transition-EN954-1---ISO13849-1

EN IS

O13

849-

1

Indices de performance de scuritTransition de EN 954-1 EN ISO 13849-1

Publication : SAFETY-RM004A-FR-P April 2009 2009 Rockwell Automation, Inc. Tous droits rservs.

www.rockwellautomation.com

Sige des activits "Power, Control and Information Solutions"

AUDIN - 8, avenue de la malle - 51370 Saint Brice CourcellesTel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : [email protected]

SCURIT FONCTIONNELLETransition de EN 954-1 EN ISO 13849-1

1

INTRODUCTION

Cette publication est destine clarifier les rcents changements ainsi que ceux venir

dans la lgislation et les normes relatives la scurit des machines. Elle concerne

principalement les exigences europennes mais, en raison de la globalisation croissante

des normes de scurit des machines, une grande partie du contenu est valable sur le

plan mondial.

Les machines et les traitements deviennent de plus en plus rapides, flexibles et

performants. Afin de pouvoir offrir un niveau de scurit constant pour les oprateurs et

les techniciens, les mesures de protection ont leur tour t adaptes de sorte

rpondre la complexit croissance de l'automatisation. Les systmes de scurit ont

gnralement t implments sparment des systmes d'automatisation, exploits

indpendamment et souvent paralllement au systme d'automatisation. En effet, le

systme de scurit doit toujours tre disponible. Un dfaut ou une occurrence

inattendue dans le fonctionnement normal de la machine ne doit pas entraver ou

compromettre les mesures protectives de scurit.

Il est cependant indniable que le niveau d'intelligence du systme de scurit doit

voluer paralllement celui du systme d'automatisation. Les conditions requises en

vue d'une fonctionnalit plus sre dpendent de plus en plus de la fonction ou du mode

de la machine. Cela signifie que la scurit doit, en quelque sorte, communiquer

avec le systme de commande normal . Nous devons donc reconsidrer la manire

dont nous pouvons tablir l'indpendance et l'intgrit du systme de scurit. Cela se

manifeste principalement dans la nouvelle gnration de normes gnralement appels

les Normes en vigueur pour la scurit fonctionnelle. Cette publication traite de l'une des

plus significatives de ces normes : EN ISO 13849-1. Il existe paralllement une nouvelle

Directive Machines europenne qui concerne la lgislation relative l'environnement

industriel contemporain.

Il est important que toutes les personnes fournissant ou utilisant des machines se

tiennent informes des normes en vigueur ainsi que des exigences lgales. C'est l'objet

de cette publication, qui traite notamment des aspects relatifs au systme de commande.

Elle ne remplace pas une tude exhaustive des dispositions spcifiques dtailles dans

les normes et la lgislation. Elle a seulement pour objectif de fournir une vue d'ensemble

et, nous l'esprons, de clarifier les conditions ncessaires.


2Passage de EN 954-1 EN ISO 13849-1

Il y plusieurs annes, la mthode la plus utilise pour classifier les systmes de scurit

consistait employer les diffrentes catgories de EN 954-1 [ou son quivalent

ISO 13849-1:1999]. La norme EN 954-1 [son quivalent, la norme ISO 13849-1:1999,

quant elle, a dj t supprime] sera supprime la fin du mois de dcembre 2012.

La principale consquence est le fait que, aprs cette date, cette norme ne pourra plus

tre utilise pour attester de la conformit avec la Directive Machines.

Une nouvelle norme destine remplacer EN 954-1 d'ores et dj t publie. Il s'agit

de la norme EN ISO 13849-1:2008. Scurit des machines Parties des systmes de

commande relatives la scurit . Une norme alternative peut galement tre utilise :

EN/IEC 62061 Scurit des machines Scurit fonctionnelle des systmes de

commande lectriques, lectroniques et lectroniques programmables . Il est possible

d'utiliser l'une ou l'autre de ces normes pour attester de la conformit avec la Directive

Machines. Dans cette publication, nous prsenterons la relation entre les deux normes le

cas chant. Il revient l'utilisateur de choisir entre les deux normes, mais nous traiterons

principalement de la norme EN ISO 13849-1:2008. Elle a t tablie spcialement afin

de permettre une transition aux concepteurs de systmes qui utilisaient les catgories,

c'est pourquoi elle est en passe de devenir la norme la plus utilise pour les systmes de

scurit des machines. Elle peut aussi bien tre utilise pour les systmes complets ainsi

que pour les sous-systmes.

Diffrences de base entre EN 954-1 et EN ISO 13849-1

Considrons tout d'abord les diffrences de base entre l'ancienne norme EN 954-1 et la

nouvelle norme EN ISO 13849-1. Les sorties de l'ancienne norme taient les Catgories

[B, 1, 2, 3 ou 4]. Celles de la nouvelle norme sont les Indices de performance [PL a, b, c,

d ou e]. Le concept de catgorie est conserv mais il existe des exigences supplmentaires

qui doivent tre satisfaites avant qu'un indice de performance ne puisse tre revendiqu

pour un systme.

Ces exigences peuvent tre listes de la manire suivante :

L'architecture du systme. Dsigne essentiellement les lments utiliss comme

catgories.

Les donnes de fiabilit sont ncessaires pour les parties constituantes du

systme.

Le taux de couverture des tests de diagnostic [DC] du systme est ncessaire.

Il reprsente la quantit effective de surveillance des dfauts dans le systme.

Protection contre la dfaillance de cause commune.

Protection contre les dfauts systmatiques.

Le cas chant, exigences spcifiques pour le logiciel.



3

Nous prsenterons ces diffrents facteurs de manire plus dtaille par la suite, mais,

dans un premier temps, il est utile de considrer le principe et l'intention de base de la

norme dans son ensemble. A ce niveau, il est clair que de nouvelles notions doivent tre

apprises, mais il sera plus facile de comprendre les dtails lorsque nous en connatrons

les objectifs et les raisons.

La premire question sa poser est la suivante : pourquoi avons-nous besoin d'une

nouvelle norme ? Il est vident que la technologie utilise dans les systmes de scurit

des machines a considrablement progress et chang au cours des dix dernires

annes. Jusqu' rcemment, les systmes de scurit dpendaient d'un quipement

simple avec des modes de dfaillance parfaitement prvisibles. Cependant, des

dispositifs lectroniques et programmables plus complexes sont actuellement de plus en

plus utiliss dans les systmes de scurit. Cela a certes des avantages en termes de

cots, de flexibilit et de compatibilit, mais cela signifie galement que les normes pr-

existantes ne sont dsormais plus appropries. Pour savoir si un systme de scurit est

suffisamment bon, nous devons disposer de plus de renseignements sur ce dernier.

C'est pourquoi la nouvelle norme exige des informations plus dtailles. Les systmes

de scurit commenant utiliser une approche de type bote noire , nous pouvons

de plus en plus nous fier leur conformit avec les normes. Cependant, ces normes

doivent tre en mesure d'interroger correctement la technologie. Pour cela, elles doivent

se baser sur les facteurs de base que sont la fiabilit, la dtection des dfauts, l'intgralit

architecturale et systmatique. Il s'agit l de l'objectif de la norme EN ISO 13849-1.

Pour tablir un trac logique dans la norme, il est important de raliser qu'il existe deux

types d'utilisateurs radicalement diffrents : les concepteurs des sous-systmes relatifs

la scurit et les concepteurs des systmes relatifs la scurit. En rgle gnrale, le

concepteur de sous-systmes [gnralement un fabricant de composants de scurit]

est soumis un niveau de complexit plus lev. Il est alors ncessaire de fournir les

donnes requises de sorte que le concepteur du systme puisse garantir l'intgrit

adquate du systme. Cela exige gnralement des tests, des analyses et des calculs.

Les rsultats sont exprims sous la forme des donnes requises par la norme.

Le concepteur du systme [gnralement un concepteur ou intgrateur de machine]

utilise ces donnes pour raliser des calculs relativement simples afin de dterminer

l'indice de performance global du systme.

Pour dterminer l'indice de performance requis [PLr], la norme fournit un graphique des

risques reprsentant les facteurs d'application tels que la gravit des blessures, la

frquence d'exposition et la possibilit d'vitement.

La sortie est l'indice de performance requis. Les utilisateurs de l'ancienne norme

EN 954-1 utilisent couramment cette approche. Il convient cependant de noter que la

ligne S1 est prsent divise, ce qui n'tait pas le cas pour l'ancien graphique des

risques. Cela indique une possible reconsidration de l'intgrit des mesures de scurit

ncessaires pour des niveaux de risques plus bas.


4Nous pouvons maintenant voir la relation directe entre le PLr du systme [graphique des

risques] et le PL obtenu par le systme [calcul].

Cependant, une partie trs importante doit toujours tre couverte. Nous savons maintenant,

grce la norme, quelle doit tre la qualit du systme et comment dterminer cette

dernire, mais nous ne savons pas ce qui doit tre fait. Nous devons prciser ce qu'est

une fonction de scurit. Il est clair que la fonction de scurit doit tre adapte

l'opration concerne, mais comment peut-elle tre tablie ? En quoi la norme peut-elle

nous aider ?

Il est important de comprendre que la fonctionnalit requise peut uniquement tre

dtermine en prenant en compte les caractristiques actuelles dans l'application

considre. Il est possible pour cela de considrer la phase de conception du concept de

scurit. Cette phase ne peut pas tre totalement couverte par la norme car cette dernire

ne dispose pas de toutes les caractristiques d'une application spcifique. Cela s'applique

donc souvent aux constructeurs de machines qui produisent la machine mais ne

connaissent pas ncessairement les conditions exactes dans lesquelles cette dernire

sera utilise.

La norme fournit une aide en listant de nombreuses fonctions de scurit couramment

utilises et en indiquant certaines exigences gnralement associes. D'autres normes

telles que EN ISO 12100 : Principes gnraux de conception et EN ISO 14121 :

Apprciation du risque, sont vivement recommandes ce niveau. Il existe donc une

grande srie de normes spcifiques aux machines capables de fournir des solutions pour

des machines spcifiques. Elles sont appeles les normes de type C au sein des normes

EN europennes ; la plupart d'entre elles ont des quivalents exacts parmi les normes ISO.

Nous pouvons donc maintenant voir que la phase de conception du concept de scurit

dpend donc du type de machine ainsi que des caractristiques de l'application et de

l'environnement dans lequel elle est utilise. Le constructeur de machines anticipe ces

facteurs pour pouvoir concevoir le concept de scurit. Les conditions d'utilisation prvues

P2

P1P2

P1

P2

P1P2

P1

F2

F1

F2

F1

S2

S1 b

a

c

d

e

Dpart

Graphique des risques de l'annexe A deEN ISO 13849-1

Catgories

Graphique des risques de l'annexe B de EN 945-1



5

[c'est--dire anticipes] doivent tre indiques dans le manuel de l'utilisateur. L'utilisateur

de la machine est tenu de vrifier que ces conditions correspondent bien aux conditions

d'utilisation relles.

Nous disposons maintenant d'une description de la fonctionnalit de scurit. L'annexe A

de la norme indique galement l'indice de performance requis [PLr] pour les pices de

scurit du systme de commande [SRP/CS] utilis pour implmenter cette fonctionnalit.

Nous devons maintenant concevoir le systme et s'assurer qu'il est bien conforme au PLr.

L'un des facteurs dcisifs dans le choix de la norme utiliser [EN ISO 13849-1 ou

EN/IEC 62061] est la complexit de la fonction de scurit. Dans la plupart des cas, pour

les machines, la fonction de scurit est relativement simple et la norme EN ISO 13849-1

est la plus approprie. Pour valuer le PL, elle utilise les facteurs dj mentionns

que sont les donnes de fiabilit, le taux de couverture des tests de diagnostic [DC],

l'architecture du systme [catgorie] et les exigences concernant le logiciel le cas chant.

Il s'agit-l d'une description simplifie uniquement destine donner une vue d'ensemble.

Il est important de comprendre que toutes les dispositions indiques dans la norme doivent

tre appliques. Une aide est cependant disponible. Il existe en effet un excellent logiciel

capable de fournir une aide prcieuse concernant tout ce qui touche au calcul. Il s'agit du

logiciel SISTEMA, produit par BGIA en Allemagne. Il peut tre utilis gratuitement, vous

trouverez tous les dtails concernant le tlchargement sous :

www.dguv.de/bgia/en/pra/softwa/sistema

Au moment de l'impression de cette publication il est disponible en allemand et en anglais,

d'autres langues tant ensuite prvues. Cet outil n'est pas commercialis. BGIA, le

concepteur du logiciel SISTEMA, est une institution de recherche et de tests reconnue,

tablie en Allemagne. Elle est notamment implique dans la rsolution de problmes

scientifiques et techniques relatifs la scurit dans le contexte des assurances

statutaires contre les accidents ainsi que dans la prvention en Allemagne. Elle travaille en

troite coopration avec des agences professionnelles de sant et de scurit dans plus

de vingt pays. Les spcialistes de BGIA, assists de leurs collgues BG, ont contribu de

manire significative l'laboration des normes EN ISO 13849-1 et IEC/EN 62061.

Donnes Rockwell Automation

pour l'utilisation avec SISTEMA

Un catalogue Rockwell Automation de ces dispositifs de scurit est disponible et peut

tre utilis avec l'outil de calcul de l'indice de performance SISTEMA. Pour obtenir ce

catalogue, veuillez vous inscrire sous :

www.discoverrockwellautomation.com/safety

Quel que que soit le mode de calcul de l'indice de performance utilis, il est important de

partir des bases correctes. Nous devons visualiser notre systme de la mme manire que

la norme, alors allons-y.


6STRUCTURE DU SYSTEME

Tout systme peut tre divis en composants de base du systme ou sous-systmes .

Chaque sous-systme possde sa propre fonction discrte. La plupart des systmes

peuvent tre diviss en trois fonctions de base ; entre, solution logique et actionneur

[certains systmes simples peuvent ne pas avoir de solution logique]. Les groupes de

composants qui implmentent ces fonctions sont les sous-systmes.

Un systme lectrique simple voie unique est reprsent ci-dessus titre d'exemple.

Il contient uniquement des sous-systmes d'entre et de sortie.

Le systme est un peu plus complexe car une certaine logique est galement ncessaire.

L'automate de scurit lui-mme tolre les dfauts (double voie par exemple) internes mais le

systme global est toujours limit au statut voie unique en raison de l'interrupteur de fin de

course et du contacteur uniques.

EntreSous-systme

Interrupteur de fin de course SmartGuard 600 Contacteur de scurit

LogiqueSous-systme

SortieSous-systme

Sortie vers d'autres systmes

Interrupteur de scurit, automate de scurit et contacteur de scurit

EntreSous-systme

Interrupteur de fin de course Contacteur de scurit

SortieSous-systme

Interrupteur de scurit et contacteur de scurit

EntreSous-systme

LogiqueSous-systme

SortieSous-systme



7

A partir de l'architecture de base du diagramme prcdent, d'autres lments doivent

galement tre pris en compte. D'abord, combien de voies doit avoir le systme ?

Un systme voie unique tombe en panne en cas de dfaut de l'un de ses sous-systmes.

Un systme voir double [galement appel systme redondant] a besoin de deux

dfaillances, une dans chaque voie, avant de tomber en panne. Grce aux deux voies,

il peut tolrer un dfaut unique tout en continuant de fonctionner. Le diagramme ci-dessus

illustre un systme voie double.

Il est clair qu'un systme double voie est moins sensible aux pannes qu'un systme

voie unique. Mais nous pouvons encore augmenter sa fiabilit [en ce qui concerne sa

fonction du scurit] si nous y incluons des mesures de diagnostic pour la dtection des

dfauts. Il va de soi que, lorsqu'un dfaut a t dtect, nous devons alors y ragir et

ramener le systme dans un tat sr. Le diagramme suivant montre l'intgration de

mesures de diagnostic grce des techniques de surveillance.

EntreSous-systme

SmartGuard 600

Surveillance

Surveillance

Surveillance

Contacteur de scurit

LogiqueSous-systme

SortieSous-systme

Interrupteur de fin de course

Diagnostics avec un systme de scurit double voie

EntreSous-systme

SmartGuard 600 Contacteur de scurit

LogiqueSous-systme

SortieSous-systme


Systme de scurit double voie


8Il arrive frquemment [mais ce n'est pas toujours le cas] que le systme comprenne deux

voies dans tous ses sous-systmes. Par consquent, nous pouvons voir que, dans ce cas,

chaque sous-systme possde deux sous-voies . Ces dernires sont dcrites dans la

norme en tant que blocs . Un sous-systme voie double possde au minimum deux

blocs tandis qu'un sous-systme voie unique possde au minimum un bloc. Il est

possible que certains systmes comprennent une combinaison de blocs voie unique et

double voie.

Si nous voulons tudier de manire plus dtaille le systme, nous devons considrer les

pices constitutives des blocs. L'outil SISTEMA utilise le terme lments pour dsigner

ces pices constitutives.

Le sous-systme fins de course est reprsent divis en ses lments. Le sous-systme

contacteur de sortie est divis au niveau des blocs et le sous-systme logique n'est pas

divis du tout. La fonction de surveillance des fins de course et des contacteurs est

ralise au niveau de l'automate logique. Par consquent, les cadres reprsentant les

sous-systmes interrupteur de fin de course et contacteur recoupent lgrement celui

reprsentant le sous-systme logique.

Ce principe de sous-division du systme peut tre reconnu dans la mthodologie indique

dans EN ISO 13849-1 et dans le principe de la structure de base du systme pour l'outil

SISTEMA. Cependant il est important de remarquer qu'il existe quelques diffrences

subtiles. La norme ne prsente pas de mthodologie restrictive mais, pour la mthode

simplifie d'estimation de l'indice de performance, la premire tape consiste gnralement

diviser la structure du systme en voies puis en blocs au sein de chaque voie. Avec

SISTEMA, le systme est gnralement d'abord divis en sous-systmes. La norme ne

EntreSous-systme

VOIE

1VO

IE 2


Elment

SmartGuard 600

Surveillance

Surveillance

Surv

eilla

nce

Contacteur de scurit

LogiqueSous-systme

SortieSous-systme

Couplage Contacts

Couplage Contacts

Elment

Bloc

ElmentDiagnosticDiagnostic

Elment

Bloc

Systme subdivis avec diagnostics avec un systme de scurit double voie



9

dcrit pas explicitement un concept de sous-systme mais son utilisation telle qu'elle est

indique dans SISTEMA permet une approche plus intuitive et plus simple comprendre.

Cela n'a naturellement aucun effet sur le calcul final. SISTEMA et la norme utilisent tous

deux les mmes principes et formules. Il est intressant de remarquer que l'approche

sous-systme est galement utilise dans EN/IEC 62061.

Le systme qui nous a servi d'exemple est simplement l'un des cinq types de base des

architectures des systmes mentionns dans les normes. Toutes les personnes

familiarises avec le systme des catgories reconnatra que notre exemple est

reprsentatif des catgories 3 ou 4.

La norme utilise les catgories d'origine EN 954-1 comme ses cinq types de base pour les

architectures mentionnes du systme. Il s'agit des catgories d'architecture dsignes.

Les exigences concernant les catgories sont pratiquement [mais pas totalement]

identiques celles indiques dans EN 954-1. Les catgories d'architecture dsignes sont

reprsentes par les figures suivantes. Il est important de remarquer qu'elles peuvent tre

appliques un systme complet aussi bien qu' un sous-systme. Les diagrammes ne

doivent pas tre considrs comme une structure physique pure, ils sont bien plus

destins reprsenter graphiquement les exigences conceptuelles.

La catgorie d'architecture dsigne B doit utiliser les principes de scurit de base [voir

annexe de la norme EN ISO 13849-2]. Le systme ou le sous-systme peut tomber en

panne en cas de dfaut unique. Cf. EN ISO 13849-1 pour connatre la totalit des exigences.

La catgorie d'architecture dsigne 1 possde la mme structure que la catgorie B et

peut galement tomber en panne en cas de dfaut unique. Cela est cependant moins

probable que pour la catgorie B car elle doit galement utiliser des principes de scurit

largement prouvs [cf. annexe de EN ISO 13849-2]. Cf. EN ISO 13849-1 pour connatre

la totalit des exigences.

Dispositifd'entre Logique

Dispositifde sortie

Catgorie d'architecture dsigne 1


Dispositifde sortie

Catgorie d'architecture dsigne B


10

La catgorie d'architecture dsigne 2 doit appliquer les principes de scurit de base

[voir annexe de la norme EN ISO 13849-2]. Une surveillance de diagnostic sous la forme

d'un test fonctionnel du systme ou du sous-systme doit donc galement exister. Cette

surveillance doit intervenir lors du dmarrage, puis rgulirement, avec une frquence

quivalente au moins cent tests pour chaque demande au niveau de la fonction de

scurit. Le systme ou le sous-systme peut toujours tomber en panne si un dfaut

unique se produit entre les tests fonctionnels, mais cela est gnralement moins probable

que pour la catgorie 1. Cf. EN ISO 13849-1 pour connatre la totalit des exigences.

La catgorie d'architecture dsigne 3 doit appliquer les principes de scurit de base [voir

annexe de la norme EN ISO 13849-2]. Il existe galement une condition selon laquelle le

systme/sous-systme ne doit pas tomber en panne en cas de dfaut unique. Cela signifie

que le systme doit prsenter une tolrance pour les dfauts uniques au niveau de sa

fonction de scurit. La manire la plus simple de satisfaire cette condition est de

recourir une architecture double voie comme cela est reprsent ci-dessus. De plus,

il est galement ncessaire que le dfaut unique soit dtect chaque fois que cela est

possible. Cette condition est la mme que la condition d'origine pour la catgorie 3 de la

norme EN 954-1. Dans ce contexte, la signification de la mention chaque fois que cela

est possible s'avre quelque peu problmatique. Elle indique que la catgorie 3 pourrait


Dispositifde sortie

Cblage

Surveillance

Surveillance

Surveillance croise

Cblage


Dispositifde sortie

CblageCblage



Dispositifde sortie

Test

CblageCblage

Sortie test

Surveillance




11

couvrir la totalit d'une plage allant d'un systme avec redondance mais sans dtection

des dfauts [souvent dsigne de manire descriptive et approprie par le terme

redondance stupide ] un systme redondant dans lequel tous les dfauts uniques

sont dtects. Ce problme est trait dans la norme EN ISO 13849-1 par la condition

d'estimation de la qualit du taux de couverture des tests de diagnostic. Nous pouvons voir

que plus la fiabilit [MTTFd] du systme est leve, moins le taux de couverture des tests

de diagnostic ncessaire est lev. Cependant, il est galement clair que le taux de

couverture des tests de diagnostic doit tre d'au moins 60 % pour l'architecture de la

catgorie 3.

La catgorie d'architecture dsigne 4 doit appliquer les principes de scurit de base

[voir annexe de la norme EN ISO 13849-2]. Le diagramme des conditions est similaire

celui de la catgorie 3 mais il demande une surveillance plus importante, c'est--dire un

taux de couverture des tests de diagnostic plus lev. Cela est indiqu par les lignes

pointilles plus paisses qui reprsentent les fonctions de surveillance. La diffrence

essentielle entre les catgories 3 et 4 est que, pour la catgorie 3, la plupart des dfauts

doivent tre dtects tandis que pour la catgorie 4, tous les dfauts uniques doivent tre

dtects. Le taux de couverture des tests de diagnostic doit ainsi tre d'au moins 99 %.

Mme les combinaisons de dfauts ne doivent pas provoquer de dfaillance dangereuse.

DONNEES DE FIABILITE

La norme EN ISO 13849-1 utilise des donnes de fiabilit quantitatives dans le calcul de

l'indice de performance atteint par les pices de scurit d'un systme de commande.

Il s'agit l d'un dpart significatif de EN 954-1. La premire question qui vient l'esprit

est d'o proviennent ces donnes ? Il est possible d'utiliser les donnes des manuels

de fiabilit reconnus mais la norme utilise prfrentiellement le fabricant comme source

de ces donnes. A cette fin, Rockwell Automation met disposition les informations

ncessaires sous la forme d'un catalogue de donnes pour SISTEMA. La socit publiera

galement en temps voulu les donnes sous d'autres formes. Mais avant de poursuivre,

nous devons considrer quels sont les types de donnes ncessaires et comprendre la

manire dont elles sont produites.


Dispositifde sortie

Cblage

Surveillance

Surveillance

Surveillancecroise

Cblage


Dispositifde sortie

CblageCblage



12

Le dernier type de donnes ncessaires pour la dtermination de l'indice de performance

dans la norme [et SISTEMA] est le PFH [probabilit de dfaillance dangereuse pendant

une heure]. Il s'agit des mmes donnes que celles reprsentes par l'abrviation PFHd

utilise dans IEC/EN 62061.

Le tableau ci-dessus montre la relation entre PFH, PL et SIL. Pour certains sous-systmes,

le PFH peut tre obtenu auprs du fabricant. Cela facilite d'autant plus le calcul.

Le fabricant ralise gnralement des calculs et/ou tests relativement complexes sur

son sous-systme afin de fournir ces donnes. Lorsque ces donnes ne sont pas

disponibles, la norme EN ISO 13849-1 nous indique une approche alternative simplifie

base sur MTTFd moyen [dure moyenne d'une dfaillance dangereuse] d'une voie

unique. Le PL [et donc le PFH] d'un systme ou d'un sous-systme peut tre calcul

l'aide de la mthodologie et des formules de la norme. Il est plus facile d'utiliser SISTEMA.

MTTFd

Cette donne reprsente la dure moyenne avant une dfaillance pouvant conduire une

dfaillance de la fonction de scurit. Elle s'exprime en annes. Il s'agit d'une valeur

moyenne des MTTFd des blocs de chaque voie qui peut s'appliquer un systme ou

un sous-systme. La norme indique la formule suivante qui est utilise pour calculer la

moyenne de tous les MTTFd de chaque lment utilis dans une voie unique ou dans un

sous-systme.

A ce niveau, la valeur de SISTEMA devient vidente. Les utilisateurs gagnent du temps

lorsqu'ils consultent les tableaux et calculent les formules, ces oprations tant effectues

par le logiciel. Les rsultats finaux peuvent tre imprims sous la forme d'un rapport de

plusieurs pages.

PL

(Indice de

performance)

PFHD

(Probabilit de dfaillance

dangereuse par heure)

SIL

(Niveau d'intgrit

de scurit)

A 10

5


13

(D.1)

o

MTTFd

correspond la voie complte ;

MTTFdi, MTTFdj

est le MTTFd de chaque composant contribuant la fonction de scurit.

La premire somme concerne chaque composant sparment ; la deuxime somme est

une forme quivalente, simplifie, dans laquelle tous les composants nj identiques avec lemme MTTFdi sont regroups.

Dans la plupart des systmes double voie, les deux voies sont identiques, c'est pourquoi

le rsultat de la formule reprsente chaque voie. Si les voies du systme/sous-systme

sont diffrentes, la norme fournit une formule adquate.

(D.2)

o MTTFdC1 et MTTFdC2 sont les valeurs pour deux voies redondantes diffrentes.

Il s'agit, en fait, de la moyenne de deux moyennes. Pour des raisons lies la

simplification, il est galement permis d'utiliser simplement la valeur de la voie

correspondant au cas le moins avantageux.

La norme regroupe les MTTFd en trois plages de la faon suivante :

de 3 < 10 ans = basse

de 10 < 30 ans = moyenne

de 30 100 ans = leve

Comme nous le verrons plus tard, la plage obtenue de MTTFd moyen est ensuite combine

la catgorie d'architecture dsigne et au taux de couverture des tests de diagnostic

pour fournir un indice de performance nominal prliminaire. Le terme prliminaire est utilis

ici car d'autres conditions, notamment l'intgrit systmatique et des mesures contre la

dfaillance de cause commune doivent toujours tre remplies le cas chant.

=MTTF 32 1

d MTTF +MTTF+

dC1 dC2 1MTTFdC1

1MTTFdC2

1

i=1= MTTFd

1MTTFdi

j=1= njMTTFdj


14

Mthodes de dtermination des donnes

Nous devons maintenant aller un cran plus loin dans la manire dont un fabricant

dtermine les donnes, soit sous forme de PFHd soit de MTTFd. Il est primordial de

comprendre ceci lors du traitement des donnes des fabricants. Les composants peuvent

tre regroups en trois types de base :

mcaniste (lectro-mcanique, mcanique, pneumatique, hydraulique etc.)

lectronique (c'est--dire tat solide)

logiciel

Il existe une diffrence primordiale entre les mcanismes de dfaillance commune de ces

trois types de technologies. Cette dernire peut tre rsume de la manire suivante, sous

forme basique :

TECHNOLOGIE MECANISTE

La dfaillance est proportionnelle la fiabilit inhrente et au taux d'utilisation. Plus le

taux d'utilisation est lev, plus la probabilit que l'une des pices constitutives soit

dgrade et tombe en panne est leve. Remarquez qu'il ne s'agit pas l de la seule

cause de dfaillance, mais il s'agit de la cause prdominante, sauf si nous limitons la

dure/les cycles de fonctionnement. Il est bien vident qu'un contacteur ayant un cycle

de commutation de 10 secondes fonctionnera de manire fiable pendant une dure

plus courte qu'un contacteur identique qui fonctionne une fois par jour. Les dispositifs

de la technologie mcaniste comprennent gnralement des composants conus

individuellement pour leur utilisation spcifique. Les composants sont profils, mouls,

couls, usins etc. Ils sont combins avec des couplages, des ressorts, des aimants,

des enroulements lectriques etc. pour former un mcanisme. Les pices constitutives

des composants n'ayant pas, en gnral, d'historique d'utilisation dans d'autres

applications, il n'est pas possible de trouver de donnes de fiabilit pr-existantes pour

ces derniers. L'estimation de PFHd ou de MTTFd pour le mcanisme est normalement

base sur les essais. Les deux normes EN/IEC 62061 et EN ISO 13849-1 prconisent

toutes deux une procdure d'essai connue sous le nom de test B10d .

Dans le test B10d, diffrents chantillons de dispositifs [au moins dix gnralement]

sont tests dans des conditions reprsentatives. Le nombre moyen de cycles de

fonctionnement effectus avant que 10 % des chantillons ne prsentent de

dfaillance dangereuse correspond ce qu'on appelle la valeur B10d. En pratique,

il est frquent que tous les chantillons prsentent une dfaillance dans l'tat sr

mais, dans ce cas, il est tabli dans la norme que la valeur B10d[dangereuse] peut tre

choisie comme le double de la valeur B10[sre].



15

TECHNOLOGIE ELECTRONIQUE

Il n'y a pas d'usure physique relative aux pices mobiles. En admettant que

l'environnement d'utilisation soit proportionnel aux caractristiques lectriques, de

temprature [etc.] spcifies, la dfaillance prdominante d'un circuit lectronique est

proportionnelle la fiabilit inhrente de ses composants constitutifs [ou l'absence

de cette dernire]. Il existe de nombreuses raisons pouvant conduire la dfaillance

d'un composant individuel, notamment des imperfections lies la fabrication, des

sautes de puissance excessives, des problmes de connexion mcanique etc.

En rgle gnrale, les dfauts des composants lectroniques sont difficiles prvoir

grce l'analyse, ils semblent tre plutt de nature alatoire. C'est pourquoi tester un

dispositif lectronique dans des conditions d'un laboratoire d'essais ne permet pas

ncessairement de rvler des configurations de dfaillances types long terme.

Pout dterminer la fiabilit des dispositifs lectroniques, il est d'usage d'avoir recours

l'analyse et au calcul. Nous pouvons trouver des donnes de bonne qualit pour les

composants individuels dans les manuels de donnes de fiabilit. Une analyse peut

permettre de dterminer les modes de dfaillance dangereux pour les composants.

On fait gnralement la moyenne des modes de dfaillance des composants comme

50 % des cas srs et 50 % des cas dangereux. Cela permet normalement d'obtenir

des donnes relativement stables.

La norme IEC 61508 fournit des formules pouvant tre utilises pour calculer la

probabilit globale de dfaillance dangereuse [PFH ou PFD] du dispositif, c'est--dire

du sous-systme. Ces formules sont relativement complexes et prennent en compte

[le cas chant] la fiabilit du composant, le potentiel de dfaillance de cause

commune [facteur bta], le taux de couverture des tests de diagnostic [DC], l'intervalle

entre tests fonctionnels et l'intervalle entre tests priodiques. La bonne nouvelle est

que ce calcul complexe est normalement ralis par le fabricant du dispositif. Les

normes EN/IEC 62061 et EN ISO 13849-1 acceptent toutes deux un sous-systme

calcul de cette manire pour IEC 61508. Le PFHd obtenu peut tre utilis directement

soit dans l'annexe K de EN ISO 13849-1 soit dans l'outil de calcul SISTEMA.

LOGICIEL

Les dfaillances du logiciel sont toujours de nature inhrente. Toutes les dfaillances

sont dues la manire dont le logiciel est conu, crit ou compil. C'est pourquoi les

dfaillances sont toutes causes par le systme sur lequel le logiciel est produit, et

non celui sur lequel il est utilis. Nous devons donc, pour contrler les dfaillances,

contrler ce systme. Les deux normes IEC 61508 et EN ISO 13849-1 fournissent

pour cela des conditions et des mthodologies. Il n'est pas ncessaire ce stade de

traiter ce point de manire plus dtaille, et nous nous limiterons dire que ces

conditions et mthodologies font appel au modle V classique.


16

Les logiciels intgrs sont un problme pour le concepteur du dispositif. L'approche

classique consiste dvelopper un logiciel intgr conformment aux mthodes formelles

prsentes dans la norme IEC 61508 partie 3. En ce qui concerne le code d'application

du logiciel servant d'interface avec l'utilisateur, la plupart des dispositifs de scurit

programmables sont livrs avec des blocs fonctionnels ou des routines certifi(e)s .

Cela simplifie l'opration de validation pour le code d'application mais il est ncessaire de

se rappeler que le programme d'application complet doit encore tre valid. La manire

dont les blocs sont relis et paramtrs doit tre correcte et valable pour l'opration

souhaite. Les normes EN ISO 13849-1 et IEC/EN 62061 fournissent toutes deux des

directives pour ce procd.

Rsultat

VrificationCodage

ValidationSpcification

logiciel de scurit

Validation

Testd'intgration

Conception systme

Test module

Conception module

Logiciel valid

Spcifications fonctions de scurit

Modle V de dveloppement logiciel



17

Taux de couverture des tests de diagnostic

Nous avons dj abord ce sujet dans le point consacr aux catgories 2, 3 et 4 de

l'architecture dsigne. Ces catgories ncessitent une certaine forme de test de

diagnostic afin de vrifier si la fonction de scurit est toujours active. Le terme taux de

couverture des tests de diagnostic [gnralement abrg DC] est utilis pour caractriser

l'efficacit de ce test. Il est important de raliser que le DC n'est pas uniquement bas sur

le nombre de composants pouvant faire l'objet d'une dfaillance dangereuse. Il prend

galement en compte le taux de dfaillance dangereuse total. Le symbole reprsente le

taux de dfaillance . DC exprime la relation entre les taux d'occurrence des deux types

de dfaillance dangereuse suivants :

Dfaillance dangereuse dtecte [dd] c'est--dire les dfaillances qui causent ou

peuvent causer une perte de la fonction de scurit, mais qui sont dtectes. Aprs la

dtection, une fonction de raction de dfaut fait passer le dispositif ou le systme

dans un tat sr.

Dfaillance dangereuse [d] c'est--dire les dfaillances qui peuvent potentiellement

causer ou entraner une perte de la fonction de scurit. Cela comprend les

dfaillances dtectes et celles qui ne le sont pas. Il va de soi que les dfaillances qui

sont vraiment dangereuses sont celles qui ne sont pas dtectes [indiques par du]

DC est exprim par la formule :

DC = dd/d sous forme de pourcentage.

Cette signification du terme DC est commune aux normes EN ISO 13849-1 et

EN/IEC 62061. Cependant, sa provenance est diffrente. La norme EN/IEC 62061

propose d'utiliser le calcul bas sur l'analyse du mode de dfaillance tandis que la norme

EN ISO 13849-1 fournit une mthode simplifie sous la forme de tables de conversion.

Diffrentes techniques de diagnostic types sont listes avec le pourcentage DC que leur

utilisation doit permettre d'obtenir. Dans certains cas, un jugement rationnel est toujours

ncessaire, par exemple, dans certaines techniques, le DC obtenu est proportionnel la

frquence de ralisation du test. D'aucuns prtendent parfois que cette approche est trop

vague. Cependant, l'estimation de DC peut dpendre de plusieurs variables diffrentes et,

quelle que soit la technique utilise, le rsultat peut gnralement uniquement tre dcrit

comme approximatif.


18

Il est galement important de comprendre que les tables de la norme EN ISO 13849-1

sont bases sur une recherche approfondie mene par la socit BGIA sur les rsultats

obtenus par les techniques de diagnostic connues actuellement et utilises dans les

applications relles. A des fins de simplification, la norme divise le taux de couverture des

tests de diagnostic entre quatre plages de base.

< 60 % = aucune

de 60 % < 90 % = basse

de 90 % < 99 % = moyenne

99 % = leve

Cette approche consistant traiter des plages plutt que des valeurs de pourcentages

individuelles peut galement tre considre comme plus raliste en termes de prcision

des rsultats. L'outil SISTEMA utilise les mmes tables de conversion que la norme.

Des systmes lectroniques complexes tant de plus en plus utiliss dans les dispositifs

relatifs la scurit, le taux de couverture des tests de diagnostic revt une importance

croissante. Il est probable que les travaux futurs sur les normes permettront de clarifier

plus prcisment cette problmatique. Dans l'intervalle, le recours aux connaissances de

l'ingnierie et au bon sens doit tre suffisant pour permettre de choisir la plage DC correcte.

Dfaillance de cause commune

Dans la plupart des systmes ou sous-systmes double voie [c'est--dire dans lesquels

un dfaut unique est tolr], le principe de diagnostic est bas sur une supposition selon

laquelle il n'y a pas de dfaillance dangereuse sur les deux voies simultanment. Le terme

simultanment peut tre exprim de manire plus prcise par dans l'intervalle du test

de diagnostic . Si l'intervalle du test de diagnostic est raisonnablement court [par exemple

moins de huit heures], on peut raisonnablement supposer qu'il est trs peu probable que

deux dfauts spars et indpendants l'un de l'autre se produisent pendant cette priode.

Cependant, la norme tablit clairement que nous devons rester prudents lorsque nous

dcidons si les possibilits de dfaut sont vraiment spares et indpendantes l'une de

l'autre ou non. Par exemple, s'il est prvisible qu'un dfaut dans un composant puisse

conduire des dfaillances d'autres composants, alors les dfauts rsultants sont

considrs comme une dfaillance unique.

Il est galement possible qu'un vnement causant la panne d'un composant puisse

galement provoquer la dfaillance d'autres composants. Cela se traduit par la dfaillance

de cause commune , gnralement abrge par CCF. Le degr de propension de CCF

est normalement dcrit par le facteur bta (). Il est trs important que les concepteurs des

systmes et des sous-systmes soient conscients des possibilits de dfaillance de cause

commune. Il existe de nombreux types diffrents de dfaillances de cause commune et,



19

par consquent, autant de manires de les viter. La norme EN ISO 13849-1 trace un

chemin rationnel entre la complication extrme et la simplification outrance. Comme la

norme EN/IEC 62061, elle adopte une approche essentiellement qualitative. Elle fournit

une liste de mesures connues pour viter avec efficacit la CCF. Ces mesures doivent tre

implmentes en nombre suffisant dans la conception d'un systme ou d'un sous-systme.

Il serait possible de prtendre, avec justification, que l'utilisation de cette liste seule ne peut

pas viter de manire approprie toutes les possibilits de CCF. Cependant, si l'intention

de la liste est considre correctement, il est clair que le rle de ces exigences est de faire

analyser au concepteur les possibilits de CCF et d'implmenter des mesures de prvention

adaptes, bases sur le type de technologie et les caractristiques de l'application prvue.

L'utilisation de la liste permet d'appliquer certaines des techniques les plus efficaces et

fondamentales telles que la diversit des modes de dfaillance et les comptences de

conception. L'outil BGIA SISTEMA implique galement l'implmentation des tables de

conversion CCF de la norme et garantit leur disponibilit sous une forme adapte.

Dfauts systmatiques

Nous avons dj prsent les donnes de fiabilit de scurit quantifies sous la forme

de MTTFd ainsi que la probabilit de dfaillances dangereuses. Mais ce n'est pas tout.

Lorsque nous avons fait rfrence ces termes, nous avions dj l'esprit les dfaillances

qui semblent tre de nature alatoire. En effet, la norme IEC/EN 62061 fait spcifiquement

rfrence l'abrviation PFHd comme tant la probabilit de dfaillance matrielle

alatoire. Il existe cependant certains types de dfaillances connues sous le nom de

dfaillance systmatique pouvant tre attribues aux erreurs commises au cours des

phases de conception ou de fabrication. L'exemple classique est une erreur dans le code

logiciel. La norme indique, dans l'annexe G, des mesures permettant d'viter ces erreurs

[et donc les dfaillances]. Ces mesures incluent des dispositions telles que l'utilisation de

matriaux et de techniques de fabrication adapts, de rvisions, d'analyses et de simulation

sur ordinateur. Il existe galement des vnements et caractristiques prvisibles pouvant

se produire dans l'environnement d'utilisation et susceptibles de causer des dfaillances si

leur effet n'est pas contrl. L'annexe G prsente galement des mesures dans ce cas.

Il est par exemple facile de prvoir des pertes de puissance occasionnelles. C'est pourquoi

la mise hors tension des composants doit se produire lorsque le systme se trouve dans

un tat sr. Ces mesures peuvent sembler relever uniquement du bon sens, et c'est en

effet le cas, mais elles ne sont pas moins primordiales. Toutes les autres exigences

spcifies dans la norme n'auraient aucun sens sans la prise en compte du contrle et

de la prvention des dfaillances systmatiques. Cela ncessite galement parfois le

mme type de mesures que celles utilises pour le contrle des dfaillances matrielles

alatoires [afin de parvenir au PFHd requis] telles que le test de diagnostic automatique et

le matriel redondant.


20

Rockwell Automation

Les socits sont concernes de diffrentes manires par la scurit des machines.

Les fabricants/fournisseurs de machines, gnralement dsigns par OEM (Original

Equipment Manufacturers, quipementiers), doivent se conformer la lgislation en

vigueur relative la scurit des machines (en Europe, la Directive Machines par exemple),

mais ils veulent galement amliorer le rendement des machines tout en fournissant des

produits de valeur leurs clients. Les utilisateurs finaux de ces machines veulent amliorer

le taux de rendement synthtique. La baisse du temps moyen de rparation, la rduction

des dchets et la prvention des arrts non ncessaires peuvent contribuer remplir ces

objectifs, amliorant ainsi la scurit sur le poste de travail productif tout en garantissant le

respect des rglementations de scurit.

On sait bien que la lgislation a pour but de garantir un environnement de fabrication plus

sr ; travailler dans le respect des normes telles que EN ISO 13849-1 est une bonne

mthode pour illustrer la conformit vis--vis de l'arsenal lgislatif. Mais cela peut impliquer

de relever des dfis auxquels vous n'tiez pas prpar

Y a-t-il des rpercussions sur les performances de votre quipement ?

Des arrts alors qu'il devrait fonctionner ? Des dclenchements nuisibles ?

Est-ce que cela ne vous cote pas trop cher ?

Avez-vous implment un niveau de scurit excessif ?

Est-ce que vous implmentez une solution de scurit de manire inapproprie,

donnant ainsi lieu des problmes ?

La gestion de fournisseurs de scurit supplmentaires est coteuse pour votre

socit

Est-ce que la scurit limite votre capacit :

faire fonctionner votre machine de manire productive et efficace ?

effectuer les oprations de maintenance rapidement et facilement ?

livrer rapidement vos machines votre client ?

Des incidents se sont-ils produits plus frquemment dans votre installation ?

Vos mesures de scurit sont-elles appliques correctement ?

Les remboursements d'invalidit et suite des accidents du personnel sont-ils

importants ?

La majorit de ces problmes ne sont pas pris en compte lors de l'application de la

scurit des machines. Cependant, maintenant, avec les normes de scurit fonctionnelle

telles que EN ISO 13849-1 et IEC 62061, la mthodologie de l'application de scurit est

guide vers la recherche de l'ensemble des caractristiques de fonctionnement de votre

machine dans tous ses modes de fonctionnement (production, maintenance, dmarrage,

dclassement etc.) et vers l'application du niveau correct d'automatisation de la scurit

afin de permettre un TRS maximal (taux de rendement synthtique).



21

Cela donne lieu une question concernant la capacit d'un fournisseur de scurit.

Historiquement, la scurit est applique pour protger une machine en l'arrtant,

supprimant ainsi le danger. Grce cette mthodologie, la fabrication se fait dsormais

conformment la lgislation. Mais qu'en est-il de la productivit et de l'efficacit ?

C'est l que l'exprience de Rockwell Automation dans l'automatisation et la scurit fait la

diffrence par rapport de nombreuses socits qui se limitent livrer des solutions de

scurit. En tant que fournisseur de pointe de solutions d'automatisation qui intgre la

scurit dans ses solutions d'automatisation globales, vous tes en mesure de voir

pourquoi les clients estiment un fournisseur qui leur permet d'obtenir la productivit et la

flexibilit dont ils ont besoin. Chez Rockwell Automation, nous croyons fermement en la

fourniture de solutions d'automatisation prsentant une scurit fonctionnelle accrue grce

l'adoption de normes de scurit fonctionnelle. Vous pouvez ainsi clairement voir quel

est le rle des normes de scurit fonctionnelle telles que EN ISO 13849-1 dans la

fabrication.

Rockwell Automation est une socit d'automatisation qui sait de quoi il retourne en

matire de scurit. Il est possible de concevoir une solution unique pour la commande,

le dplacement et le traitement de la machine et la scurit est intgre dans cette

plateforme de commande individuelle.

Travailler avec Rockwell Automation

Un fournisseur de solutions d'automatisation matrisant la fois l'automatisation et la

scurit et pas seulement la scurit.

Vous aide obtenir les performances souhaites en toute scurit

Cots vous aide rentabiliser au maximum votre investissement

Exigences lgales vous garantit la conformit

Toute une srie de services et de solutions pour une automatisation plus sre

Une palette complte de produits (entre/logique/actionnement)

Normes et scurit dans un rseau (CIP Safety)

Services de scurit (estimations, validation, formation etc.)

Intgration des fonctions de scurit dans des solutions standard d'automatisation

Variateurs, automates programmables, E/S, dplacement, rseaux, logiciel de

programmation

Simplification de votre architecture

Rduction des cots

Augmentation des performances

Rockwell Automation, leader global des solutions de scurit si vous souhaitez de plus

amples informations, veuillez contacter votre bureau local.


22

ROCKWELL AUTOMATIONSolutions de scurit

Ces dispositifs sont conus pour l'interverrouillage

physique des grilles de protection et de l'quipement,

permettant ainsi l'accs une zone potentiellement

dangereuse uniquement lorsque le danger est

neutralis. Les dispositifs disponibles comprennent

des interrupteurs de scurit avec et sans gche de

scurit conditionnelle, des systmes de cls guids et

des interrupteurs de fin de course de scurit.

Dispositifs d'entre

Logique

Dispositifs de sortie

Ces dispositifs sont conus pour dtecter la prsence

d'une personne ou d'un objet dans ou proximit d'une

zone dangereuse. Ils n'offrent aucune barrire physique

et constituent ainsi une solution idale dans les

applications ncessitant un accs frquent dans des

conditions sres. Les dispositifs disponibles

comprennent une barrire immatrielle de scurit, des

scrutateurs laser de scurit, des matelas de protection

sensibles la pression et des bandes de chant.

Interrupteurs de

scurit

Dispositifs de dtection

de prsence

Ces dispositifs sont conus pour surveiller l'tat

d'un circuit de scurit et offrent une varit de

configurations. Ils sont disponibles comme relais

fonction simple ou comme relais multifonctions

matriels programmables.

Ces dispositifs sont conus pour surveiller l'tat

d'un circuit de scurit et leur logiciel peut tre

configur pour des fonctionnalits spcifiques.

Il s'agit d'automates de scurit ddis

spcialement conus pour la commande du

circuit de scurit.

Relais de scurit Automates scurit

programmable

Les contacteurs de scurit sont utiliss pour

supprimer l'alimentation lectrique de l'actionneur.

Des caractristiques spciales sont ajoutes aux

contacteurs pour obtenir les caractristiques de

scurit.

Des contacts normalement ferms et raccords

mcaniquement sont utiliss pour renvoyer l'tat

des contacteurs au dispositif logique, garantissant

ainsi la fonction de scurit.

Une srie de variateurs c.a. PowerFlex dispose d'une

fonctionnalit de scurit intgre en option, comprenant

un arrt de couple de scurit, une commande de

vitesse de scurit et une commande de gches de

scurit conditionnelle. Les PowerFlex 40P, 70, 700S

et 700H proposent gnralement un arrt de couple

de scurit tandis que la nouvelle srie des variateurs

PowerFlex 750 propose toutes les fonctionnalits de

scurit mentionnes prcdemment.

Contacteurs de

scurit

Variateurs c.a. PowerFlex

avec scurit intgre



23

Ces dispositifs sont conus pour offrir une fonction

d'arrt d'urgence sur les machines et sont utiliss

dans des positions permettant un accs facile pour

l'oprateur. Les dispositifs comprennent des

boutons d'arrt d'urgence, des dispositifs d'arrt

d'urgence commande par cble et des poignes

de scurit homme mort avec fonctionnalit

arrt d'urgence.

Ces dispositifs sont conus pour offrir aux

oprateurs une interaction sre pour la commande

de la machine et comprennent des dispositifs tels

que des poignes de scurit homme mort

3 positions et des dispositifs permettant la

commande bimanuelle.

Dispositifs

de dclenchement et

d'arrt d'urgence

Interface oprateur

Ces dispositifs sont conus pour offrir une

commande standard d'automatisation ainsi

qu'une commande de scurit sur une seule

plateforme. Ils peuvent tre programms par

logiciel et permettent la configuration de

fonctionnalits standard et de scurit dans le

mme environnement de programmation.

Ces dispositifs offrent des solutions E/S de scurit

pour une grande flexibilit d'application. Ils sont

disponibles avec une grande srie de solutions de

communication de CIP Safety via DeviceNet ou

EtherNet/IP. La famille comprend les produits

CompactBlock Guard I/O, ArmourBlock Guard I/O

et POINT Guard I/O.

Automates

scurit intgre

E/S de scurit

Les servo-variateurs Kinetix 6000 sont dots de

la fonctionnalit de scurit intgre en option

avec arrt de couple de scurit et, dans la

prochaine version, galement du contrle de la

vitesse de scurit et de la commande de gche

de scurit conditionnelle.

Servo-variateurs

Kinetix

avec scurit

intgre


24

Rockwell Automation

Les produits, les connaissances et l'infrastructure globale pour vous assister dans vos

besoins d'automatisation et de scurit.

www.discoverrockwellautomation.com/safety


S O L U T I O N S D E S E C U R I T E I N T E G R E E S

CONNAISSANCESAPPLICATION IHM

SOLUTIONSPOUR L'INDUSTRIE

FACTORYTALK

RESEAUX NETLINX

ENTREESDE SECURITE

AUTOMATES LOGIQUESDE SECURITE

SYSTEMES DE RACCORDEMENT

GUIDELEGISLATIONET NORMES

SECURITEWWW

SERVICESDE SCURIT

SORTIESDE SECURITE


EN IS

O13

849-

1

Indices de performance de scuritTransition de EN 954-1 EN ISO 13849-1

Publication : SAFETY-RM004A-FR-P April 2009 2009 Rockwell Automation, Inc. Tous droits rservs.


Sige des activits "Power, Control and Information Solutions"


Transition EN ISO 13849-1IntroductionPassage de EN 954-1 EN ISO 13849-1Structure du systemeDonnees de fiabiliteMthodes de dtermination des donnesTaux de couverture des tests de diagnosticDfaillance de cause communeDfauts systmatiquesTravailler avec Rockwell AutomationSolutions de scuritSites web utiles

/ColorImageDict > /JPEG2000ColorACSImageDict > /JPEG2000ColorImageDict > /AntiAliasGrayImages false /CropGrayImages true /GrayImageMinResolution 150 /GrayImageMinResolutionPolicy /OK /DownsampleGrayImages true /GrayImageDownsampleType /Bicubic /GrayImageResolution 150 /GrayImageDepth 8 /GrayImageMinDownsampleDepth 2 /GrayImageDownsampleThreshold 1.00000 /EncodeGrayImages true /GrayImageFilter /FlateEncode /AutoFilterGrayImages false /GrayImageAutoFilterStrategy /JPEG /GrayACSImageDict > /GrayImageDict > /JPEG2000GrayACSImageDict > /JPEG2000GrayImageDict > /AntiAliasMonoImages false /CropMonoImages true /MonoImageMinResolution 900 /MonoImageMinResolutionPolicy /OK /DownsampleMonoImages true /MonoImageDownsampleType /Bicubic /MonoImageResolution 900 /MonoImageDepth -1 /MonoImageDownsampleThreshold 1.00000 /EncodeMonoImages true /MonoImageFilter /CCITTFaxEncode /MonoImageDict > /AllowPSXObjects true /CheckCompliance [ /None ] /PDFX1aCheck false /PDFX3Check false /PDFXCompliantPDFOnly false /PDFXNoTrimBoxError true /PDFXTrimBoxToMediaBoxOffset [ 0.00000 0.00000 0.00000 0.00000 ] /PDFXSetBleedBoxToMediaBox true /PDFXBleedBoxToTrimBoxOffset [ 0.00000 0.00000 0.00000 0.00000 ] /PDFXOutputIntentProfile (None) /PDFXOutputConditionIdentifier () /PDFXOutputCondition () /PDFXRegistryName (http://www.color.org) /PDFXTrapped /False

/CreateJDFFile false /SyntheticBoldness 1.000000 /Description >>> setdistillerparams> setpagedevice

Date post:	08-Nov-2015
Category:	Documents
Upload:	valter
View:	7 times
Download:	3 times

transition-EN954-1---ISO13849-1

Documents