SAFEBOOK 3
Structure des systèmes de commande de sécurité
Structure des systèmes de commande de sécurité
Introduction
Qu’est-ce qu’un système de commande de sécurité (souvent abrégé en anglais par SRCS) ?
Il s’agit de la partie d’un système de commande d’une machine ayant pour fonction de prévenir l’apparition d’une situation de danger. Il peut s’agir d’un système externe ou intégré au système normal de commande de la machine.
Sa complexité peut varier d’un système simple (par exemple une porte de protecteur avec interrupteur de sécurité et arrêts d’urgence câblés en série à la bobine de commande d’un contacteur de puissance) à un système combiné constitué à la fois de dispositifs simples et de dispositifs complexes (avec communication par logiciel ou par matériel).
Les systèmes de commande de sécurité sont conçus pour exécuter des fonctions de sécurité.
Le système doit continuer à fonctionner correctement dans toutes les situations prévisibles.
Qu’est-ce qu’une fonction de sécurité, comment concevoir un système de sécurité et lorsque c’est fait, comment le montrer ?
Fonction de sécurité
Une fonction de sécurité est mise en œuvre par les dispositifs de sécurité du système de commande de la machine afin de maintenir l’équipement dans un état sécurisé par rapport à un danger spécifique. Un défaillance de la fonction de sécurité peut entraîner une augmentation immédiate des risques, c’est-à-dire d’une situation dangereuse.
Une machine doit présenter au moins un « danger » potentiel, autrement ce n’est pas une machine. On parle de « situation dangereuse » lorsqu’une personne est exposée à un danger.
Une situation dangereuse n’implique pas que la personne est blessée. La personne exposée peut être consciente du danger et éviter des blessures. La personne exposée peut ne pas être consciente du danger, ou le danger peut être initié par un démarrage imprévu. La tâche principale du concepteur du système de sécurité est de prévenir situations dangereuses et d’empêcher les démarrages imprévus.
La fonction de sécurité peut souvent être décrite par des critères multi-parties. Par exemple, la fonction de sécurité initiée par une barrière munie d’interrupteurs de sécurité a trois parties :
1.
la source du danger protégée par la barrière de protection ne peut fonctionner tant que la barrière n’est pas fermée ;
2.
l’ouverture de la barrière entraîne l’arrêt de la source de danger si elle fonctionne au moment de l’ouverture ; et
3.
la fermeture de la barrière ne redémarre pas la source de danger protégée par la barrière.
65
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Systèmes de commande de sécurité pour machines
Lors de l’explicitation d’une fonction de sécurité pour une application spécifique, le mot
« danger » doit être changé et remplacé par la source de danger spécifique. La source de danger ne doit pas être confondue avec les conséquences du danger. L’écrasement, les coupures et les brûlures sont des conséquences du danger. Exemples de source de danger : moteur, vérin, couteau, torche, pompe, laser, robot, effecteur terminal, électro-aimant, clapet, autre type d’actionneur ou danger mécanique impliquant la pesanteur.
Lorsque l’on parle de systèmes de sécurité, l’expression « au moment ou avant un appel de la fonction de sécurité » est utilisée. Qu’est-ce qu’un appel de la fonction de sécurité ? Il s’agit par exemple de l’ouverture d’une barrière munie d’interrupteurs de sécurité, l’interruption d’une barrière immatérielle, le fait de marcher sur un tapis de sécurité ou de l’appui sur un arrêt d’urgence. L’opérateur demande que la source de danger s’arrête ou reste désactivée si elle est déjà arrêtée.
La fonction de sécurité est exécutée par les dispositifs de sécurité du système de commande de la machine. Elle n’est pas exécutée par un seul dispositif, par exemple uniquement par la barrière. Le dispositif de verrouillage sur la barrière envoie une commande à un dispositif logique, qui à son tour désactive un actionneur. La fonctions de sécurité commence avec la commande et se termine par son exécution.
Le système de sécurité doit être conçu avec un niveau d’intégrité correspondant aux risques de la machine. Plus les risques sont importants, plus les niveaux d’intégrité doivent être élevés pour assurer l’efficacité de la fonction de sécurité. Les systèmes de sécurité des machines peuvent
être classés en fonction du type de conception et de la capacité à assurer l’efficacité de la fonction de sécurité.
Catégories de systèmes de commande
La présentation suivante des catégories est basée sur la norme ISO 13849-1:1999, qui est
équivalente à la norme EN 954-1:1996. En 2006, la norme ISO 13849-1 a été révisée de façon significative afin de l’harmoniser avec les normes CEI 62061 et CEI 61508, qui sont toutes deux utilisées en priorité pour les systèmes de sécurité complexes. La version 2006 de la norme ISO 13849-1 continue d’utiliser les catégories de performance de la sécurité ; ces catégories sont considérées comme la « structure » ou l’« architecture » des systèmes de commande de sécurité. Des informations complémentaires portant sur les composants et la conception du système complètent cette « structure » afin de fournir une classification de
« niveau de performance ». La présentation des catégories faite ici s’appuie sur les révisions de 1999 et de 2006 de la norme ISO 13849-1.
La norme ISO 13849-1 « Parties des systèmes de commande relatives à la sécurité –
Partie 1 : Principes généraux de conception » définit une « langue » de cinq catégories pour tester et décrire les performances des systèmes de commande de sécurité.
Remarque 1 : la catégorie B ne prescrit aucune mesure particulière en elle-même, mais constitue la Contact des autres catégories.
66
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Structure des systèmes de commande de sécurité
Remarque 2 : une série de plusieurs pannes dues à une cause d’origine commune ou aux conséquences inévitables de la première panne, doit être considérée comme une panne unique.
Remarque 3 : la comptabilisation des pannes peut se limiter à deux défaillances combinées si cela peut être justifié, mais pour les circuits complexes (microprocesseurs par exemple), il peut être nécessaire de prendre en compte un plus grand nombre de défaillances combinées.
Comment donc définir la catégorie nécessaire ? Le choix de la catégorie découle du processus d’évaluation du risque. Pour pouvoir traduire ces impératifs en un système de spécifications de conception, il faut se livrer à une interprétation des impératifs de Contact.
Une idée fausse très répandue veut que la catégorie 1 fournisse la protection minimale et la catégorie 4 la meilleure protection. Ce n’est pourtant pas le raisonnement à adopter pour ces catégories. Elles sont sensées être des points de référence permettant de décrire la performance fonctionnelle des différentes méthodes de commande associée à la sécurité et leurs constituants.
La catégorie 1 vise la PREVENTION des défaillances, laquelle est atteinte par l’utilisation de principes, de composants, de constituants, et de matériaux, adaptés. Les facteurs-clés de cette catégorie sont d’une part la simplicité du principe et de la conception, et d’autre part la stabilité et le choix des matériaux.
Les catégories 2, 3 et 4 ont été conçues pour détecter des pannes dans le cas ou il n’est pas possible de s’en prémunir et de déclencher les actions appropriées.
La redondance, la diversité et la surveillance sont les clés de ces catégories. La redondance est la duplication de la même technique. La diversité consiste à utiliser deux techniques différentes. La surveillance consiste à vérifier l’état des dispositifs, puis à déclencher les actions appropriées en fonction de l’état. La méthode habituelle, mais pas la seule, pour la surveillance consiste à dupliquer les fonctions essentielles à la sécurité et de comparer le fonctionnement.
67
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Systèmes de commande de sécurité pour machines
Résumé des prescriptions Comportement du système
CATEGORIE B (voir remarque 1)
Les parties des systèmes de commande relatives à la sécurité et leur équipement de protection, ainsi que leurs composants, doivent être conçus en conformité avec les normes en vigueur afin de pouvoir résister aux influences prévues. Les principes de base de la sécurité doivent être appliqués.
Toute panne risque de conduire à la perte de la fonction de sécurité.
CATEGORIE 1
Les prescriptions de la catégorie B s’appliquent avec utilisation de principes et de composants de sécurité dûment éprouvés.
Comme décrit pour la catégorie B mais avec une fiabilité plus élevée de la fonction de sécurité. (Plus la fiabilité est élevée, plus la probabilité de panne est faible.)
CATEGORIE 2
Les prescriptions de la catégorie B et l’utilisation d’un principe de sécurité dûment éprouvé s’appliquent. La ou les fonction(s) de sécurité sont contrôlées au démarrage de la machine et périodiquement par le système de commande. Si un défaut est détecté, la machine doit être rétablie
à un état de sécurité et en cas d’impossibilité, une alarme doit être déclenchée.
La perte de la fonction de sécurité est détectée par le contrôle. Toute panne peut conduire à la perte de la fonction de sécurité entre deux contrôles périodiques.
CATEGORIE 3 (voir remarques 2 et 3)
Les prescriptions de la catégorie B et l’utilisation d’un principe de sécurité dûment éprouvé s’appliquent. Le système doit être conçu de sorte qu’aucun défaut dans l’une des parties ne conduise
à la perte des fonctions de sécurité. Lorsque c’est possible, une seule panne doit être détectée.
Un seul défaut ne suffit pas à faire perdre la fonction de sécurité.
Certains défauts, mais pas tous, sont détectés. Une accumulation de défauts non détectés peut conduire
à la perte de la fonction de sécurité.
CATEGORIE 4 (voir remarques 2 et 3)
Les prescriptions de la catégorie B et l’utilisation d’un principe de sécurité dûment éprouvé s’appliquent. Le système doit être conçu de sorte qu’une seule panne de n’importe lequel de ses composants n’entraîne pas la perte de la fonction de sécurité. Cette panne unique doit être détectée au moment de l’appel de la fonction de sécurité ou avant l’appel suivant. Si la détection est impossible, une accumulation de défauts ne doit pas conduire à la perte de la fonction de sécurité.
La fonction de sécurité est toujours maintenue même en cas de pannes multiples. Les défauts sont détectés
à temps pour prévenir la perte des fonctions de sécurité.
68
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Structure des systèmes de commande de sécurité
Catégorie B
La catégorie B prescrit les critères de base pour tout système de commande ; qu’il s’agisse d’un système de commande de sécurité ou non. Un système de commande doit fonctionner dans l’environnement prévu. Le concept de fiabilité fournit une base pour les systèmes de commande puisque la fiabilité est définie comme la probabilité qu’un dispositif exécute la fonction pour laquelle il a été conçu pendant une durée spécifique dans certaines conditions définies. Bien qu’ayant un système conforme aux objectifs de fiabilité, nous savons qu’il sera défaillant tôt ou tard. Le concepteur du système de sécurité doit savoir si la défaillance du système se produira avec présence d’un danger ou dans un état sécurisé. Le mantra est le suivant : « Comment le système se comporte-t-il en présence de pannes ? ». En commençant par ce concept, quels sont les principes qui doivent être observés pour guider la conception du système ? La catégorie B nécessite la mise en application de principes de sécurité de base. La norme
ISO 13849-2 définit les principes de sécurité de base des systèmes électriques, pneumatiques, hydrauliques et mécaniques. Les principes électriques sont résumés ainsi :
• Sélection, combinaison, dispositions, assemblage et installation appropriés
(c’est-à-dire, selon les directives du fabricant)
• Compatibilité des composants avec les tension et les intensités
• Résistance aux conditions ambiantes
• Utilisation du principe de mise hors tension
• Suppression des transitoires
• Réduction du temps de réponse
• Protection contre les démarrages imprévus
• Fixation sécurisée des capteurs (p. ex., montage de dispositifs de verrouillage)
• Protection du circuit de commande (selon NFPA79 & IEC 60204-1)
• Liaison de protection correcte
+V
Protection contre court-circuit (SCP)
Protecteur fermé
Démarrage
Arrêt
K1
Aux
Détecteur de position
Terre
Atténuateur de transitoire (TS)
K1
Système de catégorie B simple
Contacteur
L1 L2 L3
Protection contre court-circuit
(SCP)
K1
Protection contre surcharge
(OP)
Moteur
(Danger)
Le schéma présente un système de catégorie B.
La barrière est verrouillé par un détecteur de position en mode négatif (à ressort). Une protection contre les courts-circuits et les surcharges est fournie pour la conformité aux exigences des normes
électriques sur la protection contre les courts-circuits. La suppression des transitoires est utilisée
69
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Systèmes de commande de sécurité pour machines pour aider à empêcher le soudage des contacts lorsque la bobine du contacteur est hors tension. Si le principe de mise hors tension est utilisé, le dispositif de verrouillage de la protection arrête le moteur. Les composants doivent être sélectionnés et installés en fonction des conditions ambiantes prévisibles, ainsi que des exigences de tension et d’intensité. A noter qu’aucune mesure spéciale de sécurité n’est appliquée dans le cadre de la catégorie B, des mesures complémentaires peuvent donc être nécessaires.
Appuyez sur le bouton de démarrage avec la barrière de protection fermée afin de mettre le moteur sous tension, ce qui symbolise le danger. Lorsque le contacteur K1 se ferme, un contact auxiliaire maintient le circuit et le bouton de démarrage peut être relâché. Appuyez sur le bouton d’arrêt ou ouvrez la barrière de protection pour arrêter le moteur. Relâchez le bouton d’arrêt ou fermer la barrière de protection ne fait pas redémarrer le moteur.
+V
SCP SCP
Le schéma présente un système complexe de catégorie B. Ici plusieurs
Démarrage
Arrêt
LS1
LS2
LS3
Entrée Programme
Sortie
TS
K1
K2
K3 capteurs (détecteurs de position) et boutonspoussoirs sont connectés au module d’entrées d’un automate programmable (PLC).
Plusieurs actionneurs sont connectés au
Terre
Système de catégorie B complexe
module de sorties. Un module logique, utilisant un logiciel détermine quelles sorties activées ou désactivées en réponse à l’état des capteurs.
Comment savoir si ces circuits sont conformes à la catégorie B ? Tout d’abord, le concepteur doit faire sa sélection, son installation et son assemblage en respectant les directives du fabricant.
Ces dispositifs doivent fonctionner dans les limites des tensions et intensités nominales prévues.
Les conditions ambiantes prévisibles, comme la compatibilité électromagnétique, la résistance aux vibrations, la tenue aux chocs, la résistance aux contaminations et aux projections, doivent
également être prises en considération. Le principe de mise hors tension est utilisé, La protection contre les transitoires est installée sur les bobines du contacteur. Le moteur est protégé contre les surcharges. Le câblage et la mise à la terre sont conformes aux normes
électriques appropriées.
L’étape suivante de l’analyse de sécurité consiste à décomposer le système en ses principaux constituants, puis à examiner leurs modes de défaillance potentielle. Dans un chapitre précédent, nous avons décomposé le système en trois blocs, ENTREES – LOGIQUE –
SORTIES. Lorsque l’on aborde les performances du système de sécurité, le câblage doit
également être inclus dans l’analyse.
70
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Structure des systèmes de commande de sécurité
Dans les exemples de la catégorie B, les composants sont :
• Dispositif de verrouillage (détecteur de position)
• Automate programmable
• Contacteur
• Câblage
Interrupteur de sécurité
Le détecteur de position est un dispositif mécanique. Sa tâche est simple : ouvrir les contacts lorsqu’une barrière de protection est ouverte. Il y a de nombreux années, les détecteurs de position étaient utilisés de cette façon. Mais sa conception présente des inconvénients qui vont à l’encontre d’un meilleur fonctionnement de la sécurité. Les normes électriques imposent l’utilisation de dispositifs de protection contre les courts-circuits (p. ex., fusibles ou disjoncteurs) pour les circuits de dérivation. Cette protection peut être insuffisante pour éviter le soudage d’un contact dans le détecteur de position. Les contacts du détecteur de position sont conçus pour s’ouvrir sous l’action d’un ressort. Malheureusement, la force de rappel du ressort n’est pas toujours suffisante pour compenser la résistance d’un contact soudé. Un autre point à considérer est le ressort lui-même. La flexion répétée peut finir par entraîner une rupture et la force exercée sur les contacts peut pas être insuffisante pour ouvrir le circuit.
D’autres pannes internes dans la tête de l’opérateur ou la liaison peuvent également avoir pour conséquence le maintien fermé du contact lorsque la barrière est ouverte. Une autre considération importante est le contournement. Lorsque la barrière est ouverte, le détecteur de position est facile à contourner en poussant le levier en position activée et en le maintenant en place par du ruban adhésif, du fil ou tout autre outil simple.
Automate programmable
Les PLC constituent le système de commande privilégié pour les machines. Les dispositifs d’entrée, comme le dispositif de verrouillage du détecteur de position, sont connectés aux modules d’entrées. Les dispositifs de sortie, comme les contacteurs, sont connectés aux modules de sorties. Le dispositif logique assigne les dispositifs d’entrée aux dispositifs de sortie appropriés selon les conditions logiques.
Bien que la fiabilité des PLC s’est considérablement améliorée depuis leur introduction, ils finissent par s’user et par tomber en panne. Le concepteur du système de sécurité doit avoir connaissance des machines de la défaillance et si ces défaillances entraînent une situation de danger. Les PLC présentent deux catégories principales de défaillance : matérielle et logicielle.
Les défaillances matérielles peuvent être internes, dans les modules d’entrées, logique ou de sorties. Lors de ces défaillances, les sorties peuvent rester activées, même si une commande d’arrêt a été initiée. Les défaillances logicielles dans le programme d’application ou dans le firmware peuvent également laisser les sorties activées, même si une commande d’arrêt a été initiée.
71
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Systèmes de commande de sécurité pour machines
Contacteur
Les contacteurs activent les actionneurs de la machine, soit les moteurs, les électro-aimants, les éléments chauffant et autres types d’actionneurs. Les actionneurs utilisent des intensités
élevées, et certains ont des surintensité pouvant être 10 fois supérieures à leur régime permanent. Les contacts des contacteurs devraient toujours être rotégés contre les surcharges et les courts-circuits afin d’éviter le soudage. Même avec cette protection, il existe un risque que les contacts de commutation de puissance restent fermés. Ceci peut être dû au soudage ou à une armature bloquée. Lorsqu’un défaut de ce type se produit, le bouton d’arrêt devient inefficace et la machine doit être mise hors tension par le coupe-circuit principal. Les contacteurs doivent être inspectés régulièrement pour détecter les connexions desserrées pouvant provoquer une surchauffe et une déformation. Le contacteur doit être conforme aux normes pertinentes qui prescrivent les caractéristiques et les conditions d’utilisation. Les normes
CEI 60947-4-1 et CEI 60947-5-1 décrivent en détail les tests que les contacteurs doivent réussir pour être utilisés dans différentes applications.
Câblage
Bien qu’une conception et une installation conformes aux normes électriques appropriées réduisent les risques de défaillance du câblage, les pannes de câblage peuvent se produire et cela se produit régulièrement. Les défaillances de câblage à prendre en considération incluent les courts-circuits et les circuits ouverts. L’analyse des courts-circuits doit inclure les courts-circuits sur l’alimentation, sur la mise à la terre ou sur d’autres circuits, qui peuvent créer une situation dangereuse.
Commutateurs de démarrage et d’arrêt
Il faut également prendre en considération les commutateurs de démarrage et d’arrêt. Si le bouton de démarrage est en court-circuit, la machine redémarre de façon inopinée lorsque le bouton d’arrêt est relâché ou lorsque la barrière de protection est fermée. Heureusement, la barrière doit être fermée pour pouvoir démarrer le moteur. Si la barrière est fermée, l’accès à la source de danger est normalement protégé. Si le bouton d’arrêt est défectueux ou si ses contacts sont en court-circuit, la commande d’arrêt est bloquée et ne peut être exécutée. Là encore, si la barrière est fermée, l’accès à la source de danger est normalement protégé.
Les dispositifs de sécurité du système de commande doivent être interfacés avec les dispositifs sans fonction de sécurité. Puisque des défaillances sur les dispositifs de commande de démarrage et d’arrêt ne doivent pas entraîner une perte de la fonction de sécurité, ces dispositifs ne sont pas considérés comme faisant partie du système de sécurité. Ce circuit de démarrage/arrêt/maintien symbolise les dispositifs sans fonction de sécurité du circuit de commande de la machine et il peut être remplacé par un PLC.
La catégorie B donne les fondations pour la conception du système de sécurité. Bien que conception, sélection et installation correctes constituent la base d’un système robuste, de nombreux facteurs peuvent individuellement provoquer la perte du système de sécurité. En portant attention à ces facteurs, il est possible de diminuer ces risques de défaillance cause de danger. L’utilisation de la catégorie B seule ne convient pas pour la plupart des applications de sécurité.
72
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Structure des systèmes de commande de sécurité
Catégorie 1
La catégorie 1 impose que le système soit conforme aux termes de la catégorie B et qu’il utilise des composants de sécurité éprouvés. Qu’est-ce que des composants de sécurité et comment sait-on qu’ils sont éprouvés ? La norme ISO 13849-2 permet de répondre à ces questions pour les systèmes mécaniques, hydrauliques, pneumatiques et électriques.
L’annexe D traite des composants électriques.
Les composants sont considérés comme éprouvés s’ils ont été utilisés avec succès dans de nombreuses applications similaires. Les nouveaux composants de sécurité sont considérés comme éprouvés s’ils ont été conçus et vérifiés en accord avec les normes appropriées.
Composants éprouvés
Interrupteur avec activation en mode positif
(manœuvre positive d’ouverture)
Dispositif d’arrêt d’urgence
Fusible
Disjoncteur
Contacteurs
Contacts mécaniques
Contacteur auxiliaire (p. ex., contacteur, relais de commande, relais guidés réciproquement)
Transformateur
Câble
Verrous
Interrupteur à température
Manomètre à pression
Norme
CEI 60947-5-1
ISO 13850, CEI 60947-5-5
CEI 60269-1
CEI 60947-2
CEI 60947-4-1, CEI 60947-5-1
CEI 60947-5-1
EN 50205
CEI 60204-1, CEI 60947-5-1
CEI 60742
CEI 60204-1
ISO 14119
CEI 60947-5-1
CEI 60947-5-1 + exigences pneumatiques et hydrauliques
Dispositif ou équipement de commutation de commande et de protection
Automate programmable
CEI 60947-6-2
CEI 61508, CEI 62061
Si l’on veut utiliser des composants éprouvés dans un système de catégorie B, ce la signifie remplacer le détecteur de position par un interrupteur à broche à manœuvre positive d’ouverture et cela implique de surdimensionner le contacteur pour une meilleure protection contre le soudage des contacts.
73
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Systèmes de commande de sécurité pour machines
Le schéma montre les
+V
SCP
Démarrage
K1
Aux
L1 L2 L3
SCP modifications apportées au système simple de catégorie B afin d’être conforme à la
Arrêt
K1 catégorie 1. L’e dispositif de verrouillage
Protecteur fermé
Détecteur
à broche
Moteur
(Danger)
OP et le contacteur jouent les rôles clés dans le retrait de l’énergie de l’actionneur, lorsqu’il est
TS
K1
Contacteur nécessaire d’accéder à la source de danger. Le
Terre dispositif de verouillage
à broche est conforme à
Système de sécurité de catégorie 1 simple
la norme CEI 60947-5-1 pour les commandes à manœuvre positive d’ouverture, qui est indiqué par le symbole de la flèche dans le cercle. Avec les composants éprouvés, la probabilité de suppression de l’énergie est plus grande pour la catégorie 1 que pour la catégorie B. L’utilisation de composants éprouvés a pour objet d’empêcher la perte de la fonction de sécurité. Même avec ces améliorations, une seule panne peut tout de même entraîner la perte de la fonction de sécurité.
Peut-on appliquer les mêmes principes au système de catégorie B à base de PLC pour améliorer les performances de sécurité afin d’obtenir une catégorie 1 ? Il y a du pour et du contre. Il est sûr que remplacer tous les détecteurs de position fonctionnant en mode négatif par des commandes à manœuvre positive d’ouverture et en surdimensionnant les contacteurs améliorera la probabilité d’exécution de la fonction de sécurité. Le PLC devient alors le centre d’intérêt. Le PLC a-t-il été utilisé dans beaucoup d’applications similaires ? Le programme relais est-il validé et stable, ou est-il peaufiné en permanence pour l’améliorer et le régler ? Le firmware
(la partie du logiciel que l’utilisateur ne peut pas modifier) a-t-il été révisé récemment ? Quel est l’historique des défaillances matérielles créant un danger dans les nombreuses applications similaires ? Des mesures ont-elles été prises pour éliminer ou réduire ces défaillances à un niveau acceptable ? En théorie, il est possible qu’un PLC puisse être considéré comme un composant éprouvé sur la base d’une structure en fonction elle-même éprouvée. Adopter cette approche pour un dispositif comme un PLC est une tâche importante qui implique de consigner et d’analyser de nombreuses données. Pour simplifier la situation et éviter l’utilisation arbitraire des PLC « ordinaires », la norme ISO 13849-1:1999 stipule que « au niveau des composants
électroniques, il n’est normalement pas possible d’obtenir une catégorie 1 ».
Les catégories B et 1 sont destinées à la prévention. La conception a pour objet d’éviter une situation dangereuse. Lorsque la prévention elle-même ne permet pas une réduction suffisante des risques, la détection de panne doit être utilisée. Les catégories 2, 3 et 4 sont destinées à la détection des pannes, avec des critères plus stricts pour obtenir améliorer la réduction des risques.
74
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Structure des systèmes de commande de sécurité
Catégorie 2
En plus d’être conforme aux critères de la catégorie B et d’utiliser des principes de sécurité
éprouvés, le système de sécurité doit subir des tests pour être conforme à la catégorie 2. Ces tests doivent être conçus pour détecter les pannes dans les composants de sécurité du système de commande. Si aucune panne n’est détectée, le système peut fonctionner. Si des pannes sont détectées, le test doit initier une commande. Lorsque c’est possible, la commande doit amener la machine à un état sécurisé.
Entrée
Câblage
Programme
Câblage
Sortie
Test
Détection de défaut raisonnablement applicable
Sorte test
Le test doit permettre une détection des pannes dont la mise en œuvre est raisonnablement possible. L’équipement de test peut faire partie du système de sécurité ou être un équipement séparé.
Les tests doivent être effectués :
• à la première mise sous tension de la machine,
• avant l’amorçage d’un danger, et
• périodiquement si c’est jugé nécessaire après l’évaluation du risque.
Les mots « lorsque c’est possible » et « raisonnablement possible » indiquent que toutes les pannes ne peuvent pas être détectées. Etant donné qu’il s’agit d’un système à une seule voie
(c’est-à-dire, un fil connecte l’entrée à la logique, puis à la sortie), une seule panne peut provoquer la perte de la fonction de sécurité. Dans certains cas, la catégorie 2 ne peut pas
être complètement appliquée à un système de sécurité ; cela parce que tous les composants ne peuvent pas être vérifiés.
75
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Systèmes de commande de sécurité pour machines
+V
SCP
Démarrage
K1
Aux
L1 L2 L3
Protecteur fermé
Détecteur à broche
Arrêt
Relais de sécurité de surveillance
SCP
K1
OP
TS K1
Contacteur
Moteur
(Danger)
Terre
Système de sécurité de catégorie 2
Le schéma montre un système simple de catégorie 1 amélioré pour être conforme à la catégorie 2. Un relais de surveillance de sécurité effectue les tests. A la mise sous tension, le relais vérifie ses composants internes. Si aucune panne n’est détectée, le relais vérifie l’interrupteur à broche en surveillant le cycle de fonctionnement de ses contacts. Si aucune panne n’est détectée et que la barrière de protection est fermée, le relais de surveillance de sécurité vérifie le dispositif de sortie : les contacts mécaniques du contacteur. Si aucune panne n’est détectée et que le contacteur est désactivé, le relais active sa sortie interne et connecte la bobine de K1 au bouton d’arrêt. A ce moment, les composants standard du système de commande de la machine, le circuit démarrage/arrêt/verrouillage, peuvent arrêter ou démarrer la machine.
L’ouverture de la barrière de protection désactive la sortie du relais de surveillance de sécurité.
Lorsque la barrière est refermée, le relais répète les vérifications du système de sécurité. Si aucune panne n’est détectée, le relais active sa sortie interne. Le relais de surveillance de sécurité permet à ce circuit d’être conforme à a la catégorie 2 en effectuant des tests sur le dispositif d’entrée, le dispositif logique (lui-même) et le dispositif de sortie. Le test est réalisé lors de la première mise sous tension et avant l’amorçage du danger.
Grâce à ses capacités logiques intrinsèques, un système de sécurité à base de PLC peut être conçu pour être conforme à la catégorie 2. Comme indiqué dans la discussion sur la catégorie 1 ci-dessus, la justification du caractère éprouvé du PLC (y compris ses capacités de test) constitue le défi. Pour les systèmes de sécurité complexes qui requièrent un classement de catégorie 2, un PLC de sécurité conforme CEI 61508 doit être soumis pour le PLC standard.
76
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Structure des systèmes de commande de sécurité
+V
SCP
Démarrage
Arrêt
SW1
SW2
SW3
K1 K2
K3
Pour la sécurité
Entrée Programme
Sortie
SCP
TS
TS
K1
TS
K2
K3
Le schéma présente un exemple de système complexe qui utilise un
PLC de sécurité. Un
PLC de sécurité est considéré comme
éprouvé si sa conception est conforme à la norme appropriée. Les contacts mécaniques
Terre
Système de sécurité de catégorie 2 complexe
des contacteurs sont reliés à l’entrée du PLC pour les tests. Ces contacts peuvent être branchés en série à une borne d’entrée ou à des bornes d’entrée individuelles, selon le programme logique.
Bien que des composants de sécurité éprouvés soient utilisés, une seule panne se produisant entre les vérifications peut entraîner la perte de la fonction de sécurité. Par conséquent, les systèmes de catégorie 2 sont utilisés dans les applications présentant un risque faible.
Lorsqu’une tolérance élevée aux défaillances est nécessaire, le système de sécurité doit être conforme à la catégorie 3 ou 4.
Catégorie 3
En plus de la conformité aux exigences de la catégorie B et des principes de sécurité
éprouvés, la catégorie 3 requiert que la fonction de sécurité puisse être exécutée en présence d’une panne. La panne doit être détectée au moment de l’appel ou avant l’appel suivant de la fonction de sécurité, lorsque c’est raisonnablement possible.
Ici également nous trouvons l’expression « lorsque c’est raisonnablement possible ». Ceci couvre les pannes qui ne sont pas détectées. Tant que la panne non détectable ne conduit pas à la perte de la fonction de sécurité, cette fonction peut être conforme à la catégorie 3. Par conséquent, une accumulation de pannes non détectées peut entraîner la perte de la fonction de sécurité.
Entrée
Entrée
Câblage
Câblage
Programme
Programme
Câblage
Sortie
Détection de défaut raisonnablement applicable
Câblage
Sortie
Le schéma explique les principes d’un système de catégorie 3. La redon dance combinée à une surveillance réciproque pouvant raisonnablement
être mise en œuvre et une surveillance des sorties est utilisée pour assurer le bon fonctionnement de la fonction de sécurité.
77
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Systèmes de commande de sécurité pour machines
+V
SCP
Démarrage
Arrêt
K1
Aux
K2
Aux
L1 L2 L3
SCP
Ch2
Ch1
K1
Protecteur fermé Détecteur
à broche
Relais de sécurité de surveillance
Ch1
Ch2
K2
OP
TS
K1 K2
Contacteurs
TS
Moteur
(Danger)
Terre
Système de sécurité de catégorie 3
Le schéma présente un système de catégorie 3 Un jeu de contacts redondant est ajouté à l’interrupteur de sécurité à broche. Le relais de surveillance de sécurité contient en interne des circuits redondants qui se surveillent réciproquement. Un jeu de contacts redondant coupe l’alimentation du moteur. Les contacteurs sont surveillés par le relais de surveillance de sécurité par le biais des contacts mécaniques « raisonnablement possible ».
La détection de panne doit être prise en considération pour chaque partie du système de sécurité, ainsi que pour les connexions (c.-à-d., le système). Quels sont les modes de défaillance d’un interrupteur à broche double voie ? Quels sont les modes de défaillance du relais de surveillance de sécurité ? Quels sont les modes de défaillance des contacteurs K1 et K2 ? Quels sont les modes de défaillance du câblage ?
L’interrupteur de sécurité à broche est conçu avec des contacts à manœuvre positive d’ouverture. Nous savons donc que l’ouverture de la barrière de protection est prévue pour ouvrir un contact soudé. Ceci résout un mode de défaillance. Existe-t-il d’autres modes de défaillance ?
L’interrupteur à manœuvre positive d’ouverture est généralement conçu avec un rappel par ressort. Si la tête est retirée ou cassée, les contacts de sécurité reviennent par l’action du ressort à l’état fermé (sécurisé). De nombreux dispositifs de verrouillage sont conçus avec des têtes amovibles pour faciliter l’installation dans diverses applications. La tête peut être retirée et positionnée dans deux à quatre positions différentes.
Une panne peut se produire si les vis de fixation de la tête ne sont pas serrées correctement.
Dans ce cas, les vibrations de la machine peuvent provoquer le dévissage des vis. La tête de commande, sous la pression du ressort, supprime la pression exercée sur les contacts de
78
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Structure des systèmes de commande de sécurité sécurité et ces contacts se ferment. Par la suite, l’ouverture de la barrière de protection n’ouvre pas les contacts de sécurité et une panne se produit avec création d’un danger.
Le mécanisme de fonctionnement à l’intérieur du dispositif de verrouillage doit également être examiné. Quelle est la probabilité que la panne d’un seul composant entraîne la perte de la fonction de sécurité ? La réponse à ces questions sera donnée plus tard étant donné qu’une durée moyenne de fonctionnement avant défaillance dangereuse, le champ d’application des diagnostics et une fraction de panne sans danger doivent être fournis pour compléter les connaissances nécessaires afin d’assurer le bon fonctionnement de la fonction de sécurité.
Une pratique courante consiste à utiliser des interrupteurs à broche avec double contacts dans les circuits de catégorie 3. Cet usage doit être basé sur l’exclusion de l’échec d’ouverture des contacts de sécurité par l’interrupteur. Ceci est considéré comme une « exclusion de défaillance » et est abordé plus loin dans ce chapitre.
Un relais de surveillance de sécurité électromécanique est un dispositif peu complexe souvent
évalué par un organisme tiers et reçoit une classification de catégorie. Les capacités du relais incluent souvent la double voie, la surveillance de dispositif externe et la protection contre les courts-circuits. Aucune norme spécifique n’est écrite sur la façon de concevoir ou d’utiliser les relais de surveillance de sécurité. Ces relais sont évalués pour leur capacité à exécuter la fonction de sécurité selon la norme ISO 13849-1 ou la norme précédente EN 954-1. Pour être conforme à la catégorie de sécurité d’un système, le relais doit avoir au moins la même classification.
Deux contacteurs permettent de s’assurer que la fonction de sécurité est remplie par les dispositifs de sortie. Avec la protection contre les surcharges et les courts-circuits, la probabilité de panne du contacteur à cause du soudage de contacts est faible, mais pas impossible. Un contacteur peut également tombé en panne à cause de ses contacts de commutation de puissance en raison du blocage de son armature. Si un contacteur tombe en panne en créant un danger, le deuxième contacteur coupe l’alimentation de la source de danger. Le relais de surveillance de sécurité détecte le contacteur défaillant lors du cycle suivant de la machine. Lorsque la barrière de protection est fermée et que le bouton de démarrage est enfoncé, les contacts mécaniques du contacteur défaillant restent ouverts et le relais de surveillance de sécurité ne peut pas fermer ses contacts de sécurité, ce qui met en
évidence la panne.
Pannes non détectées
Comme indiqué plus haut, certaines pannes ne peuvent pas être détectées. Ces pannes n’entraîne pas à elles seules la perte de la fonction de sécurité. Lors de l’évaluation des pannes, il faut poser certaines questions. Selon la réponse à la première question, la question suivante diffère : Première question : La panne peut-elle être détectée ?
Si la réponse est oui, il faut alors savoir si cette détection est immédiate ou lors de la requête suivante. Il faut également savoir si elle peut être masquée (c.-à-d., effacée) par un autre dispositif.
79
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Systèmes de commande de sécurité pour machines
Si la réponse est non, la panne a-t-elle entraîné la perte de la fonction de sécurité ? Une panne ultérieure peut-elle entraîner la perte de la fonction de sécurité ?
+V
SCP
Défaut de câblage dans le système
SW1 SW2 SW3
Ch2
Démarrage
Arrêt
Ch1
Relais de sécurité de surveillance
Ch1
Ch2
K1
Aux
K2
Aux
L1 L2 L3
SCP
K1
K2
OP
TS
K1 K2
TS Moteur
(Danger)
Terre
Montage en série de capteurs
Contacteurs
Le schéma montre une approche couramment utilisée pour connecter plusieurs dispositifs à un relais de surveillance de sécurité. Chaque dispositif contient deux contacts à manœuvre positive d’ouverture normalement ouverts. Ces dispositifs peuvent être une combinaison de dispositifs de verrouillage ou de boutons d’arrêt d’urgence. Cette approche permet de réduire le coût du câblage puisque les capteurs sont montés en série. Supposons qu’un court-circuit se produise sur l’un des contacts, peut-il être détecté ?
Lorsque les interrupteurs Sw1 et Sw3 sont ouverts, le relais de surveillance de sécurité coupe l’alimentation de la source de danger. Lorsque Sw1 et Sw3 sont fermés, la source de danger peut être redémarrée en appuyant sur le bouton de démarrage. Pendant ces actions, la panne n’a pas été détectée mais elle n’a pas entraîné la perte de la fonction de sécurité. Quand est-il lorsque Sw2 est ouvert ?
Lorsque Sw2 s’ouvre, Ch1 s’ouvre et Ch2 reste fermé. Le relais de surveillance de sécurité met la source de danger hors tension parce que Ch1 s’est ouvert. Lorsque Sw2 ferme. le moteur ne peut pas être démarré lorsque l’on appuie sur le bouton de démarrage, ceci parce que Ch2 ne s’est pas ouvert. La panne est détectée. La faiblesse de ce concept est que l’interrupteur Sw1 ou Sw3 peut être ouvert ou fermé et masquer la panne. Une panne ultérieure (un court-circuit sur le deuxième contact ou sur Sw2) entraîne la perte de la fonction de sécurité. La connexion en série des contacts mécaniques est limitée à la catégorie 3 puisqu’elle peut conduire à la perte de la fonction de sécurité en raison d’une accumulation de pannes.
80
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Structure des systèmes de commande de sécurité
L1 L2 L3
+V
SCP
Arrêt d’urgence
24 V c.c.
Démarrage
Arrêt
Alim. de commande de barrière
Ch1
Terre
Ch2
Relais de sécurité de surveillance
Ch1
Ch2
Comm
Activation
Circuit de commande de barrière
Variateur de fréquence de sécurité
Moteur
(Danger)
Variateurs de sécurité avec dispositif d’arrêt d’urgence de catégorie 3
Le schéma montre un circuit de catégorie 3 qui utilise un variateur de fréquence de sécurité.
Les développements récents de la technologie des variateurs, combinés à l’actualisation des normes électriques, permettent d’utiliser des variateurs de sécurité dans les circuits d’arrêt d’urgence sans avoir besoin de rupteur électromécanique de l’actionneur (p. ex., le moteur).
Un appui sur le dispositif d’arrêt d’urgence ouvre les sorties du relais de surveillance de sécurité.
Ceci envoie un signal d’arrêt au variateur, supprime le signal de validation et ouvre l’alimentation de commande de la barrière. Le variateur exécute un arrêt de catégorie 0 – coupure immédiate de l’alimentation du moteur. Le variateur est classé catégorie 3 parce qu’il possède des signaux redondants pour couper l’alimentation du moteur : le signal de validation et un relais guidé réciproquement. Le relais guidé réciproquement fournit un retour à l’actionneur. Le variateur lui-même est analysé pour vérifier qu’une seule panne n’entraîne pas la perte de la fonction de sécurité.
81
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Systèmes de commande de sécurité pour machines
+V
SCP
Démarrage
K1
Aux
K2
Aux
L1 L2 L3
SCP
Ch2
Ch1
Arrêt
K1
Protecteur fermé Détecteur
à broche
Relais de sécurité de surveillance
Ch1
Ch2
K2
OP
Terre
TS
K1 K2
Contacteurs
TS
Moteur
(Danger)
Défaut de câblage dans le système
Exemple de panne de câblage
Le schéma montre un exemple de panne du câblage, un court-circuit, entre la sortie de sécurité de la voie 2 du relais de surveillance de sécurité et la bobine du contacteur K1. Tous les composants fonctionnent correctement. Cette panne du câblage peut se produire avant la mise en service de la machine ou plus tard pendant les opérations de maintenance ou le mise
à niveau.
Cette panne peut-elle être détectée ?
Dans cette exemple, la panne ne peut pas être détectée par le système de sécurité.
Heureusement, elle n’entraîne pas la perte de la fonction de sécurité. Cette panne, tout comme la panne entre Ch1 et K2, doit être détectée pendant les opérations de mise en service.
82
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Structure des systèmes de commande de sécurité
+V
SCP
Démarrage
K1
Aux
K2
Aux
L1 L2 L3
SCP
Ch2
Ch1
Arrêt
K1
Protecteur fermé Détecteur
à broche
Relais de sécurité de surveillance
Ch1
Ch2
K2
OP
Terre
TS
K1 K2
Contacteurs
TS
Moteur
(Danger)
Deux défauts de câblage dans le système
Deux pannes entraînent la perte de la fonction de sécurité
Le schéma montre une deuxième panne qui entraîne la perte de la fonction de sécurité. C’est un court-circuit entre le relais de surveillance de sécurité et le bouton de démarrage. A la mise sous tension, avec la barrière de protection fermée, ces deux pannes ne sont pas détectées.
Un appui sur le bouton de démarrage amorce le danger. L’ouverture de la barrière de protection n’arrête pas la source de danger.
83
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Systèmes de commande de sécurité pour machines
+V
SCP
Emetteur Récepteur
OSSD1
OSSD2
Démarrage
Un défaut de câblage entre voies dans le système
K1
Aux
K2
Aux
L1 L2 L3
SCP
Arrêt
K1
Relais de sécurité de surveillance
Ch1
Ch2
K2
OP
TS
K1 K2
Terre
Contacteurs
Panne de câblage entre voies avec barrières immatérielles
TS
Moteur
(Danger)
Le schéma montre un exemple de système de sécurité avec barrières immatérielles (sorties
OSSD)
Le système de sécurité peut-il détecter cette panne ?
Le relais de surveillance de sécurité ne peut pas détecter cette panne parce que les deux entrées sont +V. Dans cet exemple, la panne du câblage est détectée par la barrière immatérielle. Certaines barrières immatérielles utilisent une technique de détection de panne appelée test par impulsion. Avec ces barrières, la détection de la panne est immédiate et la barrière immatérielle arrête ses sorties. Dans d’autres barrières, la détection se fait lorsque la barrière immatérielle est initialisée. Lorsqu’elle tente d’activer ses sorties, la panne est détectée et les sorties restent désactivées. Dans les deux cas, la source de danger reste désactivée en présence de la panne.
Détection de panne avec test par impulsion
Les circuits de sécurité sont conçus pour transporter le courant lorsque le système de sécurité est actif et que la source de danger est protégée. Le test par impulsion est une technique dans laquelle le courant du circuit chute à zéro pendant une très courte période. La durée est trop courte pour que le circuit de sécurité réagisse et désactive la source de danger, mais elle est suffisamment longue pour être détectée par un système à microprocesseur. Les impulsions sur les voies sont décalées les unes par rapport aux autres. Si un court-circuit se produit, le microprocesseur détecte les impulsions sur les deux voies et initie une commande pour arrêter la source de danger.
84
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Structure des systèmes de commande de sécurité
Catégorie 4
Comme la catégorie 3, la catégorie 4 requiert que le système soit conforme à la catégorie B et qu’il utilise les principes de sécurité et exécute la fonction de sécurité en présence d’une seule panne. A l’inverse de la catégorie 3 pour laquelle une accumulation de pannes entraîne la perte de la fonction de sécurité, la catégorie 4 requiert que la fonction de sécurité puisse être exécutée, même en présence de plusieurs pannes. Lorsque l’on parle d’accumulation de pannes, 2 pannes peuvent être suffisantes, mais 3 peuvent être nécessaires pour certains systèmes.
Entrée
Entrée
Câblage
Programme
Câblage
Câblage
Programme
Surveillance obligatoire pour la détection des défauts
Câblage
Sortie
Sortie
L’illustration montre le schéma fonctionnel de la catégorie 4. La surveillance des deux dispositifs de sortie et la surveillance réciproque sont nécessaires en tout temps, pas uniquement lorsque c’est raisonnablement possible. Ceci permet de différencier la catégorie 4 de la catégorie 3.
+V
SCP
Protecteur fermé Détecteur
à broche
Démarrage
Arrêt
Ch2
Ch1
Relais de sécurité de surveillance
Ch1
Ch2
TS
Terre
K1 K2
Contacteurs
K1
Aux
K2
Aux
TS
L1 L2 L3
SCP
Moteur
(Danger)
K1
K2
OP
Catégorie 4 avec exclusion de pannes pour interrupteur à broche
Le schéma montre un exemple de circuit de catégorie 4 qui utilise l’exclusion de panne pour l’interrupteur à broche. L’exclusion de panne permet de ne pas prendre en considération la défaillance d’ouverture des contacts de l’interrupteur à broche. L’exclusion de panne doit avoir une justification technique et doit être identifiée. Cette justification doit prendre en
85
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Systèmes de commande de sécurité pour machines considération la vitesse de l’actionneur, la position de l’actionneur, les dispositifs d’arrêt mécaniques et une tête de commande sécurisée.
Si le concepteur du système de sécurité préfère utiliser des interrupteurs à broche mais ne désir par utiliser l’exclusion de panne sur ces interrupteurs, les deux interrupteurs à broche peuvent être utilisés pour la conformité à la catégorie 4. Le relais de surveillance de sécurité lui-même doit être conforme à la catégorie 4, et les deux contacteurs de sortie, qui utilisent des contacts mécaniques, doivent être surveillés.
Une diversité peut être appliquée pour réduire encore plus la probabilité de perte de la fonction de sécurité en raison du mode commun ou de la cause d’origine commune de défaillances, l’un des interrupteurs de sécurité à broche peut être converti au mode négatif. Un interrupteur fonctionnant en mode négatif est acceptable si un deuxième interrupteur utilise des contacts à manœuvre positive d’ouverture. Le schéma suivant montre un exemple de cette approche diversifiée. Avec cette approche, le relais de surveillance de sécurité doit être prévu pour accepter les entrées normalement ouvertes et normalement fermées.
Mode négatif
+V
SCP
Ch1
Démarrage
Arrêt
K1
Aux
K2
Aux
L1 L2 L3
SCP
K1
Relais de sécurité de surveillance
Ch1
Ch2
Protecteur fermé Interrupteurs
à broche
Ch2
TS
K1 K2
Terre
Contacteurs
Catégorie 4 avec divers interrupteurs à broche redondants
TS Moteur
(Danger)
K2
OP
Caractéristiques nominales des composants et du système
La norme ISO 13849-1 requiert des caractéristique nominales aussi bien pour les composants et que pour le système. Ceci génère une certaine confusion qu’il est possible de clarifier par la compréhension des composants et de leurs capacités. Il est possible d’utiliser un composant de catégorie 1 dans un système de catégorie 2, 3 ou 4, selon l’architecture du système.
86
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Structure des systèmes de commande de sécurité
Les catégories B et 1 sont définies comme des catégories basées sur la prévention, alors que les catégories 2, 3 et 4 sont décrites comme des catégories basées sur la détection. Ces catégories sont appliquées en fonction des composants, mais également selon le système.
Le système de sécurité type est constitué d’un interrupteur de sécurité, d’un relais de sécurité et d’un contacteur de sécurité. L’interrupteur et le contacteur sont classés catégorie 1 parce qu’il ne servent qu’à la prévention. Il utilisent les principes de sécurité mais n’exécute aucune détection ou auto-vérification. Ces dispositifs peuvent être utilisés pour la redondance dans les systèmes de catégories 3 et 4, dans le cas où le dispositif logique se charge de la détection.
Les dispositifs logiques ne servent pas qu’à la prévention, ils servent également à la détection.
Ils font une auto-vérification interne pour assurer un fonctionnement correct. Par conséquent, les relais de surveillance de sécurité et les automates de sécurité programmables ont des caractéristiques conformes aux catégories 2, 3 ou 4.
Considérations sur les pannes et exclusions
L’analyse de sécurité requiert une analyse approfondie des pannes et une bonne compréhension du fonctionnement du système de sécurité en présence de pannes le cas échéant. Les normes
ISO 13849-1 et ISO 13849-2 fournissent des détails sur les critères et les exclusions des pannes.
Si une panne résulte de la défaillance ultérieure d’un composant, la première panne et toutes les pannes ultérieures sont considérées comme une seule panne.
Si plusieurs pannes résultent d’une seule cause, ces pannes sont considérées comme une seule panne. Ceci s’appelle une panne d’origine commune.
L’apparition de plusieurs pannes en même temps est considérée comme très improbable et n’est pas prise en compte dans cette analyse. Dans l’hypothèse de base, une seule panne se produit entre les requêtes soumises au système de sécurité.
Lorsque les composants et les systèmes sont conçus selon les normes appropriées, l’apparition de la panne peut être exclue. Par exemple, la défaillance d’ouverture des contacts normalement fermés peut être exclue si l’interrupteur est conforme à la norme CEI 60947-5-1, annexe K. La norme ISO 13849-2 fournit une liste des exclusions de pannes.
87
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Systèmes de commande de sécurité pour machines
Systèmes avec arrêts de catégorie 1
Tous les exemples précédents ont présenté des dispositifs d’arrêt de catégorie 0 (coupure immédiate de l’alimentation des actionneurs). Un dispositif d’arrêt de catégorie 1 (activer le freinage jusqu’à l’arrêt, puis couper l’alimentation de l’actionneur) est obtenu avec une sortie temporisée. Une barrière muni d’interrupteurs de sécurité accompagne souvent un dispositif d’arrêt de catégorie 1. Ceci permet de maintenir la barrière en position fermée jusqu’à ce que la machine soit dans un état de sécurité (c.-à-d., arrêtée).
Arrêter une machine sans prendre en considération l’automate programmable peut affecter le redémarrage et peut entraîner une détérioration grave des outils et de la machine. Il n’est pas possible de réaliser un arrêt de sécurité uniquement avec un PLC standard (sans sécurité) ; il faut donc considérer d’autres approches.
Trois solutions possibles sont proposées ci-après :
1. Automates programmables de sécurité
Utilisez un PLC avec un niveau d’intégrité de sécurité suffisamment élevé pour une utilisation de sécurité. En pratique, cela est possible en utilisant un PLC de sécurité comme GuardLogix pour la commande de sécurité et standard.
2. Relais de sécurité avec commande de contournement temporisée
Un relais de sécurité avec sorties immédiates et temporisées est utilisé (p. ex. MSR138DP).
Les sorties à action immédiate sont raccordées aux entrées du dispositif programmable
(automate programmable, par exemple) et les sorties temporisées au contacteur. Lorsque l’interrupteur de sécurité est actionné, les sorties immédiates du relais de sécurité commutent, signalant au système programmable de procéder à un arrêt correctement séquencé. Suite à un délai suffisant autorisant l’opération, la sortie temporisée du relais de sécurité commute pour couper le contacteur principal.
Remarque : Tout calcul pour déterminer le temps d’arrêt complet doit prendre en compte le délai de temporisation des sorties du relais de sécurité. C’est particulièrement important lorsque ce facteur est utilisé pour déterminer le positionnement des dispositifs en conformité avec le calcul de la distance de sécurité.
3. Dispositifs de verrouillage programmables commandés par le système
Cette solution offre le même niveau élevé de sécurité qu’un circuit câblé, tout en assurant un arrêt immédiat correctement séquencé, mais elle n’est applicable que lorsque le phénomène dangereux est protégé par une protection.
Pour que l’ouverture de la barrière de protection soit autorisée, l’électro-aimant de l’interrupteur de verrouillage doit recevoir un signal de déclenchement de la part de l’automate programmable. Ce signale n’est donné qu’après une séquence de commande
88
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Structure des systèmes de commande de sécurité d’arrêt terminée, afin de diminuer le risque de détérioration d’outil ou de perte de programme. Lorsque l’électro-aimant est activé, la barrière peut être ouverte. Le contacteur de la machine est interrompu par les contacts du circuit de commande de l’interrupteur de verrouillage. Pour surmonter les ralentissements machine ou les faux signaux de déclenchement, il peut être nécessaire d’associer à l’automate programmable une unité de temporisation (p. ex., MSR178DP) ou un détecteur d’arrêt de mouvement
(p. ex., CU2).
Exigences pour les systèmes de commande de sécurité aux Etats-Unis
Les exigences relatives aux systèmes de commande de sécurité aux Etats-Unis se trouvent dans différentes normes, mais deux documents se dégagent : ANSI B11.TR3 et ANSI R15.06.
Le rapport technique ANSI B11.TR3 définit quatre niveaux qui sont caractérisés par le niveau de réduction des risques qu’ils fournissent.
Ci-dessous, les exigences de chaque niveau.
Niveau de réduction des risques le plus faible
Dans la norme ANSI B11.TR3, les protections qui fournissent le plus faible niveau de réduction des risques incluent les dispositifs électriques, électroniques, hydrauliques ou pneumatiques et les systèmes de commande associés qui utilisent une configuration à une seule voie. Implicite dans la liste des exigences, est l’obligation d’utilisation des dispositifs de sécurité. Ceci est très proche de la catégorie 1 de la norme ISO 13849-1.
Niveau de réduction faible/intermédiaire des risques
Dans la norme ANSI B11.TR3, les protections qui fournissent une réduction faible/ intermédiaire des risques incluent les systèmes de commande redondants pour lesquels le bon fonctionnement du système de sécurité peut être vérifié manuellement. Si l’on regarde uniquement les exigences de base, le système doit utiliser une redondance simple. L’utilisation d’une fonction de vérification n’est pas obligatoire. Sans fonction de vérification, l’un des composants de sécurité redondants peut tomber en panne et le système de sécurité ne s’en aperçoit pas. Ceci résulte en un système à une seule voie. Ce niveau de réduction des risques s’accorde le mieux avec la catégorie 2 lorsque la vérification est utilisée.
Niveau de réduction élevé/intermédiaire des risques
Dans la norme ANSI B11.TR3, les protections qui fournissent une réduction élevée/intermédiaire des risques incluent les systèmes de commande redondants avec auto-vérification au démarrage pour confirmer le bon fonctionnement du système de sécurité. Pour les machines devant être démarrées chaque jour, l’auto-vérification est une amélioration significative pour l’intégrité de la sécurité par rapport au système purement redondant. Pour les machines qui fonctionnent 24/24 h
7 jours sur 7, l’auto-vérification n’est qu’une amélioration marginale. L’utilisation de la surveillance du système de sécurité permet d’être conforme à la catégorie 3.
89
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Systèmes de commande de sécurité pour machines
Niveau de réduction des risques le plus élevé
La norme ANSI B11.TR3 permet le niveau le plus élevé de réduction des risques pour les systèmes de commande redondants et avec auto-vérification permanente. L’auto-vérification doit vérifier le bon fonctionnement du système de sécurité. Le défi du concepteur du système de sécurité est de déterminer ce qui est permanent. De nombreux systèmes de sécurité exécutent leurs vérifications su démarrage et lorsqu’une requête est soumise au système de sécurité.
A l’inverse, certains composants exécutent une auto-vérification en permanence. Les barrières immatérielles, par exemple, activent et désactivent séquentiellement leurs voyants. Etant donné que l’auto-vérification est permanente, si une panne se produit, la barrière immatérielle désactive ses sorties avant qu’une requête ne soit soumise au système de sécurité. Les relais et PLC de sécurité à microprocesseurs sont d’autres composants qui exécutent une vérification permanente.
L’exigence d’une auto-vérification « permanente » du système de commande n’a pas pour objectif de limiter le choix des composants aux barrières immatérielles et aux dispositifs logiques à microprocesseurs. La vérification doit se faire au démarrage et après chaque requête soumise au système de sécurité. Ce niveau de réduction des risques a pour objectif la conformité avec la catégorie 4 de la norme ISO 13849-1.
Normes pour robots : Etats-Unis/Canada
Les normes pour robots aux Etats-Unis (ANSI RIA R15.06) et au Canada (CSA Z434-03) sont similaires. Les deux ont quatre niveaux, qui sont similaires aux catégories de la norme
EN 954-1:1996.
Simple
A ce niveau le plus faible, les systèmes de commande de sécurité simples doivent être conçus et fabriqués avec des circuits à une seule voie validés ; ils peuvent également être programmables. Au Canada, ce niveau est également limité aux utilisations de signalisation et d’indication. Le défi du concepteur du système de sécurité est de déterminer ce qui est
« validé ». Qu’est-ce qu’un système à une voie validé ? Pour qui ce système est-il validé ?
Le niveau Simple est le plus proche de la catégorie B de la norme EN 954-1:1996.
Voie unique
Le niveau suivant est un système de commande de sécurité simple voie qui
• est basé sur le matériel ou est un dispositif logiciel/firmware de sécurité ;
• inclut des composants de sécurité ;
• est utilisé dans le respect des recommandations du fabricant ; et
• utilise une configuration à circuit ouvert.
90
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Structure des systèmes de commande de sécurité
Un exemple de circuit validé est un dispositif à ouverture positive électromécanique à simple voie qui signale un arrêt en mode désactivé. Etant un système à une voie, la panne d’un seul composant peut entraîner la perte de la fonction de sécurité. Le niveau Simple se rapproche le plus de la catégorie 1 de la norme EN 954-1:1996.
Dispositif logiciel/firmware de sécurité
Bien que les systèmes matériels aient été la méthode privilégiée pour fournir une protection aux robots, les dispositifs logiciels/firmware deviennent un choix répandu en raison de leur capacité
à prendre en charge des systèmes complexes. Les dispositifs logiciels/firmware (PLC ou automates de sécurité) sont autorisés à condition d’être des dispositifs de sécurité. Cette classification requiert que la défaillance d,un seul composant ou firmware de sécurité n’entraîne pas la perte de la fonction de sécurité. Lorsqu’un défaut est détecté, le fonctionnement automatique ultérieur du robot est empêchée jusqu’à ce que le défaut soit effacé.
Pour être classé dispositif de sécurité, un laboratoire agréé doit tester le dispositif logiciel/ firmware pour une norme approuvée. Aux Etats-Unis, l’OSHA tient à jour une liste des laboratoires d’essai agréés au niveau national. Au Canada, le Conseil canadien des normes
(CCN) tient à jour une liste similaire.
Voie unique avec surveillance
Les systèmes de commande de sécurité à une voie avec surveillance doivent se conformer aux exigences liées à la voie unique : avoir une classification de sécurité et utiliser la vérification.
La vérification de la fonction de sécurité doit être exécutée au démarrage de la machine et à intervalles réguliers pendant le fonctionnement. La vérification automatique est préférable à la vérification manuelle.
La vérification permet le fonctionnement si aucune panne n’a été détectée ou elle génère un signal d’arrêt si elle détecte une panne. Un avertissement doit être émis si un danger demeure après la fin du mouvement. Bien sûr, la vérification elle-même ne doit pas créer une situation dangereuse. Après la détection de la panne, le robot doit rester dans son état de sécurité jusqu’à ce que la panne soit corrigée.
Le niveau voie unique avec surveillance se rapproche le plus de la catégorie 2 de la norme
EN 954-1:1996.
Fiabilité de commande
Le niveau le plus élevé de réduction des risques pour les robots aux Etats-Unis et au Canada est obtenu par les systèmes de commande de sécurité conformes aux exigences de fiabilité de commande. Les systèmes de commande de sécurité avec fiabilité de commande sont des architectures double voie avec surveillance. La fonction d’arrêt du robot ne doit pas être bloquée par la panne d’un seul composant, y compris la fonction de surveillance.
91
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Systèmes de commande de sécurité pour machines
La fonction de surveillance doit générer une commande d’arrêt lors de la détection d’une panne. Un avertissement doit être émis si un danger demeure après la fin du mouvement.
Le système de sécurité doit rester en état de sécurité jusqu’à la correction de la panne.
Il est préférable que la panne soit détectée lorsqu’elle se produit. Si cela n’est pas possible, la défaillance doit être détectée lors de la requête suivante soumise au système de sécurité.
Les défaillances en mode commun doivent être prises en considération s’il existe une probabilité significative qu’une telle défaillance se produise.
Au Canada, il existe deux exigences supplémentaires par rapport aux Etats-Unis. Premièrement, le système de commande de sécurité doit être indépendant des systèmes de commande du programme normal. Deuxièmement, les système de sécurité ne doit pas être facile à contourner sans que cela soit détecté.
Les systèmes avec fiabilité de commande se rapprochent des catégories 3 et 4 de la norme
EN 954-1:1996.
Commentaires sur la fiabilité de commande
L’aspect le plus fondamental de la fiabilité de commande est la tolérance aux pannes. Les exigences décrivent comment le système de sécurité doit répondre en présence d’une
« panne unique », « toute panne unique » ou « toute défaillance d’un composant unique ».
Trois concepts importants doivent être pris en considération : (1) toutes les pannes ne sont pas détectées, (2) l’ajout du mot « composant » soulève des questions sur le câblage et (3) le câblage fait partie intégrante du système de sécurité. Les pannes du câblage peuvent entraîner la perte d’une fonction de sécurité.
L’objectif de la fiabilité de commande est clairement l’exécution de la fonction de sécurité en présence d’une panne. Si la panne est détectée, le système de sécurité doit exécuter une action de sécurité, avertir de la panne et empêcher le fonctionnement de la machine jusqu’à ce que la panne soit corrigée. Si la panne n’est pas détectée, la fonction de sécurité doit quand même être exécutée si une requête est soumise.
92
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
Link público atualizado
O link público para o seu chat foi atualizado.
