CAPTEURS DE FORCE AVEC UN « NIVEAU DE PERFORMANCE » SUIVANT l’ISO 13849

Qu’est-ce que la norme ISO 13849 (sécurité des machines) ?

Notre monde moderne et industrialisé ne peut plus se passer des machines. Des tâches lourdes aux tâches les plus minutieuses, les machines et les systèmes automatisés sont des outils indispensables pour réduire la charge de travail des employés tout en assurant une rapidité et une qualité de travail.

Aussi puissants que soient ces outils, ils présentent également un danger non négligeable pour l’Homme. C’est ainsi que sont nés les principes de sécurité machine et de directive machine.

L’idée des différentes normes de sécurité est d’assurer une sécurité juridique du fabricant et de l’utilisateur. ce dernier souhaitant recevoir une machine sure et efficace.

Dans le cadre de cette démarche, tout fabricant de machine doit réaliser une analyse des risques que va générer celle-ci, pour ensuite les éliminer ou les réduire selon les besoins. Cette démarche est d’autant plus importante quand on parle d’éléments intervenant dans la sécurité elle-même.

Une des normes les plus utilisées quand on parle de sécurité est la norme ISO 13849, intitulée « Sécurité des machines - Parties des systèmes de commande relatives à la sécurité ». Celle-ci donne de précieuses informations sur la réalisation de systèmes de commande.

SENSY, en tant que partenaire de vos démarches de création et de sécurisation de vos machines, vous propose des solutions pour la réalisation d’installations conformes au norme PL, jusqu’à PLe.

Dans cette optique, cet article vous propose un résumé des principales notions à garder en tête lors de la réalisation d’une commande de sécurité.

Déterminer votre « PL » requis

La norme 13849 prévoit différents niveaux de sécurisation des machines. Ces niveaux de performance (PL) sont représentés par une lettre, allant de « a » à « e », « PLa » étant le plus bas niveau et « PLe » le plus haut.

Les besoins pour la réalisation de systèmes de différents niveaux peuvent varier fortement en terme de coûts. Il est donc primordial de bien choisir le niveau PL dont votre installation a besoin.

La détermination du niveau PL requis est fonction de 3 variables : la gravité des blessures, la fréquence d’exposition au danger et la probabilité d’éviter le danger ou de limiter les dégâts.

Ces dernières sont ponctuées en 2 niveaux de gravité.

S (gravité)

  • S1 = blessures légères (normalement réversibles)
  • S2 = blessures graves (irréversibles, incluant la mort)

F (fréquence d’exposition au danger)

  • F1 = rare exposition ou exposition de courte durée
  • F2 = exposition fréquente ou continue

P (probabilité d’éviter le danger ou limiter les dégâts)

  • P1 = possible sous certaines conditions
  • P2 = rarement possible ou impossible

securite-des-machines-iso-13849-capteur-de-force-1

Réalisation d’une fonction de sécurité

La création d’un système assurant une fonction de sécurité demande l’estimation de plusieurs facteurs :

  • L’architecture des différents hardware et software (catégories)
  • La couverture de diagnostic possible
  • La fiabilité des composants (MTTFd)
  • Et les causes communes de défaillances

Catégories

CAT B

  • I : Input
  • L : Logic
  • O : Output
  • Ic : inter-connections

securite-des-machines-iso-13849-capteur-de-force-2

Cette architecture est la plus simple. Elle comporte un capteur simple signal entrant sur une logique programmée qui offrira un seul signal/commande de sortie. Cette architecture est la moins sécurisée et toute panne ou défaut engendrera une possible perte totale de fonction de sécurité.

Dans le cas des architectures de catégorie B, le MTTFd des composants est inférieur à 30 ans avec un minimum de 3 ans.

CAT 1

  • I : Input
  • L : Logic
  • O : Output
  • Ic : inter-connections

securite-des-machines-iso-13849-capteur-de-force-3

L’architecture est identique à la catégorie B MAIS le MTTFd des composants doit être au minimum de 30 ans. Notons également, que l’ISO 13849 prévoit un MTTFd max à considérer de 100 ans. Au-delà, le MTTFd sur le PL atteint. Ceci est dû au fait que la sécurité ne devrait jamais être basées sur la fiabilité uniquement.

La différence avec la catégorie B et la catégorie 1 est uniquement un MTTFd supérieur.

CAT 2

  • I : Input
  • L : Logic
  • O : Output
  • TO : Test Output
  • m : Monitoring
  • Ic : inter-connections

securite-des-machines-iso-13849-capteur-de-force-4

Cette architecture comporte un capteur simple signal entrant sur une logique programmée qui offrira un seul signal/commande de sortie. A partir de la catégorie 2, le système doit satisfaire à une couverture de diagnostic minimale des différents défauts possibles.

Cette architecture comprend donc un système de test. Ce dernier s’effectue au démarrage de la machine ou de façon ponctuelle et devra couvrir au minimum 60 % des défaillances.

Notons que, sous cette architecture, une perte de fonction est possible entre 2 tests périodiques.

CAT 3

  • I : Input
  • L : Logic
  • O : Output
  • m : Monitoring
  • cm : cross-monitoring
  • Ic : inter-connections

securite-des-machines-iso-13849-capteur-de-force-5

Cette architecture comporte un capteur double signal ou deux capteurs entrant sur une logique programmée qui offrira deux signaux/commandes de sortie. Cette architecture comprend donc un système de test. Ce dernier effectue son test de façon continue et devra couvrir au minimum 60% des défaillances.

En cas de défaut unique, la fonction de sécurité doit être assurée. Une accumulation de défauts peut engendrer une perte de fonction de sécurité.

CAT 4

  • I : Input
  • L : Logic
  • O : Output
  • m : Monitoring
  • cm : cross-monitoring
  • Ic : inter-connections

securite-des-machines-iso-13849-capteur-de-force-6

La quasi-totalité des fautes dangereuses doivent être détectées par un test continu (DC 99 %).

Les fonctions de sécurité sont assurées, même en cas de défauts multiples.

Par conséquent, les défauts doivent être détectés avant la perte de fonction de sécurité.

Couverture de diagnostic

La couverture de diagnostic est la valeur qui va quantifier la capacité du système à diagnostiquer des défauts dangereux. Cette valeur est exprimée en pourcentage.

On peut donner, par exemple, la couverture de diagnostic d’un défaut de relais. Si un relais N/O venait à se fermer sur un circuit ouvert, le système ne serait pas forcément capable de faire la différence entre le défaut et l’ouverture classique. Un système à haut diagnostic comprendra des systèmes permettant de vérifier l’état du relais.

Il est évident que l’architecture du système a un lien direct sur la couverture de diagnostic de ce dernier. Tout système voulant justifier des PL correspondant à des catégories 2 et 3 devront justifier des DC de 60 % ou voire supérieurs à 60 % (voir tableau PL-Cat-DC-MTTF)

Il est également important de noter que certaines architectures ne conviendront pas pour justifier le DC de certains systèmes. Ainsi, un système de catégorie 2 peut facilement convenir pour un système de détection simple (i.e. butées) qui pourra facilement être testé lors de l’activation de la machine (i.e. mise en butée lors du démarrage de la machine). Cependant, les systèmes plus complexes peuvent demander des systèmes de test extrêmement compliqués ou dont la fiabilité serait plus que douteuse. C’est pourquoi, il est bien souvent plus facile et plus économique de tester un système à l’architecture redondante.

La fiabilité des composants (MTTFd)

La fiabilité des composants est évidemment au cœur de la capacité d’un système à assurer sa fonction de sécurité. Plus la fiabilité d’un composant est faible, plus ce composant risque d’entrainer des défaillances (et par conséquent des défaillances dangereuses).

Notons qu’il serait toutefois inconscient de considérer la fiabilité d’un composant comme justification pour atteindre des hauts niveaux de performance. La norme 13849 prévoit d’ailleurs une limite à l’utilisation d’un MTTFd (100 ans). Cela s’explique par le fait qu’une valeur de MTTFd correspond à une moyenne et ne reflète pas la réalité. Il est donc probable qu’un produit fiable subisse une défaillance et ce malgré une probabilité statistique infime. Ceci est d’autant plus vrai qu’en cas de défaillance, ce composant ne sera pas immédiatement identifié comme cause probable de celle-ci.

Causes communes de défaillance

Les causes communes de défaillances sont à envisager pour les systèmes de catégorie 3 et plus. En effet, dans ces systèmes, les causes possibles d’une défaillance peuvent se répercuter sur plusieurs éléments du système (i.e. les deux canaux peuvent tous les deux subir une surcharge, en même temps !).

Les causes communes de défaillances peuvent être estimées sur base de l’annexe D de l’EN 61508. Il est évident que les causes communes de défaillance n’ont lieu d’être qu’en présence d’un système à 2 signaux d’entrée et/ou de sortie.

Le taux de défaillance commune est donné en %.

Déterminer si le Niveau PL est atteint

Ces différents facteurs vont permettre la vérification du niveau atteint. Un rapide coup d’œil au tableau ci-dessous permet de se rendre compte de l’influence de ces facteurs.

securite-des-machines-iso-13849-capteur-de-force-7

  • securite-des-machines-iso-13849-capteur-de-force-8MTTFd low : 3 ≤ MTTFd < 10 ans
  • securite-des-machines-iso-13849-capteur-de-force-9MTTFd medium : 10 ≤ MTTFd < 30 ans
  • securite-des-machines-iso-13849-capteur-de-force-10MTTFd high : 30 ≤ MTTFd < 100 ans
    Les MTTFd au-dessus de 100 ans sont automatiquement considérées comme 100 ans du point de vue normatif.

Exemple : détermination du niveau « PL » atteint.

Etant donné qu’un exemple est souvent plus parlant qu’un long discours, nous allons étudier rapidement un cas concret : un pont-roulant dans une application industrielle.

Ce dernier se trouve dans un atelier où travaille de façon journalière un petit groupe de techniciens.

La zone d’utilisation du pont est bien délimitée et le pontier est dûment formé. La procédure lors de l’utilisation du pont prévoit une distance de sécurité à respecter et aucune personne sous la charge. Notons que le pont ne sert qu’au levage de pièces métallique lourdes (moteurs, arbres, …).

Après une analyse de risques avec le responsable de la sécurité, les différents points liés à la détermination du niveau PL ont été relevés : dans le cas présent, le responsable sécurité détermine que les blessures engendrées par un accident lié au pont sont graves (S2). L’exposition est fréquente (F2). Cependantn la probabilité d’évitement est grande(P1).

En suivant le schéma ci-dessous, on détermine dès lors que le niveau de PL requis est un PLd .

securite-des-machines-iso-13849-capteur-de-force-11