electroPNeUMAtIQUe et SecurIte DeS MachIneS - ASCO · le réglage et la maintenance de la machine....

Impr

imé

en F

ranc

e . D

ocum

ent n

on c

ontra

ctue

l.38

3 73

17a

. 1M

0711

electroPNeUMAtIQUe et

SecurIteDeS MachIneS

NoUvelle dIrectIve 2006/42/ce NorMes NF eN/ceI 62061 - eN Iso 13849-1

securite des machines

Principe de la sécurité des machines :

Garantir la sécurité et la santé des personnes exposées lors de la mise en place, l'utilisation, le réglage et la maintenance de la machine.

Evaluation des risques :

Evolution des Normes

Le fabricant d'une machine ou son mandataire doit veiller à ce qu'une évaluation des ris-ques soit effectuée afin de déterminer les exigences de santé et de sécurité des personnes liées à l’utilisation de celle-ci. La machine doit ensuite être conçue et construite en tenant compte des résultats de l'évaluation des risques.

De la pratique de la nouvelle Directive Machines 2006/42/CE émergent 3 idées fortes pour la conception des machines et les fonctions de sécurité :

• L'analyse des risques préalable à la conception

• Une attention particulière à l'aspect quantitatif des fonctions de sécurité, qui s'ajoute à l'approche qualitative

• L'utilisation des niveaux de performance (PL : Performance Level).

Directive Machines98/37/CE

“Sécurité fonctionnelle des systèmes électriques, électroniques, électroniques programmables relatifs à la sécurité”

“Parties des systèmes de commande électriques, électroniques, électroniques programmables, hydrauliques, pneumatiques et mécaniquesrelatives à la sécurité” Partie 1 : Principes généraux de conception

31 D

ecem

br

e 20

11TouTes les machines mises sur le marché européen

Norme NF EN/CEI 62061

Directive Machines 2006/42/CE

Norme NF EN ISO 13849-1

(publiée au journal officiel)

Dec

emb

re

2005

Dec

emb

re

2009

ma

i 20

07 (publiée au journal officiel)

Norme NF EN 954-1

3

Distribution

Mini distributeurs séries 519-520-521

Distributeur à tiroir séries 551 552-553

Les données fiabilistes des produits (MTTF, MTTFd, B10, B10d…), issus de test de fiabilité dans les conditions standards sont téléchargeables au format SISTEMA sur notre site www.asconumatics.fr, rubrique téléchargements.

Pl, sIl

Traitement de l’air

Régulateur

Vanne de coupure et démarreur progressif

Téléchargeable surwww.asconumatics.fr

rubrique téléchargements

electrovannes tous fluides

Bibliothèque de données fiabilistes

contrôle des actionneurs

Détecteur de position Stop vérin Série 346 ou NCPPG

Distributeurs à tiroir inox sans joint séries L1/L2

séries 541-542-543

Distributeurs ISO 5599/1

série compacte Electrovannes-pilotes séries 302-190-192

pressostat

Les actionneurs (vérins pneumatiques) ne sont jamais pris en considération dans les calculs de niveau de per-formance (PL). En effet, les actionneurs ne faisant pas partie intégrante des systèmes de contrôle-commande ne sont donc pas concernés par la norme EN ISO 13849-1. Toutefois, le constructeur de machines doit intégrer les risques liés à une défaillance de l’actionneur dans l’évaluation du risque (EN ISO 14121 et EN ISO 12100).

sisTema(Safety Integrity Software Tool for the Evaluation of Machine Applications)

Logiciel SISTEMA téléchargeable sur le site www.dguv.de/ifa/en

P

P

G

dOnnees de FiaBiLite

1V1A

1S1

2V32V2

0S1 2S1

0V1A 2V1

1V1B

0V1B

Ilots séries 2005-2012 et ISO 15407-2 26 mm

3

eVaLuatiOn des risQues

4

« Les règles de l’art + le calcul probabiliste »

construction et évaluation des risques de la machine

conception et réalisation des systèmes de commandes relatifs à la sécurité des machines

evaluation des risques

Aspect électrique de la sécurité

EN 60204-1Sécurité des machines équipement électrique des machines, partie 1 : règles générales

EN 1050 (EN ISO 14121-1) Sécurité des machines Appréciation des risques, partie 1 : principes

EN ISO 12100 Sécurité des machines Notions fondamentales, principes généraux de conception

Exigences fonctionnelles et touchant à la sécurité sur les commandes relatives à la sécurité

EN/CEI 62061 EN ISO 13849-1

niveaux d'intégrité de sécurité sil 1, 2, 3

série sans fonction de diagnosticparallèle sans fonction de diagnostic série avec fonction de diagnostic parallèle avec fonction de diagnostic

Architecture au choix

ABCD

Architecture désignée (catégorie)

niveaux de performance pl a, b, c, d, e

B, 1,23, 4

série sans fonction de diagnosticsérie avec fonction de diagnostic parallèle avec fonction de diagnostic

SSévérité des dommages

Risques liés à l’évènement dangereux

Fréquence et/ou durée d’exposition FProbabilité d’apparition Probabilité

du dommageOProbabilité d’évitement P

= et

a

b

c

d

e

F1

F2

F1

F2

S1

S2

P1

P2

P1

P2

P1

P2

P1

P2

Risque faible

Risque élevé

PL requis

Point de départde l’estimationdu risque

Autres mesures

Conséquences Sévérité Classe

S K = F + O + P

3-4 5-7 8-10 11-13

Mort, perte d’un œil ou d’un bras 4 SIL 2 SIL 2 SIL 2 SIL 3

Permanentes, perte de doigts 3

2

SIL 1 SIL 2

Réversibles, suivi médical SIL 1

Réversibles, premiers soins

1

14-15

SIL 3

SIL 3

SIL 2

SIL 1

Détermination du sil requis Détermination du pl requis

5

demarche de cOnceptiOnnF en/cei 62061 - nF en isO 13849-1

Choisir l'Architecture du systèmeparmi les modèles

• A, B, C ou DEN/CEI 62061

• Catégorie B, 1, 2, 3 ou 4 ISO 13849-1

Déduire la performance de sécurité réalisable par le système

• PL ISO 13849-1• SIL EN/CEI 62061

Choisir lesComposants du systèmeimpliqués dans les fonctions de sécurité

En tenant compte de leursdonnées fiabilistes

• MTTF, MTTFd, B10, B10d,etc.

Spécifier pour chaquecomposant lesmécanismes de diagnosticafin de garantir le DC (Diagnostic Coverage)requis

Construire pour chaque fonction unmodèle ou diagramme de fiabilitésupport des différents calculs

Calculer

Spécifier les autres mesures

• CCF (Common Cause Failure)

• Logiciels• Pour satisfaire aux

contraintes architecturales• Intégrité systémique

• MTTFd et DC par canalISO 13849-1

• d EN/CEI 62061

y

Documentation

Réalisation duSYSTEME

conformèment auxapplications

MTTFd

Indice pour chaque canalFaibleMoyenElevé

3 ans <_ MTTFd < 10 ans10 ans <_ MTTFd < 30 ans30 ans <_ MTTFd < 100 ans

Inventorier les Fonctions de sécurité d'une machine :• Spécifications fonctionnelles pour en

déduire les dysfonctionnements dangereux

• Spécifications de sécurité

Durée de mission T10 : En relation avec les recommandations EN ISO 13849-1 “good engineering practices” le matériel atteignant cette valeur doit être remplacé (principe de précaution).

CCF : Défaillance de cause commune (Common Cause Failure). Mesures à appliquer pour qu'une cause (et son effet) donnée ne détruise pas de façon simultanée les différents canaux d'un circuit de sécurité.

B10d : Nombre de cycles nécessaires pour que 10% des éléments d'usure de l'échantillon rencontrent une défaillance dangereuse - Valeur exprimée en nombre de cycles.

Couverture de diagnostic

Sans Faible Moyenne Elevée

DC < 60% 60% <_ DC < 90% 90% <_ DC < 99% 99% <_ DC

DC : Couverture de diagnostic (Diagnostic Coverage)

MTTFd : temps moyen avant défaillancedangereuse (mean time to dangerous failure)

Valeur exprimée en année.

Données de fiabilité des composants Constructeurs, normes, banques de données, etc.

6

pOur VOs FOnctiOns de

Obtenir un PL = c, architecture catégorie 1

Mouvementdangereux

Electrodistributeurchoisi pour assurer

les règles de sécurité

Autres utilisations etsystèmes de contrôle

0V1A

0S1

1V1A

1A

P

Catégories B et 1 :

Signald'entrée

Signalde sortie

I L O

PL

a

b

c

d

e

Catégorie BDCavg nulle

Catégorie 1DCavg nulle

Catégorie 2DCavg faible

Catégorie 2DCavg moyenne



Catégorie 4DCavg élevée

● Fonction de sécurité : Arrêt du mouvement potentiellement dangereux du vérin 1A.

● Description fonctionnelle :

Entrée ‘I’ : non représentée

Partie logique ‘L’ : non représentée, automate programmable

B10d (1V1A – série 520) = 130 000 000 cycles, donc une durée d’utilisation de 47 ans, MTTFd=470 ans “élevé”

● Calcul de probabilité d’une défaillance dangereuse :

On peut conclure à un niveau compatible PL=c, en limitant l’utilisation du distributeur à 47 ans.

Les exemples traités ici ne portent que sur l’arrêt de mouvements dangereux. Il convient en pneumatique de ne pas oublier les sécurités concernant l’isolement de la source d’énergie, l’évacuation d’énergie potentielle (pression emprisonnée dans une partie d’un circuit), et la remise en marche “progressive” après un arrêt intempestif.

PL Niveaux de performance

MTTFd indice pour chaque canal = faible

MTTFd indice pour chaque canal = moyen

MTTFd indice pour chaque canal = élevé

Seule la description de la partie pneumatique sous la forme de sous système de sécurité est décrite dans ces exemples. D’autres sécurités (éléments de protection, logique électrique …) doivent compléter la machine pour assurer une fonction complète de sécurité.

Fonction sécurité

Nb heures de travail

Nb jours de travail / an

Nb cycles / an

1 cycle = 5 s 16h 240 j 2 764 800 cycles

7

securite

Obtenir un PL = c, architecture Catégorie 2

Entrée ‘I’ : non représentée

Partie logique ‘L’ : non représentée, automate programmable

On peut conclure à un niveau compatible PL=c pour la boucle de sécurité, en limitant l’utilisation du distributeur à 16,2 ans.

Mouvementdangereux

Autres utilisations etsystèmes de contrôle

0V1B

a b

0S1

1V1B

1S1

1A

P

GCatégorie 2 :

Signald'entrée

Dia

gn

ost

ic

TE : équipement d’essaiOTE : sortie de l’équipement

Dia

gn

ost

ic

DiagnosticDiagnostic

Signalde sortie

Signalde sortie

OTETE

I OL

PL

a

b

c

d

e










0V1 : distributeur d’isolement énergétique : assure la mise à l’échappement de l’installation en cas du dysfonctionnement de la boucle.


B10d (distributeur 1V1B - série 542) = 44 912 670 cycles, donc une durée d’utilisation de 16,2 ans, MTTFd = 162 ans “élevé”

MTTFd (capteurs 1S1) = 45 000 000 h, soit 11 718 ans “élevé”

L’étude de cas donne : DC (Diagnostic Coverage) = 60% “faible”.

Fonction sécurité



Nb cycles / an

1 cycle = 5 s 16h 240 j 2 764 800 cycles

Blocage du vérin assuré par : Diagnostic assuré par :

Sortie O : Distributeur 1V1B Surveillance croisée dans L des cohérences d’états d’alimentation des bobines 1V1Ba et 1V1Bb et des capteurs de fin de course 1S1





8

pOur VOs FOnctiOns de

Obtenir un PL = d, architecture catégorie 3

Mouvementdangereux

Autres utilisations et systèmes de contrôle

0V1B

0S1

2V1

2S1

P

P

G 1S1

2Z1

1V1B

1A

a b

Catégories 3 et 4 :

Signald'entrée

Dia

gn

ost

iccr

ois

é

Diagnostic

Diagnostic

Signald'entrée

Signalde sortie

Signalde sortie

I1

I2

L1 O1

L2 O2

Entrées ‘I1’ et ‘I2’ : non représentées

Parties logiques ‘L1’ et ‘L2’ : non représentées, automate programmable




Sortie O1 : Distributeur 1V1B

Sortie O2 : Distributeur 2V1 com-mandant le bloqueur de tige 2Z1

Comparaison dans L1 des états d’ali-mentation des bobines 1V1Ba et 1V1Bb et des capteurs de fin de course 1S1

Pressostat 2S1 dont le signal est envoyé à L2

Surveillance croisée des cohérences d’états L1 / L2 dans l’automate

PL

a

b

c

d

e








On peut conclure à un niveau compatible PL=d pour la boucle de sécurité, en limitant l’utilisation du pressostat et du bloqueur à 2,89 ans.

* Les méthodes "good engineering practice" associent à ce type de composants un DC faible à moyen pour couvrir les défaillances de glissement de ces dispositifs.





0V1B : Distributeur d’isolement énergétique : assure la mise à l’échappement de l’installation.


L’étude de cas donne :

DC (1V1B)=60% “faible”, DC (2V1)=99% “haut”, DC* (2Z1)=75%

Donc pour le canal O2, DC = 78% “faible”.

Fonction sécurité



Nb cycles / an

1 cycle = 10 s 16h 240 j 1 382 400 cycles


B10d (distributeur 2V1 - série 520) = 10 000 000 cycles, donc une durée d'utilisation de 7,23 ans, MTTFd = 72,3 ans “élevé”

B10d (pressostat 2S1, bloqueur dynamique 2Z1) = 4 000 000 cycles, donc durée de mission T10 = 2,89 ans,MTTFd = 28,9 ans “moyen”

MTTFd (capteurs 1S1) = 45 000 000 h, soit 11 718 ans “élevé”

9

securite

Obtenir un PL = d, architecture Catégorie 3

Mouvementdangereux

Autres utilisations et systèmes de contrôle

0V1B

0S1

2V1

2S1

P

P2V3 2V2

1V1B

1A

a b

Catégories 3 et 4 :

Signald'entrée

Dia

gn

ost

iccr

ois

é

Diagnostic

Diagnostic

Signald'entrée

Signalde sortie

Signalde sortie

I1

I2

L1 O1

L2 O2

PL

a

b

c

d

e








Entrées ‘I1’ et ‘I2’ : non représentées

Parties logiques ‘L1’ et ‘L2’ : non représentées, automate programmable

* Les méthodes "good engineering practice" associent à ce type de composants et de circuit un DC faible pour couvrir les défaillances de blocage non diagnostiquées.

On peut conclure à un niveau compatible PL=d pour la boucle de sécurité, en limitant l’utilisation du pressostat à 2,89 ans.



0V1B : distributeur d’isolement énergétique : assure la mise à l’échappement de l’installation.● Calcul de probabilité d’une défaillance dangereuse :

L’étude de cas donne :

DC (1V1B)=60% “faible”, DC (2V1)=99% “haut”, DC* (2V3, 2V2)=60%

Donc pour le canal O2, DC = 78% “faible”.

Fonction sécurité



Nb cycles / an

1 cycle = 10 s 16h 240 j 1 382 400 cycles


Sortie O1 : Distributeur 1V1B

Sortie O2 : Distributeur 2V1 comman-dant les 2 vannes 2/2 “stop-vérin” utilisées comme dispositif de freinage

Surveillance croisée des cohérences d’états L1 / L2 dans l’automate

Comparaison dans L1 des états d’ali-mentation des bobines 1V1Ba et 1V1Bb et des capteurs de fin de course 1S1

Pressostat 2S1 dont le signal est envoyé à L2


B10d (distributeur 2V1 - série 520) = 10 000 000 cycles, donc une durée d'utilisation de 7,23 ans,MTTFd = 72,3 ans “élevé”

B10d (pressostat 2S1) = 4 000 000 cycles, donc durée de mission T10 = 2,89 ans, MTTFd = 28,9 ans “moyen”

B10d (vannes 2/2 stop vérin - 2V3, 2V2) = 60 000 000 h, d'où MTTFd = 434 ans “élevé”





Impr

imé

en F

ranc

e . D

ocum

ent n

on c

ontra

ctue

l.38

3 73

17a

. 1M

0711

electroPNeUMAtIQUe et SecurIte DeS MachIneS - ASCO · le réglage et la maintenance de la machine....

Documents

Transcript of electroPNeUMAtIQUe et SecurIte DeS MachIneS - ASCO · le réglage et la maintenance de la machine....