Notions de base relatives aux circuits de sécurité

Cet article examine les principes de base des circuits de sécurité pour les machines automatisées. La discussion porte sur les normes qui déterminent les fonctionnalités requises, les configurations courantes, les mécanismes de traitement des défaillances et de prévention des intrusions, ainsi que les fonctions des composants que l'on trouve souvent dans les installations de circuits de sécurité.

Historique et fonction des circuits de sécurité

Au début de la période industrielle, les machines étaient extrêmement dangereuses. Il était courant pour les travailleurs agricoles et d'usine de perdre des doigts, des membres et même la vie en restant coincés dans des machines en mouvement. Cela a conduit au développement de systèmes de protection et d'autres dispositifs de sécurité.

Les systèmes de verrouillage, qui rendent interdépendant l'état de deux fonctions de la machine ou plus, sont essentiels au fonctionnement des systèmes de sécurité actuels. Ils empêchent les machines de blesser les opérateurs ou d'endommager leurs propres composants. Par exemple, un système de verrouillage peut empêcher une machine de démarrer si son dispositif de sécurité est ouvert, et arrêter la machine si une protection est ouverte pendant son fonctionnement.

De nombreux systèmes de verrouillage simples sont purement mécaniques. Par exemple, dans certaines conceptions de machines, le dispositif de sécurité pivote autour d'un axe sur lequel est fixée une came de verrouillage. Lorsque le dispositif de protection est ouvert, la came s'enclenche dans une came correspondante sur l'arbre d'entraînement de la machine pour empêcher le fonctionnement de l'axe. Cela signifie que la machine ne peut fonctionner que lorsque le dispositif de protection est fermé.

La plupart des machines modernes utilisent des circuits de sécurité électroniques ou même une commande de microprocesseur pour implémenter des systèmes de sécurité à verrouillage. L'électronique offre une bien meilleure flexibilité que les solutions mécaniques quant à la configuration des protections et à la complexité des procédures de sécurité.

Les circuits de sécurité électroniques typiques ne permettent à la machine de fonctionner que si le circuit est fermé : il s'agit d'une structure appelée « fonctionnement normalement fermé » (NC). Ils permettent également de brancher les composants de sécurité en série pour optimiser l'efficacité et réduire la complexité et le coût.

Prenons l'exemple d'une installation de sécurité typique avec un certain nombre de commutateurs de position qui sont normalement fermés lorsque la section de protection correspondante est fermée. Ces commutateurs de position sont branchés en série dans l'installation. Ainsi, lorsqu'une section de la protection n'est pas correctement fermée, tout le circuit est ouvert et la machine ne peut pas fonctionner. En fait, les commandes d'un circuit de sécurité nécessitent également un câblage en série pour garantir des conditions sécuritaires en cas de desserrage des connexions ou de rupture soudaine (comme le sectionnement) des câbles des composants de sécurité.

Avertissement concernant le câblage en série des circuits de sécurité : lorsqu'un circuit contient plus de quatre commutateurs de sécurité ou inclut des commutateurs ou des portes fréquemment utilisés, il y a une diminution du niveau de performances de la conception (PL_r, détaillé dans la section suivante de l'article), mais également un risque accru de masquage des défauts. Ce dernier se produit lorsque l'apparition et la résolution d'un commutateur ouvert ou d'un défaut masquent la présence d'un autre commutateur ouvert ou d'un autre défaut. Le masquage des défauts est plus susceptible de se produire lorsqu'une installation inclut des contacts libres de potentiel, comme des relais qui ne disposent pas d'autres connexions d'alimentation que celle pour le commutateur. Lorsque ce type de risque est inacceptable, il peut être nécessaire d'utiliser des systèmes et des méthodes de câblage plus sophistiqués.

Figure 1 : Contrôleur de sécurité série SC10 de Banner Engineering conçu pour assurer les fonctionnalités de trois modules de relais de sécurité. (Source de l'image : Banner Engineering)

Les systèmes de verrouillage à clé captive sont souvent utilisés pour s'assurer que tous les dispositifs de protection sont verrouillés avant de faire fonctionner une machine. Dans ces systèmes, les verrous de chaque dispositif de protection ont une clé qui ne peut être retirée que lorsque le dispositif de protection est verrouillé. Les clés peuvent ensuite être utilisées au niveau de l'unité de commande ou d'alimentation pour activer la machine. De même, les clés ne peuvent pas être retirées pendant que la machine est activée. Il faut attendre l'arrêt de la machine pour pouvoir les retirer de l'unité d'alimentation. Les clés peuvent ensuite servir à rouvrir les dispositifs de protection.

Évaluations des risques et exigences des normes applicables

La norme ISO 14119 couvre la sécurité des machines avec des dispositifs de verrouillage associés aux dispositifs de protection et décrit les principes de conception et de sélection pour assurer la sécurité des machines. Elle renvoie à d'autres normes pour les principes généraux d'évaluation et de réduction des risques dans la conception des machines.

La fonction de base d'une protection avec dispositif de verrouillage est d'empêcher l'exécution des opérations dangereuses prises en charge jusqu'à sa fermeture. Ainsi, si quelque chose ou quelqu'un force l'ouverture du dispositif de protection pendant le fonctionnement, l'opération prise en charge doit s'arrêter. Dans certains cas, un dispositif de verrouillage de la protection peut être installé pour empêcher l'ouverture du dispositif de protection pendant le fonctionnement de la machine.

Il est important de noter que même si les machines peuvent fonctionner lorsque les dispositifs de protection sont fermés, la fermeture d'un dispositif de protection ne doit pas déclencher le début d'une opération dangereuse. Ce genre d'opérations doit nécessiter une commande de démarrage séparée. Il existe une exception : la protection de commande, qui est un type spécial de dispositif de protection à verrouillage doté d'une fonction de démarrage capable de démarrer une opération dangereuse lorsque le dispositif de protection est fermé, sans commande de démarrage séparée.

La norme ISO 14119 couvre également le concept de neutralisation du système de sécurité. Il s'agit d'une action qui contourne les verrouillages des machines. Par exemple, un opérateur peut accidentellement ou délibérément poser un objet lourd sur un commutateur de position alors que le dispositif de protection est ouvert, ce qui peut donner accès à des espaces de travail qui deviennent dangereux lorsque la machine est en fonctionnement. Des systèmes de sécurité correctement conçus rendent impossible la neutralisation des verrouillages de manière raisonnablement prévisible, que ce soit manuellement ou avec des objets facilement accessibles à proximité. Cela inclut le retrait des commutateurs ou des actionneurs à l'aide d'outils utilisés pour faire fonctionner la machine ou facilement disponibles, comme des tournevis, des outils hexagonaux, du ruban adhésif ou des câbles. Cela signifie également qu'aucune clé de rechange ne doit être accessible pour les systèmes à clé captive.

La norme ISO 14119 répartit les dispositifs de verrouillage en quatre catégories :

• Les dispositifs de verrouillage de type 1 présentent des commutateurs de position actionnés mécaniquement avec des actionneurs non codés comme une came rotative, une came linéaire ou une charnière. Ces dispositifs sont relativement faciles à neutraliser en posant un objet sur le commutateur ou en le maintenant en position d'une autre manière.
• Les dispositifs de verrouillage de type 2 présentent des commutateurs de position actionnés mécaniquement avec des actionneurs codés comme un actionneur à languette ou une clé captive. Ces dispositifs sont beaucoup plus difficiles à neutraliser.
• Les dispositifs de verrouillage de type 3 présentent des commutateurs de position sans contact avec des actionneurs non codés comme des commutateurs de proximité. La difficulté de neutralisation des dispositifs de verrouillage de type 3 dépend du principe d'actionnement impliqué. Les actionneurs capacitifs, à ultrasons et optiques peuvent être neutralisés par un grand nombre d'objets. Les actionneurs inductifs peuvent être neutralisés par n'importe quel objet en métal ferrique. Les actionneurs magnétiques nécessitent un aimant pour être neutralisés.
• Les dispositifs de verrouillage de type 4 présentent des commutateurs de position sans contact avec des actionneurs codés comme des étiquettes RFID, des aimants codés ou des étiquettes optiques codées. Ils sont extrêmement difficiles à neutraliser s'ils sont construits correctement de manière à ce que l'actionneur codé ne puisse pas être retiré.

Lors de la conception d'un circuit de sécurité, les dispositifs de verrouillage doivent être sélectionnés de manière à réduire les possibilités de neutralisation. Il faut également tenir compte de ce qui suit :

• Les performances d'arrêt du système global, qui représentent le temps requis pour que la machine devienne sûre après l'envoi d'une commande d'arrêt.
• Le temps d'accès, qui représente le temps nécessaire pour qu'une personne atteigne la zone dangereuse après le déclenchement de la commande d'arrêt.

Les performances d'arrêt du système global doivent être beaucoup plus rapides que le temps d'accès. Il faut également savoir si les dispositifs de protection nécessitent un déverrouillage d'urgence pour permettre une ouverture manuelle depuis l'extérieur, ou un déverrouillage d'évacuation pour permettre un déverrouillage manuel depuis l'intérieur.

La norme ISO 13849 est référencée par la norme ISO 14119. Elle est en deux parties et couvre les principes de conception et de validation des parties des systèmes de commande relatives à la sécurité (SRP/CS). Selon cette norme, les parties SRP/CS peuvent être classées en fonction de leur :

• Résistance aux défaillances
• Comportement en cas de défaillance

Tout travail de conception sur une machine intégrant un système de sécurité doit commencer par une évaluation des risques selon la norme ISO 12100 afin d'identifier les dangers et d'estimer les risques. Le processus de réduction des risques consiste ensuite à appliquer d'abord une conception fondamentalement sûre, puis des mesures de protection et enfin des informations utiles quant à l'utilisation. Toutes les mesures de protection qui dépendent du système de commande doivent ensuite être évaluées à l'aide d'un processus itératif spécial. Cela consiste à déterminer le niveau de performances requis (PL_r) pour chaque fonction de sécurité et son temps moyen avant panne dangereuse (MTTF_D) pour déterminer la fiabilité des parties SRP/CS. Un niveau de performances peut être attribué à chaque partie, de a à e, où PL_a présente la plus forte probabilité de panne dangereuse et PL_e la probabilité la plus faible. La manière spécifique dont les pannes peuvent se produire implique les points exposés plus haut pour la norme ISO 14119.

Variations des circuits de sécurité et exemples de configurations

Les configurations de sécurité sont légèrement différentes pour les grandes installations, comme les cellules robotisées à porte. En effet, les dispositifs de protection sont souvent fermés avec l'opérateur à l'intérieur de l'espace de travail actif. C'est pourquoi, dans de nombreux cas, des systèmes à clé captive sont utilisés pour garantir que les opérateurs se trouvent à l'extérieur de l'espace de travail lors de la fermeture des portes. Ce n'est qu'à ce moment que le robot peut commencer à fonctionner à plein régime.

Bien évidemment, les robots traditionnels peuvent généralement fonctionner en mode commande à basse vitesse avec l'opérateur à l'intérieur de la cellule, mais lors d'un fonctionnement à plein régime (contrairement aux robots collaboratifs), ils ne doivent pas s'approcher des humains. Même en mode commande, à moins que le robot ne soit équipé d'un système de retour de force, il existe toujours un risque que l'opérateur soit écrasé. L'unité de commande portative est donc normalement équipée d'un commutateur de sécurité qui arrête le robot en cas d'incapacité de l'opérateur.

Figure 2 : Les circuits de sécurité associés à la robotique sont tout à fait uniques, en particulier pour les robots qui utilisent des boîtiers de commande (comme illustré ici), ainsi que les robots collaboratifs.

Autre situation d'automatisation nécessitant une sécurité spécialisée : les systèmes de tapis roulants gérés par du personnel. En effet, du personnel peut travailler le long de tapis roulants qui fonctionnent assez rapidement. Cette situation présente un risque important de coincement qui peut entraîner des blessures graves, et doit donc être évitée autant que possible. Mais lorsque ces espaces de travail sont essentiels à la productivité d'une opération (comme dans les centres de préparation des commandes d'Amazon), des interrupteurs d'arrêt d'urgence distribués sous forme de cordons d'arrêt et de bandes d'arrêt doivent être installés. Cela donne au personnel un moyen fiable d'arrêter le tapis roulant sur toute sa longueur. Ces dispositifs d'arrêt doivent être disposés de manière à ce qu'un opérateur puisse facilement les attraper ou appuyer dessus sans avoir à les chercher en cas d'urgence.

Les dispositifs de sécurité doivent également être positionnés de manière à ce qu'une personne blessée ou inconsciente qui tombe ou qui est emportée par le tapis roulant déclenche automatiquement un arrêt. Plusieurs dispositifs d'arrêt et circuits redondants peuvent être nécessaires. Lorsque les tapis roulants sont accessibles des deux côtés, ces dispositifs de sécurité doivent également être présents des deux côtés.

Composants courants dans les circuits de sécurité

Les commutateurs mécaniques incluent les commutateurs de position, utilisés pour détecter les positions des portes et des dispositifs de protection, et les interrupteurs d'arrêt activés manuellement, comme les boutons d'arrêt d'urgence et les cordons d'arrêt. Les commutateurs sans contact, comme les capteurs lumineux et inductifs, peuvent également être utilisés de la même manière. Ces types de composants de verrouillage ont tendance à être utilisés avec des portes et les dispositifs de protection physiques. Ils sont bien couverts par les normes mentionnées plus haut. D'autres types de composants de sécurité peuvent être utilisés dans les circuits de sécurité, notamment les rideaux de lumière, les scanners laser et les tapis de sécurité.

Les tapis de sécurité utilisent des capteurs de pression intégrés dans une plateforme en caoutchouc pour fournir un moyen simple de détection lorsqu'une personne entre dans une zone protégée. Ils ont été largement remplacés ces dernières années par des systèmes optiques, comme les rideaux de lumière et les scanners laser.

Les rideaux de lumière peuvent éliminer le recours à des dispositifs de protection physiques en créant une protection virtuelle pour arrêter l'axe d'une machine si l'un des faisceaux du rideau est interrompu. Le rideau de lumière est constitué de deux parties : un émetteur et un récepteur. L'émetteur projette un ensemble de faisceaux lumineux parallèles. Le récepteur détecte ces faisceaux et si l'un d'entre eux est interrompu, il déclenche l'arrêt de la machine. Les avantages des rideaux de lumière incluent la bonne visibilité de la zone de travail ainsi que l'accès sans restriction et l'entrée ou la sortie rapide de la zone protégée.

Les scanners laser fonctionnent comme les rideaux de lumière. Toutefois, au lieu d'avoir un émetteur et un récepteur séparés pour garantir une protection, les scanners laser peuvent surveiller les portes et les zones d'entrée et de sortie à partir d'un seul élément matériel. En d'autres termes, les rideaux de lumière assurent la protection d'un certain périmètre tandis que les scanners laser fournissent une protection pour les zones d'entrée et de sortie plus grandes dans des espaces comme les cellules robotisées et les tapis roulants. Comme pour tous les composants de sécurité, l'utilisation de scanners laser nécessite le calcul de la distance de sécurité minimale. Cette valeur dépend des performances d'arrêt du système global et du temps d'accès. Toutefois, les performances d'arrêt du système global risquent d'être beaucoup plus longues pour les scanners laser que pour les rideaux de lumière en raison du traitement supplémentaire requis.

Figure 3 : Les scanners laser de sécurité série SX de Banner Engineering peuvent protéger des zones et des points d'accès dans les applications industrielles. Le dispositif effectue un balayage continu à 275° pour protéger le personnel et les machines, avec des avertissements et des zones de sécurité personnalisables grâce à un logiciel de configuration gratuit. Des fonctions de désactivation sont également configurables dans ce logiciel. Utilisées conjointement à des capteurs de désactivation reliés au scanner série SX, elles éliminent le recours à un module ou un contrôleur supplémentaire. (Source de l'image : Banner Engineering)

Les circuits de sécurité et les composants de sécurité électroniques d'aujourd'hui offrent aux ingénieurs de conception OEM et d'usines des options flexibles pour protéger le personnel et les équipements. Les logiciels et autres ressources des fournisseurs permettent de simplifier la spécification des systèmes de sécurité pour les dispositifs de verrouillage traditionnels, les espaces de travail protégés par des conceptions à clé captive, et même les zones flexibles où le personnel de l'usine ou les opérateurs de machines doivent travailler à proximité de tapis roulants, de robots et d'autres équipements mobiles associés à l'automatisation industrielle.