonctionnelle ............... 65

Chapitre 8 Conception de systme selon la norme EN ISO 13849-1:2008 ............... 71

Chapitre 9 Conception de systme selon la norme CEI/EN 62061 ............................ 94

Chapitre 10 Systmes de commande de scurit, considrations relatives

Chapitre 11 Exemple dapplication utilisant SISTEMA ............................................... 130

Directives et Lgislation de lUE

Afin de promouvoir le concept de march ouvert au sein de lEEE (lespace conomique

Il existe plusieurs directives europennes concernant la scurit des machines et des

2 La directive relative lutilisation des quipements de travail

La Directive Machines actuelle (2006/42/CE)

Les dispositions cls de la directive originale (98/37/CE) taient entres en vigueur le

Les dispositions de la directive actuelle (2006/42/CE) sont en vigueur depuis le 29 dcembre

la vrification que les exigences essentielles de sant et de scurit (EESS)

Exigences essentielles de sant et de scurit

Une norme europenne (EN) harmonise,

En consquence, lorsque lquipement est

Un dossier technique doit comporter au moins les documents suivants :

1. Les plans densemble de lquipement, comprenant les schmas des circuits de

3. Le document dvaluation des risques, notamment la liste des exigences essentielles de

4. La liste des normes et autres spcifications techniques utilises en rfrence, mentionnant

8. Un exemplaire des instructions dutilisation de la machine.

9. Le cas chant, la dclaration dincorporation concernant les lments de la machine

11. Une copie de la dclaration de conformit CE.

Le constructeur devra notamment effectuer sur les composants, les assemblages ou

Le dossier technique ne doit pas ncessairement tre conserv de faon permanente

Concernant les sous-ensembles utiliss dans la fabrication de la machine, il nest pas

valuation de conformit pour les machines relevant de lAnnexe IV

des personnes (ex. : barrires immatrielles)

Pour les machines ne relevant pas de lAnnexe

Procdure de dclaration de conformit CE

La Dclaration de conformit CE doit contenir les informations suivantes :

nom et adresse professionnelle complte du fabricant et, le cas chant, de son

Dclaration dincorporation CE pour les machines partiellement

La Dclaration dincorporation doit contenir les informations suivantes :

nom et coordonnes professionnelles compltes du fabricant de la machine

Machines provenant de lextrieur de lUE Reprsentants agrs

Directive europenne relative lutilisation dquipements de travail

Toutes les machines doivent satisfaire aux

Il faut tre en Soumission

POUR LES MACHINES Obligation dtablir une dclaration de conformit

POUR LES COMPOSANTS DE SECURITE Obligation dtablir une

Vue densemble de la procdure de la Directive Machines

La conformit de lquipement de travail est une exigence importante de la directive. Elle

De plus amples informations sur la directive relative lutilisation dquipements de travail

Rglementation des tats-Unis

Nombreux sont les organismes attachs la promotion de mesures de scurit industrielles

2. lOSHA (Occupational Safety and Health Administration) ;

3. des organisations industrielles comme la National Fire Protection Association (NFPA), la

LOSHA (Occupational Safety and Health Administration)

La loi instituant lOSHA a fix les responsabilits attaches lemployeur et lemploy.

La sous-partie J de la norme 29 CFR 1910.147 concerne le contrle des sources dalimenta-

Les employeurs ont la responsabilit de mettre en place un programme et des procdures

La zone de travail est la partie de la machine o lopration est effectivement ralise

CSA (association canadienne de normalisation)

Infraction grave : jusqu 7 000 USD par infraction

Il est souhaitable de lire ce chapitre conjointement celui concernant la rglementation.