Développement de composants répondant aux normes de sécurité fonctionnelle

La sécurité est une priorité absolue dans les applications industrielles pour protéger les employés et les équipements contre les blessures et les dommages. Les opérations de soudage, de découpe et de pressage ainsi que les axes à haute vitesse et les opérations de manipulation de pièces ou de substances dangereuses représentent la plus grande menace. Aux États-Unis, les exploitants d'usine doivent satisfaire aux réglementations de l'OSHA (Occupational Safety and Health Administration) avec des procédures opérationnelles, des protocoles de formation et des équipements sûrs. Ces systèmes doivent être complétés par des analyses spécifiques à l'usine afin d'identifier des moyens pragmatiques d'améliorer le bien-être des travailleurs et la longévité des équipements. De plus, les machines automatisées doivent satisfaire aux exigences de sécurité fonctionnelle par le biais d'actions ou de corrections automatiques en cas de conditions ou de défaillances potentiellement ou certainement dangereuses.

Figure 1 : Les tours d'éclairage utilisent aujourd'hui des LED pour des raisons d'efficacité et de visibilité. Certaines renforcent la sécurité grâce à des buzzers intégrés qui émettent une sirène de 100 dB en cas de violation de la sécurité. (Source de l'image : Menics)

Les systèmes de sécurité fonctionnelle incluent des composants électroniques sous forme de capteurs, d'E/S, de contrôles, de commutateurs, de composants électromécaniques, de composants hydrauliques et de logiciels qui détectent les conditions dangereuses et modifient l'état de la machine afin d'empêcher l'apparition de situations dangereuses. D'abord originaires de l'Union européenne, les conceptions et les réglementations en matière de sécurité fonctionnelle s'appliquent aujourd'hui aux fournisseurs, aux constructeurs de machines et aux utilisateurs finaux du monde entier. La norme européenne (EN) harmonisée et la norme EN/CEI 62061 de la Commission électrotechnique internationale (CEI) — mentionnées dans la directive européenne sur les machines 2006/42/EC — et la norme EN/ISO 13849-1 de l'Organisation internationale de normalisation (ISO) sont les plus appliquées.

Les normes ISO 13849-1 et CEI 62061 peuvent être recoupées, et les équipementiers et les utilisateurs finaux sont libres d'utiliser l'une ou l'autre. La seule réserve est que la sécurité fonctionnelle concerne les machines et les contrôles et non les dispositifs ou les composants... bien que ces derniers puissent offrir des fonctionnalités permettant de répondre à un niveau de sécurité donné.

La norme EN/CEI 62061 détaille les exigences et les recommandations relatives aux niveaux d'intégrité de sécurité pour la conception, l'intégration et la validation des systèmes de commande électriques, électroniques et électroniques programmables relatifs à la sécurité — ou SRECS pour Safety-Related Electrical, Electronic, and Programmable Controls — installés de façon permanente (non portables) dans les machines ou les installations. Les niveaux d'intégrité de sécurité (SIL) de la norme EN/CEI 62061 classent la sécurité fonctionnelle d'un système de 1 (niveau le plus rudimentaire) à 4 (niveau le plus intégré et le plus sophistiqué), SIL3 étant le niveau le plus élevé possible pour les machines. Les risques qui dictent le niveau SIL requis incluent la régularité de l'exposition au risque, la gravité de la blessure potentielle, la probabilité d'incidence et la probabilité que les manœuvres d'évitement d'un opérateur de machine puissent contribuer à éviter le dommage.

Tableau 1 : Les niveaux SIL requis dépendent de la gravité de la blessure si une condition dangereuse donnée se produit, ainsi que de la probabilité que cette condition se produise. (Source du tableau : CEI)

En revanche, la norme EN/ISO 13849-1:2005 détaille les exigences et les recommandations basées sur les parties des systèmes de commande relatives à la sécurité — SRP/CS pour Safety-Related Parts of Control Systems. Les niveaux de performances SRP/CS permettent de quantifier les capacités de sécurité des machines, quels que soient les sous-composants. La norme utilise des niveaux de performances (PL) de sécurité fonctionnelle bien connus, allant de « a » (le plus rudimentaire) à « e » (le plus intégré et sophistiqué). Les risques qui dictent les niveaux de performances requis incluent ceux qui sont applicables aux niveaux SIL ainsi que les fréquences et les durées des expositions répétées au danger de la machine. En outre, un indice PL complet inclut un numéro de catégorie (pour indiquer l'architecture globale du système) et le temps moyen avant défaillance dangereuse ou MTTFd.

Figure 2 : Le niveau de sécurité fonctionnelle approprié pour une installation donnée dépend de variables qualitatives, de valeurs quantitatives et des résultats de l'analyse logicielle. (Source de l'image : Design World)

La satisfaction aux normes CEI 61508 et CEI 62061 implique de tester les contrôles de sécurité (et de valider les modes, les critères d'état et les corrections de la machine) afin de confirmer l'indice de sécurité fonctionnelle de la machine. Les normes EN ISO 13849-1 et 2 exigent également des tests documentés (statiques et dynamiques) pour confirmer l'intégration transparente du contrôle de sécurité.

Composants de sécurité déclenchés par l'opérateur

De nombreux composants liés à la sécurité sont conçus pour accepter le déclenchement par le personnel de l'usine et non par une section ou un axe intermédiaire d'une machine ou d'un dispositif de protection. Il s'agit notamment de tapis de sécurité tactiles, de barrières immatérielles, de consoles et d'interfaces homme-machine (IHM), de verrous de machines tactiles et (uniquement en cas d'urgence) de boutons coup de poing rouge vif. Les composants de sécurité destinés au personnel comprennent également les boîtiers (qui protègent les composants selon les normes NEMA) ainsi que les écrans de protection des machines et les conduits de câblage — des éléments de sécurité simples mais fiables pour protéger le personnel qui doit travailler à proximité (et parfois dans) des machines et de leurs panneaux d'alimentation et de contrôle.

Les interrupteurs à câble encerclant les sections dangereuses des machines permettent aux opérateurs de déclencher des arrêts d'urgence (e-stop) d'une simple traction de câble. Particulièrement fréquents autour des machines ouvertes (impossibles à protéger) et des convoyeurs non protégés, ces éléments de sécurité diffèrent des sectionneurs qui coupent les circuits électriques et sécurisent les cellules de travail dangereuses pour empêcher le personnel d'entrer. Les autres offres incluent les bords (bandes) de sécurité installés autour des ouvertures des machines-outils (en particulier celles qui exécutent des tâches de découpe ou de pressage) et les tapis de sécurité qui déclenchent (via des relais de sécurité spécialisés) des réponses de sécurité lorsqu'un opérateur marche ou se tient debout sur leur surface.

Les barrières immatérielles de sécurité mentionnées plus haut sont un peu plus sophistiquées. Elles incluent un émetteur de faisceaux photoélectriques, et si ces faisceaux sont interrompus dans le plan de détection sur leur chemin vers un récepteur, elles arrêtent rapidement les processus dangereux. Elles sont plus coûteuses que les autres options mais se justifient lorsque les opérateurs de machines interagissent fréquemment avec une section de machine. Un autre élément de sécurité sophistiqué est la console de sécurité à deux mains. Ces consoles nécessitent généralement l'activation simultanée d'interrupteurs distincts pour démarrer ou maintenir le fonctionnement de la machine.

Avant de leur confier la protection du personnel et des équipements de l'usine, il faut vérifier tous les composants de sécurité déclenchés par l'opérateur (ainsi que la logique ou les contrôles de sécurité dans lesquels ils s'intègrent). Par exemple, les normes de test CEI 61508 et CEI 62061 exigent qu'un interrupteur d'arrêt d'urgence utilisant des relais redondants fonctionne si un opérateur déclenche le premier canal entre les dispositifs logiques et les dispositifs de terrain... et qu'il fonctionne également sur le deuxième canal entre eux. Ces fonctions d'arrêt d'urgence redondantes sont validées séparément lors de la mise en service de la machine.

Dispositifs de protection, capteurs et interrupteurs de sécurité automatiques

Figure 3 : Les scanners laser sont des composants de rétroaction de sécurité sans contact, surtout connus pour aider les véhicules à guidage automatique à naviguer dans les installations. Cependant, leurs applications sont nombreuses — et ils peuvent parfois offrir une alternative aux barrières immatérielles de sécurité. (Source de l'image : IDEC)

Distincts des composants de sécurité déclenchés par le personnel, il y a les composants pour les fonctions de machines automatiques.

Verrous intégrés avec loquets et interrupteurs

Les interrupteurs et les verrous sont des éléments essentiels sur les périmètres extérieurs des cellules de travail des machines. Les interrupteurs de fin de course de sécurité ont des contacts qui servent à vérifier automatiquement les positions ou les mouvements des éléments de la machine. En revanche, les interrupteurs de sécurité ayant des fonctions supérieures — appelés interrupteurs de sécurité d'interverrouillage — utilisent des mécanismes d'interverrouillage à languette ou à charnière comme protections de machines inviolables, avec des contacts de commutation à commande positive (double vérification NO et NC). Les interrupteurs d'interverrouillage à clé captive avec clés et verrous mécaniques maintiennent les portes entre les espaces de travail des machines fermées jusqu'à ce que l'accès soit sûr. Les interrupteurs de sécurité magnétiques et RFID sans contact, qui contrôlent la position (ouverte ou fermée) des portes des zones de travail et interdisent l'accès à l'opérateur pendant les processus dangereux, sont de plus en plus courants.

Sécurité intégrée grâce aux isolateurs et disjoncteurs électriques

Les composants de sécurité déclenchés par l'état de la machine incluent également ceux qui assurent la sécurité électrique. Les disjoncteurs (de manière similaire aux fusibles) protègent contre les effets néfastes et dangereux des courants de surcharge sur les circuits d'alimentation, de dérivation et de signalisation. Certaines installations comprennent des isolateurs pour la séparation galvanique entre les dispositifs de terrain et les contrôles afin de garantir un fonctionnement à sécurité intrinsèque. En complément de toutes les conceptions de sécurité électrique, des composants de protection contre les surtensions empêchent les pics de tension d'endommager les composants d'automatisation électriques et électroniques impliqués dans l'alimentation secteur et la puissance d'entraînement et/ou la distribution de signaux de commande et de rétroaction.

Sécurité mécanique intégrée avec freins

Les freins qui sont qualifiés de freins de sécurité sont également appelés freins à sécurité intégrée. Ils passent par défaut à l'état d'arrêt (généralement pour verrouiller ou maintenir un axe de mouvement), même si l'alimentation électrique ou hydraulique est défaillante ou coupée. Tous ces dispositifs reposent sur une action à ressort ou autre action mécanique pour ce fonctionnement à sécurité intégrée.

Exemple concret : les freins à friction à ressort à desserrage pneumatique servent souvent de freins de sécurité dans les applications d'automatisation commandées par servomoteur. Tous doivent porter une classification certifiant leur conformité à la norme ISO 13849-1, généralement délivrée par l'organisme international de contrôle des produits Intertek Group. Grâce à leur verrouillage mécanique, ils ne consomment pas d'énergie électrique pendant leur maintien... ce qui offre une fiabilité maximale pour des performances de grade sécurité et évite la surchauffe associée à d'autres modes d'arrêt électriques. La durée de vie est répertoriée en millions de cycles avant défaillance de cause commune (prévisible) pour un certain pourcentage de tous les composants de la série. Lorsque les fonctionnalités IIoT sont utiles, les freins à sécurité intégrée peuvent également inclure des diagnostics embarqués et des retours de capteurs pour suivre l'état opérationnel.

Les freins présentant les meilleurs indices de sécurité fonctionnelle intègrent plusieurs ressorts qui bloquent mécaniquement les axes de la machine via des surfaces de friction interagissant avec des éléments fixes à l'intérieur du logement du frein. Les normes de sécurité exigent également l'inclusion de capteurs pour confirmer l'état des freins.

Relais de sécurité et autres contrôles de sécurité

Figure 4 : Un équipement simple ne nécessitant qu'une poignée d'E/S de sécurité peut utiliser de manière économique des relais de sécurité électromécaniques tels que celui-ci. (Source de l'image : Omron Automation and Safety)

Les fonctions des interrupteurs de sécurité, des capteurs et des dispositifs de protection sont soutenues par des relais de sécurité et d'autres contrôles. Ils ont tous en commun la capacité de mettre (si nécessaire) la machine dans un état de sécurité en supprimant la puissance électrique ou hydraulique — ou de ralentir ou verrouiller une machine encore alimentée dans un état sûr.

Relais pour la sécurité câblée

Les modules de relais de sécurité constituent une option pour le contrôle à sécurité intégrée. Ils utilisent une électronique avec une protection contre les courts-circuits et les surtensions ainsi que des relais complémentaires. Les relais électromécaniques câblés sont utilisés depuis des dizaines d'années ; ils sont simplement connectés aux contrôles automatisés et (en conjonction avec un interrupteur d'arrêt d'urgence ou des barrières immatérielles de sécurité) ils déconnectent électriquement les sous-sections de la machine selon les besoins. Les inconvénients incluent la nécessité d'un câblage important sur place et un manque de reconfigurabilité. Les relais de sécurité plus avancés offrent des E/S et une conception modulaire pour faciliter l'intégration flexible avec des capteurs, des contrôles de machines et des réseaux d'automatisation.

Contrôleurs de sécurité pour sécurité programmable

L'intégration de contrôleurs de sécurité dédiés est une autre option de sécurité qui peut être qualifiée de sécurité intégrée. Ces contrôleurs sont plus adaptés que les relais aux systèmes d'automatisation complexes, car ils peuvent prendre en charge des réseaux E/S plus importants ainsi que des fonctions PLC. La seule réserve est que ces contrôleurs de sécurité autonomes nécessitent une programmation supplémentaire et une formation du personnel. Cependant, leur électronique numérique permet des fonctions d'automatisation qui sont entièrement configurables par logiciel.

Figure 5 : Les contrôleurs de sécurité peuvent unifier plusieurs fonctions de sécurité pour des installations de sécurité flexibles et reconfigurables. Dans la cellule de travail illustrée ici, le premier circuit de sécurité comprend une barrière immatérielle qui (lorsqu'un état d'interruption est signalé) ouvre un interrupteur de circuit pour arrêter le plateau tournant. Le deuxième circuit de sécurité intègre des contrôles d'inhibition qui permettent au robot de fonctionner normalement si une pièce de fabrication entre dans la cellule de travail lorsque le plateau tournant est à l'arrêt. Sinon, ce circuit ouvre un interrupteur pour désactiver le robot. Le troisième circuit de sécurité inclut un interrupteur d'arrêt d'urgence qui ouvre tous les interrupteurs et arrête à la fois le plateau tournant et le robot. (Source de l'image : Panasonic Industrial Automation Sales)

Les ingénieurs peuvent définir les zones nécessitant une couverture de sécurité et modifier leurs paramètres sans avoir à recâbler l'ensemble de la cellule de travail. (Cela permet de réduire les coûts de matériel et de main-d'œuvre pour le câblage.) Généralement, les installations basées sur des contrôleurs de sécurité prennent également en charge l'extension du réseau et la connectivité IIoT au fur et à mesure de l'évolution des opérations.

Sécurité intégrée sur les contrôles industriels de sécurité

Une troisième option de contrôle à sécurité intégrée, de plus en plus courante dans les machines sophistiquées, intègre des PLC de sécurité, des contrôleurs d'automatisation programmables (PAC) et d'autres contrôles basés PC. Certains matériels électroniques de ce type peuvent assumer des fonctions de sécurité en plus des fonctions courantes de la machine. Il en résulte un contrôle programmable et donc flexible des équipements de machines automatisées et des fonctions de sécurité que leur fonctionnement requiert.

Conclusion

La sécurité suffisante des machines repose sur des composants de rétroaction et de contrôle répertoriés pour fournir des protections proportionnelles aux risques d'une application donnée. La sécurité des machines exige également une intégration, une documentation et une validation appropriées des composants. La validation garantit que les circuits de sécurité fonctionnent correctement pour tous les modes de fonctionnement des machines, même en cas de défaillance.

Les normes CEI 61508 et 62061 relatives au cycle de vie de la sécurité définissent la manière dont l'intégration de la sécurité est correctement exécutée — de la conception et l'évaluation initiale des risques à la vérification en situation réelle des performances d'un système installé par l'équipementier, puis à nouveau par ou pour l'utilisateur final une fois la machine installée. Ce dernier met les machines à l'épreuve en testant les séquences de fonctionnement normal, les ralentissements, les arrêts et les routines de réinitialisation.