EN IS
O13
849-
1
Indices de performance de scuritTransition de EN 954-1 EN ISO 13849-1
Publication : SAFETY-RM004A-FR-P April 2009 2009 Rockwell Automation, Inc. Tous droits rservs.
www.rockwellautomation.com
Sige des activits "Power, Control and Information Solutions"
AUDIN - 8, avenue de la malle - 51370 Saint Brice CourcellesTel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : [email protected]
SCURIT FONCTIONNELLETransition de EN 954-1 EN ISO 13849-1
1
INTRODUCTION
Cette publication est destine clarifier les rcents changements ainsi que ceux venir
dans la lgislation et les normes relatives la scurit des machines. Elle concerne
principalement les exigences europennes mais, en raison de la globalisation croissante
des normes de scurit des machines, une grande partie du contenu est valable sur le
plan mondial.
Les machines et les traitements deviennent de plus en plus rapides, flexibles et
performants. Afin de pouvoir offrir un niveau de scurit constant pour les oprateurs et
les techniciens, les mesures de protection ont leur tour t adaptes de sorte
rpondre la complexit croissance de l'automatisation. Les systmes de scurit ont
gnralement t implments sparment des systmes d'automatisation, exploits
indpendamment et souvent paralllement au systme d'automatisation. En effet, le
systme de scurit doit toujours tre disponible. Un dfaut ou une occurrence
inattendue dans le fonctionnement normal de la machine ne doit pas entraver ou
compromettre les mesures protectives de scurit.
Il est cependant indniable que le niveau d'intelligence du systme de scurit doit
voluer paralllement celui du systme d'automatisation. Les conditions requises en
vue d'une fonctionnalit plus sre dpendent de plus en plus de la fonction ou du mode
de la machine. Cela signifie que la scurit doit, en quelque sorte, communiquer
avec le systme de commande normal . Nous devons donc reconsidrer la manire
dont nous pouvons tablir l'indpendance et l'intgrit du systme de scurit. Cela se
manifeste principalement dans la nouvelle gnration de normes gnralement appels
les Normes en vigueur pour la scurit fonctionnelle. Cette publication traite de l'une des
plus significatives de ces normes : EN ISO 13849-1. Il existe paralllement une nouvelle
Directive Machines europenne qui concerne la lgislation relative l'environnement
industriel contemporain.
Il est important que toutes les personnes fournissant ou utilisant des machines se
tiennent informes des normes en vigueur ainsi que des exigences lgales. C'est l'objet
de cette publication, qui traite notamment des aspects relatifs au systme de commande.
Elle ne remplace pas une tude exhaustive des dispositions spcifiques dtailles dans
les normes et la lgislation. Elle a seulement pour objectif de fournir une vue d'ensemble
et, nous l'esprons, de clarifier les conditions ncessaires.
AUDIN - 8, avenue de la malle - 51370 Saint Brice CourcellesTel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : [email protected]
2Passage de EN 954-1 EN ISO 13849-1
Il y plusieurs annes, la mthode la plus utilise pour classifier les systmes de scurit
consistait employer les diffrentes catgories de EN 954-1 [ou son quivalent
ISO 13849-1:1999]. La norme EN 954-1 [son quivalent, la norme ISO 13849-1:1999,
quant elle, a dj t supprime] sera supprime la fin du mois de dcembre 2012.
La principale consquence est le fait que, aprs cette date, cette norme ne pourra plus
tre utilise pour attester de la conformit avec la Directive Machines.
Une nouvelle norme destine remplacer EN 954-1 d'ores et dj t publie. Il s'agit
de la norme EN ISO 13849-1:2008. Scurit des machines Parties des systmes de
commande relatives la scurit . Une norme alternative peut galement tre utilise :
EN/IEC 62061 Scurit des machines Scurit fonctionnelle des systmes de
commande lectriques, lectroniques et lectroniques programmables . Il est possible
d'utiliser l'une ou l'autre de ces normes pour attester de la conformit avec la Directive
Machines. Dans cette publication, nous prsenterons la relation entre les deux normes le
cas chant. Il revient l'utilisateur de choisir entre les deux normes, mais nous traiterons
principalement de la norme EN ISO 13849-1:2008. Elle a t tablie spcialement afin
de permettre une transition aux concepteurs de systmes qui utilisaient les catgories,
c'est pourquoi elle est en passe de devenir la norme la plus utilise pour les systmes de
scurit des machines. Elle peut aussi bien tre utilise pour les systmes complets ainsi
que pour les sous-systmes.
Diffrences de base entre EN 954-1 et EN ISO 13849-1
Considrons tout d'abord les diffrences de base entre l'ancienne norme EN 954-1 et la
nouvelle norme EN ISO 13849-1. Les sorties de l'ancienne norme taient les Catgories
[B, 1, 2, 3 ou 4]. Celles de la nouvelle norme sont les Indices de performance [PL a, b, c,
d ou e]. Le concept de catgorie est conserv mais il existe des exigences supplmentaires
qui doivent tre satisfaites avant qu'un indice de performance ne puisse tre revendiqu
pour un systme.
Ces exigences peuvent tre listes de la manire suivante :
L'architecture du systme. Dsigne essentiellement les lments utiliss comme
catgories.
Les donnes de fiabilit sont ncessaires pour les parties constituantes du
systme.
Le taux de couverture des tests de diagnostic [DC] du systme est ncessaire.
Il reprsente la quantit effective de surveillance des dfauts dans le systme.
Protection contre la dfaillance de cause commune.
Protection contre les dfauts systmatiques.
Le cas chant, exigences spcifiques pour le logiciel.
AUDIN - 8, avenue de la malle - 51370 Saint Brice CourcellesTel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : [email protected]
SCURIT FONCTIONNELLETransition de EN 954-1 EN ISO 13849-1
3
Nous prsenterons ces diffrents facteurs de manire plus dtaille par la suite, mais,
dans un premier temps, il est utile de considrer le principe et l'intention de base de la
norme dans son ensemble. A ce niveau, il est clair que de nouvelles notions doivent tre
apprises, mais il sera plus facile de comprendre les dtails lorsque nous en connatrons
les objectifs et les raisons.
La premire question sa poser est la suivante : pourquoi avons-nous besoin d'une
nouvelle norme ? Il est vident que la technologie utilise dans les systmes de scurit
des machines a considrablement progress et chang au cours des dix dernires
annes. Jusqu' rcemment, les systmes de scurit dpendaient d'un quipement
simple avec des modes de dfaillance parfaitement prvisibles. Cependant, des
dispositifs lectroniques et programmables plus complexes sont actuellement de plus en
plus utiliss dans les systmes de scurit. Cela a certes des avantages en termes de
cots, de flexibilit et de compatibilit, mais cela signifie galement que les normes pr-
existantes ne sont dsormais plus appropries. Pour savoir si un systme de scurit est
suffisamment bon, nous devons disposer de plus de renseignements sur ce dernier.
C'est pourquoi la nouvelle norme exige des informations plus dtailles. Les systmes
de scurit commenant utiliser une approche de type bote noire , nous pouvons
de plus en plus nous fier leur conformit avec les normes. Cependant, ces normes
doivent tre en mesure d'interroger correctement la technologie. Pour cela, elles doivent
se baser sur les facteurs de base que sont la fiabilit, la dtection des dfauts, l'intgralit
architecturale et systmatique. Il s'agit l de l'objectif de la norme EN ISO 13849-1.
Pour tablir un trac logique dans la norme, il est important de raliser qu'il existe deux
types d'utilisateurs radicalement diffrents : les concepteurs des sous-systmes relatifs
la scurit et les concepteurs des systmes relatifs la scurit. En rgle gnrale, le
concepteur de sous-systmes [gnralement un fabricant de composants de scurit]
est soumis un niveau de complexit plus lev. Il est alors ncessaire de fournir les
donnes requises de sorte que le concepteur du systme puisse garantir l'intgrit
adquate du systme. Cela exige gnralement des tests, des analyses et des calculs.
Les rsultats sont exprims sous la forme des donnes requises par la norme.
Le concepteur du systme [gnralement un concepteur ou intgrateur de machine]
utilise ces donnes pour raliser des calculs relativement simples afin de dterminer
l'indice de performance global du systme.
Pour dterminer l'indice de performance requis [PLr], la norme fournit un graphique des
risques reprsentant les facteurs d'application tels que la gravit des blessures, la
frquence d'exposition et la possibilit d'vitement.
La sortie est l'indice de performance requis. Les utilisateurs de l'ancienne norme
EN 954-1 utilisent couramment cette approche. Il convient cependant de noter que la
ligne S1 est prsent divise, ce qui n'tait pas le cas pour l'ancien graphique des
risques. Cela indique une possible reconsidration de l'intgrit des mesures de scurit
ncessaires pour des niveaux de risques plus bas.
AUDIN - 8, avenue de la malle - 51370 Saint Brice CourcellesTel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : [email protected]
4Nous pouvons maintenant voir la relation directe entre le PLr du systme [graphique des
risques] et le PL obtenu par le systme [calcul].
Cependant, une partie trs importante doit toujours tre couverte. Nous savons maintenant,
grce la norme, quelle doit tre la qualit du systme et comment dterminer cette
dernire, mais nous ne savons pas ce qui doit tre fait. Nous devons prciser ce qu'est
une fonction de scurit. Il est clair que la fonction de scurit doit tre adapte
l'opration concerne, mais comment peut-elle tre tablie ? En quoi la norme peut-elle
nous aider ?
Il est important de comprendre que la fonctionnalit requise peut uniquement tre
dtermine en prenant en compte les caractristiques actuelles dans l'application
considre. Il est possible pour cela de considrer la phase de conception du concept de
scurit. Cette phase ne peut pas tre totalement couverte par la norme car cette dernire
ne dispose pas de toutes les caractristiques d'une application spcifique. Cela s'applique
donc souvent aux constructeurs de machines qui produisent la machine mais ne
connaissent pas ncessairement les conditions exactes dans lesquelles cette dernire
sera utilise.
La norme fournit une aide en listant de nombreuses fonctions de scurit couramment
utilises et en indiquant certaines exigences gnralement associes. D'autres normes
telles que EN ISO 12100 : Principes gnraux de conception et EN ISO 14121 :
Apprciation du risque, sont vivement recommandes ce niveau. Il existe donc une
grande srie de normes spcifiques aux machines capables de fournir des solutions pour
des machines spcifiques. Elles sont appeles les normes de type C au sein des normes
EN europennes ; la plupart d'entre elles ont des quivalents exacts parmi les normes ISO.
Nous pouvons donc maintenant voir que la phase de conception du concept de scurit
dpend donc du type de machine ainsi que des caractristiques de l'application et de
l'environnement dans lequel elle est utilise. Le constructeur de machines anticipe ces
facteurs pour pouvoir concevoir le concept de scurit. Les conditions d'utilisation prvues
P2
P1P2
P1
P2
P1P2
P1
F2
F1
F2
F1
S2
S1 b
a
c
d
e
Dpart
Graphique des risques de l'annexe A deEN ISO 13849-1
Catgories
Graphique des risques de l'annexe B de EN 945-1
AUDIN - 8, avenue de la malle - 51370 Saint Brice CourcellesTel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : [email protected]
SCURIT FONCTIONNELLETransition de EN 954-1 EN ISO 13849-1
5
[c'est--dire anticipes] doivent tre indiques dans le manuel de l'utilisateur. L'utilisateur
de la machine est tenu de vrifier que ces conditions correspondent bien aux conditions
d'utilisation relles.
Nous disposons maintenant d'une description de la fonctionnalit de scurit. L'annexe A
de la norme indique galement l'indice de performance requis [PLr] pour les pices de
scurit du systme de commande [SRP/CS] utilis pour implmenter cette fonctionnalit.
Nous devons maintenant concevoir le systme et s'assurer qu'il est bien conforme au PLr.
L'un des facteurs dcisifs dans le choix de la norme utiliser [EN ISO 13849-1 ou
EN/IEC 62061] est la complexit de la fonction de scurit. Dans la plupart des cas, pour
les machines, la fonction de scurit est relativement simple et la norme EN ISO 13849-1
est la plus approprie. Pour valuer le PL, elle utilise les facteurs dj mentionns
que sont les donnes de fiabilit, le taux de couverture des tests de diagnostic [DC],
l'architecture du systme [catgorie] et les exigences concernant le logiciel le cas chant.
Il s'agit-l d'une description simplifie uniquement destine donner une vue d'ensemble.
Il est important de comprendre que toutes les dispositions indiques dans la norme doivent
tre appliques. Une aide est cependant disponible. Il existe en effet un excellent logiciel
capable de fournir une aide prcieuse concernant tout ce qui touche au calcul. Il s'agit du
logiciel SISTEMA, produit par BGIA en Allemagne. Il peut tre utilis gratuitement, vous
trouverez tous les dtails concernant le tlchargement sous :
www.dguv.de/bgia/en/pra/softwa/sistema
Au moment de l'impression de cette publication il est disponible en allemand et en anglais,
d'autres langues tant ensuite prvues. Cet outil n'est pas commercialis. BGIA, le
concepteur du logiciel SISTEMA, est une institution de recherche et de tests reconnue,
tablie en Allemagne. Elle est notamment implique dans la rsolution de problmes
scientifiques et techniques relatifs la scurit dans le contexte des assurances
statutaires contre les accidents ainsi que dans la prvention en Allemagne. Elle travaille en
troite coopration avec des agences professionnelles de sant et de scurit dans plus
de vingt pays. Les spcialistes de BGIA, assists de leurs collgues BG, ont contribu de
manire significative l'laboration des normes EN ISO 13849-1 et IEC/EN 62061.
Donnes Rockwell Automation
pour l'utilisation avec SISTEMA
Un catalogue Rockwell Automation de ces dispositifs de scurit est disponible et peut
tre utilis avec l'outil de calcul de l'indice de performance SISTEMA. Pour obtenir ce
catalogue, veuillez vous inscrire sous :
www.discoverrockwellautomation.com/safety
Quel que que soit le mode de calcul de l'indice de performance utilis, il est important de
partir des bases correctes. Nous devons visualiser notre systme de la mme manire que
la norme, alors allons-y.
AUDIN - 8, avenue de la malle - 51370 Saint Brice CourcellesTel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : [email protected]
6STRUCTURE DU SYSTEME
Tout systme peut tre divis en composants de base du systme ou sous-systmes .
Chaque sous-systme possde sa propre fonction discrte. La plupart des systmes
peuvent tre diviss en trois fonctions de base ; entre, solution logique et actionneur
[certains systmes simples peuvent ne pas avoir de solution logique]. Les groupes de
composants qui implmentent ces fonctions sont les sous-systmes.
Un systme lectrique simple voie unique est reprsent ci-dessus titre d'exemple.
Il contient uniquement des sous-systmes d'entre et de sortie.
Le systme est un peu plus complexe car une certaine logique est galement ncessaire.
L'automate de scurit lui-mme tolre les dfauts (double voie par exemple) internes mais le
systme global est toujours limit au statut voie unique en raison de l'interrupteur de fin de
course et du contacteur uniques.
EntreSous-systme
Interrupteur de fin de course SmartGuard 600 Contacteur de scurit
LogiqueSous-systme
SortieSous-systme
Sortie vers d'autres systmes
Interrupteur de scurit, automate de scurit et contacteur de scurit
EntreSous-systme
Interrupteur de fin de course Contacteur de scurit
SortieSous-systme
Interrupteur de scurit et contacteur de scurit
EntreSous-systme
LogiqueSous-systme
SortieSous-systme
AUDIN - 8, avenue de la malle - 51370 Saint Brice CourcellesTel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : [email protected]
SCURIT FONCTIONNELLETransition de EN 954-1 EN ISO 13849-1
7
A partir de l'architecture de base du diagramme prcdent, d'autres lments doivent
galement tre pris en compte. D'abord, combien de voies doit avoir le systme ?
Un systme voie unique tombe en panne en cas de dfaut de l'un de ses sous-systmes.
Un systme voir double [galement appel systme redondant] a besoin de deux
dfaillances, une dans chaque voie, avant de tomber en panne. Grce aux deux voies,
il peut tolrer un dfaut unique tout en continuant de fonctionner. Le diagramme ci-dessus
illustre un systme voie double.
Il est clair qu'un systme double voie est moins sensible aux pannes qu'un systme
voie unique. Mais nous pouvons encore augmenter sa fiabilit [en ce qui concerne sa
fonction du scurit] si nous y incluons des mesures de diagnostic pour la dtection des
dfauts. Il va de soi que, lorsqu'un dfaut a t dtect, nous devons alors y ragir et
ramener le systme dans un tat sr. Le diagramme suivant montre l'intgration de
mesures de diagnostic grce des techniques de surveillance.
EntreSous-systme
SmartGuard 600
Surveillance
Surveillance
Surveillance
Contacteur de scurit
LogiqueSous-systme
SortieSous-systme
Interrupteur de fin de course
Diagnostics avec un systme de scurit double voie
EntreSous-systme
SmartGuard 600 Contacteur de scurit
LogiqueSous-systme
SortieSous-systme
Interrupteur de fin de course
Systme de scurit double voie
AUDIN - 8, avenue de la malle - 51370 Saint Brice CourcellesTel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : [email protected]
8Il arrive frquemment [mais ce n'est pas toujours le cas] que le systme comprenne deux
voies dans tous ses sous-systmes. Par consquent, nous pouvons voir que, dans ce cas,
chaque sous-systme possde deux sous-voies . Ces dernires sont dcrites dans la
norme en tant que blocs . Un sous-systme voie double possde au minimum deux
blocs tandis qu'un sous-systme voie unique possde au minimum un bloc. Il est
possible que certains systmes comprennent une combinaison de blocs voie unique et
double voie.
Si nous voulons tudier de manire plus dtaille le systme, nous devons considrer les
pices constitutives des blocs. L'outil SISTEMA utilise le terme lments pour dsigner
ces pices constitutives.
Le sous-systme fins de course est reprsent divis en ses lments. Le sous-systme
contacteur de sortie est divis au niveau des blocs et le sous-systme logique n'est pas
divis du tout. La fonction de surveillance des fins de course et des contacteurs est
ralise au niveau de l'automate logique. Par consquent, les cadres reprsentant les
sous-systmes interrupteur de fin de course et contacteur recoupent lgrement celui
reprsentant le sous-systme logique.
Ce principe de sous-division du systme peut tre reconnu dans la mthodologie indique
dans EN ISO 13849-1 et dans le principe de la structure de base du systme pour l'outil
SISTEMA. Cependant il est important de remarquer qu'il existe quelques diffrences
subtiles. La norme ne prsente pas de mthodologie restrictive mais, pour la mthode
simplifie d'estimation de l'indice de performance, la premire tape consiste gnralement
diviser la structure du systme en voies puis en blocs au sein de chaque voie. Avec
SISTEMA, le systme est gnralement d'abord divis en sous-systmes. La norme ne
EntreSous-systme
VOIE
1VO
IE 2
Interrupteur de fin de course
Elment
SmartGuard 600
Surveillance
Surveillance
Surv
eilla
nce
Contacteur de scurit
LogiqueSous-systme
SortieSous-systme
Couplage Contacts
Couplage Contacts
Elment
Bloc
ElmentDiagnosticDiagnostic
Elment
Bloc
Systme subdivis avec diagnostics avec un systme de scurit double voie
AUDIN - 8, avenue de la malle - 51370 Saint Brice CourcellesTel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : [email protected]
SCURIT FONCTIONNELLETransition de EN 954-1 EN ISO 13849-1
9
dcrit pas explicitement un concept de sous-systme mais son utilisation telle qu'elle est
indique dans SISTEMA permet une approche plus intuitive et plus simple comprendre.
Cela n'a naturellement aucun effet sur le calcul final. SISTEMA et la norme utilisent tous
deux les mmes principes et formules. Il est intressant de remarquer que l'approche
sous-systme est galement utilise dans EN/IEC 62061.
Le systme qui nous a servi d'exemple est simplement l'un des cinq types de base des
architectures des systmes mentionns dans les normes. Toutes les personnes
familiarises avec le systme des catgories reconnatra que notre exemple est
reprsentatif des catgories 3 ou 4.
La norme utilise les catgories d'origine EN 954-1 comme ses cinq types de base pour les
architectures mentionnes du systme. Il s'agit des catgories d'architecture dsignes.
Les exigences concernant les catgories sont pratiquement [mais pas totalement]
identiques celles indiques dans EN 954-1. Les catgories d'architecture dsignes sont
reprsentes par les figures suivantes. Il est important de remarquer qu'elles peuvent tre
appliques un systme complet aussi bien qu' un sous-systme. Les diagrammes ne
doivent pas tre considrs comme une structure physique pure, ils sont bien plus
destins reprsenter graphiquement les exigences conceptuelles.
La catgorie d'architecture dsigne B doit utiliser les principes de scurit de base [voir
annexe de la norme EN ISO 13849-2]. Le systme ou le sous-systme peut tomber en
panne en cas de dfaut unique. Cf. EN ISO 13849-1 pour connatre la totalit des exigences.
La catgorie d'architecture dsigne 1 possde la mme structure que la catgorie B et
peut galement tomber en panne en cas de dfaut unique. Cela est cependant moins
probable que pour la catgorie B car elle doit galement utiliser des principes de scurit
largement prouvs [cf. annexe de EN ISO 13849-2]. Cf. EN ISO 13849-1 pour connatre
la totalit des exigences.
Dispositifd'entre Logique
Dispositifde sortie
Catgorie d'architecture dsigne 1
Dispositifd'entre Logique
Dispositifde sortie
Catgorie d'architecture dsigne B
AUDIN - 8, avenue de la malle - 51370 Saint Brice CourcellesTel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : [email protected]
10
La catgorie d'architecture dsigne 2 doit appliquer les principes de scurit de base
[voir annexe de la norme EN ISO 13849-2]. Une surveillance de diagnostic sous la forme
d'un test fonctionnel du systme ou du sous-systme doit donc galement exister. Cette
surveillance doit intervenir lors du dmarrage, puis rgulirement, avec une frquence
quivalente au moins cent tests pour chaque demande au niveau de la fonction de
scurit. Le systme ou le sous-systme peut toujours tomber en panne si un dfaut
unique se produit entre les tests fonctionnels, mais cela est gnralement moins probable
que pour la catgorie 1. Cf. EN ISO 13849-1 pour connatre la totalit des exigences.
La catgorie d'architecture dsigne 3 doit appliquer les principes de scurit de base [voir
annexe de la norme EN ISO 13849-2]. Il existe galement une condition selon laquelle le
systme/sous-systme ne doit pas tomber en panne en cas de dfaut unique. Cela signifie
que le systme doit prsenter une tolrance pour les dfauts uniques au niveau de sa
fonction de scurit. La manire la plus simple de satisfaire cette condition est de
recourir une architecture double voie comme cela est reprsent ci-dessus. De plus,
il est galement ncessaire que le dfaut unique soit dtect chaque fois que cela est
possible. Cette condition est la mme que la condition d'origine pour la catgorie 3 de la
norme EN 954-1. Dans ce contexte, la signification de la mention chaque fois que cela
est possible s'avre quelque peu problmatique. Elle indique que la catgorie 3 pourrait
Dispositifd'entre Logique
Dispositifde sortie
Cblage
Surveillance
Surveillance
Surveillance croise
Cblage
Dispositifd'entre Logique
Dispositifde sortie
CblageCblage
Catgorie d'architecture dsigne 3
Dispositifd'entre Logique
Dispositifde sortie
Test
CblageCblage
Sortie test
Surveillance
Catgorie d'architecture dsigne 2
AUDIN - 8, avenue de la malle - 51370 Saint Brice CourcellesTel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : [email protected]
SCURIT FONCTIONNELLETransition de EN 954-1 EN ISO 13849-1
11
couvrir la totalit d'une plage allant d'un systme avec redondance mais sans dtection
des dfauts [souvent dsigne de manire descriptive et approprie par le terme
redondance stupide ] un systme redondant dans lequel tous les dfauts uniques
sont dtects. Ce problme est trait dans la norme EN ISO 13849-1 par la condition
d'estimation de la qualit du taux de couverture des tests de diagnostic. Nous pouvons voir
que plus la fiabilit [MTTFd] du systme est leve, moins le taux de couverture des tests
de diagnostic ncessaire est lev. Cependant, il est galement clair que le taux de
couverture des tests de diagnostic doit tre d'au moins 60 % pour l'architecture de la
catgorie 3.
La catgorie d'architecture dsigne 4 doit appliquer les principes de scurit de base
[voir annexe de la norme EN ISO 13849-2]. Le diagramme des conditions est similaire
celui de la catgorie 3 mais il demande une surveillance plus importante, c'est--dire un
taux de couverture des tests de diagnostic plus lev. Cela est indiqu par les lignes
pointilles plus paisses qui reprsentent les fonctions de surveillance. La diffrence
essentielle entre les catgories 3 et 4 est que, pour la catgorie 3, la plupart des dfauts
doivent tre dtects tandis que pour la catgorie 4, tous les dfauts uniques doivent tre
dtects. Le taux de couverture des tests de diagnostic doit ainsi tre d'au moins 99 %.
Mme les combinaisons de dfauts ne doivent pas provoquer de dfaillance dangereuse.
DONNEES DE FIABILITE
La norme EN ISO 13849-1 utilise des donnes de fiabilit quantitatives dans le calcul de
l'indice de performance atteint par les pices de scurit d'un systme de commande.
Il s'agit l d'un dpart significatif de EN 954-1. La premire question qui vient l'esprit
est d'o proviennent ces donnes ? Il est possible d'utiliser les donnes des manuels
de fiabilit reconnus mais la norme utilise prfrentiellement le fabricant comme source
de ces donnes. A cette fin, Rockwell Automation met disposition les informations
ncessaires sous la forme d'un catalogue de donnes pour SISTEMA. La socit publiera
galement en temps voulu les donnes sous d'autres formes. Mais avant de poursuivre,
nous devons considrer quels sont les types de donnes ncessaires et comprendre la
manire dont elles sont produites.
Dispositifd'entre Logique
Dispositifde sortie
Cblage
Surveillance
Surveillance
Surveillancecroise
Cblage
Dispositifd'entre Logique
Dispositifde sortie
CblageCblage
Catgorie d'architecture dsigne 4
AUDIN - 8, avenue de la malle - 51370 Saint Brice CourcellesTel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : [email protected]
12
Le dernier type de donnes ncessaires pour la dtermination de l'indice de performance
dans la norme [et SISTEMA] est le PFH [probabilit de dfaillance dangereuse pendant
une heure]. Il s'agit des mmes donnes que celles reprsentes par l'abrviation PFHd
utilise dans IEC/EN 62061.
Le tableau ci-dessus montre la relation entre PFH, PL et SIL. Pour certains sous-systmes,
le PFH peut tre obtenu auprs du fabricant. Cela facilite d'autant plus le calcul.
Le fabricant ralise gnralement des calculs et/ou tests relativement complexes sur
son sous-systme afin de fournir ces donnes. Lorsque ces donnes ne sont pas
disponibles, la norme EN ISO 13849-1 nous indique une approche alternative simplifie
base sur MTTFd moyen [dure moyenne d'une dfaillance dangereuse] d'une voie
unique. Le PL [et donc le PFH] d'un systme ou d'un sous-systme peut tre calcul
l'aide de la mthodologie et des formules de la norme. Il est plus facile d'utiliser SISTEMA.
MTTFd
Cette donne reprsente la dure moyenne avant une dfaillance pouvant conduire une
dfaillance de la fonction de scurit. Elle s'exprime en annes. Il s'agit d'une valeur
moyenne des MTTFd des blocs de chaque voie qui peut s'appliquer un systme ou
un sous-systme. La norme indique la formule suivante qui est utilise pour calculer la
moyenne de tous les MTTFd de chaque lment utilis dans une voie unique ou dans un
sous-systme.
A ce niveau, la valeur de SISTEMA devient vidente. Les utilisateurs gagnent du temps
lorsqu'ils consultent les tableaux et calculent les formules, ces oprations tant effectues
par le logiciel. Les rsultats finaux peuvent tre imprims sous la forme d'un rapport de
plusieurs pages.
PL
(Indice de
performance)
PFHD
(Probabilit de dfaillance
dangereuse par heure)
SIL
(Niveau d'intgrit
de scurit)
A 10
5
SCURIT FONCTIONNELLETransition de EN 954-1 EN ISO 13849-1
13
(D.1)
o
MTTFd
correspond la voie complte ;
MTTFdi, MTTFdj
est le MTTFd de chaque composant contribuant la fonction de scurit.
La premire somme concerne chaque composant sparment ; la deuxime somme est
une forme quivalente, simplifie, dans laquelle tous les composants nj identiques avec lemme MTTFdi sont regroups.
Dans la plupart des systmes double voie, les deux voies sont identiques, c'est pourquoi
le rsultat de la formule reprsente chaque voie. Si les voies du systme/sous-systme
sont diffrentes, la norme fournit une formule adquate.
(D.2)
o MTTFdC1 et MTTFdC2 sont les valeurs pour deux voies redondantes diffrentes.
Il s'agit, en fait, de la moyenne de deux moyennes. Pour des raisons lies la
simplification, il est galement permis d'utiliser simplement la valeur de la voie
correspondant au cas le moins avantageux.
La norme regroupe les MTTFd en trois plages de la faon suivante :
de 3 < 10 ans = basse
de 10 < 30 ans = moyenne
de 30 100 ans = leve
Comme nous le verrons plus tard, la plage obtenue de MTTFd moyen est ensuite combine
la catgorie d'architecture dsigne et au taux de couverture des tests de diagnostic
pour fournir un indice de performance nominal prliminaire. Le terme prliminaire est utilis
ici car d'autres conditions, notamment l'intgrit systmatique et des mesures contre la
dfaillance de cause commune doivent toujours tre remplies le cas chant.
=MTTF 32 1
d MTTF +MTTF+
dC1 dC2 1MTTFdC1
1MTTFdC2
1
i=1= MTTFd
1MTTFdi
j=1= njMTTFdj
AUDIN - 8, avenue de la malle - 51370 Saint Brice CourcellesTel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : [email protected]
14
Mthodes de dtermination des donnes
Nous devons maintenant aller un cran plus loin dans la manire dont un fabricant
dtermine les donnes, soit sous forme de PFHd soit de MTTFd. Il est primordial de
comprendre ceci lors du traitement des donnes des fabricants. Les composants peuvent
tre regroups en trois types de base :
mcaniste (lectro-mcanique, mcanique, pneumatique, hydraulique etc.)
lectronique (c'est--dire tat solide)
logiciel
Il existe une diffrence primordiale entre les mcanismes de dfaillance commune de ces
trois types de technologies. Cette dernire peut tre rsume de la manire suivante, sous
forme basique :
TECHNOLOGIE MECANISTE
La dfaillance est proportionnelle la fiabilit inhrente et au taux d'utilisation. Plus le
taux d'utilisation est lev, plus la probabilit que l'une des pices constitutives soit
dgrade et tombe en panne est leve. Remarquez qu'il ne s'agit pas l de la seule
cause de dfaillance, mais il s'agit de la cause prdominante, sauf si nous limitons la
dure/les cycles de fonctionnement. Il est bien vident qu'un contacteur ayant un cycle
de commutation de 10 secondes fonctionnera de manire fiable pendant une dure
plus courte qu'un contacteur identique qui fonctionne une fois par jour. Les dispositifs
de la technologie mcaniste comprennent gnralement des composants conus
individuellement pour leur utilisation spcifique. Les composants sont profils, mouls,
couls, usins etc. Ils sont combins avec des couplages, des ressorts, des aimants,
des enroulements lectriques etc. pour former un mcanisme. Les pices constitutives
des composants n'ayant pas, en gnral, d'historique d'utilisation dans d'autres
applications, il n'est pas possible de trouver de donnes de fiabilit pr-existantes pour
ces derniers. L'estimation de PFHd ou de MTTFd pour le mcanisme est normalement
base sur les essais. Les deux normes EN/IEC 62061 et EN ISO 13849-1 prconisent
toutes deux une procdure d'essai connue sous le nom de test B10d .
Dans le test B10d, diffrents chantillons de dispositifs [au moins dix gnralement]
sont tests dans des conditions reprsentatives. Le nombre moyen de cycles de
fonctionnement effectus avant que 10 % des chantillons ne prsentent de
dfaillance dangereuse correspond ce qu'on appelle la valeur B10d. En pratique,
il est frquent que tous les chantillons prsentent une dfaillance dans l'tat sr
mais, dans ce cas, il est tabli dans la norme que la valeur B10d[dangereuse] peut tre
choisie comme le double de la valeur B10[sre].
AUDIN - 8, avenue de la malle - 51370 Saint Brice CourcellesTel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : [email protected]
SCURIT FONCTIONNELLETransition de EN 954-1 EN ISO 13849-1
15
TECHNOLOGIE ELECTRONIQUE
Il n'y a pas d'usure physique relative aux pices mobiles. En admettant que
l'environnement d'utilisation soit proportionnel aux caractristiques lectriques, de
temprature [etc.] spcifies, la dfaillance prdominante d'un circuit lectronique est
proportionnelle la fiabilit inhrente de ses composants constitutifs [ou l'absence
de cette dernire]. Il existe de nombreuses raisons pouvant conduire la dfaillance
d'un composant individuel, notamment des imperfections lies la fabrication, des
sautes de puissance excessives, des problmes de connexion mcanique etc.
En rgle gnrale, les dfauts des composants lectroniques sont difficiles prvoir
grce l'analyse, ils semblent tre plutt de nature alatoire. C'est pourquoi tester un
dispositif lectronique dans des conditions d'un laboratoire d'essais ne permet pas
ncessairement de rvler des configurations de dfaillances types long terme.
Pout dterminer la fiabilit des dispositifs lectroniques, il est d'usage d'avoir recours
l'analyse et au calcul. Nous pouvons trouver des donnes de bonne qualit pour les
composants individuels dans les manuels de donnes de fiabilit. Une analyse peut
permettre de dterminer les modes de dfaillance dangereux pour les composants.
On fait gnralement la moyenne des modes de dfaillance des composants comme
50 % des cas srs et 50 % des cas dangereux. Cela permet normalement d'obtenir
des donnes relativement stables.
La norme IEC 61508 fournit des formules pouvant tre utilises pour calculer la
probabilit globale de dfaillance dangereuse [PFH ou PFD] du dispositif, c'est--dire
du sous-systme. Ces formules sont relativement complexes et prennent en compte
[le cas chant] la fiabilit du composant, le potentiel de dfaillance de cause
commune [facteur bta], le taux de couverture des tests de diagnostic [DC], l'intervalle
entre tests fonctionnels et l'intervalle entre tests priodiques. La bonne nouvelle est
que ce calcul complexe est normalement ralis par le fabricant du dispositif. Les
normes EN/IEC 62061 et EN ISO 13849-1 acceptent toutes deux un sous-systme
calcul de cette manire pour IEC 61508. Le PFHd obtenu peut tre utilis directement
soit dans l'annexe K de EN ISO 13849-1 soit dans l'outil de calcul SISTEMA.
LOGICIEL
Les dfaillances du logiciel sont toujours de nature inhrente. Toutes les dfaillances
sont dues la manire dont le logiciel est conu, crit ou compil. C'est pourquoi les
dfaillances sont toutes causes par le systme sur lequel le logiciel est produit, et
non celui sur lequel il est utilis. Nous devons donc, pour contrler les dfaillances,
contrler ce systme. Les deux normes IEC 61508 et EN ISO 13849-1 fournissent
pour cela des conditions et des mthodologies. Il n'est pas ncessaire ce stade de
traiter ce point de manire plus dtaille, et nous nous limiterons dire que ces
conditions et mthodologies font appel au modle V classique.
AUDIN - 8, avenue de la malle - 51370 Saint Brice CourcellesTel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : [email protected]
16
Les logiciels intgrs sont un problme pour le concepteur du dispositif. L'approche
classique consiste dvelopper un logiciel intgr conformment aux mthodes formelles
prsentes dans la norme IEC 61508 partie 3. En ce qui concerne le code d'application
du logiciel servant d'interface avec l'utilisateur, la plupart des dispositifs de scurit
programmables sont livrs avec des blocs fonctionnels ou des routines certifi(e)s .
Cela simplifie l'opration de validation pour le code d'application mais il est ncessaire de
se rappeler que le programme d'application complet doit encore tre valid. La manire
dont les blocs sont relis et paramtrs doit tre correcte et valable pour l'opration
souhaite. Les normes EN ISO 13849-1 et IEC/EN 62061 fournissent toutes deux des
directives pour ce procd.
Rsultat
VrificationCodage
ValidationSpcification
logiciel de scurit
Validation
Testd'intgration
Conception systme
Test module
Conception module
Logiciel valid
Spcifications fonctions de scurit
Modle V de dveloppement logiciel
AUDIN - 8, avenue de la malle - 51370 Saint Brice CourcellesTel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : [email protected]
SCURIT FONCTIONNELLETransition de EN 954-1 EN ISO 13849-1
17
Taux de couverture des tests de diagnostic
Nous avons dj abord ce sujet dans le point consacr aux catgories 2, 3 et 4 de
l'architecture dsigne. Ces catgories ncessitent une certaine forme de test de
diagnostic afin de vrifier si la fonction de scurit est toujours active. Le terme taux de
couverture des tests de diagnostic [gnralement abrg DC] est utilis pour caractriser
l'efficacit de ce test. Il est important de raliser que le DC n'est pas uniquement bas sur
le nombre de composants pouvant faire l'objet d'une dfaillance dangereuse. Il prend
galement en compte le taux de dfaillance dangereuse total. Le symbole reprsente le
taux de dfaillance . DC exprime la relation entre les taux d'occurrence des deux types
de dfaillance dangereuse suivants :
Dfaillance dangereuse dtecte [dd] c'est--dire les dfaillances qui causent ou
peuvent causer une perte de la fonction de scurit, mais qui sont dtectes. Aprs la
dtection, une fonction de raction de dfaut fait passer le dispositif ou le systme
dans un tat sr.
Dfaillance dangereuse [d] c'est--dire les dfaillances qui peuvent potentiellement
causer ou entraner une perte de la fonction de scurit. Cela comprend les
dfaillances dtectes et celles qui ne le sont pas. Il va de soi que les dfaillances qui
sont vraiment dangereuses sont celles qui ne sont pas dtectes [indiques par du]
DC est exprim par la formule :
DC = dd/d sous forme de pourcentage.
Cette signification du terme DC est commune aux normes EN ISO 13849-1 et
EN/IEC 62061. Cependant, sa provenance est diffrente. La norme EN/IEC 62061
propose d'utiliser le calcul bas sur l'analyse du mode de dfaillance tandis que la norme
EN ISO 13849-1 fournit une mthode simplifie sous la forme de tables de conversion.
Diffrentes techniques de diagnostic types sont listes avec le pourcentage DC que leur
utilisation doit permettre d'obtenir. Dans certains cas, un jugement rationnel est toujours
ncessaire, par exemple, dans certaines techniques, le DC obtenu est proportionnel la
frquence de ralisation du test. D'aucuns prtendent parfois que cette approche est trop
vague. Cependant, l'estimation de DC peut dpendre de plusieurs variables diffrentes et,
quelle que soit la technique utilise, le rsultat peut gnralement uniquement tre dcrit
comme approximatif.
AUDIN - 8, avenue de la malle - 51370 Saint Brice CourcellesTel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : [email protected]
18
Il est galement important de comprendre que les tables de la norme EN ISO 13849-1
sont bases sur une recherche approfondie mene par la socit BGIA sur les rsultats
obtenus par les techniques de diagnostic connues actuellement et utilises dans les
applications relles. A des fins de simplification, la norme divise le taux de couverture des
tests de diagnostic entre quatre plages de base.
< 60 % = aucune
de 60 % < 90 % = basse
de 90 % < 99 % = moyenne
99 % = leve
Cette approche consistant traiter des plages plutt que des valeurs de pourcentages
individuelles peut galement tre considre comme plus raliste en termes de prcision
des rsultats. L'outil SISTEMA utilise les mmes tables de conversion que la norme.
Des systmes lectroniques complexes tant de plus en plus utiliss dans les dispositifs
relatifs la scurit, le taux de couverture des tests de diagnostic revt une importance
croissante. Il est probable que les travaux futurs sur les normes permettront de clarifier
plus prcisment cette problmatique. Dans l'intervalle, le recours aux connaissances de
l'ingnierie et au bon sens doit tre suffisant pour permettre de choisir la plage DC correcte.
Dfaillance de cause commune
Dans la plupart des systmes ou sous-systmes double voie [c'est--dire dans lesquels
un dfaut unique est tolr], le principe de diagnostic est bas sur une supposition selon
laquelle il n'y a pas de dfaillance dangereuse sur les deux voies simultanment. Le terme
simultanment peut tre exprim de manire plus prcise par dans l'intervalle du test
de diagnostic . Si l'intervalle du test de diagnostic est raisonnablement court [par exemple
moins de huit heures], on peut raisonnablement supposer qu'il est trs peu probable que
deux dfauts spars et indpendants l'un de l'autre se produisent pendant cette priode.
Cependant, la norme tablit clairement que nous devons rester prudents lorsque nous
dcidons si les possibilits de dfaut sont vraiment spares et indpendantes l'une de
l'autre ou non. Par exemple, s'il est prvisible qu'un dfaut dans un composant puisse
conduire des dfaillances d'autres composants, alors les dfauts rsultants sont
considrs comme une dfaillance unique.
Il est galement possible qu'un vnement causant la panne d'un composant puisse
galement provoquer la dfaillance d'autres composants. Cela se traduit par la dfaillance
de cause commune , gnralement abrge par CCF. Le degr de propension de CCF
est normalement dcrit par le facteur bta (). Il est trs important que les concepteurs des
systmes et des sous-systmes soient conscients des possibilits de dfaillance de cause
commune. Il existe de nombreux types diffrents de dfaillances de cause commune et,
AUDIN - 8, avenue de la malle - 51370 Saint Brice CourcellesTel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : [email protected]
SCURIT FONCTIONNELLETransition de EN 954-1 EN ISO 13849-1
19
par consquent, autant de manires de les viter. La norme EN ISO 13849-1 trace un
chemin rationnel entre la complication extrme et la simplification outrance. Comme la
norme EN/IEC 62061, elle adopte une approche essentiellement qualitative. Elle fournit
une liste de mesures connues pour viter avec efficacit la CCF. Ces mesures doivent tre
implmentes en nombre suffisant dans la conception d'un systme ou d'un sous-systme.
Il serait possible de prtendre, avec justification, que l'utilisation de cette liste seule ne peut
pas viter de manire approprie toutes les possibilits de CCF. Cependant, si l'intention
de la liste est considre correctement, il est clair que le rle de ces exigences est de faire
analyser au concepteur les possibilits de CCF et d'implmenter des mesures de prvention
adaptes, bases sur le type de technologie et les caractristiques de l'application prvue.
L'utilisation de la liste permet d'appliquer certaines des techniques les plus efficaces et
fondamentales telles que la diversit des modes de dfaillance et les comptences de
conception. L'outil BGIA SISTEMA implique galement l'implmentation des tables de
conversion CCF de la norme et garantit leur disponibilit sous une forme adapte.
Dfauts systmatiques
Nous avons dj prsent les donnes de fiabilit de scurit quantifies sous la forme
de MTTFd ainsi que la probabilit de dfaillances dangereuses. Mais ce n'est pas tout.
Lorsque nous avons fait rfrence ces termes, nous avions dj l'esprit les dfaillances
qui semblent tre de nature alatoire. En effet, la norme IEC/EN 62061 fait spcifiquement
rfrence l'abrviation PFHd comme tant la probabilit de dfaillance matrielle
alatoire. Il existe cependant certains types de dfaillances connues sous le nom de
dfaillance systmatique pouvant tre attribues aux erreurs commises au cours des
phases de conception ou de fabrication. L'exemple classique est une erreur dans le code
logiciel. La norme indique, dans l'annexe G, des mesures permettant d'viter ces erreurs
[et donc les dfaillances]. Ces mesures incluent des dispositions telles que l'utilisation de
matriaux et de techniques de fabrication adapts, de rvisions, d'analyses et de simulation
sur ordinateur. Il existe galement des vnements et caractristiques prvisibles pouvant
se produire dans l'environnement d'utilisation et susceptibles de causer des dfaillances si
leur effet n'est pas contrl. L'annexe G prsente galement des mesures dans ce cas.
Il est par exemple facile de prvoir des pertes de puissance occasionnelles. C'est pourquoi
la mise hors tension des composants doit se produire lorsque le systme se trouve dans
un tat sr. Ces mesures peuvent sembler relever uniquement du bon sens, et c'est en
effet le cas, mais elles ne sont pas moins primordiales. Toutes les autres exigences
spcifies dans la norme n'auraient aucun sens sans la prise en compte du contrle et
de la prvention des dfaillances systmatiques. Cela ncessite galement parfois le
mme type de mesures que celles utilises pour le contrle des dfaillances matrielles
alatoires [afin de parvenir au PFHd requis] telles que le test de diagnostic automatique et
le matriel redondant.
AUDIN - 8, avenue de la malle - 51370 Saint Brice CourcellesTel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : [email protected]
20
Rockwell Automation
Les socits sont concernes de diffrentes manires par la scurit des machines.
Les fabricants/fournisseurs de machines, gnralement dsigns par OEM (Original
Equipment Manufacturers, quipementiers), doivent se conformer la lgislation en
vigueur relative la scurit des machines (en Europe, la Directive Machines par exemple),
mais ils veulent galement amliorer le rendement des machines tout en fournissant des
produits de valeur leurs clients. Les utilisateurs finaux de ces machines veulent amliorer
le taux de rendement synthtique. La baisse du temps moyen de rparation, la rduction
des dchets et la prvention des arrts non ncessaires peuvent contribuer remplir ces
objectifs, amliorant ainsi la scurit sur le poste de travail productif tout en garantissant le
respect des rglementations de scurit.
On sait bien que la lgislation a pour but de garantir un environnement de fabrication plus
sr ; travailler dans le respect des normes telles que EN ISO 13849-1 est une bonne
mthode pour illustrer la conformit vis--vis de l'arsenal lgislatif. Mais cela peut impliquer
de relever des dfis auxquels vous n'tiez pas prpar
Y a-t-il des rpercussions sur les performances de votre quipement ?
Des arrts alors qu'il devrait fonctionner ? Des dclenchements nuisibles ?
Est-ce que cela ne vous cote pas trop cher ?
Avez-vous implment un niveau de scurit excessif ?
Est-ce que vous implmentez une solution de scurit de manire inapproprie,
donnant ainsi lieu des problmes ?
La gestion de fournisseurs de scurit supplmentaires est coteuse pour votre
socit
Est-ce que la scurit limite votre capacit :
faire fonctionner votre machine de manire productive et efficace ?
effectuer les oprations de maintenance rapidement et facilement ?
livrer rapidement vos machines votre client ?
Des incidents se sont-ils produits plus frquemment dans votre installation ?
Vos mesures de scurit sont-elles appliques correctement ?
Les remboursements d'invalidit et suite des accidents du personnel sont-ils
importants ?
La majorit de ces problmes ne sont pas pris en compte lors de l'application de la
scurit des machines. Cependant, maintenant, avec les normes de scurit fonctionnelle
telles que EN ISO 13849-1 et IEC 62061, la mthodologie de l'application de scurit est
guide vers la recherche de l'ensemble des caractristiques de fonctionnement de votre
machine dans tous ses modes de fonctionnement (production, maintenance, dmarrage,
dclassement etc.) et vers l'application du niveau correct d'automatisation de la scurit
afin de permettre un TRS maximal (taux de rendement synthtique).
AUDIN - 8, avenue de la malle - 51370 Saint Brice CourcellesTel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : [email protected]
SCURIT FONCTIONNELLETransition de EN 954-1 EN ISO 13849-1
21
Cela donne lieu une question concernant la capacit d'un fournisseur de scurit.
Historiquement, la scurit est applique pour protger une machine en l'arrtant,
supprimant ainsi le danger. Grce cette mthodologie, la fabrication se fait dsormais
conformment la lgislation. Mais qu'en est-il de la productivit et de l'efficacit ?
C'est l que l'exprience de Rockwell Automation dans l'automatisation et la scurit fait la
diffrence par rapport de nombreuses socits qui se limitent livrer des solutions de
scurit. En tant que fournisseur de pointe de solutions d'automatisation qui intgre la
scurit dans ses solutions d'automatisation globales, vous tes en mesure de voir
pourquoi les clients estiment un fournisseur qui leur permet d'obtenir la productivit et la
flexibilit dont ils ont besoin. Chez Rockwell Automation, nous croyons fermement en la
fourniture de solutions d'automatisation prsentant une scurit fonctionnelle accrue grce
l'adoption de normes de scurit fonctionnelle. Vous pouvez ainsi clairement voir quel
est le rle des normes de scurit fonctionnelle telles que EN ISO 13849-1 dans la
fabrication.
Rockwell Automation est une socit d'automatisation qui sait de quoi il retourne en
matire de scurit. Il est possible de concevoir une solution unique pour la commande,
le dplacement et le traitement de la machine et la scurit est intgre dans cette
plateforme de commande individuelle.
Travailler avec Rockwell Automation
Un fournisseur de solutions d'automatisation matrisant la fois l'automatisation et la
scurit et pas seulement la scurit.
Vous aide obtenir les performances souhaites en toute scurit
Cots vous aide rentabiliser au maximum votre investissement
Exigences lgales vous garantit la conformit
Toute une srie de services et de solutions pour une automatisation plus sre
Une palette complte de produits (entre/logique/actionnement)
Normes et scurit dans un rseau (CIP Safety)
Services de scurit (estimations, validation, formation etc.)
Intgration des fonctions de scurit dans des solutions standard d'automatisation
Variateurs, automates programmables, E/S, dplacement, rseaux, logiciel de
programmation
Simplification de votre architecture
Rduction des cots
Augmentation des performances
Rockwell Automation, leader global des solutions de scurit si vous souhaitez de plus
amples informations, veuillez contacter votre bureau local.
AUDIN - 8, avenue de la malle - 51370 Saint Brice CourcellesTel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : [email protected]
22
ROCKWELL AUTOMATIONSolutions de scurit
Ces dispositifs sont conus pour l'interverrouillage
physique des grilles de protection et de l'quipement,
permettant ainsi l'accs une zone potentiellement
dangereuse uniquement lorsque le danger est
neutralis. Les dispositifs disponibles comprennent
des interrupteurs de scurit avec et sans gche de
scurit conditionnelle, des systmes de cls guids et
des interrupteurs de fin de course de scurit.
Dispositifs d'entre
Logique
Dispositifs de sortie
Ces dispositifs sont conus pour dtecter la prsence
d'une personne ou d'un objet dans ou proximit d'une
zone dangereuse. Ils n'offrent aucune barrire physique
et constituent ainsi une solution idale dans les
applications ncessitant un accs frquent dans des
conditions sres. Les dispositifs disponibles
comprennent une barrire immatrielle de scurit, des
scrutateurs laser de scurit, des matelas de protection
sensibles la pression et des bandes de chant.
Interrupteurs de
scurit
Dispositifs de dtection
de prsence
Ces dispositifs sont conus pour surveiller l'tat
d'un circuit de scurit et offrent une varit de
configurations. Ils sont disponibles comme relais
fonction simple ou comme relais multifonctions
matriels programmables.
Ces dispositifs sont conus pour surveiller l'tat
d'un circuit de scurit et leur logiciel peut tre
configur pour des fonctionnalits spcifiques.
Il s'agit d'automates de scurit ddis
spcialement conus pour la commande du
circuit de scurit.
Relais de scurit Automates scurit
programmable
Les contacteurs de scurit sont utiliss pour
supprimer l'alimentation lectrique de l'actionneur.
Des caractristiques spciales sont ajoutes aux
contacteurs pour obtenir les caractristiques de
scurit.
Des contacts normalement ferms et raccords
mcaniquement sont utiliss pour renvoyer l'tat
des contacteurs au dispositif logique, garantissant
ainsi la fonction de scurit.
Une srie de variateurs c.a. PowerFlex dispose d'une
fonctionnalit de scurit intgre en option, comprenant
un arrt de couple de scurit, une commande de
vitesse de scurit et une commande de gches de
scurit conditionnelle. Les PowerFlex 40P, 70, 700S
et 700H proposent gnralement un arrt de couple
de scurit tandis que la nouvelle srie des variateurs
PowerFlex 750 propose toutes les fonctionnalits de
scurit mentionnes prcdemment.
Contacteurs de
scurit
Variateurs c.a. PowerFlex
avec scurit intgre
AUDIN - 8, avenue de la malle - 51370 Saint Brice CourcellesTel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : [email protected]
SCURIT FONCTIONNELLETransition de EN 954-1 EN ISO 13849-1
23
Ces dispositifs sont conus pour offrir une fonction
d'arrt d'urgence sur les machines et sont utiliss
dans des positions permettant un accs facile pour
l'oprateur. Les dispositifs comprennent des
boutons d'arrt d'urgence, des dispositifs d'arrt
d'urgence commande par cble et des poignes
de scurit homme mort avec fonctionnalit
arrt d'urgence.
Ces dispositifs sont conus pour offrir aux
oprateurs une interaction sre pour la commande
de la machine et comprennent des dispositifs tels
que des poignes de scurit homme mort
3 positions et des dispositifs permettant la
commande bimanuelle.
Dispositifs
de dclenchement et
d'arrt d'urgence
Interface oprateur
Ces dispositifs sont conus pour offrir une
commande standard d'automatisation ainsi
qu'une commande de scurit sur une seule
plateforme. Ils peuvent tre programms par
logiciel et permettent la configuration de
fonctionnalits standard et de scurit dans le
mme environnement de programmation.
Ces dispositifs offrent des solutions E/S de scurit
pour une grande flexibilit d'application. Ils sont
disponibles avec une grande srie de solutions de
communication de CIP Safety via DeviceNet ou
EtherNet/IP. La famille comprend les produits
CompactBlock Guard I/O, ArmourBlock Guard I/O
et POINT Guard I/O.
Automates
scurit intgre
E/S de scurit
Les servo-variateurs Kinetix 6000 sont dots de
la fonctionnalit de scurit intgre en option
avec arrt de couple de scurit et, dans la
prochaine version, galement du contrle de la
vitesse de scurit et de la commande de gche
de scurit conditionnelle.
Servo-variateurs
Kinetix
avec scurit
intgre
AUDIN - 8, avenue de la malle - 51370 Saint Brice CourcellesTel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : [email protected]
24
Rockwell Automation
Les produits, les connaissances et l'infrastructure globale pour vous assister dans vos
besoins d'automatisation et de scurit.
www.discoverrockwellautomation.com/safety
www.rockwellautomation.com
S O L U T I O N S D E S E C U R I T E I N T E G R E E S
CONNAISSANCESAPPLICATION IHM
SOLUTIONSPOUR L'INDUSTRIE
FACTORYTALK
RESEAUX NETLINX
ENTREESDE SECURITE
AUTOMATES LOGIQUESDE SECURITE
SYSTEMES DE RACCORDEMENT
GUIDELEGISLATIONET NORMES
SECURITEWWW
SERVICESDE SCURIT
SORTIESDE SECURITE
AUDIN - 8, avenue de la malle - 51370 Saint Brice CourcellesTel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : [email protected]
EN IS
O13
849-
1
Indices de performance de scuritTransition de EN 954-1 EN ISO 13849-1
Publication : SAFETY-RM004A-FR-P April 2009 2009 Rockwell Automation, Inc. Tous droits rservs.
www.rockwellautomation.com
Sige des activits "Power, Control and Information Solutions"
AUDIN - 8, avenue de la malle - 51370 Saint Brice CourcellesTel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : [email protected]
Transition EN ISO 13849-1IntroductionPassage de EN 954-1 EN ISO 13849-1Structure du systemeDonnees de fiabiliteMthodes de dtermination des donnesTaux de couverture des tests de diagnosticDfaillance de cause communeDfauts systmatiquesTravailler avec Rockwell AutomationSolutions de scuritSites web utiles
/ColorImageDict > /JPEG2000ColorACSImageDict > /JPEG2000ColorImageDict > /AntiAliasGrayImages false /CropGrayImages true /GrayImageMinResolution 150 /GrayImageMinResolutionPolicy /OK /DownsampleGrayImages true /GrayImageDownsampleType /Bicubic /GrayImageResolution 150 /GrayImageDepth 8 /GrayImageMinDownsampleDepth 2 /GrayImageDownsampleThreshold 1.00000 /EncodeGrayImages true /GrayImageFilter /FlateEncode /AutoFilterGrayImages false /GrayImageAutoFilterStrategy /JPEG /GrayACSImageDict > /GrayImageDict > /JPEG2000GrayACSImageDict > /JPEG2000GrayImageDict > /AntiAliasMonoImages false /CropMonoImages true /MonoImageMinResolution 900 /MonoImageMinResolutionPolicy /OK /DownsampleMonoImages true /MonoImageDownsampleType /Bicubic /MonoImageResolution 900 /MonoImageDepth -1 /MonoImageDownsampleThreshold 1.00000 /EncodeMonoImages true /MonoImageFilter /CCITTFaxEncode /MonoImageDict > /AllowPSXObjects true /CheckCompliance [ /None ] /PDFX1aCheck false /PDFX3Check false /PDFXCompliantPDFOnly false /PDFXNoTrimBoxError true /PDFXTrimBoxToMediaBoxOffset [ 0.00000 0.00000 0.00000 0.00000 ] /PDFXSetBleedBoxToMediaBox true /PDFXBleedBoxToTrimBoxOffset [ 0.00000 0.00000 0.00000 0.00000 ] /PDFXOutputIntentProfile (None) /PDFXOutputConditionIdentifier () /PDFXOutputCondition () /PDFXRegistryName (http://www.color.org) /PDFXTrapped /False
/CreateJDFFile false /SyntheticBoldness 1.000000 /Description >>> setdistillerparams> setpagedevice