SIRIUS Safety Integrated...Manuel d'application 10/2014 A5E33346617002A/RS-AA/001 Introduction 1 Technique de sécurité - Généralités 2 Exemples d'application 3 Prescriptions et

Manuel d'application

Appareillage industrielSIRIUS Safety Integrated

Édition 10/2014

Answers for industry.

Manuel d'applications Safety Integrated

___________________

___________________

___________________

___________________

_________ ___________________

Appareillage industriel

SIRIUS Manuel d'applications Safety Integrated

Manuel d'application

10/2014 A5E33346617002A/RS-AA/001

Introduction 1

Technique de sécurité - Généralités

2

Exemples d'application 3

Prescriptions et normes 4

Spécification et conception des parties des systèmes de commande relatives à la sécurité

5

Service & Support 6

Siemens AG Division Digital Factory Postfach 48 48 90026 NÜRNBERG ALLEMAGNE

3ZX1012-0SK11-1AD1 Ⓟ 10/2014 Sous réserve de modifications

Copyright © Siemens AG 2013 - 2014. Tous droits réservés

Mentions légales Signalétique d'avertissement

Ce manuel donne des consignes que vous devez respecter pour votre propre sécurité et pour éviter des dommages matériels. Les avertissements servant à votre sécurité personnelle sont accompagnés d'un triangle de danger, les avertissements concernant uniquement des dommages matériels sont dépourvus de ce triangle. Les avertissements sont représentés ci-après par ordre décroissant de niveau de risque.

DANGER signifie que la non-application des mesures de sécurité appropriées entraîne la mort ou des blessures graves.

ATTENTION signifie que la non-application des mesures de sécurité appropriées peut entraîner la mort ou des blessures graves.

PRUDENCE signifie que la non-application des mesures de sécurité appropriées peut entraîner des blessures légères.

IMPORTANT signifie que la non-application des mesures de sécurité appropriées peut entraîner un dommage matériel.

En présence de plusieurs niveaux de risque, c'est toujours l'avertissement correspondant au niveau le plus élevé qui est reproduit. Si un avertissement avec triangle de danger prévient des risques de dommages corporels, le même avertissement peut aussi contenir un avis de mise en garde contre des dommages matériels.

Personnes qualifiées L’appareil/le système décrit dans cette documentation ne doit être manipulé que par du personnel qualifié pour chaque tâche spécifique. La documentation relative à cette tâche doit être observée, en particulier les consignes de sécurité et avertissements. Les personnes qualifiées sont, en raison de leur formation et de leur expérience, en mesure de reconnaître les risques liés au maniement de ce produit / système et de les éviter.

Utilisation des produits Siemens conforme à leur destination Tenez compte des points suivants:

ATTENTION Les produits Siemens ne doivent être utilisés que pour les cas d'application prévus dans le catalogue et dans la documentation technique correspondante. S'ils sont utilisés en liaison avec des produits et composants d'autres marques, ceux-ci doivent être recommandés ou agréés par Siemens. Le fonctionnement correct et sûr des produits suppose un transport, un entreposage, une mise en place, un montage, une mise en service, une utilisation et une maintenance dans les règles de l'art. Il faut respecter les conditions d'environnement admissibles ainsi que les indications dans les documentations afférentes.

Marques de fabrique Toutes les désignations repérées par ® sont des marques déposées de Siemens AG. Les autres désignations dans ce document peuvent être des marques dont l'utilisation par des tiers à leurs propres fins peut enfreindre les droits de leurs propriétaires respectifs.

Exclusion de responsabilité Nous avons vérifié la conformité du contenu du présent document avec le matériel et le logiciel qui y sont décrits. Ne pouvant toutefois exclure toute divergence, nous ne pouvons pas nous porter garants de la conformité intégrale. Si l'usage de ce manuel devait révéler des erreurs, nous en tiendrons compte et apporterons les corrections nécessaires dès la prochaine édition.

Manuel d'applications Safety Integrated Manuel d'application, 10/2014, A5E33346617002A/RS-AA/001 5

Sommaire

1 Introduction ............................................................................................................................................. 9

2 Technique de sécurité - Généralités ...................................................................................................... 11

2.1 Terminologie de base ............................................................................................................. 11

2.2 Généralités .............................................................................................................................. 14 2.2.1 Objectifs de la technique de sécurité ...................................................................................... 14 2.2.2 Lois locales ............................................................................................................................. 14 2.2.3 Sécurité fonctionnelle.............................................................................................................. 15 2.2.4 Objectifs de la normalisation ................................................................................................... 15 2.2.5 Fonctions relatives à la sécurité ............................................................................................. 16 2.2.6 Mise à l'arrêt ............................................................................................................................ 16 2.2.7 Action en cas d'urgence .......................................................................................................... 17 2.2.8 Coupure d'urgence ................................................................................................................. 17 2.2.9 Arrêt d'urgence........................................................................................................................ 18 2.2.10 Fonction de sécurité ................................................................................................................ 19 2.2.11 Sélecteur de mode .................................................................................................................. 19 2.2.12 Raccordement d'actionneurs .................................................................................................. 20 2.2.13 Montage en série de capteurs ................................................................................................ 22

3 Exemples d'application .......................................................................................................................... 23

3.1 Introduction ............................................................................................................................. 23

3.2 Arrêt d'urgence........................................................................................................................ 26 3.2.1 Introduction ............................................................................................................................. 26 3.2.2 Coupure d'arrêt d'urgence jusqu'à SIL 1 ou PL c avec un bloc logique de sécurité .............. 28 3.2.3 Coupure d'arrêt d'urgence jusqu'à SIL 1 ou PL c avec un système de sécurité

modulaire ................................................................................................................................ 30 3.2.4 Coupure d'arrêt d'urgence jusqu'à SIL 3 ou PL e avec un bloc logique de sécurité .............. 32 3.2.5 Coupure d'arrêt d'urgence jusqu'à SIL 3 ou PL e avec un système de sécurité

modulaire ................................................................................................................................ 34 3.2.6 Coupure d'arrêt d'urgence jusqu'à SIL 3 ou PL e avec des départs-moteurs de

sécurité et un bloc logique de sécurité ................................................................................... 36 3.2.7 Coupure d'arrêt d'urgence jusqu'à SIL 3 ou PL e avec des départs-moteurs de

sécurité et un système de sécurité modulaire ........................................................................ 38 3.2.8 Coupure d'arrêt d'urgence via AS-i jusqu'à SIL 3 ou PL e avec un système de sécurité

modulaire ................................................................................................................................ 42

3.3 Surveillance de protecteur mobile .......................................................................................... 44 3.3.1 Introduction ............................................................................................................................. 44 3.3.2 Surveillance de protecteur mobile jusqu'à SIL 1 ou PL c avec un bloc logique de

sécurité ................................................................................................................................... 52 3.3.3 Surveillance de protecteur mobile jusqu'à SIL 1 ou PL c avec un système de sécurité

modulaire ................................................................................................................................ 54 3.3.4 Surveillance de protecteur mobile jusqu'à SIL 3 ou PL e avec un bloc logique de

sécurité ................................................................................................................................... 56 3.3.5 Surveillance de protecteur mobile jusqu'à SIL 3 ou PL e avec un système de sécurité

modulaire ................................................................................................................................ 58

Sommaire

Manuel d'applications Safety Integrated 6 Manuel d'application, 10/2014, A5E33346617002A/RS-AA/001

3.3.6 Surveillance de protecteur mobile jusqu'à SIL 3 ou PL e avec un départ-moteur de sécurité et un bloc logique de sécurité .................................................................................. 60

3.3.7 Surveillance de protecteur mobile jusqu'à SIL 3 ou PL e avec un départ-moteur de sécurité et un système de sécurité modulaire ....................................................................... 62

3.3.8 Surveillance de protecteur mobile via AS-i jusqu'à SIL 3 ou PL e avec un système de sécurité modulaire .................................................................................................................. 64

3.3.9 Surveillance de protecteur mobile par interrupteur RFID jusqu'à SIL 3 ou PL e avec un bloc logique de sécurité ......................................................................................................... 66

3.3.10 Surveillance de protecteur mobile par interrupteur RFID jusqu'à SIL 3 ou PL e avec un système de sécurité modulaire .............................................................................................. 68

3.3.11 Surveillance de protecteur mobile à interverrouillage jusqu'à SIL 2 ou PL d avec un bloc logique de sécurité ......................................................................................................... 70

3.3.12 Surveillance de protecteur mobile à interverrouillage jusqu'à SIL 2 ou PL d avec un système de sécurité modulaire .............................................................................................. 72

3.4 Surveillance de zones de danger ouvertes ............................................................................ 75 3.4.1 Introduction ............................................................................................................................ 75 3.4.2 Surveillance d'accès par une barrière immatérielle jusqu'à SIL 3 ou PL e avec un bloc

logique de sécurité ................................................................................................................. 76 3.4.3 Surveillance d'accès par une barrière immatérielle jusqu'à SIL 3 ou PL e avec un

système de sécurité modulaire .............................................................................................. 78 3.4.4 Surveillance d'accès par un tapis sensible jusqu'à SIL 3 ou PL e avec un bloc logique

de sécurité .............................................................................................................................. 80 3.4.5 Surveillance d'accès par un tapis sensible jusqu'à SIL 3 ou PL e avec un système de

sécurité modulaire .................................................................................................................. 82 3.4.6 Surveillance de zone par un scanner laser jusqu'à SIL 2 ou PL d avec un bloc logique

de sécurité .............................................................................................................................. 84 3.4.7 Surveillance de zone par un scanner laser jusqu'à SIL 2 ou PL d avec un système de

sécurité modulaire .................................................................................................................. 86

3.5 Surveillance sûre de vitesse et d'immobilisation.................................................................... 89 3.5.1 Introduction ............................................................................................................................ 89 3.5.2 Surveillance de vitesse jusqu'à SIL 2 ou PL d avec un bloc logique de sécurité et des

relais de surveillance de vitesse ............................................................................................ 90 3.5.3 Surveillance de vitesse jusqu'à SIL 3 ou PL e avec un contrôleur de vitesse ....................... 94 3.5.4 Surveillance d'immobilisation sûre avec interverrouillage de protecteur jusqu'à SIL 3

ou PL e avec un système de sécurité modulaire ................................................................... 96 3.5.5 Surveillance sûre de vitesse, de protecteur mobile et d'interverrouillage jusqu'à SIL 2

ou PL d avec un système de sécurité modulaire et des relais de surveillance de vitesse .................................................................................................................................... 98

3.5.6 Surveillance sûre de vitesse, de protecteur mobile et d'interverrouillage jusqu'à SIL 3 ou PL e avec un contrôleur de vitesse ................................................................................. 102

3.6 Commande sûre................................................................................................................... 105 3.6.1 Introduction .......................................................................................................................... 105 3.6.2 Commande bimanuelle jusqu'à SIL 3 ou PL e avec un bloc logique de sécurité ................ 106 3.6.3 Commande bimanuelle jusqu'à SIL 3 ou PL e avec un système de sécurité modulaire ..... 108

3.7 Associations typiques de plusieurs fonctions de sécurité .................................................... 110 3.7.1 Introduction .......................................................................................................................... 110 3.7.2 Surveillance d'arrêt d'urgence et de protecteur mobile jusqu'à SIL 3 ou PL e avec un

bloc logique de sécurité ....................................................................................................... 112 3.7.3 Surveillance d'arrêt d'urgence et de protecteur mobile jusqu'à SIL 3 ou PL e avec un

système de sécurité modulaire ............................................................................................ 114

Sommaire


3.7.4 Coupure d'arrêt d'urgence de plusieurs moteurs jusqu'à SIL 3 ou PL e avec un bloc logique de sécurité ................................................................................................................ 116

3.7.5 Cascadage de blocs logiques de sécurité jusqu'à SIL 3 ou PL e ......................................... 118 3.7.6 Communication inter-esclave sûre entre plusieurs parties d'installation jusqu'à SIL 3

ou PL e via AS-i .................................................................................................................... 120

4 Prescriptions et normes....................................................................................................................... 123

4.1 Prescriptions et normes au sein de l'Union européenne (UE) .............................................. 123 4.1.1 Sécurité des machines en Europe ........................................................................................ 123 4.1.1.1 Bases juridiques .................................................................................................................... 123 4.1.1.2 Procédure de conformité CE ................................................................................................ 126

4.2 Prescriptions et normes en dehors de l'Union européenne (UE) ......................................... 133 4.2.1 Prescriptions et normes en dehors de l'Union européenne - Aperçu ................................... 133 4.2.2 Exigences légales aux Etats-Unis ........................................................................................ 133 4.2.3 Exigences légales au Brésil .................................................................................................. 134 4.2.4 Exigences légales en Australie ............................................................................................. 136

5 Spécification et conception des parties des systèmes de commande relatives à la sécurité ................. 137

5.1 Parties du système de commande relatives à la sécurité .................................................... 137 5.1.1 Quatre facteurs de risque ..................................................................................................... 137

5.2 Spécification des exigences de sécurité ............................................................................... 142

5.3 Conception et réalisation de la commande (relative à la sécurité) selon CEI 62061 ........... 143 5.3.1 Philosophie / Théorie ............................................................................................................ 143 5.3.2 Processus de conception d'un système de commande relatif à la sécurité SRECS............ 145 5.3.3 Conception d'un système pour une fonction de sécurité ...................................................... 149 5.3.4 Réalisation du système de commande relatif à la sécurité .................................................. 150 5.3.4.1 Niveau de performance atteint .............................................................................................. 153 5.3.5 Intégration système pour l'ensemble des fonctions de sécurité ........................................... 154 5.3.6 Conception et réalisation de sous-systèmes ........................................................................ 154

5.4 Conception et réalisation des parties d'un système de commande relatives à la sécurité selon ISO 13849-1 .................................................................................................. 160

5.4.1 Conception et réalisation de catégories................................................................................ 164

6 Service & Support ............................................................................................................................... 171

6.1 Service et Support ................................................................................................................ 171

Index................................................................................................................................................... 173

Sommaire



Introduction 1

Objet de la documentation La présente documentation vous fournit un aperçu des exigences essentielles de sécurité dans l'industrie manufacturière. A partir des produits SIRIUS Safety Integrated, elle vous présente des exemples de schémas simples pour la réalisation de fonctions de sécurité dans les domaines d'application suivants :

● Arrêt d'urgence

● Surveillance de protecteur mobile

● Surveillance de vitesse/d'immobilisation

● Surveillance de zones de danger ouvertes

● Commande sûre

● Associations typiques de fonctions de sécurité

A la suite des exemples de schémas simples, vous trouverez des informations de fond détaillées sur les prescriptions et les normes ainsi que sur la spécification et la conception des parties des systèmes de commande relatives à la sécurité.

Groupe cible Cette documentation contient des informations destinées aux groupes cibles suivants :

● Décideurs

● Spécialistes de la technologie

● Concepteurs

Connaissances requises La compréhension de la présente documentation présuppose des connaissances d'ordre général dans les domaines suivants :

● Appareillage basse tension

● Systèmes numériques

● Automatisation

Introduction


Garantie et responsabilité

Remarque

Les exemples d'application sont sans engagement et n'ont aucune prétention d'exhaustivité concernant la configuration, les équipements et les éventualités de toutes sortes. Les exemples d'application ne constituent pas des solutions personnalisées mais ont pour seul objet d'apporter une aide dans la résolution de problèmes typiques. Vous êtes responsable de l'utilisation des produits selon les règles de l'art. Ces exemples d'application ne vous dispensent pas des obligations de précaution lors de l'utilisation, de l'installation, de l'exploitation et de la maintenance. Nous nous réservons le droit d'apporter à tout moment et sans préavis des modifications à ces exemples d'application. En cas de divergences entre les propositions faites dans cet exemple d'application et dans d'autres publications Siemens, par exemple catalogues, le contenu des autres documents prévaut.

Nous n'assumons aucune responsabilité quant aux informations contenues dans ce document.

Quel qu'en soit le motif juridique, notre responsabilité ne saurait être invoquée en cas de dommages résultant de l'utilisation d'exemples, de conseils, de programmes, de données de configuration et de performance, etc. décrits dans cet exemple d'application.

Cette exclusion de responsabilité ne s'applique pas en cas de préméditation ou de négligence grave portant atteinte à la vie, à l'intégrité physique ou à la santé d'autrui ou pour tout autre dommage résultant d'une intention délictuelle ou d'une négligence grave.

Toute communication ou duplication de ces exemples d'application, en totalité ou en partie, est interdite sans l'autorisation expresse de Siemens Industry Sector.

Historique Les éditions ci-dessous de cette documentation ont déjà été publiées. Des modifications ont été apportées par rapport à l'édition précédente : Edition Remarques / Modifications 09/2013 Première édition 10/2013 Pas d'améliorations rédactionnelles, réparation de liens web défectueux 03/2014 Intégration d'exemples d'application supplémentaires, extensions du conte-

nu et corrections 09/2014 Compléments et corrections


Technique de sécurité - Généralités 2 2.1 Terminologie de base

Redondance En cas de redondance, plusieurs composants sont utilisés pour la même fonction, de sorte qu'un composant présentant un dysfonctionnement est remplacé par l'autre ou les autres composant(s). La structure redondante permet de réduire la probabilité de défaillance d'une fonction par suite de composants individuels défectueux. Cette exigence doit être remplie pour atteindre SILCL 3 selon CEI 62061, SIL 3 selon CEI 61508 et PL e selon ISO 13849-1 (également nécessaire dans certains cas pour SIL 2 / PL d).

La forme de redondance la plus simple est le fonctionnement en mode bivoie. La configuration bivoie garantit la permanence de la fonction de sécurité en cas de défaillance d'un circuit. Dans une configuration système redondante, les sous-systèmes Détection et Réaction doivent également être conçus selon une architecture bivoie.

Remarque

Tous les appareils de sécurité SIRIUS satisfaisant à SILCL 3 selon CEI 62061, SIL 3 selon CEI 61508 et PL e selon ISO 13849-1 sont redondants, tant en ce qui concerne la logique interne que les circuits de sortie.

Détection de courts-circuits transversaux La détection de courts-circuits transversaux est une fonction de diagnostic d'une unité de contrôle qui permet, en cas d'acquisition ou de lecture sur 2 voies, de détecter également les courts-circuits classiques ou transversaux entre les voies d'entrée (circuits de capteurs). Un court-circuit transversal peut être provoqué par exemple par l'écrasement d'un câble sous gaine. Dans le cas d'appareils dépourvus de détection de courts-circuits transversaux, il peut arriver par ex. qu'un circuit d'arrêt d'urgence bivoie ne déclenche pas de coupure, même si un seul contact NF est défectueux (défaut double).

Circuit de validation Un circuit de validation met à disposition un signal de sortie de sécurité. Les circuits de validation agissent généralement vers l'extérieur comme des contacts NO (d'un point de vue fonctionnel, on considère cependant toujours l'ouverture sûre). Un circuit de validation individuel présentant une structure interne redondante dans le bloc logique de sécurité peut être utilisé pour SIL 3 / PL e. Remarque : il est également possible d'utiliser des circuits de validation à des fins de signalisation.

Technique de sécurité - Généralités 2.1 Terminologie de base


Circuit de réaction Un circuit de réaction sert à surveiller les actionneurs pilotés (par ex. relais ou contacteurs de charge) à contacts mécaniquement liés ou contacts miroirs. Les circuits de validation ne peuvent être activés que lorsque le circuit de réaction est fermé.

En cas d'utilisation d'un chemin de coupure redondant, le circuit de réaction des deux actionneurs doit être analysé. Ces derniers peuvent également être montés en série.

Démarrage automatique Dans le cas d'un démarrage automatique, l'appareil est démarré sans assentiment manuel, mais après contrôle de la mémoire image des entrées et après un test positif de l'unité de contrôle. Cette fonction est également appelée mode de fonctionnement dynamique et n'est pas admise pour des dispositifs d'arrêt d'urgence. Les dispositifs de protection pour zones de danger non accessibles aux personnes (par ex. interrupteurs de position, barrages immatériels, tapis sensibles) peuvent fonctionner avec le démarrage automatique si cela n'entraîne pas de danger.

Démarrage surveillé Dans le cas d'un démarrage surveillé, la machine est démarrée par actionnement du bouton Marche, après contrôle de la mémoire image des entrées et après un test positif de l'unité de contrôle. Le démarrage surveillé exploite le changement de signal du bouton Marche. Il n'est ainsi pas possible de déjouer la commande du bouton Marche. Pour PL e (ISO 13849-1) et SIL 3 (CEI 62061), il faut utiliser le démarrage surveillé en cas d'arrêt d'urgence. Pour d'autres capteurs/fonctions de sécurité, la nécessité d'un ordre de démarrage surveillé dépend de l'appréciation du risque.

Démarrage manuel Dans le cas d'un démarrage manuel, l'appareil est démarré par actionnement du bouton Marche, après contrôle de la mémoire image des entrées et après un test positif du bloc logique de sécurité. Lors du démarrage manuel, le fonctionnement correct du bouton Marche n'est pas contrôlé ; il suffit d'un front positif du bouton Marche pour démarrer.

Remarque

Le démarrage manuel n'est pas autorisé pour les dispositifs d'arrêt d'urgence.

Technique de sécurité - Généralités 2.1 Terminologie de base


Commande bimanuelle / synchronisme Un actionnement synchrone des capteurs est une forme particulière de simultanéité des capteurs. Ici, il faut non seulement que les contacts de capteurs 1 et 2 soient amenés ensemble à l'état fermé "dans un intervalle de temps quelconque", mais qu'ils soient fermés en moins de 0,5 s. L'exigence de synchronisme des capteurs existe notamment dans le cas des commandes bimanuelles de presses. Ceci doit garantir que la presse n'est active que si les capteurs sont actionnés simultanément avec les deux mains. Le risque pour l'utilisateur de se retrouver par inadvertance avec les mains dans la presse est ainsi réduit à un minimum.

Manœuvre positive d'ouverture Les commandes à ouverture positive sont conçues de manière à ce que l'actionnement de la commande provoque l'ouverture forcée des contacts. Si les contacts sont soudés, ils sont séparés par l'actionnement (EN 60947-5-1).

Contacts mécaniquement liés Avec un composant à contacts mécaniquement liés, les contacts NO et les contacts NF ne peuvent jamais être fermés simultanément (EN 60947-5-1).

Contacts miroirs Un contact miroir est un contact NF qui ne peut pas être fermé en même temps qu'un contact principal (selon EN 60947-4-1).

Technique de sécurité - Généralités 2.2 Généralités


2.2 Généralités Vous trouverez dans ce chapitre des informations générales sur la technique de sécurité.

Pour tout détail relatif aux prescriptions et aux normes ainsi qu'à la spécification et à la conception des parties des systèmes de commande relatives à la sécurité, veuillez vous rendre à la fin du manuel.

2.2.1 Objectifs de la technique de sécurité La technique de sécurité a pour objectif de réduire autant que possible, grâce à des mesures techniques et constructives, les risques pour l'homme et l'environnement, sans limiter plus que nécessaire la production industrielle, l'emploi de machines ou la fabrication de produits chimiques. Les réglementations harmonisées au niveau international visent à offrir dans tous les pays le même degré de protection pour l'homme et l'environnement, tout en essayant d'éviter les distorsions de la concurrence résultant de différentes exigences de sécurité sur le marché international.

2.2.2 Lois locales Pour les constructeurs des machines et d'installations, il importe de noter que les lois et règlements applicables sont toujours ceux du site d'exploitation de la machine ou de l'installation. Ainsi par exemple, la commande d'une machine destinée aux Etats-Unis doit répondre aux exigences en vigueur dans ce pays, même si le constructeur de la machine est originaire de l'UE. Même si les concepts techniques permettant d'atteindre la sécurité sont soumis à des législations techniques, il convient de vérifier s'il existe des dispositions légales imposant des obligations ou des restrictions particulières.



2.2.3 Sécurité fonctionnelle La sécurité est indivisible du point de vue du bien à protéger. Toutefois, les causes des phénomènes dangereux et donc les mesures techniques de prévention de ces derniers pouvant être très variables, on distingue différents types de sécurité, par exemple en précisant la cause des phénomènes dangereux potentiels. On parle ainsi de "sécurité électrique" lorsqu'il s'agit d'assurer la protection contre les risques électriques, ou de "sécurité fonctionnelle" lorsque la sécurité dépend du bon fonctionnement du système.

Pour atteindre la sécurité fonctionnelle d'une machine ou d'une installation, il est nécessaire que les parties des dispositifs de protection et de commande relatives à la sécurité fonctionnent correctement et qu'en cas de défaillance, ils se comportent de façon à ce que l'installation reste dans un état sûr ou soit amenée dans un tel état.

Pour ce faire, il faut disposer d'une technique particulièrement qualifiée permettant de répondre aux exigences décrites dans les normes applicables. Les exigences permettant d'atteindre la sécurité fonctionnelle reposent sur les objectifs de base suivants :

● Prévention des anomalies systématiques

● Maîtrise des anomalies systématiques

● Maîtrise des anomalies ou des défaillances aléatoires

Les critères pris en compte pour évaluer la sécurité fonctionnelle atteinte sont la probabilité de défaillances dangereuses, la tolérance aux anomalies et la qualité permettant de garantir l'absence d'anomalies systématiques. Différents termes sont utilisés à cet égard dans les normes :

● CEI 62061 : "Safety Integrity Level" (SIL) = niveau d'intégrité de sécurité

● ISO 13849-1 : "Performance Level" (PL) = niveau de performance

2.2.4 Objectifs de la normalisation Du fait de leur responsabilité en matière de sécurité, les constructeurs et exploitants d'équipements et de produits techniques sont tenus de rendre les installations, machines et autres équipements techniques aussi sûrs que le permet l'état de la technique. A cet effet, les partenaires économiques décrivent dans des normes l'état de la technique pour tous les aspects importants liés la sécurité. La conformité aux normes applicables permet de garantir que l'état de la technique est atteint, et donc que le constructeur d'une installation ou le fabricant d'une machine ou d'un appareil a rempli ses obligations de diligence.

Vous trouverez des détails relatifs aux prescriptions et aux normes dans le chapitre Prescriptions et normes (Page 123).

Remarque Aucune prétention d'exhaustivité

Les normes, directives et lois mentionnées dans le présent manuel ont été sélectionnés pour présenter les objectifs et principes essentiels. Leur liste n'est pas exhaustive.



2.2.5 Fonctions relatives à la sécurité Les fonctions relatives à la sécurité comprennent des fonctions classiques et des fonctions plus complexes.

Fonctions classiques :

● Mise à l'arrêt

● Actions en cas d'urgence

● Prévention d'un démarrage intempestif

Fonctions plus complexes :

● Verrouillages en fonction de l'état

● Limitation de vitesse

● Limitation de position

● Mise à l'arrêt contrôlée

● Arrêt contrôlé, etc.

2.2.6 Mise à l'arrêt

Mise à l'arrêt (catégories d'arrêt EN 60204-1) Pour la mise à l'arrêt d'une machine, la norme EN 60204-1 (VDE 0113 Partie 1) définit trois catégories d'arrêt qui décrivent le processus de mise à l'arrêt, indépendamment d'une situation d'urgence : Catégorie d'arrêt Signification

0 Arrêt non contrôlé par coupure immédiate de l'énergie alimentant les éléments d'entraînement de la machine

1 Arrêt contrôlé lors duquel l'alimentation en énergie n'est interrompue qu'une fois que l'arrêt complet a été obtenu.

2 Arrêt contrôlé avec maintien de l'alimentation en énergie à l'arrêt.

Remarque

Seule l'alimentation en énergie susceptible de provoquer un mouvement est interrompue. Le système n'est pas mis hors tension.



2.2.7 Action en cas d'urgence La norme EN 60204-1 / 11.98 a prévu et défini les actions suivantes en cas d'urgence (EN 60204-1, annexe D). Les termes entre parenthèses sont ceux figurant dans le projet de l'édition 5.0 de la norme CEI 60204-1.

Une action en cas d'urgence peut être réalisée individuellement ou en association :

● Mise à l'arrêt en cas d'urgence (arrêt d'urgence)

● Mise en marche en cas d'urgence (démarrage d'urgence)

● Mise hors tension en cas d'urgence (coupure d'urgence)

● Mise sous tension en cas d'urgence (mise sous tension d'urgence)

Ces fonctions sont exclusivement déclenchées par une action humaine volontaire selon EN 60204-1 et ISO 13850. Les fonctions "coupure en cas d'urgence" et "arrêt en cas d'urgence" seront étudiées plus en détail ci-après. Cette terminologie correspond à celle utilisée dans la Directive européenne "Machines" (Emergency Stop en anglais). Pour des raisons de simplification, on utilisera ci-après les termes alternatifs «coupure d'urgence» et «arrêt d'urgence».

2.2.8 Coupure d'urgence Action en cas d'urgence destinée à interrompre l'alimentation électrique d'une installation ou d'une partie de l'installation s'il existe un risque de choc électrique ou un autre risque (EN 60204-1, annexe D).

Les aspects fonctionnels relatifs à la coupure d'urgence sont définis dans la norme CEI 60364-4-46 (identique à HD 384-4-46 et VDE 0100 Partie 460). Une coupure d'urgence doit être prévue

● lorsque la protection contre les contacts directs (par ex. avec des lignes de contact, corps de bague collectrice, appareils de connexion dans les locaux électriques) ne peut être assurée qu'en prévoyant une distance suffisante ou des obstacles ;

● lorsque l'énergie électrique est susceptible d'entraîner d'autres phénomènes dangereux ou des dommages.

La section 9.2.5.4.3 de la norme EN 60204-1 stipule en outre que : Une coupure d'urgence est obtenue par l'interruption de l'alimentation de la machine, avec pour conséquence un arrêt de la catégorie 0.

Si un arrêt de la catégorie 0 n'est pas autorisé pour une machine, il peut être nécessaire de prévoir une autre protection, par ex. contre les contacts directs. Une coupure d'urgence est alors superflue.

En d'autres termes, l'arrêt d'urgence doit être utilisé là où l'analyse des risques met en évidence un danger lié à la tension électrique / à l'énergie et requiert une coupure immédiate et complète de la tension.



2.2.9 Arrêt d'urgence Opération d'urgence destinée à arrêter un processus ou un mouvement potentiellement dangereux (EN 60204-1, annexe D). La section 9.2.5.4.2 de la norme EN 60204-1 stipule par ailleurs que :

Outre les exigences relatives à un arrêt (voir section 9.2.5.3 de la norme EN 60204-1), l'arrêt d'urgence doit répondre aux exigences suivantes :

● Il doit être prioritaire par rapport à toutes les autres fonctions et commandes dans tous les modes.

● L’énergie sur les actionneurs qui peut occasionner une ou des conditions dangereuses doit être supprimée aussi rapidement que possible, sans créer d’autre(s) risque(s) (par exemple en initiant un dispositif mécanique d’arrêt qui ne nécessite aucune énergie extérieure, par freinage à contre-courant pour un arrêt de catégorie 1).

● Le réarmement ne doit pas provoquer un redémarrage.

L’arrêt d’urgence doit agir comme un arrêt de catégorie 0 ou 1 (voir section 9.2.2 de la norme EN 60204-1). Le choix de la catégorie d’arrêt d’urgence doit être déterminé en fonction de l’appréciation du risque lié à la machine.

Des dispositifs d'arrêt d'urgence doivent être disponibles sur chaque poste de conduite ainsi qu'aux autres endroits où il peut être nécessaire de déclencher un arrêt d'urgence.

Pour satisfaire aux exigences de protection de la norme EN 60204-1, les exigences suivantes sont applicables :

● Lors de la commutation des contacts, même après un actionnement de courte durée, une manœuvre positive d'ouverture de l'appareil de commande est nécessaire.

● Il ne doit pas être possible de redémarrer la machine depuis un poste de conduite principal distant avant que le danger n'ait été supprimé. Le dispositif d'arrêt d'urgence "local" doit à nouveau être déverrouillé par une action manuelle volontaire.



2.2.10 Fonction de sécurité Une fonction de sécurité décrit la réaction d'une machine / installation à l'occurrence d'un événement donné (par ex. ouverture d'un protecteur). La réalisation de la/des fonctions(s) de sécurité est assurée par un système de commande de sécurité. Celui-ci se compose généralement de trois sous-systèmes : la détection, l'analyse et la réaction.

Détection (capteurs) :

● Reconnaissance d'une exigence de sécurité, par ex. actionnement d'un arrêt d'urgence ou capteur pour la surveillance d'une zone dangereuse (barrage immatériel, scanner laser, etc.).

Analyse (unité de contrôle)

● Reconnaissance d’une exigence de sécurité et déclenchement sûr de la réaction, par ex. coupure des circuits de validation.

● Surveillance du bon fonctionnement des capteurs et des actionneurs.

● Déclenchement d'une réaction en cas de défauts reconnus

Réaction (actionneurs) :

● Coupure destinée à mettre fin au phénomène dangereux selon l'ordre de commutation de l'unité de contrôle.

2.2.11 Sélecteur de mode Les machines possèdent fréquemment plusieurs modes de fonctionnement entre lesquels il est possible de commuter grâce au sélecteur de mode. Chaque machine doit être conçue pour être sûre quel que soit le mode de fonctionnement. Etant donné que le sélecteur de mode commute uniquement entre les modes de fonctionnement sûrs protégés par des fonctions de sécurité, il n'est pas nécessaire qu'il soit conçu dans une optique sécuritaire ou qu'il soit intégré dans le calcul de ces fonctions de sécurité.

La sélection du mode proprement dite ne doit pas entraîner la mise en marche de la machine, celle-ci devant être assurée par une commande séparée.

Si un mode de fonctionnement exige la désactivation d'une fonction de sécurité (par ex. à des fins de réglage ou de maintenance), celle-ci doit être remplacée par une autre fonction de sécurité conformément au chapitre 9.2.4 de la norme EN 60204-1.

Dans ce cas, il est recommandé de veiller à ce que la conception électrique du sélecteur de mode permette d'atteindre le niveau de sécurité le plus élevé de tous les modes de fonctionnement. Mais là aussi, il n'y a pas d'intégration dans le calcul des fonctions de sécurité.

Par ailleurs, il existe, pour certains types de machines, des exigences particulières relatives au changement de mode de fonctionnement. Celles-ci sont mentionnées dans les normes C pour ces types de machines et doivent être appliquées.



Voir aussi FAQ détaillées sur la sélection de mode (http://support.automation.siemens.com/WW/view/fr/89260861)

2.2.12 Raccordement d'actionneurs

Remarque

Pour atteindre le niveau de performance (Performance Level) / le niveau d'intégrité de sécurité (Safety Integrity Level) mentionné dans les exemples suivants, les actionneurs indiqués doivent être surveillés dans le circuit de réaction du bloc logique de sécurité correspondant.

Remarque

Pour les consommateurs capacitifs et inductifs, nous recommandons de prévoir un circuit de protection approprié. Cette configuration permet de supprimer les perturbations électromagnétiques et d'augmenter la durée de vie des contacts.

Circuits de protection actionneurs jusqu'à PL c selon ISO 13849-1 ou SILCL 1 selon CEI 62061

Figure 2-1 PL c selon ISO 13849-1 ou SILCL 1 selon CEI 62061

http://support.automation.siemens.com/WW/view/fr/89260861



Circuits de protection actionneurs en cas de pose protégée jusqu'à PL e / cat. 4 selon ISO 13849-1 ou SILCL 3 selon CEI 62061

Figure 2-2 PL e selon ISO 13849-1 ou SILCL 3 selon CEI 62061

ATTENTION

Il n'est possible d'atteindre PL e selon ISO 13849-1 ou SILCL 3 selon CEI 62061 qu'avec une pose protégée contre les courts-circuits transversaux / à P des câbles de commande entre la sortie des blocs logiques (par ex. 14) et les relais / contacteurs de commande (Q1 et Q2) (par ex. câbles à gaines séparées ou posés dans des goulottes dédiées).

Pour certains appareils de commande, il peut y avoir des restrictions par rapport au niveau de sécurité réalisable. Veuillez tenir compte des indications figurant dans le manuel de l'appareil correspondant.

Circuits de protection actionneurs jusqu'à PL e selon ISO 13849-1 ou SILCL 3 selon CEI 62061

Figure 2-3 PL e selon ISO 13849-1 ou SILCL 3 selon CEI 62061



2.2.13 Montage en série de capteurs

Montage en série d'auxiliaires de commande d'arrêt d'urgence Le montage en série d'auxiliaires de commande d'arrêt d'urgence est possible jusqu'au niveau de sécurité maximal (SILCL 3 selon CEI 62061, SIL 3 selon CEI 61508 et PL e selon ISO 13849-1), car on part du principe qu'il n'y aura toujours qu'un seul arrêt d'urgence actionné. La détection des anomalies / défauts est ainsi garantie. Voir chapitre "Arrêt d'urgence" - Introduction (Page 26).

Montage en série d'interrupteurs de position D'une manière générale, il est possible de monter en série des interrupteurs de position si l'on peut exclure l'ouverture régulière de plusieurs protecteurs simultanément (dans le cas contraire, la détection de défauts est impossible).

Pour un niveau de sécurité SILCL 3 selon CEI 62061, SIL 3 selon CEI 61508 et PL e selon ISO 13849-1, ils ne doivent toutefois jamais être montés en série, car chaque anomalie dangereuse doit toujours pouvoir être détectée (indépendamment du personnel de conduite).

Voir chapitre "Surveillance de protecteur mobile" - Introduction (Page 44).

Montage en série d'un auxiliaire de commande d'arrêt d'urgence et d'un dispositif de surveillance de protecteur mobile

D'une manière générale, il est possible de monter en série un auxiliaire de commande d'arrêt d'urgence et des interrupteurs de position si l'on peut exclure l'ouverture régulière de plusieurs protecteurs simultanément (dans le cas contraire, la détection de défauts est impossible). Pour un niveau de sécurité SILCL 3 selon CEI 62061, SIL 3 selon CEI 61508 et PL e selon ISO 13849-1, ils ne doivent toutefois jamais être montés en série, car chaque anomalie dangereuse doit toujours pouvoir être détectée (indépendamment du personnel de conduite).

Voir chapitre "Associations types de fonctions de sécurité" - Introduction (Page 110).


Exemples d'application 3 3.1 Introduction

Si des personnes se tiennent à proximité de machines (par ex. dans les ateliers de fabrication), il faut les protéger de façon adéquate par des équipements techniques. Il en résulte de nombreuses fonctions de sécurité destinées à répondre avec précision à cet objectif. La mise en œuvre de certaines des fonctions de sécurité les plus importantes est présentée dans les chapitres suivants à partir d'exemples d'application aisément compréhensibles. Les exemples sont présentés en fonction de la nature de la fonction de sécurité à réaliser :

● Arrêt d'urgence

● Surveillance de protecteur mobile

● Surveillance de zones de danger ouvertes

● Surveillance de vitesse / d'immobilisation

● Commande sûre

● Associations typiques de fonctions de sécurité

Exemples d'application 3.1 Introduction


Utilisation des exemples d'application Grâce à leur conception uniforme, les exemples d'application sont très faciles à utiliser. Une description succincte de l'application est fournie au début de chaque exemple. La structure de la fonction de sécurité est ensuite décrite à partir de schémas de principe simples.

Les signaux des capteurs et la commande des actionneurs sont représentés par des lignes bleues, tandis que le circuit de réaction pour la surveillance des actionneurs est représenté par une ligne en pointillé.

Figure 3-1 Exemple : structure d'une fonction de sécurité

Le fonctionnement exact ainsi que le niveau de sécurité maximum réalisable (SIL selon CEI 62061 et PL selon ISO 13849-1) sont expliqués. Représentation du niveau maximum de sécurité réalisable

Convient jusqu'à SIL 1 / PL c Convient jusqu'à SIL 2 / PL d Convient jusqu'à SIL 3 / PL e

Exemples d'application 3.1 Introduction


Certains exemples d'application contiennent plusieurs fonctions de sécurité. La représentation décrit alors le niveau de sécurité atteint, qui est indiqué dans le titre de la fonction de sécurité considérée. Le niveau de sécurité des fonctions de sécurité supplémentaires est expliqué sous forme textuelle.

Remarque

Le niveau de sécurité atteint dépend de la mise en œuvre des exemples d'application. En particulier les hypothèses relatives par exemple à la fréquence de manœuvres ou aux exclusions d'erreurs doivent être vérifiées et respectées.

Pour faciliter la reproduction de l'application, la liste des constituants de sécurité utilisés est fournie.

La fonctionnalité a été testée avec les constituants matériels indiqués. Il est également possible d'utiliser des produits similaires ne figurant pas dans cette liste, auquel cas il faudra éventuellement procéder à des modifications du câblage des constituants matériels (par ex. en raison d'un brochage différent).

A la fin de chaque exemple, vous trouverez un lien Internet permettant d'accéder à des informations supplémentaires sur l'exemple d'application considéré, par exemple :

● Schémas de câblage

● Données de configuration en cas d'utilisation du système de sécurité modulaire

● Données CAx des constituants matériels utilisés

Un calcul de sécurité détaillé avec l'ensemble des valeurs caractéristiques figure dans le fichier de projet SET ou le rapport SET. Pour pouvoir utiliser le fichier, vous devez vous inscrire (http://www.siemens.com/safety-evaluation-tool).

Avec le lien CAx-Download, vous pouvez télécharger (http://www.siemens.com/cax) en toute simplicité, en quelques clics, l'ensemble des documents relatifs aux constituants matériels utilisés. Pour ce faire, vous avez besoin d'un compte dans le portail Service & Support ou l'Industry Mall de Siemens.

Le paramétrage des blocs logiques de sécurité s'effectue par commutateur DIP. Le réglage correspondant figure dans les schémas électriques.

Remarque

Pour obtenir des détails relatifs aux prescriptions et aux normes ainsi qu'à la spécification et à la conception des parties des systèmes de commande relatives à la sécurité, veuillez vous rendre à la fin du manuel.

http://www.siemens.com/safety-evaluation-tool

http://www.siemens.com/cax

Exemples d'application 3.2 Arrêt d'urgence


3.2 Arrêt d'urgence

3.2.1 Introduction L'auxiliaire de commande d'arrêt d'urgence est un constituant largement répandu pour assurer la protection des personnes, des machines et de l'environnement face à des situations dangereuses et déclencher un arrêt d'urgence. Ce chapitre contient des descriptions d'applications avec fonctions de sécurité dans ce domaine particulier.

Application typique L'auxiliaire de commande d'arrêt d'urgence avec son contact à manœuvre positive d'ouverture est surveillé ici par une unité de contrôle. Lorsque l'arrêt d'urgence est actionné, l'unité de contrôle met hors tension, par le biais de sorties de sécurité, les actionneurs situés en aval, conformément à la catégorie d'arrêt 0 selon EN 60204-1. Avant le réarmement / l'acquittement de la coupure d'arrêt d'urgence par actionnement du bouton MARCHE, on vérifie que les contacts de l'auxiliaire de commande d'arrêt d'urgence sont bien fermés et les actionneurs mis hors tension.

Remarque • Les câbles des capteurs doivent être protégés. Utiliser exclusivement des capteurs de

sécurité avec contacts à manœuvre positive. • Les équipements, les aspects fonctionnels et les principes de conception de l'organe

d'arrêt d'urgence sont mentionnés dans la norme EN ISO 13850. Les prescriptions de la norme EN 60204-1 doivent également être respectées.

• L'arrêt d'urgence n'est pas un moyen de réduire le risque. • C'est une "fonction de sécurité supplémentaire" (en cas d'actionnement de l'arrêt

d'urgence, le moteur doit être mis hors tension).



Actionnement intempestif Il est fréquemment nécessaire de protéger un auxiliaire de commande d'arrêt d'urgence contre un actionnement intempestif et par conséquent d'accroître la disponibilité de l'installation. La première étape consiste à choisir son emplacement correct sur la machine. L'auxiliaire de commande d'arrêt d'urgence doit être facilement accessible et pouvoir être actionné sans danger. Il est également possible d'utiliser une rehausse de protection pour éviter tout actionnement intempestif. Dans ce cas également, il convient de veiller à garantir l'accessibilité.

Remarque

Les auxiliaires de commande d'arrêt d'urgence SIRIUS de SIEMENS avec rehausse de protection satisfont aux exigences de la norme EN ISO 13850 "Sécurité des machines - Arrêt d'urgence - Principes de conception".

Il n'existe pour l'instant aucune exigence particulière relative aux rehausses de protection, étant donné que ces dernières ne sont mentionnées explicitement dans aucune norme relative à la sécurité fonctionnelle. Leur acceptation pour une machine particulière relève souvent de l'appréciation de l'expert.

Conditions à remplir en cas de montage en série Les auxiliaires de commande d'arrêt d'urgence ne peuvent être montés en série jusqu'à PL e (selon ISO 13849-1) ou SIL 3 (selon CEI 62061) que s'il est possible d'exclure la défaillance et l'activation simultanée des auxiliaires de commande d'arrêt d'urgence.

Si plusieurs auxiliaires de commande d'arrêt d'urgence sont montés en série (couplage électrique), chaque coupure de sécurité par un auxiliaire de commande d'arrêt d'urgence constitue une fonction de sécurité complémentaire. Si des auxiliaires de commande d'arrêt d'urgence de même type sont utilisés, il suffit de considérer, à titre d'exemple, une fonction de sécurité complémentaire pour l'ensemble des fonctions de sécurité.

Voir aussi Explications relatives au montage en série d'auxiliaires de commande d'arrêt d'urgence (http://support.automation.siemens.com/WW/view/fr/35444028)




3.2.2 Coupure d'arrêt d'urgence jusqu'à SIL 1 ou PL c avec un bloc logique de sécurité

Utilisation Coupure d'arrêt d'urgence monovoie d'un moteur par un bloc logique de sécurité 3SK1 et un contacteur de puissance.

Constitution

Figure 3-2 Coupure d'arrêt d'urgence jusqu'à SIL 1 ou PL c avec un bloc logique de sécurité



Fonctionnement Le bloc logique de sécurité surveille l'auxiliaire de com-mande d'arrêt d'urgence. En cas d'actionnement de l'auxiliaire de commande d'arrêt d'urgence, le bloc lo-gique de sécurité ouvre les circuits de validation et dé-sactive le contacteur de puissance de manière sûre. Si l'auxiliaire de commande d'arrêt d'urgence est déverrouil-lé et que le circuit de réaction est fermé, il est possible de procéder au réarmement à l'aide du bouton Marche.

Constituants de sécurité

Auxiliaire de commande d'arrêt d'urgence

Bloc logique de sécurité Contacteur

3SB3

(http://www.siemens.com/sirius-commanding)

3SK1 (http://www.siemens.com/safety-

relays)

3RT20 (http://www.siemens.com/sirius-

switching)

Voir aussi Schéma électrique et calcul SET (http://support.automation.siemens.com/WW/view/fr/73134129)

http://www.siemens.com/sirius-commanding


http://www.siemens.com/safety-relays


http://www.siemens.com/sirius-switching





3.2.3 Coupure d'arrêt d'urgence jusqu'à SIL 1 ou PL c avec un système de sécurité modulaire

Utilisation Coupure d'arrêt d'urgence monovoie d'un moteur avec un système de sécurité modulaire 3RK3 paramétrable et un contacteur de puissance.

Constitution

Figure 3-3 Coupure d'arrêt d'urgence jusqu'à SIL 1 ou PL c avec un système de sécurité modulaire



Fonctionnement Le système de sécurité modulaire surveille l'auxiliaire de commande d'arrêt d'urgence. En cas d'actionnement de l'auxiliaire de commande d'arrêt d'urgence, le système de sécurité modulaire ouvre les circuits de validation et dé-sactive le contacteur de puissance de manière sûre. Si l'auxiliaire de commande d'arrêt d'urgence est déverrouil-lé et que le circuit de réaction est fermé, il est possible de procéder au réarmement à l'aide du bouton Marche.



Système de sécurité modulaire Contacteur

3SB3


3RK3 (http://www.siemens.com/sirius-

mss)


switching)

Voir aussi Schéma électrique, projet MSS et calcul SET (http://support.automation.siemens.com/WW/view/fr/69064058)



http://www.siemens.com/sirius-mss







3.2.4 Coupure d'arrêt d'urgence jusqu'à SIL 3 ou PL e avec un bloc logique de sécurité

Utilisation Coupure d'arrêt d'urgence bivoie d'un moteur avec un bloc logique de sécurité 3SK1 et des contacteurs de puissance.

Constitution

Figure 3-4 Coupure d'arrêt d'urgence jusqu'à SIL 3 ou PL e avec un bloc logique de sécurité



Fonctionnement Le bloc logique de sécurité surveille sur deux voies l'auxiliaire de commande d'arrêt d'urgence. En cas d'actionnement de l'auxiliaire de commande d'arrêt d'urgence, le bloc logique de sécurité ouvre les circuits de validation et désactive les contacteurs de puissance de manière sûre. Si l'auxiliaire de commande d'arrêt d'urgence est déverrouillé et que le circuit de réaction est fermé, il est possible de procéder au réarmement à l'aide du bouton Marche.




3SB3 (bivoie)


3SK1 (http://www.siemens.com/safety

-relays)

2x 3RT20 (http://www.siemens.com/sirius-

switching)











3.2.5 Coupure d'arrêt d'urgence jusqu'à SIL 3 ou PL e avec un système de sécurité modulaire

Utilisation Coupure d'arrêt d'urgence bivoie d'un moteur avec un système de sécurité modulaire 3RK3 paramétrable et des contacteurs de puissance.

Constitution

Figure 3-5 Coupure d'arrêt d'urgence jusqu'à SIL 3 ou PL e avec un système de sécurité modulaire



Fonctionnement Le système de sécurité modulaire surveille l'auxiliaire de commande d'arrêt d'urgence sur deux voies. En cas d'actionnement de l'auxiliaire de commande d'arrêt d'ur-gence, le système de sécurité modulaire ouvre les cir-cuits de validation et désactive les contacteurs de puissance de manière sûre. Si l'auxiliaire de commande d'arrêt d'urgence est déverrouillé et que le circuit de ré-action est fermé, il est possible de procéder au réarme-ment à l'aide du bouton Marche.




3SB3 (bivoie)



mss)


switching)











3.2.6 Coupure d'arrêt d'urgence jusqu'à SIL 3 ou PL e avec des départs-moteurs de sécurité et un bloc logique de sécurité

Utilisation Afin de pouvoir assurer la coupure de sécurité d'une machine en cas d'urgence, un auxiliaire de commande d'arrêt d'urgence est mis en place et surveillé par un bloc logique de sécurité. La coupure sûre s'effectue à l'aide de départs-moteurs de sécurité.

Constitution

Figure 3-6 Coupure d'arrêt d'urgence jusqu'à SIL 3 ou PL e avec des départs-moteurs de sécurité

et un bloc logique de sécurité



Fonctionnement Le bloc logique de sécurité surveille l'auxiliaire de com-mande d'arrêt d'urgence. En cas d'actionnement de l'auxiliaire de commande d'arrêt d'urgence, le bloc lo-gique de sécurité assure la coupure des départs-moteurs de sécurité via les socles de connexion. Les départs-moteurs assurent ensuite la coupure sûre de la charge. Si l'auxiliaire de commande d'arrêt d'urgence est déver-rouillé, il est possible de procéder au réarmement à l'aide du bouton Marche.

Remarque

Dans cet exemple, on part du principe que le phénomène dangereux n'émane que de l'un des entraînements, mais que l'arrêt d'urgence entraîne la coupure d'un groupe d'entraînements. C'est pourquoi dans l'évaluation de sécurité, un seul départ-moteur est pris en considération et utilisé à titre d'exemple.

Si le danger est provoqué par le mouvement de plusieurs entraînements, il convient de prendre en compte dans l'évaluation de sécurité tous les départs-moteurs impliqués dans le phénomène dangereux.



Bloc logique de sécurité Départ-moteur de sécurité (Fail-safe)

3SB3



-relays)

3RM1 (http://www.siemens.com/motor

starter/3rm1)


FAQ détaillées sur la coupure sûre avec les départs-moteurs 3RM1 (http://support.automation.siemens.com/WW/view/fr/67478946)





http://www.siemens.com/motorstarter/3rm1






3.2.7 Coupure d'arrêt d'urgence jusqu'à SIL 3 ou PL e avec des départs-moteurs de sécurité et un système de sécurité modulaire

Utilisation Afin de pouvoir assurer la coupure de sécurité d'une machine en cas d'urgence, un auxiliaire de commande d'arrêt d'urgence est mis en place et surveillé par un système de sécurité modulaire. La coupure sûre s'effectue à l'aide de départs-moteurs de sécurité.

Constitution

Figure 3-7 Coupure d'arrêt d'urgence jusqu'à SIL 3 ou PL e avec des départs-moteurs de sécurité

et un système de sécurité modulaire



Fonctionnement Le système de sécurité modulaire surveille l'auxiliaire de commande d'arrêt d'urgence. En cas d'actionnement de l'auxiliaire de commande d'arrêt d'urgence, le système de sécurité modulaire assure la coupure des départs-moteurs de sécurité. Les départs-moteurs assurent en-suite la coupure sûre de la charge. Si l'auxiliaire de commande d'arrêt d'urgence est déverrouillé, il est pos-sible de procéder au réarmement à l'aide du bouton Marche.

Remarque

Dans cet exemple, on part du principe que le phénomène dangereux n'émane que de l'un des entraînements, mais que l'arrêt d'urgence entraîne la coupure d'un groupe d'entraînements. C'est pourquoi dans l'évaluation de sécurité, un seul départ-moteur est pris en considération et utilisé à titre d'exemple.

Si le danger est provoqué par le mouvement de plusieurs entraînements, il convient de prendre en compte dans l'évaluation de sécurité tous les départs-moteurs impliqués dans le phénomène dangereux.

Remarque

Cet exemple s'applique au montage en armoire. Si la logique et les actionneurs ne se trouvent pas dans la même armoire, il convient de prendre d'autres mesures, par exemple protection du signal de coupure contre les courts-circuits transversaux.





Système de sécurité modulaire Départ-moteur de sécurité (Fail-safe)

3SB3



mss)

3RM1 (http://www.siemens.com/motor

starter/3rm1)















3.2.8 Coupure d'arrêt d'urgence via AS-i jusqu'à SIL 3 ou PL e avec un système de sécurité modulaire

Utilisation Surveillance de plusieurs auxiliaires de commande d'arrêt d'urgence via AS-i avec un système de sécurité modulaire 3RK3.

Constitution

Figure 3-8 Coupure d'arrêt d'urgence via AS-i jusqu'à SIL 3 ou PL e avec un système de sécurité

modulaire



Fonctionnement Le système de sécurité modulaire surveille chacun des auxiliaires de commande d'arrêt d'urgence bivoie raccordés via AS-i. En cas d'actionnement de l'un des auxiliaires de commande d'arrêt d'ur-gence, le système de sécurité modulaire ouvre les circuits de validation et désactive les contacteurs de puissance de manière sûre. Si l'auxiliaire de commande d'arrêt d'urgence est déverrouillé et que le circuit de réaction est fermé, il est possible de procéder au réarmement à l'aide du bouton Marche.




3SB3 (bivoie)



mss)


switching)

Remarque

En plus des constituants de sécurité, un maître AS-i et un bloc d'alimentation AS-i sont nécessaires au fonctionnement d'un réseau AS-i.

Voir aussi Projet MSS et calcul SET (http://support.automation.siemens.com/WW/view/fr/73133559)








Exemples d'application 3.3 Surveillance de protecteur mobile


3.3 Surveillance de protecteur mobile

3.3.1 Introduction Ce chapitre décrit des applications avec dispositifs de protection séparateurs sous la forme d'un protecteur. Les dispositifs de protection à séparation mécanique constituent la solution utilisée le plus fréquemment sur les machines et installations pour sécuriser les zones dangereuses. Il s'agit de surveiller la pénétration non autorisée dans des parties de l'installation et d'empêcher un dysfonctionnement dangereux de la machine lorsque le dispositif de protection n'est pas fermé. La surveillance du dispositif de protection peut être assurée aussi bien à l'aide d'interrupteurs de position ou d'interrupteurs de sécurité mécaniques que d'interrupteurs de sécurité sans contact à commande magnétique ou RFID.

Un interverrouillage de protecteur est également fréquemment utilisé en association avec une surveillance de protecteur. Les dispositifs de verrouillage à interverrouillage servent à protéger les zones dangereuses contre les accès non autorisés. Il y a le plus souvent deux raisons à cela :

1. Protection des personnes contre les mouvements résiduels dangereux des machines, les températures élevées, etc. La norme ISO 14119 / EN 1088 fournit ici des principes pour la conception et la sélection de dispositifs de verrouillage. Cette norme stipule que la zone de danger ne doit être accessible qu'après l'arrêt du mouvement dangereux de la machine.

2. Pour des raisons liées à la sécurité du processus, un interverrouillage peut s'avérer judicieux. C'est le cas lorsque le danger est stoppé après l'ouverture du dispositif de protection, mais qu'il peut en résulter des dommages au niveau de la machine ou de la pièce. La machine est amenée dans une position d'arrêt appropriée avant que l'accès ne soit libéré.

Interrupteurs de position Les interrupteurs de position sont normalement utilisés comme interrupteurs à manœuvre positive sur des protecteurs. Lorsque le protecteur est ouvert, l'interrupteur de position est actionné et l'ouverture s'effectue de manière fiable (voir Terminologie de base (Page 11): "manœuvre positive d'ouverture").

Interrupteurs de sécurité mécaniques (avec détrompeur séparé) Contrairement aux interrupteurs de position, les interrupteurs de sécurité ne peuvent pas être déjoués simplement. L'interrupteur de sécurité ne peut être actionné qu'avec le détrompeur codé correspondant.

Interrupteurs de sécurité mécaniques (interrupteurs pour charnière) Les interrupteurs pour charnière sont utilisés dans les situations où, pour des raisons de sécurité, la position des dispositifs de protection pivotables (par ex. portes ou volets) doit être surveillée.



Interrupteurs de sécurité mécaniques (à interverrouillage) Les interrupteurs de sécurité à interverrouillage sont des dispositifs de sécurité spéciaux permettant d'éviter l'ouverture fortuite ou volontaire de protecteurs, grilles et autres couvercles protecteurs tant qu'un état dangereux persiste (par ex. mouvement inertiel de la machine). Indépendamment de l'interverrouillage, une détection de position est également réalisée à l'aide d'un détrompeur séparé sur ce type d'interrupteurs.

Interrupteurs de sécurité sans contact (interrupteurs à commande magnétique) Les interrupteurs à commande magnétique sont constitués d'une bobine de commutation codée et d'un élément de commutation. Ils sont prévus pour le montage sur des dispositifs de protection mobiles et, de par leur forme de construction fermée, conviennent particulièrement bien aux zones fortement chargées en poussières, détergents ou désinfectants.

Interrupteurs de sécurité sans contact (RFID) Les interrupteurs de sécurité RFID sont constitués d'un interrupteur RFID codé et d'un détrompeur RFID de même type. Ils sont utilisables de manière diversifiée, en particulier dans les zones où règnent des conditions ambiantes extrêmes. Grâce au principe de fonctionnement électronique, les interrupteurs conviennent aussi idéalement aux machines de transformation des métaux. Par rapport à leurs équivalents mécaniques, ces interrupteurs disposent d'une portée plus importante et offrent une meilleure tolérance de montage ainsi que des possibilités de diagnostic étendues. Grâce au codage individuel de l'interrupteur et du détrompeur, ils procurent en outre une protection maximale contre la manipulation.



Application typique Le protecteur est surveillé par une unité de contrôle avec des interrupteurs de position SIRIUS à contacts à manœuvre positive d'ouverture. Lorsque le protecteur est ouvert, l'unité de contrôle met hors tension, par le biais de sorties de sécurité, les actionneurs situés en aval, conformément à la catégorie 0 selon EN 60204-1. En cas de démarrage automatique, la fermeture du protecteur entraîne le réarmement après vérification des interrupteurs de position et des actionneurs en aval. En cas de démarrage manuel, il n'a lieu qu'après actionnement du bouton Marche.

Remarque • Les interrupteurs de position doivent être disposés de manière à ne pas être

endommagés par l'accostage ou le passage du mobile d'actionnement. C'est pourquoi leur emploi comme butée mécanique est interdit.

• Les câbles des capteurs doivent être protégés. Utiliser exclusivement des capteurs de sécurité avec contacts à manœuvre positive.

• Le dispositif d'interverrouillage constitue une fonction individuelle distincte, à côté de la fonction de sécurité de surveillance du protecteur à l'aide d'interrupteurs de position. L'activation peut avoir une exigence d'intégrité de sécurité inférieure d'un niveau à celle résultant de l'évaluation du risque pour la surveillance du protecteur. (Explication : la probabilité de défaillance simultanée des deux fonctions de sécurité peut être quasiment exclue). Exemple : la surveillance du protecteur mobile requiert le niveau PL d ou SIL 2, l'activation de l'interverrouillage peut être réalisée selon PL c ou SIL 1



Conditions à remplir en cas de montage en série Les interrupteurs de position ne peuvent être montés en série jusqu'à PL d (selon ISO 13849-1) ou SIL 2 (selon CEI 62061) que si l'ouverture régulière de plusieurs protecteurs simultanément peut être exclue (dans le cas contraire, la détection d'anomalies est impossible). Le montage en série selon PL e (selon ISO 13849-1) ou SIL 3 (selon CEI 62061) n'est pas possible.



Association possible pour la détection de position et niveaux de sécurité atteignables Les exemples d'application de ce chapitre ne peuvent couvrir qu'une infime partie des possibilités d'association des appareils de détection de position. Les tableaux suivants indiquent de manière simplifiée le niveau de sécurité maximum pouvant être atteint suivant le type de détection de position.

Tableau 3- 1 Surveillance de position sûre à l'aide d'interrupteurs mécaniques

Unités de contrôle

Interrupteurs de position

Interrupteurs de sécurité Interrupteurs pour charnière

Interrupteurs de sécurité avec détrompeur séparé

Interrupteurs de sécurité avec fonction d'inter-verrouillage op-tionnelle

Niveau de sécurité atteignable avec UN interrupteur de position

Surveillance d'un contact NF

SIL 1 / PL c SIL 1 / PL c SIL 1 / PL c SIL 1 / PL c

Surveillance de 2 contacts NF ou 1 contact NF + 1 contact NO

SIL 1 / PL c SIL 2 / PL d SIL 2 / PL d SIL 2 / PL d

Niveau de sécurité atteignables avec DEUX interrupteurs de position

interrupteurs de position

SIL 3 / PL e SIL 3 / PL e SIL 3 / PL e SIL 3 / PL e

Interrupteurs de sécurité Inter-rupteurs pour charnière


Interrupteurs de sécurité avec détrompeur séparé


Interrupteurs de sécurité avec fonction d'inter-verrouillage optionnelle


Exemple 1 :

L'association de deux interrupteurs de sécurité mécaniques (avec détrompeur séparé) permet d'atteindre un niveau de sécurité jusqu'à PL e ou SIL 3.



Exemple 2 :

L'utilisation d'un interrupteur de sécurité mécanique (interrupteur pour charnière) permet d'atteindre un niveau de sécurité jusqu'à PL d ou SIL 2.

Tableau 3- 2 Interverrouillage de protecteur sûr

Unités de contrôle sûres sûrs Interrupteurs de sécurité

à interverrouillage

Interrupteurs de sécurité à interverrouillage

Système de sécurité modulaire

3RK3

SIL 2 / PL d

SIL 3 / PL e

Bloc logique de sécurité

3TK2845

SIL 2 / PL d

SIL 3 / PL e

Remarque

Pour l'utilisation de ces interrupteurs de position, une manœuvre positive doit être garantie par la conception du dispositif de protection. Les valeurs indiquées dans le tableau ne sont admises qu'à cette condition.

Remarque

En tenant compte de l'exclusion de certains défauts (par ex. rupture du détrompeur), l'utilisation d'un seul interrupteur pour charnière ou d'un interrupteur avec détrompeur séparé est possible jusqu'à SIL 2 ou PL d, comme décrit dans le tableau. Comme le constructeur de la machine doit apporter la preuve de l'exclusion du défaut, aucune évaluation définitive des mesures appliquées ne peut être réalisée par le fabricant des composants.

Vous trouverez des informations supplémentaires dans l'article accessible par le lien suivant : http://support.automation.siemens.com/WW/view/fr/35443942.




Remarque

Dans le cas d'une configuration bivoie avec capteurs électromécaniques, le niveau SIL 3 ou PL e ne peut être atteint que si l'alimentation des capteurs est assurée par l'unité de contrôle. C'et là le seul moyen permettant de garantir un diagnostic approprié.

Tableau 3- 3 Surveillance de position sûre à l'aide d'interrupteurs de sécurité sans contact

Unités de contrôle sûres Appareils d'analyse Interrupteurs de sécurité sans contact

Interrupteurs à commande magnétique 3SE66 / 3SE67

Interrupteurs de sécurité RFID

3SE63

Bloc logique de sécurité

3SK1

SIL 3 / PL e

SIL 3 / PL e

Système de sécurité

modulaire 3RK3

SIL 3 / PL e

SIL 3 / PL e

Remarque

Les niveaux de sécurité pouvant être atteints dépendent du type d'unité de contrôle utilisée (en particulier de sa capacité de diagnostic).



Voir aussi Surveillance et interverrouillage de protecteur avec système de sécurité modulaire (MSS) (http://support.automation.siemens.com/WW/view/fr/62837891)

Niveaux de sécurité atteignables en cas d'utilisation d'un interrupteur de position SIRIUS avec ou sans interverrouillage (http://support.automation.siemens.com/WW/view/fr/35443942)





3.3.2 Surveillance de protecteur mobile jusqu'à SIL 1 ou PL c avec un bloc logique de sécurité

Utilisation Les protecteurs sont fréquemment utilisés pour délimiter les zones de danger. Leur position est surveillée et, le cas échéant, la zone d'où provient le danger est isolée.

Constitution

Figure 3-9 Surveillance de protecteur mobile jusqu'à SIL 1 ou PL c avec un bloc logique de sécurité



Fonctionnement La position d'un protecteur est surveillée par le contact de l'interrupteur de sécurité. Lors de l'ouverture du pro-tecteur surveillé, le bloc logique de sécurité déclenche et ouvre les circuits de validation. Le contacteur de puis-sance est alors désactivé de manière sûre. Si le protec-teur et le circuit de réaction sont fermés, il est possible de procéder au réarmement à l'aide du bouton Marche.


Interrupteur de sécurité Bloc logique de sécurité Contacteur

3SE5

(http://www.siemens.com/sirius-detecting)


-relays)


switching)


http://www.siemens.com/sirius-detecting









3.3.3 Surveillance de protecteur mobile jusqu'à SIL 1 ou PL c avec un système de sécurité modulaire


Constitution

Figure 3-10 Surveillance de protecteur mobile jusqu'à SIL 1 ou PL c avec un système de sécurité

modulaire



Fonctionnement La position d'un protecteur est surveillée par le contact de l'interrupteur de sécurité. Lors de l'ouverture du pro-tecteur surveillé, le système de sécurité modulaire dé-clenche et ouvre les circuits de validation. Le contacteur de puissance est alors désactivé de manière sûre. Si le protecteur et le circuit de réaction sont fermés, il est pos-sible de procéder au réarmement à l'aide du bouton Marche.


Interrupteur de sécurité Système de sécurité modulaire Contacteur

3SE5



mss)


switching)











3.3.4 Surveillance de protecteur mobile jusqu'à SIL 3 ou PL e avec un bloc logique de sécurité


Constitution

Figure 3-11 Surveillance de protecteur mobile jusqu'à SIL 3 ou PL e avec un bloc logique de sécurité



Fonctionnement La position d'un protecteur est surveillée par deux inter-rupteurs de sécurité. Lors de l'ouverture du protecteur surveillé, le bloc logique de sécurité déclenche et ouvre les circuits de validation. Les contacteurs de puissance sont alors désactivés de manière sûre. Si le protecteur et le circuit de réaction sont fermés, il est possible de pro-céder au réarmement à l'aide du bouton Marche.


Interrupteur de position Bloc logique de sécurité Contacteur

2x 3SE5

(http://www.siemens.com/sirius-detecting) 3SK1

(http://www.siemens.com/safety-relays)

2x 3RT20 (http://www.siemens.com/

sirius-switching)










3.3.5 Surveillance de protecteur mobile jusqu'à SIL 3 ou PL e avec un système de sécurité modulaire


Constitution

Figure 3-12 Surveillance de protecteur mobile jusqu'à SIL 3 ou PL e avec un système de sécurité

modulaire



Fonctionnement La position d'un protecteur est surveillée par deux inter-rupteurs de sécurité. Lors de l'ouverture du protecteur surveillé, le système sécurité modulaire déclenche et ouvre les circuits de validation. Les contacteurs de puis-sance sont alors désactivés de manière sûre. Si le pro-tecteur et le circuit de réaction sont fermés, il est possible de procéder au réarmement à l'aide du bouton Marche.


Interrupteur de position Système de sécurité modulaire

Contacteur

2x 3SE5

(http://www.siemens.com/sirius-detecting) 3RK3

(http://www.siemens.com/sirius-mss)

2x 3RT20 (http://www.siemens.co

m/sirius-switching)










3.3.6 Surveillance de protecteur mobile jusqu'à SIL 3 ou PL e avec un départ-moteur de sécurité et un bloc logique de sécurité


Constitution

Figure 3-13 Surveillance de protecteur mobile jusqu'à SIL 3 ou PL e avec un départ-moteur de

sécurité et un bloc logique de sécurité



Fonctionnement La position d'un protecteur est surveillée par le contact de l'interrupteur de sécurité. Lors de l'ouverture du protecteur surveillé, le bloc logique de sécurité dé-clenche et coupe le départ-moteur de sécurité via le socle de connexion. Le départ-moteur assure ensuite la coupure sûre de la charge. Si le protecteur est fer-mé, il est possible de procéder au réarmement à l'aide du bouton Marche.


Interrupteur de sécurité Bloc logique de sécurité Départ-moteur de sécuri-té (Failsafe)

2x 3SE5

(http://www.siemens.com/sirius-detecting) 3SK1


3RM1 (http://www.siemens.com

/motorstarter/3rm1)












3.3.7 Surveillance de protecteur mobile jusqu'à SIL 3 ou PL e avec un départ-moteur de sécurité et un système de sécurité modulaire


Constitution

Figure 3-14 Surveillance de protecteur mobile jusqu'à SIL 3 ou PL e avec un départ-moteur de

sécurité et un système de sécurité modulaire



Fonctionnement La position d'un protecteur est surveillée par le contact de l'interrupteur de sécurité. Lors de l'ouverture du protecteur surveillé, le système de sécurité modulaire déclenche et assure la coupure sûre du départ-moteur. Le départ-moteur assure ensuite la coupure sûre de la charge. Si le protecteur et le circuit de réaction sont fermés, il est possible de procéder au réarmement à l'aide du bouton Marche.

Remarque

Cet exemple s'applique au montage en armoire. Si la logique et les actionneurs ne se trouvent pas dans la même armoire, il convient de prendre d'autres mesures, par exemple protection du signal de coupure contre les courts-circuits transversaux.


Interrupteur de sécurité Système de sécurité modulaire Départ-moteur de sécurité (Failsafe)

2x 3SE5



mss)

3RM1 (http://www.siemens.com/

motorstarter/3rm1)













3.3.8 Surveillance de protecteur mobile via AS-i jusqu'à SIL 3 ou PL e avec un système de sécurité modulaire

Utilisation Surveillance de plusieurs protecteurs et commande des actionneurs via AS-i avec un système de sécurité modulaire.

Constitution

Figure 3-15 Surveillance de protecteur mobile via AS-i jusqu'à SIL 3 ou PL e avec un système de

sécurité modulaire



Fonctionnement Le système de sécurité modulaire surveille les interrup-teurs de sécurité raccordés à AS-i et envoie des signaux d'état sous la forme d'esclaves AS-i simulés via la bus AS-i. Ces esclaves simulés sont surveillés par les sorties AS-i de sécurité. Lors de l'ouverture de l'un des protec-teurs, le système de sécurité modulaire interrompt le signal d'état correspondant. La sortie AS-i de sécurité ouvre alors les circuits de validation, et les contacteurs de puissance sont désactivés de manière sûre. Les signaux du bouton Marche et des contacts auxiliaires des contacteurs sont transmis par la sortie AS-i de sécu-rité au système de sécurité modulaire via le bus AS-i et sont analysés dans ce système. Si le protecteur corres-pondant et le circuit de réaction sont fermés, il est pos-sible de procéder au réarmement à l'aide du bouton Marche.


Interrupteur de position Système de sécurité mo-dulaire

Sortie AS-i de sécurité Contacteur

2x 3SE5


3RK3 (http://www.siemens.com/s

irius-mss)

3RK1405 (www.siemens.com/as-

interface)


switching)

Remarque







http://www.siemens.com/as-interface

http://www.siemens.com/as-interface






3.3.9 Surveillance de protecteur mobile par interrupteur RFID jusqu'à SIL 3 ou PL e avec un bloc logique de sécurité


Constitution

Figure 3-16 Surveillance de protecteur mobile par interrupteur RFID jusqu'à SIL 3 ou PL e avec un

bloc logique de sécurité



Fonctionnement La position d'un protecteur est surveillée par l'interrupteur de sécurité sans contact. Lors de l'ouverture du protec-teur surveillé, le bloc logique de sécurité déclenche et ouvre les circuits de validation. Les contacteurs de puis-sance sont alors désactivés de manière sûre. Si le protec-teur et le circuit de réaction sont fermés, il est possible de procéder au réarmement à l'aide du bouton Marche. L'interrupteur de sécurité sans contact 3SE6315 est mon-té en interne en mode bivoie et possède sa propre apti-tude au diagnostic. Pour cette raison et du fait qu'il est basé sur la technologie RFDI et qu'il ne comporte pas de manipulation, aucun interrupteur de sécurité redondant n'est nécessaire pour atteindre le niveau PL e selon ISO 13849-1 ou SIL 3 selon CEI 62061.

Constituants de sécurité Interrupteur de sécurité sans contact Bloc logique de sécurité Contacteur

3SE6315


3SK1 (http://www.siemens.com/sa

fety-relays)


switching)











3.3.10 Surveillance de protecteur mobile par interrupteur RFID jusqu'à SIL 3 ou PL e avec un système de sécurité modulaire


Constitution

Figure 3-17 Surveillance de protecteur mobile par interrupteur RFID jusqu'à SIL 3 ou PL e avec un

système de sécurité modulaire



Fonctionnement La position d'un protecteur est surveillée par l'interrup-teur de sécurité sans contact. Lors de l'ouverture du protecteur surveillé, le système sécurité modulaire déclenche et ouvre les circuits de validation. Les con-tacteurs de puissance sont alors désactivés de ma-nière sûre. Si le protecteur et le circuit de réaction sont fermés, il est possible de procéder au réarmement à l'aide du bouton Marche. L'interrupteur de sécurité sans contact 3SE6315 est monté en interne en mode bivoie et possède sa propre aptitude au diagnostic. Pour cette raison et du fait qu'il est basé sur la technologie RFDI et qu'il ne comporte pas de manipulation, aucun interrupteur de sécurité redondant n'est nécessaire pour atteindre le niveau PL e selon ISO 13849-1 ou SIL 3 selon CEI 62061.


Interrupteur de sécurité sans contact


3SE6315


3RK3 (http://www.siemens.com/sirius

-mss)


switching)











3.3.11 Surveillance de protecteur mobile à interverrouillage jusqu'à SIL 2 ou PL d avec un bloc logique de sécurité

Utilisation Les protecteurs sont fréquemment utilisés pour délimiter les zones de danger. Leur position est surveillée et, le cas échéant, la zone d'où provient le danger est isolée. Si un danger émane encore un certain temps de la machine après sa coupure, il est possible d'en empêcher l'accès par un interverrouillage.

Constitution

Figure 3-18 Surveillance de protecteur mobile à interverrouillage jusqu'à SIL 2 ou PL d avec un bloc

logique de sécurité



Fonctionnement La position d'un protecteur est surveillée par un interrupteur de sécurité. De plus, le protecteur est verrouillé par l'inter-rupteur de sécurité. Lorsque l'ordre de déverrouillage du protecteur est transmis, le bloc logique de sécurité dé-clenche et ouvre les circuits de validation. Les contacteurs de puissance sont alors désactivés de manière sûre. A l'écoulement du temps paramétré, l'interverrouillage est déverrouillé. Si le protecteur est fermé et verrouillé et le circuit de réaction fermé, il est possible de procéder au ré-armement à l'aide du bouton Marche. La fonction de sécurité "surveillance de protecteur mobile" et la fonction de sécurité "interverrouillage de protecteur" sont toutes deux conçues jusqu'à SIL 2 ou PL d. En tenant compte de l'exclusion de certains défauts, l'utilisa-tion d'un seul interrupteur de sécurité avec ou sans interver-rouillage est admise jusqu'à SIL 2 ou PL d. Vous trouverez des informations supplémentaires dans l'article mentionné ci-dessous.


Interrupteur de sécurité à interverrouillage


3SE5


3TK2845 (http://www.automation.siemens.co

m/mcms/industrial-controls/en/safety-systems/3tk28)


switching)


Article relatif à l'utilisation d'interrupteurs de sécurité jusqu'à SIL 2 ou PL d (http://support.automation.siemens.com/WW/view/fr/35443942)



http://www.automation.siemens.com/mcms/industrial-controls/en/safety-systems/3tk28









3.3.12 Surveillance de protecteur mobile à interverrouillage jusqu'à SIL 2 ou PL d avec un système de sécurité modulaire

Utilisation Les protecteurs sont fréquemment utilisés pour délimiter les zones de danger. Leur position est surveillée et, le cas échéant, la zone d'où provient le danger est isolée. Si un danger émane encore un certain temps de la machine après sa coupure, il est possible d'en empêcher l'accès par un interverrouillage.

Constitution

Figure 3-19 Surveillance de protecteur mobile à interverrouillage jusqu'à SIL 2 ou PL d avec un




Fonctionnement La position d'un protecteur est surveillée par un interrup-teur de sécurité. De plus, le protecteur est verrouillé par l'interrupteur de sécurité. Lorsque l'ordre de déverrouil-lage du protecteur est transmis, le bloc logique de sécu-rité déclenche et ouvre les circuits de validation. Les contacteurs de puissance sont alors désactivés de ma-nière sûre. A l'écoulement du temps paramétré, l'inter-verrouillage est déverrouillé. Si le protecteur est fermé et verrouillé et le circuit de réaction fermé, il est possible de procéder au réarmement à l'aide du bouton Marche.

La fonction de sécurité "surveillance de protecteur mobile" et la fonction de sécurité "interverrouillage de protecteur" sont toutes deux conçues jusqu'à SIL 2 ou PL d.

En tenant compte de l'exclusion de certains défauts, l'utilisation d'un seul interrupteur de sécurité avec ou sans interverrouillage est admise jusqu'à SIL 2 ou PL d. Vous trouverez des informations supplémentaires dans l'article mentionné ci-dessous.




3SE5



mss)


switching)













Exemples d'application 3.4 Surveillance de zones de danger ouvertes


3.4 Surveillance de zones de danger ouvertes

3.4.1 Introduction Dans une entreprise industrielle, il existe fréquemment des zones qui, en raison des dangers élevés qu'elles présentent, ne doivent pas être accessibles aux personnes à certains moments. Ainsi par exemple, aucune partie du corps ne doit se trouver à l'intérieur d'une presse pendant le mouvement de descente. La surveillance de ces zones est souvent assurée par des barrières immatérielles.

A certains moments, il peut être nécessaire d'inhiber intentionnellement la fonction de protection. Le muting est une inhibition temporaire intentionnelle de la fonction de protection. Ce mode de fonctionnement est déclenché par des détecteurs avec fonction "muting" (par ex. pendant le transport du matériel dans la zone de danger).

Remarque

Les barrières immatérielles ne peuvent assurer leur fonction de protection que si elles sont installées à une distance de sécurité suffisante. Les formules de calcul de la distance de sécurité dépendent du type de protection. Vous trouverez les différentes situations d'implantation et les formules de calcul dans la norme EN 13855 ("Positionnement des moyens de protection par rapport à la vitesse d'approche des parties du corps").



3.4.2 Surveillance d'accès par une barrière immatérielle jusqu'à SIL 3 ou PL e avec un bloc logique de sécurité

Utilisation Pour surveiller l'accès à une zone de danger ouverte, il est possible d'utiliser des dispositifs de protection dits sans contact, par exemple une barrière immatérielle. Lorsque le trajet lumineux est interrompu, un signal de coupure est déclenché.

Constitution

Figure 3-20 Surveillance d'accès par une barrière immatérielle jusqu'à SIL 3 ou PL e avec un bloc




Fonctionnement La barrière immatérielle est constituée d'une unité d'émission et d'une unité de réception, entre lesquelles se trouve le champ de protec-tion. Si le trajet lumineux n'est pas interrompu, les sorties OSSD1 et OSSD2 sont sous tension et leurs signaux sont analysés par le bloc lo-gique de sécurité. Si le trajet lumineux est inter-rompu, les deux sorties sont désactivées et le bloc logique de sécurité ouvre les circuits de validation. Les contacteurs de puissance sont alors désactivés de manière sûre. Si le trajet lumineux est interrompu et le circuit de réaction fermé, il est possible de procéder au réarme-ment. En fonction de l'application, cette opéra-tion peut s'effectuer automatiquement ou par un bouton Marche.


Barrière immatérielle Bloc logique de sécurité Contacteur

SICK C4000 3SK1



switching)









3.4.3 Surveillance d'accès par une barrière immatérielle jusqu'à SIL 3 ou PL e avec un système de sécurité modulaire

Utilisation Pour surveiller l'accès à une zone de danger ouverte, il est possible d'utiliser des dispositifs de protection dits sans contact, par exemple une barrière immatérielle. Lorsque le trajet lumineux est interrompu, un signal de coupure est déclenché.

Constitution

Figure 3-21 Surveillance d'accès par une barrière immatérielle jusqu'à SIL 3 ou PL e avec un




Fonctionnement La barrière immatérielle est constituée d'une unité d'émission et d'une unité de réception, entre lesquelles se trouve le champ de protec-tion. Si le trajet lumineux n'est pas interrompu, les sorties OSSD1 et OSSD2 sont sous tension et sont analysées par le système de sécurité modulaire. En cas d'interruption du trajet lumi-neux, les deux sorties sont désactivées et le système de sécurité modulaire ouvre les circuits de validation. Les contacteurs de puissance sont alors désactivés de manière sûre. Si le trajet lumineux est interrompu et le circuit de réaction fermé, il est possible de procéder au réarme-ment. En fonction de l'application, cette opération peut s'effectuer automatiquement ou par un bou-ton Marche.


Barrière immatérielle Système de sécurité modulaire Contacteur

SICK C4000 3RK3



switching)









3.4.4 Surveillance d'accès par un tapis sensible jusqu'à SIL 3 ou PL e avec un bloc logique de sécurité

Utilisation Pour surveiller l'accès à une zone de danger ouverte, il est possible d'utiliser des tapis sensibles, qui déclenchent un signal de coupure en cas de pénétration dans la zone.

Constitution

Figure 3-22 Surveillance d'accès par un tapis sensible jusqu'à SIL 3 ou PL e avec un bloc logique de

sécurité



Fonctionnement Avec le bloc logique de sécurité 3SK1, il est possible d'analyser les signaux des tapis sensibles sur la base du principe NF (ou NF-NO). Avec ce principe, le cir-cuits de capteurs à deux voies est interrompu en cas de pénétration dans la zone. Le bloc logique de sécu-rité ouvre alors les circuits de validation, et les con-tacteurs de puissance sont désactivés de manière sûre. Si le tapis sensible est libre et le circuit de réac-tion fermé, il est possible de procéder au réarme-ment. En fonction de l'application, cette opération peut s'effectuer automatiquement ou par un bouton Marche.


Tapis sensible Bloc logique de sécurité Contacteur

3SK1 (http://www.siemens.com/safet

y-relays)


switching)









3.4.5 Surveillance d'accès par un tapis sensible jusqu'à SIL 3 ou PL e avec un système de sécurité modulaire

Utilisation Pour surveiller l'accès à une zone de danger ouverte, il est possible d'utiliser des tapis sensibles, qui déclenchent un signal de coupure en cas de pénétration dans la zone.

Constitution

Figure 3-23 Surveillance d'accès par un tapis sensible jusqu'à SIL 3 ou PL e avec un système de




Fonctionnement Les tapis sensibles peuvent être basés sur le principe NF ou court-circuit transversal. Dans le cas du principe NF, le circuits de capteurs à deux voies est interrompu en cas de pénétration dans la zone. En revanche, avec le principe court-circuit transversal, un court-circuit transversal est déclenché entre les deux circuits de capteurs en cas de pénétration dans la zone. Dans les deux cas, le signal du système de sécurité modulaire est évalué. Le système de sécurité modulaire ouvre alors les circuits de validation, et les contacteurs de puissance sont désactivés de manière sûre. Si le tapis sensible est libre et le circuit de réaction fermé, il est possible de procéder au réarmement. En fonction de l'application, cette opération peut s'effectuer automati-quement ou par un bouton Marche.


Tapis sensible Système de sécurité modulaire Contacteur


mss)


switching)









3.4.6 Surveillance de zone par un scanner laser jusqu'à SIL 2 ou PL d avec un bloc logique de sécurité

Utilisation Pour protéger des zones entières contre un accès non autorisé, on utilise fréquemment des scanners laser. Ces derniers surveillent une zone de danger étendue et déclenchent un signal de coupure lorsque des objets sont détectés.

Constitution

Figure 3-24 Surveillance de zone par un scanner laser jusqu'à SIL 2 ou PL d avec un bloc logique de

sécurité



Fonctionnement Le scanner laser surveille une zone de sécurité étendue. Celle-ci peut généralement être subdivisée en une zone d'alarme et une zone de danger. En cas de pénétration dans la zone d'alarme, une alarme est déclenchée par un voyant lumineux. En cas de pénétration dans la zone de sécurité, la machine est mise hors tension. Pendant le fonctionnement, les sorties OSSD1 et OSSD2 sont sous tension et leurs signaux sont analysés par le bloc logique de sécurité. Si le trajet lumineux est interrompu, les deux sorties sont désactivées et le bloc logique de sécurité ouvre les circuits de validation. Les contacteurs de puis-sance sont alors désactivés de manière sûre. Si le trajet lumineux est interrompu et le circuit de réaction fermé, il est possible de procéder au réarmement. En fonction de l'appli-cation, cette opération peut s'effectuer automatiquement ou par un bouton Marche.


Scanner laser Bloc logique de sécurité Contacteur

SICK S3000 3SK1



switching)









3.4.7 Surveillance de zone par un scanner laser jusqu'à SIL 2 ou PL d avec un système de sécurité modulaire

Utilisation Pour protéger des zones entières contre un accès non autorisé, on utilise fréquemment des scanners laser. Ces derniers surveillent une zone de danger étendue et déclenchent un signal de coupure lorsque des objets sont détectés.

Constitution

Figure 3-25 Surveillance de zone par un scanner laser jusqu'à SIL 2 ou PL d avec un système de




Fonctionnement Le scanner laser surveille une zone de danger étendue. Celle-ci peut généralement être subdivisée en une zone d'alarme et une zone de sécurité. En cas de pénétration dans la zone d'alarme, une alarme est déclenchée par un voyant lumineux. En cas de pénétration dans la zone de sécurité, la machine est mise hors tension. Pendant le fonctionnement, les sorties OSSD1 et OSSD2 sont sous tension et leurs signaux sont analysés par le bloc logique de sécurité. Si le trajet lumineux est interrompu, les deux sorties sont désactivées et le bloc logique de sécurité ouvre les circuits de validation. Les contacteurs de puis-sance sont alors désactivés de manière sûre. Si le trajet lumineux est interrompu et le circuit de réaction fermé, il est possible de procéder au réarmement. En fonction de l'appli-cation, cette opération peut s'effectuer automatiquement ou par un bouton Marche.


Scanner laser Système de sécurité modulaire Contacteur

SICK S3000 3RK3



switching)









Exemples d'application 3.5 Surveillance sûre de vitesse et d'immobilisation


3.5 Surveillance sûre de vitesse et d'immobilisation

3.5.1 Introduction Pour les machines sur lesquelles le mouvement de la machine ou les éléments mobiles présentent un danger potentiel pour l'homme et la machine, on utilise fréquemment une surveillance de vitesse ou une surveillance d'immobilisation.

Ces applications sont souvent réalisées en liaison avec des dispositifs de protection à sectionnement (protecteur ) et d'interverrouillage de protecteur.

Les dispositifs de verrouillage à interverrouillage servent à protéger les zones dangereuses contre les accès non autorisés. Il y a le plus souvent deux raisons à cela :

1. Protection des personnes contre les mouvements résiduels dangereux des machines, les températures élevées, etc. La norme ISO 14119 / EN 1088 fournit ici des principes pour la conception et la sélection de dispositifs de verrouillage. Cette norme stipule que la zone de danger ne doit être accessible qu'après l'arrêt du mouvement dangereux de la machine.

2. Pour des raisons liées à la sécurité du processus, un interverrouillage peut s'avérer judicieux. C'est le cas lorsque le danger est stoppé après l'ouverture du dispositif de protection, mais qu'il peut en résulter des dommages au niveau de la machine ou de la pièce. La machine est amenée dans une position d'arrêt appropriée avant que l'accès ne soit libéré.

Lors de la surveillance de vitesse, un interverrouillage de protecteur par exemple n'est déverrouillé qu'une fois que l'élément en mouvement est à l'arrêt ou lorsqu'une vitesse sûre est atteinte.

Dans le cas de la surveillance d'immobilisation, l'interverrouillage de protecteur n'est déverrouillé qu'une fois que l'arrêt a été obtenu, contrairement à la surveillance de vitesse.



3.5.2 Surveillance de vitesse jusqu'à SIL 2 ou PL d avec un bloc logique de sécurité et des relais de surveillance de vitesse

Utilisation Pour garantir la limitation de la vitesse d'un moteur même en cas de défaut et par conséquent la protection des personnes contre la projection de pièces, la vitesse est surveillée à l'alide de deux relais de surveillance de vitesse et d'un bloc logique de sécurité.

Constitution

Figure 3-26 Surveillance de vitesse jusqu'à SIL 2 ou PL d avec un bloc logique de sécurité et des

relais de surveillance de vitesse



Fonctionnement L'utilisation redondante de deux relais de surveillance de vitesse standard permet d'atteindre jusqu'au niveau SIL 2 ou PL d. Un seuil de vitesse ou une plage de vi-tesse (seuil supérieur et inférieur) est réglé sur les deux relais de surveillance de vitesse. Ces derniers surveil-lent en continu la vitesse du moteur et signalent le res-pect ou le dépassement du seuil de vitesse ou de la plage de vitesse par des contacts de relais.

Le bloc logique de sécurité surveille les signaux des relais de surveillance de vitesse pour détecter une discordance et un court-circuit transversal. Si la vitesse du moteur dépasse le seuil de vitesse ou quitte la plage de vitesse, il s'ensuit immédiatement une coupure sûre du moteur. Si la vitesse du moteur est retombée sous le seuil fixé ou si elle se situe dans la plage de vitesse ou si le moteur est à l'arrêt et que le circuit de réaction est fermé, il est possible de procéder au réarmement à l'aide du bouton Marche.

Remarque

Si deux relais de surveillance du moteur redondants sont utilisés dans le circuit des capteurs pour l'acquisition de grandeurs de process, il peut arriver qu'un relais de surveillance détecte un dépassement de seuil de l'autre relais. Ceci peut s'expliquer par des écarts de réglage et de valeur de mesure des appareils et des capteurs externes.

Dans l'exemple ci-dessus, un relais de surveillance pourrait, en cas d'augmentation continue de la vitesse, détecter le dépassement de seuil peu avant le second. Dans ce cas, l'alimentation en énergie de l'entraînement est interrompue. La vitesse chute immédiatement. En raison de la comparaison croisée des entrées requise dans l'analyse de sécurité, une erreur de discordance reste présente. La remise sous tension de l'application n'est possible qu'après le passage à zéro des deux voies. Dans ce cas, les relais de surveillance doivent être contrôlés et réinitialisés manuellement.

Un tel comportement peut survenir lors de la surveillance de grandeurs de process à augmentation lente. Les possibilités d'éviter une erreur de discordance sont par exemple les suivantes : • Détermination empirique des paramètres de réglage pour la synchronisation des relais de

surveillance • Constitution identique des capteurs externes (capteurs de même type, mêmes longueurs

de câble, etc.)




Relais de surveillance de vitesse Bloc logique de sécurité Contacteur

2x 3UG4651

(http://www.siemens.com/sirius-monitoring)

3SK1 (http://www.siemens.com/s

afety-relays)


switching)

http://www.siemens.com/sirius-monitoring














3.5.3 Surveillance de vitesse jusqu'à SIL 3 ou PL e avec un contrôleur de vitesse

Utilisation Pour garantir la limitation de la vitesse d'un moteur même en cas de défaut et par conséquent la protection des personnes contre la projection de pièces, la vitesse est surveillée à l'aide d'un contrôleur de vitesse.

Constitution

Figure 3-27 Surveillance de vitesse jusqu'à SIL 3 ou PL e avec un contrôleur de vitesse



Fonctionnement Un seuil de vitesse ou une plage de vitesse (seuil supérieur et inférieur) est réglé sur le contrôleur de vitesse. Grâce à un sélecteur de mode, il est possible de commuter entre le mode réglage et le mode automa-tique avec des plages de vitesse individuelles. En cas de dépassement haut ou bas de la fenêtre de vitesse, les contacteurs de puissance sont désactivés de manière sûre. Dès que les capteurs sont désactivés et le circuit de réaction fermé, il est possible de procéder au réar-mement à l'aide du bouton Marche.


Contrôleur de vitesse Contacteur

3TK2810-1

(http://www.automation.siemens.com/mcms/industrial-controls/en/safety-systems/3tk28)

2x 3RT20 (http://www.siemens.com/sirius-switching)








3.5.4 Surveillance d'immobilisation sûre avec interverrouillage de protecteur jusqu'à SIL 3 ou PL e avec un système de sécurité modulaire

Utilisation Le système de sécurité modulaire surveille un protecteur. Le contrôleur d'immobilisation veille à ce que l'accès aux éléments mobiles de la machine présentant un danger potentiel soit interdit pendant le fonctionnement du moteur.

Figure 3-28 Surveillance d'immobilisation sûre avec interverrouillage de protecteur jusqu'à SIL 3 ou

PL e avec un système de sécurité modulaire



Fonctionnement Le contrôleur d’arrêt sûr 3TK2810-0 mesure en 3 bornes de l'enroulement du stator une tension induite par magné-tisation résiduelle durant le ralentissement du moteur. Si la tension induite tend vers 0, le détecteur interprète cela comme un arrêt du moteur, et les relais de sortie sont acti-vés. Le système de sécurité modulaire surveille ce signal du contrôleur d'immobilisation ainsi que les deux interrupteurs de sécurité. Si l'arrêt du moteur est détecté et que le bouton de déver-rouillage est actionné, l'interverrouillage est déverrouillé et le protecteur peut être ouvert. Simultanément, les contac-teurs sont coupés de manière sûre, ce qui évite un redé-marrage inattendu du moteur. Si le protecteur est verrouillé et le circuit de réaction fermé, il est possible de procéder au réarmement à l'aide du bou-ton Marche. L'arrêt d'urgence constitue une fonction de sécurité sup-plémentaire, qui ne sera pas examinée plus en détail ici.

Constituants de sécurité Interrupteur de sécurité

à interverrouillage Contrôleur d'immobilisation Système de sécurité

modulaire Module d'exten-

sion Contacteur

2x 3SE5


3TK2810-0 (http://www.automation.siemens.com/mcms/industrial-

controls/en/safety-systems/3tk28)

3RK3 (http://www.siemens.c

om/sirius-mss)

3RK3 (http://www.siemens.com/sirius-mss)


















3.5.5 Surveillance sûre de vitesse, de protecteur mobile et d'interverrouillage jusqu'à SIL 2 ou PL d avec un système de sécurité modulaire et des relais de surveillance de vitesse

Utilisation Le système de sécurité modulaire veille, à l'aide du relais de surveillance de vitesse, à ce que l'accès à des éléments mobiles de la machine présentant un danger potentiel soit interdit à partir d'une vitesse réglable.

Constitution

Figure 3-29 Surveillance sûre de vitesse, de protecteur mobile et d'interverrouillage jusqu'à SIL 2 ou

PL d avec un système de sécurité modulaire et des relais de surveillance de vitesse



Fonctionnement L'utilisation redondante de deux relais de surveillance de vitesse standard permet d'atteindre jusqu'au niveau SIL 2 ou PL d. Une fenêtre de vitesse sûre est réglée sur les relais de surveillance de vitesse. Tant que la vitesse se situe en dehors de cette fenêtre, l'accès aux éléments mobiles de la machine présentant un danger potentiel est empêché par un protecteur à interverrouillage. Le sys-tème de sécurité modulaire surveille les signaux des re-lais de surveillance de vitesse ainsi que les deux interrupteurs de sécurité.

Aussi longtemps que la vitesse du moteur se situe dans la fenêtre de vitesse sûre, il est possible, en actionnant le bouton de déverrouillage, de déverrouiller l'interverrouillage et d'ouvrir le protecteur. Si la vitesse du moteur dépasse la fenêtre de vitesse sûre pendant que le protecteur est ouvert, il s'ensuit immédiatement une coupure sûre du moteur. Si le protecteur est verrouillé et le circuit de réaction fermé, il est possible de procéder au réarmement à l'aide du bouton Marche.

Dans cet exemple, la fonction de sécurité "surveillance de protecteur mobile" et la fonction de sécurité "interverrouillage de protecteur" sont conçues jusqu'à SIL 2 ou PL d.

En tenant compte de l'exclusion de certains défauts, l'utilisation d'un seul interrupteur de sécurité avec ou sans interverrouillage est admise jusqu'à SIL 2 ou PL d. Vous trouverez des informations supplémentaires dans l'article mentionné ci-dessous.

Remarque

Si deux relais de surveillance du moteur redondants sont utilisés dans le circuit des capteurs pour l'acquisition de grandeurs de process, il peut arriver qu'un relais de surveillance détecte un dépassement de seuil de l'autre relais. Ceci peut s'expliquer par des écarts de réglage et de valeur de mesure des appareils et des capteurs externes.

Dans l'exemple ci-dessus, un relais de surveillance pourrait, en cas d'augmentation continue de la vitesse, détecter le dépassement de seuil peu avant le second. Dans ce cas, l'alimentation en énergie de l'entraînement est interrompue. La vitesse chute immédiatement. En raison de la comparaison croisée des entrées requise dans l'analyse de sécurité, une erreur de discordance reste présente. La remise sous tension de l'application n'est possible qu'après le passage à zéro des deux voies. Dans ce cas, les relais de surveillance doivent être contrôlés et réinitialisés manuellement.

Un tel comportement peut survenir lors de la surveillance de grandeurs de process à augmentation lente. Les possibilités d'éviter une erreur de discordance sont par exemple les suivantes : • Détermination empirique des paramètres de réglage pour la synchronisation des relais de

surveillance • Constitution identique des capteurs externes (capteurs de même type, mêmes longueurs

de câble, etc.)




Interrupteur de sécurité

à interverrouillage

Relais de surveil-lance de vitesse

Système de sécurité modulaire

Module d'extension Contacteur

3SE5 (2 canaux)


2x 3UG4651 (http://www.siemens.

com/sirius-monitoring)


om/sirius-mss)


om/sirius-mss)





















3.5.6 Surveillance sûre de vitesse, de protecteur mobile et d'interverrouillage jusqu'à SIL 3 ou PL e avec un contrôleur de vitesse

Utilisation Le contrôleur de vitesse veille à ce que l'accès aux éléments mobiles de la machine présentant un danger potentiel soit interdit à partir d'une vitesse réglable.

Constitution

Figure 3-30 Surveillance sûre de vitesse, de protecteur mobile et d'interverrouillage jusqu'à SIL 3 ou

PL e avec un contrôleur de vitesse



Fonctionnement Une fenêtre de vitesse sûre est réglée sur le contrôleur de vitesse. Tant que la vitesse se situe en dehors de cette fenêtre, l'accès aux éléments mobiles de la machine présentant un danger potentiel est empêché par un pro-tecteur à interverrouillage. Le contrôleur de vitesse sur-veille simultanément la position du protecteur. Grâce à un sélecteur de mode, il est possible de commu-ter entre le mode réglage et le mode automatique avec des fenêtres de vitesse individuelles. La détection d'un arrêt et le respect de la fenêtre de vitesse réglée sont signalés par deux sorties de relais.

En mode automatique, le protecteur reste verrouillé aussi longtemps qu'aucun arrêt n'est détecté. En cas de dépassement haut ou bas de la fenêtre de vitesse, les contacteurs de puissance sont désactivés de manière sûre. En mode réglage, le protecteur est libéré en permanence. En cas de dépassement haut ou bas de la fenêtre de réglage, les contacteurs de puissance sont désactivés.

Lorsque le protecteur est ouvert, le contrôleur de vitesse veille à ce que le moteur ne puisse pas être mis en circuit. Si le protecteur et le circuit de réaction sont fermés, il est possible de procéder au réarmement à l'aide du bouton Marche.



Contrôleur de vitesse

Contacteur

2x 3SE5


3TK2810-1 (http://www.automation.siemens.com/

mcms/industrial-controls/en/safety-systems/3tk28)


sirius-switching)












Exemples d'application 3.6 Commande sûre


3.6 Commande sûre

3.6.1 Introduction Si un opérateur doit s'affairer dans une zone dangereuse de la machine, par ex. lors de la mise en place ou du retrait de pièces sur des presses, des poinçonneuses ou des machines similaires, des fonctions de sécurité doivent être mises en œuvre pour la commande sûre de la machine. Le démarrage du mouvement dangereux ne peut s'effectuer par exemple que si aucune partie du corps de l'opérateur ne se trouve dans la zone dangereuse. Il est possible d'utiliser à cet effet une commande bimanuelle. Dans ce cas, l'opérateur doit actionner presque simultanément un bouton avec les deux mains pour démarrer la machine ou le mouvement dangereux. Dès qu'il relâche le bouton, la machine ou le mouvement dangereux s'arrête.

Le chapitre suivant contient des exemples d'application avec commande bimanuelle pour la commande sûre d'une machine.

Remarque

Le choix d'une commande bimanuelle en guise de dispositif de sécurité dépend de l'appréciation du risque.



3.6.2 Commande bimanuelle jusqu'à SIL 3 ou PL e avec un bloc logique de sécurité

Utilisation Les commandes bimanuelles sont constituées de deux boutons qui doivent être actionnés simultanément pour faire fonctionner une machine. On empêche ainsi l'opérateur d'accéder à la zone de danger pendant le fonctionnement.

Constitution

Figure 3-31 Commande bimanuelle jusqu'à SIL 3 ou PL e avec un bloc logique de sécurité



Fonctionnement Comme le dispositif de commande bimanuelle impose à l'opérateur de maintenir ses deux mains sur les bou-tons de commande, il lui est impossible de mettre la main dans la zone dangereuse. Le bloc logique de sécurité n'active les circuits de validation que si les deux signaux sont appliqués dans l'intervalle de 500 ms et que le circuit de réaction est fermé. En relâchant l'un des deux boutons, le bloc logique de sécurité assure immédiatement la coupure sûre de la machine. Après actionnement du bouton d'arrêt d'urgence, il est nécessaire de procéder au réarmement à l'aide du bouton Marche.


Pupitre de commande bimanuelle Bloc logique de sécurité

Extension d'entrées Contacteur

3SB38

(http://www.siemens.com/sirius-commanding) 3SK1

(http://www.siemens.com/safety-

relays)

3SK1 (http://www.siemens.c

om/safety-relays)

2x 3RT20 (http://www.siemens.com/si

rius-switching)













3.6.3 Commande bimanuelle jusqu'à SIL 3 ou PL e avec un système de sécurité modulaire

Utilisation Les commandes bimanuelles sont constituées de deux boutons qui doivent être actionnés simultanément pour faire fonctionner une machine. On empêche ainsi l'opérateur d'accéder à la zone de danger pendant le fonctionnement.

Constitution

Figure 3-32 Commande bimanuelle jusqu'à SIL 3 ou PL e avec un système de sécurité modulaire



Fonctionnement Comme le dispositif de commande bimanuelle impose à l'opérateur de maintenir ses deux mains sur les bou-tons de commande, il lui est impossible de mettre la main dans la zone dangereuse. Le système de sécuri-té modulaire n'active les circuits de validation que si les deux signaux sont appliqués dans l'intervalle de 500 ms et que le circuit de réaction est fermé. En relâchant l'un des deux boutons, le système de sécurité modulaire assure immédiatement la coupure de sécurité de la machine. Le montage à quatre voies dans le dispositif de com-mande bimanuelle garantit la détection immédiate d'un soudure éventuelle de l'un des contacts. Après actionnement de l'auxiliaire de commande d'ar-rêt d'urgence, il est nécessaire de procéder au réar-mement à l'aide du bouton Marche.


Pupitre de commande bima-nuelle


3SB38



mss)


switching)









Exemples d'application 3.7 Associations typiques de plusieurs fonctions de sécurité


3.7 Associations typiques de plusieurs fonctions de sécurité

3.7.1 Introduction La mise en œuvre d'une seule fonction de sécurité est rarement suffisante sur une machine. Il est fréquent que plusieurs fonctions de sécurité décrites dans les chapitres précédents soient mises en œuvre simultanément sur une machine pour atteindre le niveau de sécurité requis.

Le chapitre suivant présente des exemples d'application contenant des associations typiques de fonctions de sécurité.

Conditions requises en cas de montage en série d'auxiliaires de commande d'arrêt d'urgence et d'une surveillance de protecteur mobile avec des interrupteurs de position

Les auxiliaires de commande d'arrêt d'urgence et les interrupteurs de position peuvent être montés en série jusqu'à PL d (selon ISO 13849) ou SIL 2 (selon CEI 62061) si l'on peut exclure l'actionnement simultané de l'auxiliaire de commande d'arrêt d'urgence et du protecteur (dans le cas contraire, la détection d'anomalies est impossible).



Couplage ou cascadage de fonctions de sécurité Si deux ou plusieurs parties d'installation doivent être couplées, c'est-à-dire si l'exigence d'une fonction de sécurité dans une partie de l'installation déclenche l'exigence d'une fonction de sécurité dans une autre partie de l'installation, la transmission du signal doit répondre aux même exigences de la fonction de sécurité dans la partie d'installation concernée.

Exemple :

Un auxiliaire de commande d'arrêt d'urgence est surveillé dans les deux parties de l'installation. La fonction d'arrêt d'urgence dans la partie d'installation 1 est conçue selon SIL 3 ou PL e et celle de la partie d'installation 2 selon SIL 2 ou PL d.

Alors qu'un arrêt d'urgence déclenché dans la partie d'installation 2 ne doit agir que sur cette partie d'installation, un arrêt d'urgence déclenché dans la partie d'installation 1 doit déclencher un arrêt sûr des deux parties de l'installation.

Etant donné que l'appréciation du risque pour la partie d'installation 2 exige un niveau SIL 2 ou PL d, la transmission du signal de l'ordre d'arrêt d'urgence de la partie d'installation 1 doit correspondre au minimum à ce niveau de sécurité. Les câbles de signaux doivent par conséquent être protégés contre les courts-circuits transversaux ou le signal doit être transmis via un réseau de communication sûr (par exemple ASIsafe).

D'une manière générale, la zone de danger doit être bien visible depuis l'endroit à partir duquel s'effectue la commande de démarrage/redémarrage. Quant à savoir si chaque partie d'installation a besoin de son propre bouton de démarrage, cela dépend de l'installation et de l'appréciation du risque.

Remarque

Le couplage est réalisé en mode monovoie au sein d'une armoire électrique, ce qui est autorisé même jusqu'à SIL 3 / PL e, car la pose des câbles dans une armoire électrique est protégée contre les courts-circuits P / les courts-circuits (exclusion de défaut selon ISO 13849-2).



3.7.2 Surveillance d'arrêt d'urgence et de protecteur mobile jusqu'à SIL 3 ou PL e avec un bloc logique de sécurité

Utilisation Les protecteurs sont fréquemment utilisés pour délimiter les zones de danger. Leur position est surveillée et, le cas échéant, la zone d'où provient le danger est isolée. De plus, un auxiliaire de commande d'arrêt d'urgence est surveillé pour assurer la coupure de la machine en cas d'urgence.

Constitution

Figure 3-33 Surveillance d'arrêt d'urgence et de protecteur mobile jusqu'à SIL 3 ou PL e avec un bloc




Fonctionnement Le bloc logique de sécurité surveille les deux inter-rupteurs de sécurité ainsi que les deux contacts d'ar-rêt d'urgence par une extension d'entrées supplémentaire. En cas d'actionnement de l'auxiliaire de commande d'arrêt d'urgence ou d'ouverture du protecteur, le bloc logique de sécurité ouvre les cir-cuits de validation et désactive les contacteurs de puissance de manière sûre. Si le protecteur est fermé, l'auxiliaire de commande d'arrêt d'urgence déverrouillé et le circuit de réaction fermé, il est possible de procéder au réarmement à l'aide du bouton Marche.



Interrupteur de position Bloc logique de sécuri-té

Extension d'en-trées

Contacteur

3SB3 (bivoie)


2x 3SE5 (http://www.siemens.com/si

rius-detecting)

3SK1 (http://www.siemens.co

m/safety-relays)

3SK1 (http://www.siemens.com/safety-

relays)

















3.7.3 Surveillance d'arrêt d'urgence et de protecteur mobile jusqu'à SIL 3 ou PL e avec un système de sécurité modulaire

Utilisation Les protecteurs sont fréquemment utilisés pour délimiter les zones de danger. Leur position est surveillée et, le cas échéant, la zone d'où provient le danger est isolée. De plus, un auxiliaire de commande d'arrêt d'urgence est surveillé pour assurer la coupure de la machine en cas d'urgence.

Constitution

Figure 3-34 Surveillance d'arrêt d'urgence et de protecteur mobile jusqu'à SIL 3 ou PL e avec un




Fonctionnement Le système de sécurité modulaire surveille sur deux voies les deux interrupteurs de sécurité ainsi que l'auxiliaire de commande d'arrêt d'urgence. En cas d'actionnement de l'auxiliaire de commande d'arrêt d'urgence ou d'ouverture du protecteur, le système de sécurité modulaire ouvre les circuits de validation et désactive les contacteurs de puissance de manière sûre. Si le protecteur est fermé, l'auxiliaire de commande d'arrêt d'urgence déverrouillé et le circuit de réaction fermé, il est possible de procéder au réarmement à l'aide du bouton Marche.



Interrupteur de position Système de sécurité modulaire

Contacteur

3SB3 (bivoie)


2x 3SE5 (http://www.siemens.com/sirius-

detecting)


om/sirius-mss)


switching)













3.7.4 Coupure d'arrêt d'urgence de plusieurs moteurs jusqu'à SIL 3 ou PL e avec un bloc logique de sécurité

Utilisation Si la coupure simultanée de plusieurs entraînements est nécessaire en raison d'une exigence de sécurité (par ex. chariot porte-outils, outil de machine, dispositif d'aspiration, etc.), celle-ci peut être assurée à l'aide d'extensions d'entrées avec des circuits de validation supplémentaires.

Constitution

Figure 3-35 Coupure d'arrêt d'urgence de plusieurs moteurs jusqu'à SIL 3 ou PL e avec un bloc




Fonctionnement Le bloc logique de sécurité surveille sur deux voies l'auxiliaire de commande d'arrêt d'urgence. En cas d'actionnement de l'auxiliaire de com-mande d'arrêt d'urgence, le bloc logique de sécu-rité et les extensions d'entrées ouvrent les circuits de validation et désactivent les contacteurs de puissance de manière sûre. Si l'auxiliaire de commande d'arrêt d'urgence est déverrouillé et que le circuit de réaction de tous les actionneurs est fermé, il est possible de procéder au réarme-ment à l'aide du bouton Marche. La coupure de chaque entraînement correspond à une fonction de sécurité spécifique, même si l'ordre de coupure provient du même auxiliaire de commande d'arrêt d'urgence et du même bloc logique de sécurité.

Constituants de sécurité Auxiliaire de commande d'arrêt

d'urgence Bloc logique de sécu-

rité Extension de sorties Contacteur

3SB3 (bivoie)



om/safety-relays)

3SK1 (http://www.siemens.com/safet

y-relays)

3RT20 (http://www.siemens.com/sirius

-switching)













3.7.5 Cascadage de blocs logiques de sécurité jusqu'à SIL 3 ou PL e

Utilisation Le cascadage de blocs logiques de sécurité sert à monter en série plusieurs blocs logiques de sécurité. De ce fait, il est possible de réaliser une liaison logique de plusieurs fonctions de sécurité avec un chemin de coupure commun. Dans le même temps, plusieurs circuits de validation peuvent être créés pour la coupure sélective d'éléments d'entraînement.

Constitution

Figure 3-36 Cascadage de blocs logiques de sécurité jusqu'à SIL 3 ou PL e



Fonctionnement Les deux blocs logiques de sécurité représentés sont reliés logiquement par une entrée de cascadage. Si l'arrêt d'urgence est déclenché sur le premier bloc logique de sécurité, les deux blocs logiques de sécu-rité désactivent leurs actionneurs. En revanche, lors de l'ouverture du capot de protection représenté, seuls les actionneurs en aval sont désactivés. Si un arrêt d'urgence a été déclenché par le bloc logique de sécurité de niveau supérieur, le bloc lo-gique de sécurité de niveau inférieur doit être réarmé à l'aide du bouton Marche. Un bouton Marche géné-ral n'est autorisé que si toutes les zones de danger sont visibles depuis ce bouton.

Remarque

Cet exemple s'applique au montage en armoire. Si les deux blocs logiques de sécurité ne se trouvent pas dans la même armoire, il convient de prendre d'autres mesures, par exemple protection du signal de cascadage contre les courts-circuits transversaux.

Constituants de sécurité Auxiliaire de commande d'arrêt

d'urgence Interrupteur de sécurité Bloc logique de sécuri-

té Contacteur

3SB3 (bivoie)


2x 3SE5 (http://www.siemens.com/sirius

-detecting)


om/safety-relays)

2x 3RT20 (http://www.siemens.com/sirius

-switching)













3.7.6 Communication inter-esclave sûre entre plusieurs parties d'installation jusqu'à SIL 3 ou PL e via AS-i

Utilisation Pour assurer la liaison logique de plusieurs parties d'installation, une communication inter-esclave est nécessaire. Celle-ci doit être conçue de manière sécuritaire afin de transmettre également des signaux de coupure sûrs. Le système de sécurité modulaire offre cette possibilité avec AS-i.

Constitution

Figure 3-37 Communication inter-esclave sûre entre plusieurs parties d'installation jusqu'à SIL 3 ou

PL e via AS-i



Fonctionnement En raison du processus, les deux parties d'installation sont indépendantes l'une de l'autre. Si un arrêt de la machine est déclenché dans l'une des deux parties de l'installation, l'ordre d'arrêt est transmis au sys-tème de sécurité modulaire dans l'autre partie de l'installation par la communication inter-esclave sûre via AS-i. L'échange d'informations de diagnostic et de signaux d'avertissement est également possible entre les deux parties de l'installation.

Remarque

Quant à savoir les deux parties de l'installation peuvent être remises sous tension avec un seul bouton Marche ou si chaque partie doit avoir son propre bouton, cela dépend de l'installation et de l'appréciation du risque.



Interrupteur de sécurité Système de sécurité modulaire Contacteur

2x 3SB3 (bivoie)


2x 3SE5 (http://www.siemens.com/sirius-

detecting)

2x 3RK3 (http://www.siemens.com/siriu

s-mss)


sirius-switching)

Remarque


Voir aussi Projet MSS et calcul SET (http://support.automation.siemens.com/WW/view/fr/88823146)

FAQ détaillées sur la communication inter-esclave sûre (http://support.automation.siemens.com/WW/view/fr/58512565)














Prescriptions et normes 4 4.1 Prescriptions et normes au sein de l'Union européenne (UE)

4.1.1 Sécurité des machines en Europe

4.1.1.1 Bases juridiques

Directive Machines (2006 / 42 / CE) La réalisation du marché unique européen s'est accompagnée de l'harmonisation des normes et prescriptions relatives à la réalisation technique de machines dans tous les Etats membres. La directive Machines a par conséquent dû être transposée en droit national par les différents Etats membres, en tant que directive relative au marché intérieur. En Allemagne, le contenu de la directive Machines a été transposé par le 9e décret d'application de la loi sur la sécurité des appareils et produits (9. ProdSV). Pour la directive Machines, cette transposition a eu lieu sur fond d'objectifs de protection unifiés, avec pour but l'élimination des obstacles techniques au commerce. Conformément à sa définition : "Une machine est un ensemble de pièces ou d'organes liés entre eux, dont au moins un est mobile", le champ d'application de la directive Machines est très vaste. Il s'étend également aux équipements interchangeables, composants de sécurité, accessoires de levage, chaînes, sangles, câbles, dispositifs amovibles de transmission mécanique et quasi-machines.

Est également considéré comme une "machine" un ensemble de machines qui, afin de concourir à un même résultat, sont disposées et commandées de manière à être solidaires dans leur fonctionnement.

Le champ d'application de la directive Machine va ainsi de la simple machine jusqu'à une installation complète.

Prescriptions et normes 4.1 Prescriptions et normes au sein de l'Union européenne (UE)


Le respect des exigences essentielles en matière de sécurité et de santé figurant à l'annexe I de la directive est obligatoire pour la sécurité des machines. Pour l'intégration de la sécurité, le constructeur doit tenir compte des principes définis à l'annexe I, section 1.1.2.

Les objectifs de protection doivent être mis en œuvre avec discernement afin de répondre aux exigences de conformité à la directive. Le constructeur de la machine doit faire la preuve de la conformité aux exigences essentielles. L'application des normes harmonisées facilite cette démarche. Pour les machines visées à l'annexe IV de la directive et qui présentent un risque élevé, une procédure de certification est exigée. (Recommandation : même des machines non visées à l'annexe IV peuvent présenter un risque élevé et doivent être traitées en conséquence.)

Figure 4-1 Directive européenne Machines



Normes Pour leur mise en circulation et leur utilisation, les produits doivent être conformes aux exigences essentielles de sécurité des directives européennes. Les normes peuvent s'avérer très utiles pour satisfaire à ces exigences de sécurité. Au sein de l'Union européenne, il convient de différencier les normes harmonisées dans le cadre d'une directive européenne et celles qui, bien que ratifiées, ne sont pas harmonisées dans le cadre d'une directive donnée, ainsi que les règles techniques, qui sont également appelées "normes nationales" dans les directives.

Les normes ratifiées définissent l'état reconnu de la technique. En d'autres termes, le fabricant peut, par l'application de ces normes, justifier que son équipement est conforme à l'état reconnu de la technique.

D'une manière générale, toutes les normes ratifiées en tant que normes européennes doivent être transposées de manière inchangée en normes nationales des Etats membres, qu'elles soient ou non harmonisées dans une directive. Les normes nationales existantes portant sur le même thème doivent alors être retirées. A terme, un référentiel normatif uniforme (cohérent) doit ainsi être mis en place en Europe.

Normes européennes harmonisées

Les normes européennes harmonisées (normes EN) sont publiées au Journal Officiel de l'Union européenne et doivent être transposées telles quelles en normes nationales.

Elles servent au respect des exigences essentielles de sécurité et de santé et à la réalisation des objectifs de protection figurant à l'annexe I de la directive Machines.

Le respect des normes harmonisées se traduit automatiquement par une présomption de conformité à la directive, c'est-à-dire que le fabricant peut considérer qu'il a rempli les exigences de sécurité pour tous les aspects abordés dans la norme considérée. Cependant, les normes européennes ne sont pas toutes harmonisées de ce point de vue. C'est leur publication dans la liste du Journal officiel qui est déterminante. Cette liste, remise à jour périodiquement, est consultable sur Internet (http://www.newapproach.org/).

http://www.newapproach.org/



4.1.1.2 Procédure de conformité CE

Procédure de conformité CE

Phases de la procédure de conformité La procédure conformité comprend différentes phases, qui doivent être mises en œuvre tout au long du cycle de vie (planification, conception, installation, exploitation et maintenance).

Figure 4-2 Procédure de conformité CE pour les machines et installations

Les directives applicables doivent être déterminées dès la phase 1. Il peut s'agir d'une ou de plusieurs directives, ou d'aucune directive (pour la directive Machines par exemple, voir chapitre 2.2.1)

Au cours de la phase 2, la procédure d'évaluation de la conformité est déterminée conformément aux directives applicables, définies au cours de la phase 1.

Les normes applicables sont définies à la phase 3.

La phase 4 comprend l'appréciation du risque lié à la machine, la réduction du risque et la validation. L'évaluation des parties du système de commande relatives à la sécurité fait également partie de cette phase. Les différentes étapes de la phase 4 sont expliquées aux paragraphes suivants.



L'élaboration des documents techniques, également appelée phase 5, a lieu tout au long des travaux de planification, de développement et de mise en service. Les documents techniques doivent être intégralement disponibles lors de la mise à disposition de la machine. Il s'agit notamment du dossier technique (voir annexe VII de la directive Machines), de la déclaration de conformité et, le cas échéant, des procès-verbaux de réception, des documents de transport, etc.

Si la validation s'est déroulée avec succès, la déclaration de conformité ou la déclaration d'incorporation peuvent être établies au cours de la phase 6 et le marquage CE peut être apposé sur la machine au cours de la phase 7.

Après la mise en circulation, chaque fabricant est tenu d'observer son produit afin de s'assurer de l'absence de vices cachés. Cette étape est couverte par la phase 8 de l'assurance qualité et la phase 9 de l'observation du produit. Il doit par exemple collecter des informations pour s'assurer que le produit est utilisé comme prévu initialement et savoir comment il se comporte au cours de son cycle de vie.

Il convient en particulier de prendre des mesures appropriées afin d'éviter les non-conformités constituant un danger ainsi que les utilisations abusives ou le maniement non conforme du produit. Si des vices cachés sont constatés, l'utilisateur doit en être informé.



Appréciation du risque Du fait de leur structure et de leur fonctionnalité, les machines et les installations comportent des risques. C'est pourquoi la directive Machines exige, pour chaque machine, une appréciation du risque et, le cas échéant, une réduction du risque, jusqu'à ce que le risque résiduel soit inférieur au risque tolérable. Pour les méthodes d'évaluation de ces risques, la norme EN ISO 12100 "Sécurité des machines - Principes généraux de conception - Appréciation du risque et réduction du risque" (03 / 2011) est applicable.

La norme EN ISO 12100 décrit les risques à prendre en considération et les principes de conception pour la réduction des risques ainsi que le processus itératif avec appréciation du risque et réduction du risque pour atteindre la sécurité.

L'appréciation du risque est une succession d'étapes permettant la recherche systématique de phénomènes dangereux liés aux machines. Si nécessaire, l'appréciation du risque est suivie d'une réduction du risque. La répétition de cette opération engendre un processus itératif permettant de supprimer autant que possible les phénomènes dangereux et d'adopter des mesures de protection appropriées.

L'appréciation du risque englobe les étapes suivantes :

● Analyse du risque

– Détermination des limites de la machine

– Identification des phénomènes dangereux

– Estimation du risque

● Evaluation du risque

Conformément au processus itératif pour atteindre la sécurité, l'estimation du risque est suivie d'une évaluation du risque. Elle permet de déterminer si une réduction du risque est nécessaire. Si le risque doit encore être réduit, des mesures de protection appropriées doivent être choisies et appliquées. Une nouvelle appréciation du risque doit alors être effectuée.

La réduction du risque doit être assurée par une conception et une réalisation appropriées de la machine, par exemple commande adaptée aux fonctions de sécurité ou mesures de protection.

Figure 4-3 Processus itératif pour l'appréciation du risque selon EN ISO 12100



Réduction du risque Si le risque estimé est trop élevé, il doit être réduit jusqu'à ce que le risque résiduel soit inférieur au risque tolérable. A cet effet, il convient, dans un premier temps, d'essayer de rendre la machine sûre par des modifications constructives. Si cela s'avère impossible, la réduction du risque doit être obtenue par des mesures de protection appropriées.

● La gravité d'un dommage potentiel peut être réduite par exemple en diminuant les vitesses de déplacement ou les forces des éléments de la machine en présence de personnel.

● Grâce à des dispositifs de verrouillage, il est possible de réduire la fréquence à laquelle le personnel se trouve dans la zone de danger.

● Il existe toujours une certaine probabilité que le comportement d'une machine soit inadéquat ou que des dispositifs de protection soient défaillants. Cela peut être occasionné par des défauts dans des parties quelconques de la machine. Ce facteur de risque peut être réduit par la conception appropriée des parties relatives à la sécurité. Les parties relatives à la sécurité comprennent également la commande de la machine si la défaillance de cette commande est susceptible de provoquer un phénomène dangereux. La réalisation de la commande selon CEI 62061 ou ISO 13849-1 permet de réduire le risque engendré par des défauts de la commande.

● La possibilité de réduire un dommage peut être augmentée par la détection précoce d'états dangereux, par exemple par des lampes de signalisation.

Le paramètre commun à tous ces éléments est la probabilité d'occurrence d'un événement indésirable. Le risque peut être réduit en réduisant cette probabilité.

Pour la réduction du risque, les étapes suivantes doivent être réalisées :

Figure 4-4 Réduction du risque



Etape 1 : conception de sécurité inhérente

Une conception de sécurité inhérente élimine les phénomènes dangereux ou réduit les risques associés par la sélection appropriée de caractéristiques constructives de la machine proprement dite et/ou des interactions entre les personnes exposées au danger et la machine.

Une conception sûre peut être obtenue par exemple par l'intégration de la sécurité dans la machine (capots, grillages, etc.). Ces mesures revêtent une priorité absolue dans le cadre de la réduction du risque. Elles doivent :

● éviter les zones d'écrassement

● éviter les chocs électriques

● comporter des concepts d'arrêt d'urgence

● comporter des concepts pour la conduite et la maintenance

Etape 2 : mesures de protection techniques et/ou mesures de protection complémentaires

En tenant compte d'une utilisation conforme à la destination et d'un mauvais usage raisonnablement prévisible, il est possible d'appliquer de manière appropriée des mesures de protection techniques et complémentaires destinées à réduire le risque, si la suppression du phénomène dangereux s'avère impossible à réaliser ou que le risque associé ne peut pas être réduit suffisamment par une conception de sécurité inhérente.

L'étape 2 comprend également toutes les fonctions d'une machine relatives à la sécurité. Des exigences particulières, dont le respect doit être vérifié, leur sont applicables.

Exemple d'architecture d'une fonction de commande relative à la sécurité :

● Détection (interrupteur de position, arrêt d'urgence, barrière immatérielle, etc.)

● Analyse (automate de sécurité, bloc logique de sécurité, etc.)

● Réaction (contacteur, variateur de fréquence, etc.)

Figure 4-5 Système de sécurité pour la fonction de sécurité



Etape 3 : Informations destinées à l'utilisateur

S'il subsiste des risques malgré une conception de sécurité inhérente et la mise en œuvre de mesures de protection techniques et complémentaires, les informations destinées à l'utilisateur doivent mentionner les risques résiduels éventuels.

Ces informations sont par exemple les suivantes :

● Avertissements dans les instructions de service

● Instructions de travail particulières

● Pictogrammes

● Mention relative à l'utilisation d'équipements de protection personnels

Les exigences posées aux parties des systèmes commande relatives à la sécurité sont progressives, en fonction du niveau de risque ou de la réduction de risque requise. La norme EN ISO 13849-1 utilise pour l'évaluation le niveau de performance (PL), qui comprend différents niveaux hiérarchiques, alors que la norme CEI 62061 s'appuie sur le niveau d'intégrité de sécurité (SIL) pour établir une classification. Tous deux constituent un critère d'efficacité d'une fonction de commande sur le plan de la sécurité.

Dans tous les cas, et indépendamment de la norme utilisée, il est important que toutes les parties de la commande de la machine participant à l'exécution des fonctions relatives à la sécurité répondent à ces exigences.

Remarque

Les circuits de charge des entraînements et des moteurs font également partie de la commande d'une machine.

Lors de la conception et de la réalisation de la commande, il convient de vérifier si les exigences du PL ou du SIL revendiqué sont remplies. Etant donné que les exigences pour atteindre la performance de sécurité sont structurées différemment dans la norme EN ISO 13849 et CEI 62061, celles relatives au contrôle le sont également. Pour une conception selon EN ISO 13849, les détails relatifs à la validation et les éléments dont il faut tenir compte à cet effet sont décrits dans la Partie 2 (EN ISO13849-2). Les exigences relatives à la validation d'une conception selon CEI 62061 sont décrites dans la norme proprement dite.



Validation On entend par validation la vérification destinée à évaluer la fonctionnalité de sécurité visée. Elle a pour objectif de confirmer les choix et le niveau de conformité des parties de la commande relatives à la sécurité dans le cadre de la détermination globale des exigences de sécurité posées à la machine. La validation doit par ailleurs montrer que chaque partie relative la sécurité est conforme aux exigences de la norme correspondante. Les aspects suivants sont décrits à cet effet :

● Listes d'anomalies

● Validation des fonctions de sécurité

● Validation de la performance de sécurité exigée et atteinte (catégorie, niveau d'intégrité de sécurité ou niveau de performance)

● Validation des exigences relatives aux conditions ambiantes

● Validation des exigences relatives à la maintenance

Dans un plan de validation, les exigences concernant la réalisation de la validation doivent être décrites pour les fonctions de sécurité définies.

Objectif de la validation :

Détermination de la conformité avec les exigences

● des directives européennes

● résultant du cahier des charges, de l'utilisation de la machine et, le cas échéant, d'autres exigences nationales applicables à la machine.

Lors de la mise à disposition de la machine, toutes les informations relatives à cette dernière doivent être disponibles. Il s'agit notamment du cahier des charges, du dossier technique (voir également annexe VII de la directive Machines), de la déclaration de conformité et, le cas échéant, du procès-verbal de réception, des documents de transport, etc.

Prescriptions et normes 4.2 Prescriptions et normes en dehors de l'Union européenne (UE)


4.2 Prescriptions et normes en dehors de l'Union européenne (UE)

4.2.1 Prescriptions et normes en dehors de l'Union européenne - Aperçu La description suivante fournit un aperçu des prescriptions en vigueur dans certains pays en dehors de l'Union européenne. Elle ne prétend pas à l'exhaustivité. Les exigences précises ainsi que les règles nationales et locales pour une application spéciale doivent être vérifiées en détail au cas par cas. Pour plus d'informations sur les prescriptions relatives à la technique de sécurité en vigueur dans d'autre pays, veuillez contacter les autorités locales compétentes en matière d'agrément.

4.2.2 Exigences légales aux Etats-Unis La principale différence entre les exigences légales en vigueur aux Etats-Unis et en Europe en matière de sécurité au travail réside dans le fait qu'aux Etats-Unis, il n'existe aucune législation unifiée pour la sécurité des machines réglementant la responsabilité du constructeur ou du fournisseur. En revanche, il existe une exigence générale obligeant l'employeur à assurer la sécurité sur le lieu de travail. Celle-ci est dans l'OSHA (Occupational Safety and Health Act). Les règles de l'OSHA relatives à la sécurité au travail sont décrites dans l'OSHA 29 CFR 1910.xxx ("OSHA Regulations (29 CFR) PART 1910 Occupational Safety and Health"). (CFR : Code of Federal Regulations). Outre les règles de l'OSHA, il est important de respecter les normes actuelles d'organisations telles que la NFPA et l'ANSI et de tenir compte de la notion de responsabilité globale du fait des produits en vigueur aux Etats-Unis. Les normes NPFA 70 (National Electric Code (NEC) et NFPA 79 (Electrical Standard for industrial Machinery) sont deux normes particulièrement importantes pour la sécurité dans l'industrie. Toutes deux décrivent les exigences essentielles relatives aux propriétés des équipements électriques et à leur exécution. Le National Electric Code (NFPA70) s'applique en priorité aux bâtiments, mais aussi aux liaisons électriques des machines et quasi-machines. La norme NFPA 79 s'applique aux machines. Pour les grandes machines qui sont constituées de quasi-machines, il existe une zone d'incertitude dans la délimitation entre les deux normes. Les grands systèmes de convoyage par exemple peuvent être considérés comme une partie du bâtiment, si bien que la norme NFPA 70 et/ou NFPA 79 est applicable.



4.2.3 Exigences légales au Brésil Le ministère brésilien du Travail et de l'Emploi, responsable de la réglementation des activités des secteurs de la santé et de la sécurité au travail, a publié en décembre 2010 la nouvelle version de la norme réglementaire NR 12. Basée sur l'article 137 des directives UE, cette réglementation est applicable aux installations existantes et aux nouvelles installations, et garantit la sécurité de manipulation de machines conformément à l'état actuel de la technique. S'appuyant sur des normes internationales, la réglementation brésilienne tient également compte du cycle de vie complet d'une machine, de la phase de construction à l'élimination finale, en passant par la commercialisation, le transport, l'exploitation et la maintenance.

Bien que cette nouvelle version de la NR 12 soit basée sur le modèle européen dans lequel la législation est supportée par des normes internationales, elle s'en distingue en ce qui concerne les instruments juridiques relatifs à l'évaluation de la conformité, ainsi que l'utilisation de normes harmonisées. A la place de vérifications par des autorités de contrôle, le gouvernement inspecte lui-même les machines et les installations sur leur lieu d'exploitation par l'intermédiaire d'autorités désignées. Seules les exigences spécifiques qui sont décrites dans la réglementation sont prises en compte à cet effet. C'est pourquoi la NR 12 contient des descriptions techniques supplémentaires pour certaines machines.

La NR 12 présente des similarités de structure avec les normes relatives à la sécurité. Elle contient des exigences générales qui peuvent être remplies sur la base d'une analyse de risque fondée sur des normes de type A comme l'ISO 12100, des exigences techniques en conformité avec quelques normes de type B et des exigences spécifiques pour certaines machines, comme les normes de type C.

Les annexes de la NR 12 ne sont pas harmonisées avec les normes de type C, mais la majorité d'entre elles ont été créées sur la base de normes de type C ou sont fortement influencées par celles-ci, afin de respecter les standards internationaux établis. Bien que la présomption de conformité avec la NR 12 ne soit pas possible, ceci signifie que la plupart des exigences de la norme peuvent être respectées en appliquant les normes de type C.

Présentation succincte de la NR 12 :

12.1 à 12.5 : Principes généraux et étendue des normes.

12.6 à 12.13 : Disposition, installations et conditions environnementales des machines.

12.14 à 12.23 : Equipements électriques – Application des exigences techniques conventionnelles pour les équipements électriques, automates et organes de commande (références issues de EN 60204). Ce paragraphe de la NR 12 s'appuie sur d'autres normes réglementaires concernant les installations électriques (NR 10).

12.24 à 12.37 : Systèmes d'automatisation - Application de concepts qui sont clairement définis dans la norme ISO 12100 relative aux automates : Disposition et type de commande (appareil de commande bimanuelle selon EN 574), mode de sélection, exclusion de démarrage intempestif, manipulation, utilisation de composants éprouvés, etc.

12.38 à 12.55 : Automates de sécurité – exigences générales, comportement en cas de défaut, conception sur la base de catégories (NRB 14153 ou EN 954) selon analyses des risques (ISO 12100). Ce paragraphe contient également des exigences relatives aux protecteurs et aux dispositifs de verrouillage (EN 953, EN 1088).



12.56 à 12.63 : Systèmes d'arrêt d'urgence - exigences spécifiques (analogue à ISO 13850).

12.64 à 12.76 : Moyens d'accès permanents aux machines

12.77 à 12.84 : Systèmes sous pression

12.85 à 12.93 : Systèmes de manutention et dispositifs de levage de charges

12.94 à 12.105 : Aspects ergonomiques

12.106 à 12.110 : Risques supplémentaires

12.111 à 12.115 : Entretien, contrôle et réglage de machines

12.116 à 12.124 : Signalisation

12.125 à 12.129 : Informations relatives à l'utilisation, manuels, procédures

12.130 à 12.134 : Procédures de sécurité

12.135 à 12.147 : Formation et qualification

12.148 à 12.156 : Exigences supplémentaires

ANNEXE I : Distances de sécurité pour empêcher l'atteinte des zones dangereuses (ISO 13852, ISO 13853, ISO 13854 et ISO 13855)

ANNEXE II : Formation

ANNEXE III : Moyens d'accès permanents (EN 14122)

ANNEXE IV : Terminologie et définitions

ANNEXE V : Tronçonneuses

ANNEXE VI : Machines de confiserie/pâtisserie

ANNEXE VII : Machines de boucherie et machines agro-alimentaires

ANNEXE VIII : Presses mécaniques (EN 692), hydrauliques (EN 693) et analogues

ANNEXE IX : Machines de moulage de matières plastiques par injection (EN 201)

ANNEXE X : Machines de fabrication des chaussures et apparentées

ANNEXE XI : Machines et appareils d'exploitation agricole et forestière

REMARQUE : La NR 12 étant actuellement en cours de vérification, il est possible que de nouvelles annexes viennent s'ajouter ultérieurement.



4.2.4 Exigences légales en Australie En Australie également, une grande importance est accordée à la protection de la santé sur le lieu de travail. Le remaniement des directives effectué en janvier 2013 entraîne aussi de nouvelles exigences pour les machines. Ainsi, les directives "Work Health and Safety Act 2012" et "Work Health and Safety Regulations 2012" jouent un rôle essentiel dans le cadre des règles d'application correspondantes (Codes of Practice). Dans les directives, des mesures sont définies pour des dangers particuliers (par ex. grillages de protection) afin de garantir un poste de travail sûr. Les règles d'utilisation (Codes of Practice) contiennent en outre des mises en œuvre pratiques ainsi que des outils pour l'application des directives, mais ne revêtent pas un caractère contraignant.


Spécification et conception des parties des systèmes de commande relatives à la sécurité 5 5.1 Parties du système de commande relatives à la sécurité

5.1.1 Quatre facteurs de risque

Quatre facteurs de risque L'appréciation du risque permet de déterminer le risque à l'aide des quatre facteurs de risque :

● Gravité du dommage potentiel

● Fréquence d'exposition des personnes dans la zone de danger

● Probabilité d'occurrence de l'événement dangereux

● Possibilité d'éviter ou de réduire le dommage

Ces facteurs de risque constituent les paramètres d'entrée pour la réalisation d'une fonction de commande relative à la sécurité : ils permettent d'établir une relation entre le risque et les exigences de la commande relative à la sécurité. C'est pourquoi la norme CEI 62061 propose des méthodes pour l'évaluation des facteurs de risque et la classification de la performance de sécurité.

Figure 5-1 Risque lié au phénomène dangereux identifié

Spécification et conception des parties des systèmes de commande relatives à la sécurité 5.1 Parties du système de commande relatives à la sécurité


Détermination de la performance de sécurité (intégrité de sécurité) nécessaire Si lors de l'analyse des risques, il a été constaté qu'un dysfonctionnement de la commande ou une défaillance de dispositifs de protection est susceptible d'entraîner un risque élevé, la probabilité d'occurrence doit être réduite de manière à ce que le risque résiduel soit ramené à un niveau tolérable. En d'autres termes, la commande doit atteindre une "performance de sécurité" suffisante.

Avec la norme CEI 62061, il existe une méthode qui quantifie la performance de sécurité sur la base de probabilités et donc selon des niveaux hiérarchiques. Le résultat de l'analyse de risque donne alors le niveau d'intégrité de sécurité (SIL) requis pour les fonctions de sécurité correspondantes.

Dans la norme ISO 13849-1, il existe une classification similaire, quantifiée et donc hiérarchique, de la performance de sécurité. Le niveau de performance (PL) qui y est décrit est corrélé avec les SIL de la norme CEI 62061 par les probabilités de défaillance correspondantes.

Les constructeurs de machines garantissent la conformité à la nouvelle directive Machines, et donc l'exportabilité et l'exclusion de responsabilité, par l'application des normes EN ISO 13849-1 et CEI 62061 qui, outre des considérations qualitatives, ont également introduit des aspects quantitatifs. Les mesures de protection destinées à réduire le risque, décrites par des fonctions de sécurité, sont dérivées du processus d'évaluation du risque. La réalisation de la fonction de sécurité à l'aide de constituants matériels et, le cas échéant, de constituants logiciels, est ensuite examinée et évaluée jusqu'à ce que le niveau d'intégrité de sécurité requis dans l'évaluation du risque soit atteint.

Remarque

S'il existe une norme C pour le type de machine considéré, les mesures décrites dans cette dernière doivent être appliquées en priorité. Il convient toutefois de s'assurer de l'actualité des prescriptions afin de vérifier s'il existe des développements techniques plus récents.



Graphique des risques selon ISO 13849-1 L'objectif consiste à atteindre le niveau de performance PLr requis, donc de déterminer la probabilité de défaillances dangereuses du système sur la base des facteurs de risque.

Figure 5-2 Graphique des risques selon ISO 13849-1 pour la détermination du niveau de performance (PL) requis

Pour la détermination du niveau de performance requis, les paramètres S (gravité de la blessure), F (fréquence/durée d'exposition au phénomène dangereux) et P (possibilité d'évitement) sont utilisés.

Pour ce qui est de la gravité de la blessure (S), on distingue les blessure réversibles (par ex. pincements ou lacérations) et les blessures irréversibles (amputation, décès).

Pour la fréquence et la durée d'exposition au phénomène dangereux (F), il n'existe pas de valeurs universelles. Si une personne est exposée plus fréquemment qu'une fois par heure au phénomène dangereux (par ex. pour l'amenée de pièces), le paramètre F2 (fréquent à permanent) doit être choisi. Par ailleurs, il importe peu que ce soit la même personne ou différentes personnes qui sont exposées au phénomène dangereux. Si l'accès n'est nécessaire qu'occasionnellement, on pourra choisir F1 (rare à assez fréquent).

La possibilité d'évitement (P) est influencée par divers aspects. Ici, il faut prendre en considération la formation et le niveau de connaissances des opérateurs ainsi que les possibilités d'évitement (par ex. repli) et l'exploitation sous surveillance ou sans surveillance. Le paramètre P1 (possible sous certains conditions) ne doit être retenu que s'il est effectivement possible d'éviter l'accident ou de réduire sensiblement l'étendue du dommage.

Les niveaux de performance (PL) sont des critères quantitatifs pour la performance de sécurité, tout comme les niveaux d'intégrité de sécurité (SIL) dans les normes CEI 61508 et CEI 62061.



Performance de sécurité pour la réalisation de la commande selon CEI 62061 La méthode décrite dans la norme CEI 62061 (annexe A) est basée sur un tableau qui peut être utilisé directement pour la documentation de l'évaluation du risque et l'attribution du SIL.

Pour les différents paramètres de risque, il convient de sélectionner la pondération correspondante à partir des valeurs prescrites au début du tableau. La somme des pondérations de tous les paramètres donne la classe de probabilité du dommage.

Cl = F + Pr + Av

La fréquence et la durée d'exposition sont exprimées par le paramètre "F". La nécessité d'accéder à la zone de danger peut être différente en fonction des modes de fonctionnement (mode automatique, mode maintenance, ...). Le motif d'accès (réglage d'outils, amenée de matériel,...) joue également un rôle et doit être pris en considération. La fréquence et la durée sont sélectionnées à partir du tableau correspondant. Si la durée d'exposition est inférieure à 10 minutes, la valeur peut être réduite au niveau inférieur. Pour une fréquence ≲1 h, la valeur ne doit cependant jamais être réduite.

La probabilité d'apparition de l'événement dangereux est exprimée par le paramètre "Pr". Celui-ci doit être estimé indépendamment des autres paramètres. Ici, il convient de tenir compte également du comportement humain (lié par ex. à des contraintes de temps, à l'absence de conscience du danger,...). Dans des conditions de production normales et en se fondant sur le scénario le plus pessimiste, la probabilité est "très élevée". L'utilisation d'une valeur faible nécessite une justification détaillée (par ex. niveau élevé des aptitudes des opérateurs).

La possibilité d'éviter ou de limiter le dommage est exprimée par le paramètre "P". Ici, il convient de prendre en compte à la fois les aspects concernant la machine (par ex. possibilité de se mettre hors de danger) ainsi que la possibilité de détecter le phénomène dangereux (la détection est impossible par exemple dans les environnements bruyants). La classification s'effectue selon le tableau (probable, possible, impossible).



A l'aide de cette classe de probabilité et de la gravité potentielle du phénomène dangereux considéré, le SIL requis pour la fonction de sécurité correspondante peut être déterminé à partir du tableau.

Il s'agit de déterminer, à partir des facteurs de risque, le niveau d'intégrité de sécurité SIL requis par le système.

Figure 5-3 Détermination du SIL requis

Spécification et conception des parties des systèmes de commande relatives à la sécurité 5.2 Spécification des exigences de sécurité


5.2 Spécification des exigences de sécurité

Spécification des exigences de sécurité Si des fonctions de commande ont été identifiées comme relatives à la sécurité ou si des mesures de protection doivent être réalisées avec des moyens du système de commande, les exigences exactes relatives à ces "fonctions de sécurité" ("fonctions de la commande relatives à la sécurité") doivent être déterminées dans la spécification des exigences de sécurité ("safety requirements specification"). Pour chaque fonction relative à la sécurité, cette spécification décrit notamment :

● sa fonctionnalité, c'est-à-dire toutes les informations d'entrée nécessaires, leur interconnexion et les états d'entrée ou les actions correspondantes ainsi que la fréquence d'utilisation

● les temps de réaction nécessaires

● la performance de sécurité requise

La spécification des exigences de sécurité contient l'ensemble des informations nécessaires à la conception et à l'implémentation de la commande. Elle constitue l'interface entre le constructeur de la machine et le fabricant/l'intégrateur de la commande et peut également servir à délimiter les responsabilités.

Spécification et conception des parties des systèmes de commande relatives à la sécurité 5.3 Conception et réalisation de la commande (relative à la sécurité) selon CEI 62061


5.3 Conception et réalisation de la commande (relative à la sécurité) selon CEI 62061

5.3.1 Philosophie / Théorie

Principe de structuration pour un système de commande relatif à la sécurité La conception appropriée d'une commande est une condition essentielle pour garantir son fonctionnement correct et conforme à sa destination. Pour atteindre cet objectif, la norme CEI 62061 a défini un processus systématique de conception "top down" :

Un système de commande électrique relatif à la sécurité (Safety related electrical control system, SRECS) comprend l'ensemble des composants, de l'acquisition des informations jusqu'à l'exécution des actionneurs en passant par la liaison logique des informations. Afin de permettre une procédure simple et systématique pour la conception, l'évaluation technique de sécurité et la réalisation d'un SRECS, qui soit conforme aux exigences de la norme CEI 61508, la norme CEI 62061 utilise un principe de structuration basé sur les éléments d'architecture suivants (voir figure ci-après).

Figure 5-4 Eléments de structuration de l'architecture du système

Un distinction est d'abord faire entre la "vue virtuelle" (c'est-à-dire fonctionnelle) et la "vue réelle" (vue système). La vue fonctionnelle tient uniquement compte des aspects fonctionnels, indépendamment de la réalisation matérielle et logicielle. La vue virtuelle considère par exemple uniquement les informations qui doivent être acquises, la façon dont leur liaison logique doit être réalisée et l'action qui doit en résulter. A ce stade, aucune assertion n'est faite quant à la nécessité d'utiliser des capteurs redondants pour l'acquisition des informations ou à la façon de réaliser les actionneurs. Ce n'est qu'avec la "vue réelle" que la réalisation par le SRECS est examinée. Il faut alors décider par exemple si pour l'acquisition d'une information particulière, il faut un ou deux capteurs pour atteindre la performance de sécurité requise. Les termes suivants sont définis.



Termes relatifs à la structuration des fonctions (vue fonctionnelle) ● Bloc fonctionnel

Plus petit élément d'une fonction de commande relative à la sécurité (SRCF), dont la défaillance entraîne la défaillance de la fonction de commande relative à la sécurité. Remarque : Dans la norme CEI 62061, un SRCF (F) est considéré comme une liaison logique "et" des blocs fonctionnels (FB), par ex. F = FB1 & FB2 & ... & FBn. La définition d'un bloc fonctionnel se différencie de celle utilisée dans la norme CEI 61131 et dans d'autres normes.

● Elément d'un bloc fonctionnel Partie d'un bloc fonctionnel.

Termes relatifs à la structuration du système réel (vue système) ● Système de commande électrique relatif à la sécurité

Système de commande électrique d'une machine, dont la défaillance peut provoquer un accroissement immédiat du risque. Remarque : Un SRECS comprend toutes les parties d'un système de commande électrique, dont la défaillance peut entraîner une réduction et la perte de la sécurité fonctionnelle. Il peut s'agir à la fois les circuits d'énergie et des circuits de commande.

● Sous-système Entité de la conception de l'architecture générale du SRECS dans laquelle une défaillance d'un sous-système quelconque entraînera la défaillance de la fonction de commande relative à la sécurité. Remarque : Contrairement à l'usage linguistique général où "sous-système" peut désigner une entité quelconque, le terme "sous-système" est utilisé dans la norme CEI 62061 dans une hiérarchie strictement définie de la terminologie. On entend par "sous-système" la subdivision au niveau le plus élevé. Les parties qui résultent d'une subdivision supplémentaire d'un sous-système sont appelées "éléments de sous-système".

● Elément de sous-système Partie d'un sous-système comprenant un composant unique ou un groupe de composants. Avec ces éléments de structuration, les fonctions de commande peuvent être structurées selon une méthode claire de manière à ce que des parties définies de la fonction (blocs fonctionnels) puissent être affectées à des constituants matériels, les sous-systèmes. Il en résulte des exigences clairement définies pour les différents sous-systèmes, ce qui permet de les concevoir et de les réaliser indépendamment l'un de l'autre. L'architecture pour la réalisation du système de commande complet est obtenue en reliant entre eux (de manière logique) les sous-systèmes de la même façon que les blocs fonctionnels au sein de la fonction.



5.3.2 Processus de conception d'un système de commande relatif à la sécurité SRECS

Processus de conception Si l'on dispose de la spécification des exigences de sécurité, le système de commande envisagé peut être conçu et implémenté. En règle générale, un système de commande qui satisfait aux exigences spécifiques d'une application donnée ne peut pas être acheté fini, mais doit être conçu et configuré individuellement pour la machine considérée, à partir d'appareils existants.

Au cours du processus de conception, une architecture appropriée du système de commande est tout d'abord conçue par étapes pour chaque fonction de sécurité. Les architectures de toutes les fonctions de sécurité de la machine considérée peuvent ensuite être intégrées pour former un système de commande.



Figure 5-5 Processus de conception d'un système de commande relatif à la sécurité



Structuration de la fonction de sécurité Le principe de base de la conception structurée consiste à subdiviser chaque fonction de commande en blocs fonctionnels (virtuels) de manière à pouvoir les affecter à des sous-systèmes donnés. Les différents blocs fonctionnels sont délimités de manière à pouvoir être exécutés intégralement par certains sous-systèmes. Chaque bloc fonctionnel doit constituer une unité logique qui doit être exécutée correctement pour permettre l'exécution correcte de l'ensemble de la fonction de sécurité.

Figure 5-6 Subdivision d'une fonction de sécurité en blocs fonctionnels et affectation à des sous-

systèmes



Performance de sécurité d'un sous-système selon CEI 62061 L'"intégrité de sécurité" selon CEI 62061 exige que les trois exigences de base définies selon le SIL soient remplies :

1. Intégrité systématique,

2. Limitations structurelles, c'est-à-dire tolérance aux anomalies et

3. Probabilité limitée de défaillances aléatoires dangereuses (matériel) (PFHD).

L'intégrité systématique (1) requise pour l'ensemble de la fonction du système ainsi que les limitations structurelles (2) s'appliquent à la fois aux différents sous-systèmes et au système. En d'autres termes, si chaque sous-système remplit les exigences relatives à l'intégrité systématique et aux limitations structurelles d'un SIL donné, le système les remplit également. Mais si un sous-système ne remplit que les exigences minimales d'un SIL faible, le SIL pouvant être atteint par le système est limité. C'est pourquoi l'on parle de "SIL claim limit" (SIL CL), c'est-à-dire de "limite de revendication de SIL" d'un sous-système.

● Intégrité systématique : SIL SYS <= SIL CLlowest

● Limitations structurelles : SIL SYS <= SIL CLlowest

La limitation de la probabilité de défaillances aléatoires dangereuses (3) s'applique à l'ensemble de la fonction, c'est-à-dire qu'elle ne doit être dépassée par aucun des sous-systèmes. D'où la formule suivante :

PFHD = PFHD1 + ...+ PFHDn



5.3.3 Conception d'un système pour une fonction de sécurité

Conception de l'architecture L'architecture d'un système de commande pour une fonction de sécurité donnée correspond, sans sa structure logique, à la structure préalablement déterminée de la fonction de sécurité. Pour déterminer la structure réelle du système, les blocs fonctionnels de la fonction de sécurité sont affectés à des sous-systèmes donnés. Les sous-systèmes sont interconnectés de manière à permettre l'établissement des liaisons prescrites par la structure fonctionnelle. L'interconnexion physique s'effectue conformément aux caractéristiques de la technique sélectionnée, par ex. par câblage individuel (point-à-point) ou par bus.

Pour des fonctions de sécurité supplémentaires de la machine ou de l'installation, la méthode mise en œuvre est identique. Les blocs fonctionnels qui correspondent à ceux d'autres fonctions de sécurité peuvent être affectés aux mêmes sous-systèmes. Ainsi par exemple, si la même information doit être acquise pour deux fonctions différentes (par ex. position du même protecteur), il est possible d'utiliser à cet effet les mêmes capteurs.

Figure 5-7 Exemple d'architecture système pour une fonction de sécurité



Sélection d'appareils appropriés (sous-systèmes) Un sous-système qui doit être utilisé pour l'implémentation d'une fonction de sécurité doit posséder la fonctionnalité requise et satisfaire aux exigences correspondantes de la norme CEI 62061. Des sous-systèmes basés sur des microprocesseurs doivent répondre aux exigences de la norme CEI 61508 pour le SIL correspondant.

Les différents sous-systèmes doivent remplir les paramètres de sécurité exigés dans la spécification (SIL CL et PFHD).

Dans de nombreux cas, les appareils ont besoin de mesures de détection supplémentaires des anomalies (diagnostic) pour atteindre la performance de sécurité revendiquée pour leur utilisation en tant que sous-système. La détection des anomalies peut être réalisée par ex. par des appareils additionnels (par ex. blocs logiques de sécurité SIRIUS 3SK1) ou des blocs de diagnostic logiciels dans le traitement logique. Dans ce cas, la description de l'appareil doit contenir des informations correspondantes.

S'il n'existe aucun appareil approprié répondant aux exigences d'un sous-système ainsi spécifié, il doit être assemblé à partir d'appareils disponibles. Une étape de conception supplémentaire est alors nécessaire. Voir à cet effet la section "Conception et réalisation de sous-systèmes (Page 154)".

5.3.4 Réalisation du système de commande relatif à la sécurité Un système de commande relatif à la sécurité doit être réalisé de manière à satisfaire à toutes les exigences, conformément au SIL requis. Il s'agit de réduire à un niveau suffisamment faible la probabilité d'anomalies systématiques et aléatoires susceptibles d'entraîner une défaillance dangereuse de la fonction de sécurité. Les aspect suivants sont à prendre en considération :

● Intégrité matérielle, c'est-à-dire limitations architecturales, (tolérance aux anomalies) et probabilité de défaillance limitée,

● Intégrité systématique, c'est-à-dire exigences pour la prévention et la maîtrise des anomalies,

● Comportement en cas de détection d'une anomalie et conception/développement de logiciel



Intégrité matérielle Chaque sous-système doit avoir une tolérance aux anomalies suffisante pour le SIL du système. Celle-ci dépend de la proportion d'anomalies "en sécurité" par rapport à la probabilité d'occurrence de toutes les anomalies possibles du sous-système. Les anomalies potentiellement dangereuses d'un sous-système qui sont détectées en temps opportun dans le cadre du diagnostic font partie des anomalies "en sécurité".

La probabilité admise de défaillance d'une fonction de sécurité est limitée par le SIL défini dans la spécification.

Intégrité systématique Il convient d'appliquer des mesures destinées à la fois à prévenir les anomalies systématiques et à maîtriser les anomalies résiduelles du système.

Prévention des anomalies systématiques :

● Le système doit être installé conformément au plan de sécurité.

● Les indications du fabricant des appareils utilisés doivent être respectées.

● L'installation électrique doit être réalisée selon CEI 60204-1 (7.2, 9.1.1 et 9.4.3).

● La conception doit être vérifiée afin de s'assurer qu'elle est correcte et appropriée.

● Utilisation d'un outil informatisé faisant appel à des éléments préconfigurés et éprouvés.

Maîtrise des anomalies systématiques :

● Mise en œuvre du principe de la coupure de l'alimentation en énergie

● Mesures destinées à maîtriser les défaillances ou les perturbations temporaires du sous-système, par ex. suite à des coupures de tension

● En cas de liaison des sous-systèmes via un bus, les exigences de la norme CEI 61508-2 en matière de communication des données doivent être remplies (par ex. PROFIsafe et ASIsafe)

● Les défauts dans la liaison (câblage) et dans les interfaces des sous-systèmes doivent être détectés et des réactions appropriées doivent être initiées. Pour le traitement systématique, les interfaces et le câblage sont considérés comme faisant partie intégrante du sous-système considéré.

Pour plus de détails, voir CEI 62061 6.4



Comportement en cas de détection d'une anomalie Si des anomalies dans le sous-système sont susceptibles d'entraîner une défaillance dangereuse d'une fonction de sécurité, elles doivent être détectées à temps et une réaction appropriée doit être déclenchée afin d'éviter tout danger. Quant à savoir dans quelle mesure une détection automatique des anomalies (diagnostic) est nécessaire, cela dépend du taux de défaillance des appareils utilisés et du SIL revendiqué pour le système (ou du PFH exigé pour le sous-système).

Le comportement que doit avoir le système ou le sous-système lors de la détection d'une anomalie dépend de la tolérance aux anomalies du sous-système considéré. Si l'anomalie détectée n'entraîne pas directement la défaillance de la fonction de sécurité (tolérance aux anomalies > 0), une réaction n'est pas nécessaire immédiatement, mais seulement si la probabilité d'occurrence d'une seconde anomalie devient trop importante (généralement quelques heures ou jours). Si l'anomalie détectée entraîne directement la perte de la fonction de sécurité (tolérance aux anomalies = 0), une réaction est nécessaire immédiatement, c'est-à-dire avant l'apparition d'un danger.



5.3.4.1 Niveau de performance atteint

Niveau de performance atteint Pour chaque fonction de sécurité, le niveau de performance requis est défini dans sa spécification. Celui-ci doit être atteint par le système de commande relatif à la sécurité.

Le niveau de performance atteint par un système doit être déterminé pour chaque fonction de sécurité. Cela s'effectue à partir de l'architecture du système et des paramètres de sécurité des sous-systèmes qui participent à la réalisation de la fonction de sécurité considérée.

Conception selon CEI 62061

Le SIL atteint est limité par le SIL pouvant être atteint par ses sous-systèmes. La valeur la plus basse des sous-systèmes mis en œuvre limite le SIL du système à cette valeur (le maillon le plus faible d'une chaîne détermine sa résistance).

● Intégrité systématique : SIL SYS <= SIL CLlowest

● Limitations structurelles : SIL SYS <= SIL CLlowest

Pour relier les sous-systèmes entre eux, les mêmes exigences doivent être remplies. Les câblages individuels sont considérés comme faisant partie intégrante de l'un des deux sous-systèmes reliés. En cas de liaison par bus, le matériel et le logiciel d'émission et de réception font partie intégrante des sous-systèmes.

En dehors de cette aptitude fondamentale, il faut également prendre en considération la probabilité de défaillance dangereuse de chaque fonction de sécurité. Cette valeur est obtenue par la simple addition des probabilités de défaillance des sous-systèmes participant à la fonction :

PFHD = PFHD1 + ...+ PFHDn

En cas de liaisons par bus, il convient d'ajouter également la probabilité d'erreurs de transmission des données (PTE).

La valeur ainsi déterminée pour une fonction de sécurité donnée doit être inférieure (ou égale) à la valeur définie par le SIL correspondant.

Tableau 5- 1 Valeurs limites des probabilités de défaillance dangereuse d'une fonction de sécurité

Probabilité de défaillance dangereuse par heure (PFHD) SIL 1 SIL 2 SIL 3

PFHD < 10-5 < 10-6 < 10-7



5.3.5 Intégration système pour l'ensemble des fonctions de sécurité Après la conception des architectures pour l'ensemble des fonctions de sécurité, l'étape suivante réside dans l'intégration de ces architectures spécifiques aux fonctions pour constituer le système de commande global relatif à la sécurité.

Lorsque plusieurs fonctions de sécurité possèdent des blocs fonctionnels identiques, il est possible d'utiliser des sous-systèmes communs pour leur réalisation.

● Ainsi par exemple, un seul API de sécurité est suffisant pour l'implémentation de la logique de toutes les fonctions de sécurité.

● Si pour la suppression de différents phénomènes dangereux (c'est-à-dire différentes fonctions de sécurité), il faut déterminer l'état du même protecteur, le capteur requis à cet effet n'a besoin d'être installé qu'une seule fois sur ce protecteur.

Cela n'a aucune incidence sur le niveau d'intégrité de sécurité défini pour les différentes fonctions. Il ne faut en tenir compte que pour les appareils électromécaniques (soumis à usure) lors de la détermination de leur fréquence de manœuvres.

5.3.6 Conception et réalisation de sous-systèmes Un sous-système peut également être constitué par des appareils qui à eux seuls ne remplissent les exigences de sécurité, de manière à atteindre le niveau de performance requis. Par rapport à l'intégrité systématique et aux limitations structurelles, il s'agit de la SIL CL (claim limit), c'est-à-dire la limite de revendication de SIL prescrite par le SIL de la fonction de sécurité. Pour la probabilité de défaillance dangereuse (PFHD), les valeurs PFH maximales des différents sous-systèmes ont été définies lors de la conception.

D'une manière générale, la redondance est nécessaire au moins pour SIL 2 et SIL 3, que ce soit pour atteindre la tolérance requise aux anomalies ou pour permettre la détection de ces dernières (diagnostic). Mais l'association de deux appareils pour former un sous-système peut aussi être nécessaire pour réduire la probabilité de défaillance dangereuse.

Les exigences exactes pour la conception et la réalisation de sous-systèmes sont décrites dans la norme CEI 62061, sections 6.7 et 6.8. La description ci-après fournit un aperçu.



Conception de l'architecture d'un sous-système Une architecture particulière du sous-système est nécessaire lorsque les appareils prévus pour une tâche donnée (fonction partielle, "bloc fonctionnel") ne permettent pas d'atteindre directement le niveau d'intégrité ou de performance requis. D'une manière générale, les caractéristiques de sécurité

● Faible probabilité de défaillance

● Tolérance aux anomalies, maîtrise des anomalies

● Détection des anomalies

ne peuvent être atteintes que par des mesures architecturales particulières. L'étendue des mesures à mettre en œuvre dépend du niveau d'intégrité de sécurité ou du niveau de performance requis.

Une fonction (partielle), le bloc fonctionnel, est affectée au sous-système (par ex. interverrouillage d'un protecteur). Ce bloc fonctionnel est tout d'abord subdivisé (fictivement) en différents éléments (éléments de bloc fonctionnel), qui peuvent alors être affectés à certains appareils, aux éléments de sous-système. En général, la même fonction peut être affectée à deux éléments de bloc fonctionnel (la fonction a été pratiquement doublée). Si ces éléments de bloc fonctionnel sont réalisés chacun par leurs propres appareils, le sous-système possède une tolérance simple aux anomalies (redondance simple).

Détection des anomalies d'un sous-système (diagnostic) Dans un sous-système sans tolérance aux anomalies, chaque anomalie entraîne la perte de la fonction. La défaillance de la fonction peut, selon la nature de l'anomalie, entraîner un état dangereux ou sûr de la machine. Sont critiques toutes les anomalies conduisant à un état dangereux de la machine. Elles sont désignées par "anomalies dangereuses". Afin d'éviter qu'une anomalie dangereuse conduise effectivement à un phénomène dangereux, il est possible de détecter certaines anomalies à l'aide d'un diagnostic et d'amener la machine dans un état sûr avant l'apparition du phénomène dangereux. Une anomalie dangereuse détectée dans le cadre du diagnostic peut ainsi être transformée en anomalie "en sécurité".

Dans le cas d'un sous-système redondant, la première anomalie n'entraîne pas encore de défaillance de la fonction. Ce n'est que la survenue d'une anomalie supplémentaire qui peut entraîner la perte de la fonction. Afin d'éviter la défaillance du sous-système, la première anomalie doit par conséquent être détectée avant l'apparition d'une deuxième anomalie. La détection des anomalies doit bien entendu déclencher une réaction appropriée du système. Dans le cas le plus simple, la machine est par exemple arrêtée afin de l'amener dans un état sûr qui ne requiert pas la fonction de sécurité (défaillante).

Dans les deux cas, la détection de l'anomalie (diagnostic) et la réaction appropriée réduisent la probabilité de défaillance dangereuse de la fonction de sécurité considérée. La mesure dans laquelle la probabilité peut être réduite dépend notamment du nombre d'anomalies potentielles détectées. Le critère permettant de déterminer cette probabilité est le taux de couverture du diagnostic (diagnostic coverage DC).

La détection des anomalies d'un sous-système peut être réalisée dans le sous-système concerné ou être assurée par un autre appareil, par exemple l'API de sécurité.



Intégrité systématique d'un sous-système Lors de la conception et de l'implémentation d'un sous-système, il convient de prendre des mesures destinées à la fois à éviter et à maîtriser les anomalies systématiques, par ex. :

● Les appareils mis en œuvre doivent remplir les exigences des normes internationales correspondantes.

● Les conditions d'utilisation indiquées par le fabricant doivent être respectées.

● La conception et les matériaux utilisés doivent pouvoir résister à toutes les conditions ambiantes envisageables.

● Le comportement de l'appareil en fonction des conditions ambiantes doit être déterminé au préalable afin de pouvoir conserver un état sûr de la machine.

● Détection d'anomalies en ligne

● Manœuvre positive pour l'initiation d'une mesure de protection

Les exigences décrites dans la norme CEI 62061 concernent uniquement la conception des sous-systèmes électriques de moindre complexité, et donc pas les sous-systèmes à microprocesseurs. Les mesures requises s'appliquent de la même manière à tous les SIL.

Probabilité de défaillance (PFHD) d'un sous-système Les défaillances possibles sont subdivisées en défaillances "en sécurité" et "défaillances "dangereuses". Les défaillances dangereuses d'un sous-système sont définies comme suit.

Défaillance dangereuse Défaillance d'un SRECS, d'un sous-système ou d'un élément de sous-système qui a la potentialité de le mettre dans un état dangereux ou dans d'impossibilité d'exécuter sa fonction.

Remarque : la survenue ou non d'un tel état peut dépendre de l’architecture du système ; dans les systèmes disposant de plusieurs voies pour accroître la sécurité, il est moins probable qu’une défaillance dangereuse du matériel conduise à un état dangereux de l’ensemble ou à une perte de la fonction.

Cela signifie par exemple que dans un sous-système redondant (tolérance aux anomalies 1), le défaut d'une voie est considéré dangereux s'il est potentiellement dangereux, c'est-à-dire susceptible de conduire à un état dangereux de la machine en l'absence de deuxième voie.

Pour les exigences de sécurité, seule la probabilité de défaillances dangereuses est déterminante. Les défaillances dites "en sécurité" détériorent la disponibilité du système, mais n'entraînent pas de phénomène dangereux.

La probabilité de défaillance d'un sous-système dépend du taux de défaillance des appareils constituant le sous-système, de l'architecture ainsi que des mesures de diagnostic. Pour les deux architectures les plus courantes, les formules de la norme CEI 62061 sont indiquées.



Structure sans tolérance aux anomalies avec diagnostic Dans cette structure (voir figure suivante), il y a défaillance du sous-système si l'un quelconque de ses éléments est défaillant. En d'autres termes, une seule anomalie entraîne la défaillance de la fonction de sécurité proprement dite. Mais cela ne conduit pas obligatoirement à une perte dangereuse de la fonction de sécurité. Selon la nature du défaut, la machine peut commuter dans un état sûr ou un état dangereux, c'est-à-dire que le sous-système présente une défaillance "en sécurité" ou une défaillance "dangereuse". Si la probabilité de défaillance dangereuse (PFHd) est supérieure à celle indiquée dans la spécification, ces anomalies doivent être identifiées par diagnostic et une réaction doit être déclenchée avant l'apparition d'un danger. Les anomalies dangereuses deviennent des anomalies "en sécurité", ce qui réduit la probabilité de défaillance dangereuse du sous-système, si bien que la probabilité de défaillance autorisée dans la spécification est atteinte.

Figure 5-8 Structure logique d'un sous-système sans tolérance aux anomalies avec diagnostic



Structure avec tolérance simple aux anomalies et diagnostic Dans cette structure (voir figure ci-après), la première anomalie n'entraîne pas encore la défaillance de la fonction. Mais l'anomalie doit être détectée avant que la probabilité de survenue d'une deuxième anomalie, c'est-à-dire la défaillance du sous-système, ne dépasse la limite indiquée dans la spécification.

En dehors des anomalies aléatoires ne résultant pas les unes des autres, il faut également tenir compte de la possibilité de défaillances de cause commune (common cause failure) dans le cas de sous-systèmes redondants. Pour ce type de défaillances, une redondance homogène n'est d'aucune utilité. C'est pourquoi lors de la conception, il convient de prendre des mesures systématiques destinées à réduire de manière adéquate leur probabilité d'occurrence. Comme les défaillances de cause commune ne peuvent pas être entièrement exclues, elles doivent être prises en compte lors du calcul de la probabilité de défaillance d'un sous-système. Cette prise en compte s'effectue à l'aide du facteur de cause commune (common cause factor (β)), qui sert à évaluer l'efficacité des mesures adoptées. L'annexe F de la norme CEI 62061 contient un tableau pour la détermination du facteur de défaillance de cause commune.

Dans cette structure, la défaillance unique d'un élément quelconque du sous-système n'entraîne pas la défaillance de la fonction de commande relative à la sécurité.

Figure 5-9 Structure logique d'un sous-système avec tolérance simple aux anomalies et diagnostic



Limitations structurelles d'un sous-système Les limitations structurelles exigent une tolérance minimale aux anomalies en fonction de la nature de l'anomalie potentielle du sous-système. Plus la proportion de défaillances "en sécurité" est importante, plus la tolérance aux anomalies requise pour un SIL donné est faible.

Le tableau suivant présente les limites correspondantes : Dans ce contexte, les défaillances "en sécurité" sont également des défaillances potentiellement dangereuses qui sont détectées par diagnostic.

Tableau 5- 2 Limitations structurelles d'un sous-système

Proportion de défaillances "en sécurité"

Tolérance matérielle

0 1 < 60 % Non autorisé

(exceptions : voir norme) SIL 1

60% à < 90% SIL 1 SIL 2 90% à < 99% SIL 2 SIL 3

≥ 99 % SIL 3 SIL 3 Remarque : une tolérance matérielle de N signifie que N+1 anomalies peuvent conduire à la perte de la fonction.

Ainsi par exemple, pour un système qui doit être utilisé pour SIL 2, aucune tolérance aux anomalies n'est requise (FT = 0) si la proportion de défaillances "en sécurité" est supérieure à 90%. La plupart des appareils ne sont pas en mesure d'atteindre cette valeur par eux-mêmes. On peut cependant réduire le taux de défaillances dangereuses en détectant ces dernières par diagnostic et en déclenchant rapidement une réaction appropriée.

La SFF (Safe Failure Fraction) d'un sous-système est la proportion des défaillances qui amènent la machine dans un état sûr par rapport à l'ensemble des défaillances du sous-système, pondérée en fonction de leur probabilité d'occurrence.

Spécification et conception des parties des systèmes de commande relatives à la sécurité 5.4 Conception et réalisation des parties d'un système de commande relatives à la sécurité selon ISO 13849-1


5.4 Conception et réalisation des parties d'un système de commande relatives à la sécurité selon ISO 13849-1

Objectif Un système (de commande) relatif à la sécurité doit exécuter correctement une fonction de sécurité. En cas de défaut, il doit se comporter de manière à ce que la machine soit maintenue ou amenée dans un état sûr.

Détermination de la performance de sécurité (intégrité de sécurité) nécessaire Le processus d'appréciation du risque (voir chapitre "Parties du système de commande relatives à la sécurité (Page 137)") a permis de déterminer les exigences posées à la fonction de sécurité.

La norme ISO 13849-1 impose un niveau de performance PLr. Voir chapitre "Parties du système de commande relatives à la sécurité (Page 137)".

Processus de conception des parties d'un système de commande relatives à la sécurité Les catégories selon ISO 13849-1 se réfèrent à la fois au système (fonction de sécurité) et à ses sous-systèmes. En cas de réalisation selon ISO 13849-1, on pourra appliquer le même principe de structuration du système relatif à la sécurité que celui décrit dans la norme CEI 62061. Chaque sous-système ainsi délimité doit atteindre le niveau de performance requis pour la fonction de protection. Les exigences de la catégorie correspondante s'appliquent également au câblage des sous-systèmes.

Pour la conception, la norme ISO 13849-1 introduit, en plus des catégories, le niveau de performance PLr en tant que grandeur quantitative pour la probabilité de défaillance.

La figure suivante illustre le processus itératif pour la conception des parties d'un système de commande relatives à la sécurité (SRP/CS) :



Figure 5-10 Processus itératif pour la conception des parties d'un système de commande relatives à

la sécurité



Conception selon ISO 13849-1 La conception de l'architecture est basée sur le niveau de performance PLr requis.

Le concept ISO 13849-1 est basé sur des architectures spéciales prédéfinies pour les parties des systèmes de commande relatives à la sécurité.

Une fonction de sécurité peut être constituée d'une ou de plusieurs parties d'un système de commande relatives à la sécurité (SRP/CS).

Une fonction de sécurité peut également être une fonction opérationnelle, par ex. dispositif de commande bimanuelle pour le déclenchement d'un processus.

Une fonction de sécurité typique est constituée des parties suivantes d'un système de commande relatives à la sécurité :

● Entrée (SRP/CSa)

● Logique / traitement (SRP/CSb)

● Sortie / élément de transmission de l'énergie (SRP/CSc)

● Liaisons (iab, iac) (par ex. électrique, optique)

Remarque : les parties relatives à la sécurité comprennent un ou plusieurs constituants, qui sont eux-mêmes composés d'un ou plusieurs éléments.

Tous les éléments de liaison sont intégrés dans les parties relatives à la sécurité.

Si des fonctions de sécurité du système de commande ont été définies, les parties du système de commande relatives à la sécurité doivent être identifiées. De même, leur contribution au processus de réduction du risque (ISO 12100) doit être évaluée.

Niveau de performance PL Lors de l'application de la norme ISO 13849, l'aptitude des parties d'une fonction de sécurité liées à la sécurité est exprimée par la détermination d'un niveau de performance.

Pour chaque SRP/CS et/ou combinaison de SRP/CS exécutant une fonction de sécurité, une estimation du PL doit être réalisée.

Le PL de la SRP/CS doit être déterminé en évaluant les aspects suivants :

● MTTFd (temps moyen avant une défaillance dangereuse)

● DC (taux de couverture du diagnostic)

● CCF (défaillance de cause commune)

● Structure

● Comportement de la fonction de sécurité en cas d'anomalie(s)

● Logiciel relatif à la sécurité

● Défaillances systématiques



Temps moyen jusqu'à une défaillance dangereuse de chaque voie (MTTFd) La valeur MTTFd de chaque voie est indiquée en trois niveaux et doit être prise en compte individuellement pour chaque voie (par ex. voie individuelle ou chaque voie d'un système redondant). Pour le MTTFd, la valeur est limitée à 100 ans. MTTFd faible 3 ans ≤ MTTFd < 10 ans Moyen 10 ans ≤ MTTFd < 30 ans élevé 30 ans ≤ MTTFd ≤ 100 ans

Taux de couverture du diagnostic (DC) La valeur DC est indiquée en quatre niveaux. Pour l'estimation du DC, on pourra, dans la plupart des cas, utiliser l'analyse FMEA (analyse des modes de défaillance et de leurs effets) ou des méthodes similaires. Il convient alors de prendre en compte toutes les anomalies et/ou types de défaillances pertinents et de s'assurer que le PL de la combinaison SRP/CS devant exécuter la fonction de sécurité atteint le niveau de performance (PLr) requis. Pour une approche simplifiée en vue de l'estimation du DC, voir ISO 13849-1 Annexe E. Taux de couverture du diagnostic (DC) zéro DC < 60 % faible 60% ≤ DC < 90% moyen 90% ≤ DC < 99% élevé 99% ≤ DC



5.4.1 Conception et réalisation de catégories

Catégorie B Pour atteindre la catégorie B, les parties du système de commande relatives à la sécurité doivent remplir les exigences suivantes et être conçues, sélectionnées et combinées en fonction de ces dernières.

● Application des principes essentiels de sécurité

● Résistance aux sollicitations d'exploitation attendues, par ex. pouvoir de coupure ou fréquence de manœuvres des constituants

● Résistance aux influences du matériau traité et aux conditions ambiantes, par ex. huiles, détergents, brouillard salin

● Résistance aux autres influences extérieures, par ex. vibrations mécaniques, perturbations électromagnétiques, interruptions ou défaillances de l'alimentation en énergie.

Dans un système de catégorie B, le MTTFd de chaque voie peut être faible à moyen. Il n'existe pas de couverture du diagnostic (DC avg = zéro). Comme il s'agit généralement d'une structure monovoie, le CCF n'est pas utilisé dans cette catégorie, étant donné qu'il n'est pas pertinent. Le niveau de performance maximal pouvant être atteint par un système de catégorie B est PL = b. Du fait de l'architecture monovoie, une anomalie peut conduire à la perte de la fonction de sécurité.

Exemple d'architecture prévue pour la catégorie B :

● I1 : capteur 1 (par ex. interrupteur de position)

● L1 : unité logique 1 (par ex. bloc logique de sécurité)

● O1 : actionneur 1 (par ex. contacteur)

Caractéristiques structurelles :

● Architecture monovoie

Figure 5-11 Architecture prévue pour la catégorie B



Catégorie 1 Les exigences à remplir pour atteindre la catégorie 1 sont les mêmes que celles de la catégorie B, avec en plus les exigences suivantes :

Pour les parties du système de commande relatives à la sécurité, il convient d'utiliser des composants éprouvés et respecter des principes de sécurité éprouvés (voir ISO 13849-2).

Dans un système de catégorie 1, le MTTFd de chaque voie doit être élevé.

Le niveau de performance maximum pouvant être atteint est PL = c.

Exemple d'architecture prévue pour la catégorie 1 :






● Utilisation de composants éprouvés

Figure 5-12 Architecture prévue pour la catégorie 1



Catégorie 2 Les exigences à remplir pour atteindre la catégorie 2 sont les mêmes que celles de la catégorie B. Les principes de sécurité éprouvés doivent également être respectés. En outre, les exigences suivantes doivent être remplies :

Dans un système de catégorie 2, les parties du système de commande relatives à la sécurité doivent être testées à intervalles appropriés par le système de commande de la machine. Le test de la fonction de sécurité doit être réalisé par le système de commande de la machine.

● A la mise en route de la machine et

● Avant chaque situation dangereuse, par ex. au début d'un nouveau cycle machine, lors de l'amorçage d'autres mouvements, etc.

Suite aux tests effectués avec le dispositif de test,

● une réaction appropriée doit être déclenchée après chaque anomalie détectée

● le fonctionnement ne doit pas être autorisé si une anomalie a été détectée

La réaction à l'anomalie doit si possible amener la machine dans un état sûr. Le fonctionnement normal ne peut être poursuivi qu'après la suppression de l'anomalie. Si l'état sûr ne peut pas être atteint (par ex. en cas de contacts soudés), une alarme doit être émise avant chaque phénomène dangereux.

Dans un système de catégorie 2, le MTTFd de chaque voie doit, en fonction du PLr requis, être faible à élevé. Les parties du système de commande relatives à la sécurité doivent présenter un taux de couverture du diagnostic faible à moyen. Dans le même temps, des mesures contre la défaillance de cause commune (CCF) doivent être appliquées (voir ISO 13849-1, annexe F).

Par ailleurs, le test proprement dit ne doit pas provoquer d'autres phénomènes dangereux. Le dispositif de test peut faire partie intégrante des parties du système de commande relatives à la sécurité ou être mis en œuvre séparément.

Le niveau de performance maximal pouvant être atteint par un système de catégorie 2 est PL = d.

Remarque

Dans la catégorie 2, le système testé est un système monovoie (approche simplifiée de la norme ISO 13849-1) : lors de l'apparition d'une anomalie dangereuse, la détection de l'anomalie n'est pertinente que si le test au cours duquel l'anomalie est détectée est réalisé avant la sollicitation suivante de la fonction de sécurité. Dans ce contexte, le taux de test doit être 100 fois supérieur au taux de sollicitation de la fonction de sécurité.



Exemple d'architecture prévue pour la catégorie 2




● TE : dispositif de test



● Surveillance par dispositif de test





Les parties du système de commande relatives à la sécurité de la catégorie 3 doivent être conçues de manière à ce que l'apparition d'une anomalie unique ne conduise pas à la perte de la fonction de sécurité. L'anomalie unique doit si possible est détectée dès ou avant la prochaine sollicitation de la fonction de sécurité.

Dans un système de catégorie 3, le MTTFd de chaque voie redondante doit, en fonction du PLr requis, être faible à élevé. Les parties du système de commande relatives à la sécurité doivent présenter un taux de couverture du diagnostic faible à moyen. Dans le même temps, des mesures contre la défaillance de cause commune (CCF) doivent être appliquées (voir ISO 13849-1, annexe F).


● I1 et I2 : capteur 1 et 2 (par ex. deux interrupteurs de position avec contacts à manœuvre positive)

● L1 et L2 : unité logique 1 et 2 (un bloc logique de sécurité par exemple contient déjà ces deux unités)

● O1 et O2 : actionneur 1 et 2 (par ex. deux contacteurs)


● Architecture redondante

● Surveillance des capteurs (surveillance de discordance)

● Surveillance des circuits de validation (surveillance, comparable aux circuits de réaction aujourd'hui)





Les parties du système de commande relatives à la sécurité de la catégorie 4 doivent être conçues de manière à ce que l'apparition d'une anomalie unique ne conduise pas à la perte de la fonction de sécurité. L'anomalie unique doit est détectée dès ou avant la prochaine sollicitation de la fonction de sécurité. Si cette détection n'est pas possible, une accumulation d'anomalies non détectées ne doit pas entraîner la perte de la fonction de sécurité.

Dans un système de catégorie 3, le MTTFd de chaque voie redondante doit être élevé. Les parties du système de commande relatives à la sécurité doivent présenter un taux de couverture du diagnostic élevé. Dans le même temps, des mesures contre la défaillance de cause commune (CCF) doivent être appliquées (voir ISO 13849-1, annexe F).


● I1 et I2 : capteur 1 et 2 (par ex. deux interrupteurs de position avec contacts à manœuvre positive)

● L1 et L2 : unité logique 1 et 2 (un bloc logique de sécurité par exemple contient déjà ces deux unités)

● O1 et O2 : actionneur 1 et 2 (par ex. deux contacteurs)


● Architecture redondante

● Surveillance des capteurs (surveillance de discordance)

● Surveillance des circuits de validation (surveillance, comparable aux circuits de réaction)

● Taux de couverture du diagnostic élevé dans tous les sous-systèmes




Evaluation des fonctions de sécurité Chaque fonction de sécurité prévue, sa mise en œuvre et son évaluation doivent être documentées selon les prescriptions de la norme.

Pour l'évaluation des fonctions de sécurité sur les machines et les installations, l'outil Safety Evaluation Tool de Siemens, d'utilisation simple et rapide, peut vous apporter une aide précieuse.

Cet outil en ligne, testé par le TÜV, guide l'utilisateur pas à pas, de la détermination de la structure du système de sécurité jusqu'à l'évaluation du niveau d'intégrité de sécurité atteint selon ISO 13849-1 et CEI 62061, en passant par la sélection des constituants.

Les nombreuses bibliothèques intégrées vous seront également très utiles. L'utilisateur obtient un rapport conforme aux normes, pouvant être intégré dans la documentation en guise de justificatif de la sécurité.

Grâce à l'utilisation en ligne de l'outil Safety Evaluation Tool, les calculs sont toujours effectués selon la norme actuelle et vous accédez en permanence aux données techniques actuelles de l'ensemble des constituants de SIEMENS relatifs à la sécurité.

L'outil Safety Evaluation Tool est disponible sur Internet (http://www.siemens.com/safety-evaluation-tool).




Service & Support 6 6.1 Service et Support

Safety Integrated sur Internet Pour accéder à des informations actuelles sur la technique de sécurité, consultez notre site Internet. Vous y trouverez également des documents, des liens, films et outils utiles relatifs aux produits et solutions Safety Integrated ainsi que pour la mise en œuvre des normes. Safety Integrated sur Internet (http://www.siemens.com/safety-integrated)

Functional Safety Services Nous pouvons vous aider par exemple lors de la réalisation de l'appréciation du risque, ou bien procéder à la vérification SIL ou PL pour votre concept existant, à la programmation des fonctions de sécurité ou à la vérification de l'ingénierie.

Functional Safety Services sur Internet (http://www.siemens.com/safety-services)

Formation SITRAIN pour Safety Integrated Appréciation du risque, normes, marquage CE, formation produit : vous trouverez sur Internet tout ce qu'il faut savoir sur notre vaste programme de formation SITRAIN.

Formation SITRAIN pour Safety Integrated sur Internet (http://www.siemens.com/sitrain-safetyintegrated)

Catalogues et matériel d'information Dans le centre d'information et de téléchargement, vous pourrez télécharger toute la documentation actuelle : catalogues, magazines clients, brochures, logiciels de démonstration et packs promotionnels. Et notamment aussi notre catalogue "Safety Integrated".

Centre d'information et de téléchargement (http://www.siemens.com/safety-infomaterial)

Exemples fonctionnels Vous trouverez sur Internet d'autres exemples fonctionnels axés sur la pratique, qui couvrent les exigences typiques de la technique de sécurité industrielle. Vous accèderez à des applications types avec des exemples de produits avec schéma de câblage, code de programmation et évaluation selon EN 62061 et EN ISO 13849.

Exemples fonctionnels sur Internet : (http://www.siemens.com/safety-functional-examples)

http://www.siemens.com/safety-integrated

http://www.siemens.com/safety-services

http://www.siemens.com/sitrain-safetyintegrated

http://www.siemens.com/sitrain-safetyintegrated

http://www.siemens.com/safety-infomaterial

http://www.siemens.com/safety-functional-examples

Service & Support 6.1 Service et Support


Newsletter Safety Integrated Notre Newsletter vous fournit régulièrement des informations actuelles sur la technique de sécurité.

Newsletter Safety Integrated (http://www.industry.siemens.com/newsletter)

Service sur site Grâce à ses services orientés produit, systèmes et applications, Siemens assiste ses clients dans le monde entier pendant tout le cycle de vie d'une installation. De la planification et du développement jusqu'à la modernisation en passant par l'exploitation, les clients bénéficient également, à travers ce service, du savoir technologique et produits ainsi que de la compétence sectorielle des experts Siemens.

Industry Services (http://www.siemens.com/industry-service)

Configurateurs Assemblez en toute simplicité des produits et systèmes à l'aide de nos configurateurs.

Industry Mall Commander ensuite en ligne dans l'Industry Mall – rien de plus simple.

Industry Mall (http://www.siemens.com/industrymall/)

Conseil Pour répondre aux exigences croissantes dans le domaine de la technique de sécurité, Siemens mise également, à côté de ses propres spécialistes de la sécurité, sur des Siemens Solution Partner Automation triés sur le volet. Ces partenaires hautement qualifiés vous offrent un conseil professionnel et un soutien efficace pour tous les aspects sécuritaires de vos projets d'automatisation.

Solution Partner Internet (http://www.siemens.com/automation/solutionpartner)

http://www.industry.siemens.com/newsletter

http://www.siemens.com/industry-service

http://www.siemens.com/industrymall/

http://www.siemens.com/automation/solutionpartner


Index

A Actionneurs, 19 Analyse, 19 Analyse du risque, 128 Anomalie, 155

dangereuse, 155 systématique, 151

Anomalies dangereuses, 155 Anomalies systématiques, 15, 151 Anomalies systématiques, 15, 151 ANSI, 133 Appréciation du risque, 128, 137, 160, 171 Architecture

Système de commande, 145 Architecture du système, 143, 149 Architecture pour la catégorie 2, 167 Architecture pour la catégorie 3, 168 Architecture pour la catégorie 4, 169 Architecture pour la catégorie B, 164 Arrêt

contrôlé, 16 non contrôlé, 16

Arrêt d'urgence, 17, 18, 26, 112, 114 Arrêt d'urgence, 17, 18, 26, 112, 114 Arrêt d'urgence, 17, 18, 26, 112, 114 Association possible pour la détection de position, 48 Associations de fonctions de sécurité, 110 Australie, 136

B Barrière immatérielle, 77, 78 Barrières immatérielles, 75 Bloc fonctionnel, 144

C Calcul de sécurité, 25 Capteurs, 19 Cascadage

Blocs logiques de sécurité, 118 Catalogues, 171 Catégorie 1, 165 Catégorie 2, 166 Catégorie 3, 168

Catégorie 4, 169 Catégorie B, 164 Catégorie d'arrêt :, CEI 61508, 143 CEI 62061, 15, 24, 131, 137, 138, 140, 148 Circuit de réaction, 12 Circuit de validation, 11 Commande bimanuelle, 13, 105 Commande sûre, 105 Concept, 162 Conception de l'architecture

Sous-système, 155 Conception de l'architecture, 162 Configurateurs, 172 Connaissances requises, 9 Contrôleur de vitesse, 94, 102 Contrôleur d'immobilisation, 96 Coupure d'arrêt d'urgence, 28, 30, 32, 34, 42, 116 Coupure d'arrêt d'urgence, 28, 30, 32, 34, 42, 116 Coupure d'urgence, 17 Cycle de vie, 126

D Défaillance dangereuse, 156 Défaillances "en sécurité", 159 Démarrage automatique, 12 Démarrage d'urgence, 17 Démarrage manuel, 12 Démarrage surveillé, 12 Détection, 19 Détection de courts-circuits transversaux, 11 Détection de position, 48 Détection des anomalies, 150, 152, 154, 155 Diagnostic, 157, 159 Directive Machines, 123

Brésil, 135 Directives européennes, 125 Dispositifs de verrouillage, 44, 89 Documentation

Connaissances requises, 9 Groupe cible, 9 Historique, 10

Données CAx, 25

Index


E Elément de sous-système, 144 Elément d'un bloc fonctionnel, 144 Eléments de structuration, 143 EN 60204-1, 16, 17 EN ISO 12100, 128 EN ISO 13849-1, 131 Evaluation du risque, 128, 138 Evénement dangereux, 140 Exemples d'application

Utilisation, 24 Exemples fonctionnels, 171 Exigences de sécurité

Spécification, 142

F Facteurs de risque, 137, 139, 141 Fichier de projet SET, 25 Fichier SET, 25 Fonction de commande, 144 Fonction de protection

Inhibition, 75 Fonction de sécurité, 149, 153, 162

Evaluation, 170 Structuration, 147

Fonctions de sécurité Associations, 110 Validation, 132

G Garantie, 10 Graphique des risques, 139 Gravité du dommage, 141 Groupe cible, 9

H Historique, 10

I Industry Mall, 172 Informations destinées à l'utilisateur, 131 Intégrité de sécurité, 160, 170 Intégrité matérielle, 151 Intégrité systématique, 148, 151, 156 Intégrité systématique, 148, 151, 156 Interrupteurs à commande magnétique, 45

Interrupteurs de position, 44 Interrupteurs de sécurité

sans contact, 45 Interrupteurs de sécurité mécaniques, 44 Interrupteurs de sécurité sans contact, 45 Interrupteurs pour charnière, 44 Interverrouillage, 45, 89 Interverrouillage de protecteur, 96, 99 ISO 13849-1, 15, 24, 138, 139, 162

Catégories, 160

L Limitations structurelles, 159 Limite de revendication de SIL, 148, 154 Limite de revendication de SIL, 148, 154 Loi allemande sur la sécurité des appareils et produits, 123

M Matériel d'information, 171 Mauvais usage, 130 Mesure de protection, 138 Mesures de protection, 128, 130 Mise à l'arrêt, 16 Mise sous tension d'urgence, 17 Mode "muting", 75 Montage en série, 27, 47, 110 Muting, 75

N National Electric Code (NEC), 133 NFPA, 133 NFPA 70, 133 NFPA 79, 133 Niveau de performance, 131, 138, 162 Niveau de performance, 131, 138, 162 Niveau de sécurité, 24, 48 Niveau d'intégrité de sécurité, 131, 141 Niveau d'intégrité de sécurité, 131, 141 Niveau d'intégrité de sécurité (SIL), 138 Normes, 125 Normes européennes

harmonisées, 125 Normes européennes harmonisées, 125

Index


O Objectifs de protection, 123 Obligation de diligence, 15 OSHA Regulations, 133

P Paramètres de risque, 140 Performance de sécurité, 138, 140, 148, 160 Performance Level, 15 PL, 131 PL c, 24 PL d, 24 PL e, 24 Prescriptions, 15 Principe de structuration, 143 Probabilité de défaillance, 138, 156 Probabilité de défaillance, 138, 156 Probabilité de défaillance (PFHD), 156 Procédure de conformité CE, 126 Processus de conception, 145, 160 Protecteur, 103, 112, 114 Protecteurs, 52, 54, 56, 58, 60, 62, 64, 66, 68, 70, 72 Pupitre de commande bimanuelle, 106, 108

R Réaction, 19 Réaction aux anomalies, 152 Redondance, 11 Réduction du risque, 128, 129, 138 Relais de surveillance de vitesse, 90, 98 Responsabilité, 10 Responsabilité du fait des produits, 133 Risque, 129 Risque résiduel, 128, 129

S Safety Evaluation Tool, 170 Safety Integrated, 171 Safety Integrity Level, 15 Scanner laser, 84, 86 SIL, 131, 140 SIL 1, 24 SIL 2, 24 SIL 3, 24 SITRAIN, 171

Sous-système, 144, 151, 154, 155, 156 Conception, 156 Sélection, 150

Spécification Exigences de sécurité, 142

SRCF, 144 SRECS, 143, 156 Surveillance d'accès, 76, 78, 80, 82 Surveillance de position, 48 Surveillance de protecteur mobile, 44, 52, 54, 56, 58, 64, 66, 68, 70, 72, 99, 112, 114 Surveillance de vitesse, 89, 90, 94, 98 Surveillance de vitesse sûre, 90, 94 Surveillance de zone, 84, 86 Surveillance d'immobilisation, 89, 96 Surveillance d'immobilisation sûre, 96 Surveillance d'interverrouillage, 98, 102 Synchronisme, 13 Système de commande, 144, 145

Conception de l'architecture, 149 Système de commande électrique relatif à la sécurité, SRECS, 143

T Tapis sensible, 80, 82 Taux de couverture du diagnostic, 155, 155, 163 Tolérance aux anomalies, 151, 152, 154, 155, 157, 159

U Unité de contrôle, 19 Unités de contrôle

Interrupteurs de sécurité, 49 USA, 133

V Validation, 132

Z Zone de danger ouverte, 76, 78, 80, 82 Zone de danger ouverte, 76, 78, 80, 82

Index


Documents

SIRIUS Safety Integrated...Manuel d'application 10/2014 A5E33346617002A/RS-AA/001 Introduction 1 Technique de sécurité - Généralités 2 Exemples d'application 3 Prescriptions et