I – STRUCTURE GENERALE D’UN SYSTEME AUTOMATISE... · Web viewIl faut noter que le manque...

I – LA SURETE DE FONCTIONNEMENT :

Sûreté de fonctionnementAptitude à assurer un service spécifié

Sécurité + DisponibilitéAptitude à être en état de marche à un instant donné ou pendant un intervalle

de temps donnéAptitude à ne présenter aucun danger pour les personnes, les biens et

l’environnement.

FiabilitéAptitude à ne pas

présenter de défaillance dans une durée

déterminée.

+ MaintenabilitéAptitude à être remis en service dans une durée

donnée.

+ Logistique de Maintenance

Politique et moyens de maintenance.

La sûreté dans son ensemble doit être étudiée d’un bout à l’autre de la conception du système. Elle se fera par: Le choix des composants de la partie opérative : puissance et distribution d’énergie L’implantation des composants Le choix de la partie commande et de son câblage Les procédures de fonctionnement

Sécurité : Types de sécurités Réalisation

Sécurités des personnes(Priorité 1)

Sécurité

passive ou intrinsèque

La conception du système empêche le danger sans prendre de disposition particulière au niveau de la commande du système.

Sécurité des biens(priorité 2)

Sécurité active ou par

disposition

Une situation dangereuse sera détectée par un capteur spécialisé qui orientera le système vers un comportement prévu.

La sécurité des personnes est régie par des décrets qui permettent d’établir le Code du Travail. Les décrets sont la transposition en droit français des directives européennes. Ils imposent une obligation de résultat.Leur vérification est réalisée par des organismes certifiés (APAVE, VERITAS, etc.) qui délivrent des certificats de conformité.

DisponibilitéElle est conditionnée par les options :

De choix de conception (implantation, qualité...) De politique de maintenance

Maintenancepréventive corrective

systématique conditionnelleMaintenance effectuée après

une défaillance.Maintenance effectuée selon un échéancier établi selon le temps ou le nombre d’usage.

Maintenance effectuée suite à un événement prédéterminé

(autodiagnostic, information d’un capteur, mesure d’usure...).

La sécurité des équipements - 1

AUTOMATIQUE BTS MSLA SECURITE DES EQUIPEMENTS

Modes de défaillance d’une chaîne fonctionnelle : La commission internationale de l'électrotechnique (CEI) définit ainsi les modes de défaillance :Un mode de défaillance d'une entité c'est l'effet par lequel la défaillance est observée, l'entité pouvant être le système, un sous-système, un composant. Un mode de défaillance d'un composant peut devenir une cause de défaillance pour le système ou le sous-système.Exemple : modes de défaillance d'une vanne pneumatique à commande électrique dont la fonction est la régulation d'un débit d'eau :

Blocage de la vanne en position quelconque (le débit reste constant) Fermeture intempestive (arrêt débit) Ouverture intempestive (débit intempestif) Fuite externe (diminution du débit spécifié)

Toute chaîne fonctionnelle comporte en général 4 entités, agencées en boucle : La chaîne de traitement, La chaîne d'action (chaîne d’énergie) qui transmet les ordres de la PC vers la PO, Le processus proprement dit, La chaîne d'acquisition des données (chaîne d’information), qui transmet les informations de la PO vers la PC.

Les effets des modes de défaillances primaires (pouvant intervenir sur une chaîne fonctionnelle) sur la sûreté sont de plusieurs natures :

Insécurité et indisponibilité si la défaillance critique concerne directement le produit ou le processus ou la partie opérative.

Perte de faisabilité mettant en jeu la disponibilité du produit ou de la production et éventuellement la sécurité en cas par exemple de comportement non orienté.

Perte de « commandabilité » : impossibilité d'observer le comportement de la « PC », ce qui peut mettre en jeu dans certain cas la sécurité.

Perte d'observabilité : impossibilité d'observer le comportement de la « PO », ce qui peut mettre en jeu dans certain cas la sécurité.



Il faut noter que le manque d'énergie apparaît en mode commun (il touche toutes les entités de la chaîne), sauf dans le cas où il y aurait séparation des énergies.D'autre part il faut faire attention qu'il n'y ait pas effet d'amplification, c’est-à-dire qu'une information erronée n'entraîne pas un traitement erroné et un ordre lui-même erroné. Il faut faire une analyse plus fine des modes de défaillances sur chaque entité.Exemple : Chaîne fonctionnelle ci-dessus.

Sur la chaîne de traitement : ordre non exécuté, ordre erroné, ordre intempestif, Sur le préactionneur : commande non exécutée, commande erronée, commande intempestive, Sur l'actionneur : action non exécutée, action non conforme, action dangereuse, Sur l'effecteur : effet non exécuté, effet non conforme, effet dangereux.

On peut faire apparaître aussi les défaillances de mode commun sur d’autres parties de la chaîne : Sur les liaisons : influences externes, coupure liaison. Sur les composants : risque de court-circuit.

Antagonisme entre la sécurité et la disponibilité :



Sécurité et disponibilité sont donc antagonistes.Le niveau de sûreté peut être amélioré par la redondance des commandes, notamment la redondance des sorties d'automate. Le câblage des sorties est alors fonction du comportement orienté souhaité :

Le câblage en « ET » favorise la sécurité. Le câblage en « OU » favorise la disponibilité.

Le tableau suivant permet de choisir le câblage et la logique de fonctionnement suivant les besoins de sécurité et de disponibilité.

Logique câblage SécuritéDisponibilit

é

ET

OU

ET

OU

L’obtention d’un niveau de sûreté implique donc, en général, d’effectuer un compromis privilégiant tantôt la sécurité, tantôt la disponibilité selon le besoin de l’application, et compte tenu des risques jugés prioritaires.



Solutions et moyens à comportement orienté en cas de défaillance : Les principales techniques pour la conception et la réalisation de chaînes fonctionnelles sûres visent toutes un même objectif : obtenir un comportement sûr lors d'une défaillance.Le principe de base est d'orienter le comportement de la chaîne d'action ou de la chaîne d’acquisition en cas de défaillance pour obtenir :• Soit une sécurité orientée vers l'arrêt (sécurité dite positive).• Soit une sécurité orientée vers la marche (maintien du fonctionnement ou sécurité active).• Soit la sûreté totale, sécurité et disponibilité, par association des solutions précédentes. La redondance est l'un des procédés mis en œuvre pour obtenir de tels comportements.La démarche d'obtention d'une chaîne d'action à défaillance orientée (chaîne limitée à la commande des actionneurs) comporte plusieurs étapes :1. Définir le comportement souhaité pour la fonction, puis pour l'effecteur la matérialisant : sécurité orientée

vers l'arrêt ou vers la marche, sûreté totale. Pour une vanne, une position de sécurité normalement ouverte (N.O.), ou une position normalement

fermée (N.F.). Pour une pince de robot, un comportement orienté vers une position de sécurité N.O. ou N.F., ou encore

vers le maintien en position. Pour une opération de perçage, un comportement orienté vers une remontée de la broche, etc. Remarque : les principaux procédés physiques d'obtention d'un comportement orienté sont :

Le rappel élastique (ressort, élastomère...). La gravité. La rupture mécanique, ou la rupture de continuité de liaison (électrique, optique...) par fusion, section.

2. En déduire successivement le comportement à obtenir : Sur l'actionneur. Sur le préactionneur. Sur les sorties de l'API (ou des API). Sur l'architecture de commande.

3. En particulier, il est important de bien choisir en final le mode de fonctionnement associé aux ordres de commande (tant des préactionneurs que des sorties de l’automate). On distingue en effet deux modes :

Soit l'ordre est donné par émission de signal (tension sur l'API, pression sur un distributeur, etc.) et la commande est à logique positive : au repos la sortie est à l'état logique « 0 ». Pour générer l'ordre il faudra la forcer à l'état « 1 ». C'est la logique associée à la sécurité passive ou sécurité dite positive. Il faut alors noter que le niveau « 0 », obtenu en mode commun sur coupure d'énergie, assure la sécurité positive (de type « figeage »).

Soit l'ordre est donné par absence de signal et la commande est dite à logique négative. Une telle commande sera associée par exemple à la fermeture d'une vanne de sécurité, au démarrage d'un groupe électrogène, etc.

Soit l’ordre est donné par émission d’un signal s1la commande est dite à logique positive

Le signal s1 provoque la sortie de la tige du vérin.

Soit l’ordre est donné par absence de signal /s1 la commande est dite à logique négative

L’absence de signal s1 provoque la sortie de la tige du vérin.

Principe de la sécurité positive :


s1EVs1 EV

s1

s1 EVs1 EV

s1


Dans la plupart des cas, un élément défaillant se positionne au repos (fil déconnecté, bobine grillée, tuyau percé, etc.).La sécurité est positive lorsque la défaillance place les actionneurs au repos.Chaîne fonctionnelle positiveLa sécurité positive épouse le modèle de la défaillance : l’ordre de sécurité ouvre la chaîne fonctionnelle. Les éléments qui la composent se positionnent au repos. L’énergie est coupée. L’actionneur est libre d’énergie.

Dans certains cas particuliers, la sécurité positive a pour effet de maintenir les énergies (cas d’une aspiration), ou d’en créer (alarme).

REMARQUE : un organe défaillant peut se bloquer en position travail (tiroir gommé, sortie API en court circuit, sectionneur collé, etc.). Dans ce cas, la sécurité positive n’est plus efficace. Elle doit être assurée par un système redondant (câblage de sécurité).

Exemple de recherche de solutions à défaillance orientée : Vanne déluge anti-incendie

La sécurité incendie impose un comportement orienté vers l’ouverture de la vanne pour l’effecteur : la vanne doit être de type à fermeture (NO)

L’obtention de ce comportement sur défaillance de la chaîne de commande conduit à retenir successivement : pour l’actionneur : vérin simple effet (ressort) stable en position vanne ouverte ; piloté pour fermer la

vanne F pour le préactionneur : Monostable Distributeur monostable NO commandé pour fermer la vanne pour la PC : un API à contacts de sorties, maintenus fermés en fonctionnement normal

Remarque : toute défaillance provoque, par sécurité, un déluge anti-incendie, rarement apprécié par le public. Aussi, est il souvent nécessaire de compléter cette solution de sécurité à défaillance orientée par des mesures d’amélioration de la disponibilité par fiabilisation (simplification de l’architecture : nombre de composants minimal, qualité et fiabilité des matériels).

4. Choisir des constituants à comportement orienté en cas de défaillances (« fail-safe »): limiteurs de couple, limiteurs de pression ; vannes et vérins simple effet ; distributeurs et relais ou contacteurs monostables ; fusibles et relais de protection (thermique …)



etc.Le tableau ci-dessous montre les comportements orientés de constituants électromécaniques et de quelques éléments de liaison. Il est important de noter :

• Que très peu d'éléments possèdent un comportement orienté franc : en pratique, il s'agit plutôt d'une probabilité de comportement préférentiel.• Que l'électronique traditionnelle, à composants discrets, possède des modes de défaillances bien caractérisés, alors que les modes de défaillance de l'électronique intégrée programmable sont complexes et plus difficilement appréhendables. Cet inconvénient de l'électronique intégrée est la contrepartie de ses nombreux avantages (et notamment sa fiabilité).

Comportement sur défaut orienté vers :

Arrêt (fonction non assurée) Maintien intempestif de la fonctionRelais monostable 5% (grippage) 95% (collage)

Distributeur bistable 50% (collage) 50% (collage)

Moteur électrique 100%

5. Vérifier que l’ensemble des choix effectués garantit le comportement souhaité. Vérifier notamment que la probabilité de défaillance dangereuse reste compatible avec le niveau de sûreté souhaité.

Retenir une solution adaptée au risque : La solution consiste, par ordre de priorité à :

Eliminer le risque (prévention ou sûreté intrinsèque) Se mettre hors de portée du risque (protection intrinsèque) Supprimer le risque sur défaillance (comportement orienté, sécurité positive), ou tolérer la défaillance

(redondance). Détecter la défaillance pour se mettre hors risque (sécurité directe) Améliorer le niveau de sûreté au moyen de dispositions compensatrices.

LA SECURITE INTRINSEQUE est obtenue par élimination du risque à la conception, sans dispositif spécifique de sécurité. LA SECURITE POSITIVE est obtenue si, en cas de défaillance, un système adopte un comportement prévu d'avance, allant dans le sens de la sécurité. LA SECURITE DIRECTE est obtenue si, en cas de défaillance, un dispositif agit directement sur les constituants destinés à assurer la sécurité d’un système. LA SECURITE ACTIVE est obtenue si, en cas de défaillance, la sécurité d'un système est assurée par maintien de son fonctionnement. LA SECURITE PASSIVE est obtenue si, en cas de défaillance, la sécurité d'un système est assurée par arrêt de son fonctionnement.Exemple: Transfert de barres d’une redresseuse vers un tour :

Analyse d’un risque particulier : Risque de chute de barres au chargement de la navette.


TOUR

REDRESSEUSE


II – PRINCIPAUX TEXTES REGLEMENTAIRES :

21 – Les principaux textes : L'article L. 233-5 du code du travail : "Il est interdit d'exposer, de mettre en vente, de vendre, d'importer, de louer, de céder à quelque titre que ce soit ou d'utiliser :a) Des appareils, machines et éléments de machines qui ne sont pas construits, disposés, protégés ou commandés

dans des conditions assurant la sécurité et l'hygiène des travailleurs.b) Des protecteurs de machines ainsi que des dispositifs, équipements ou produits de protection qui ne sont pas de

nature à garantir les travailleurs contre les dangers de tous ordres auxquels ils sont exposés."Des décrets sont venus, depuis la loi, définir les articles "R" du code du travail :

Les listes des équipements de travail et de protection (décret 92.765 art. R233.83) Les procédures applicables aux équipements de travail et de protection (décret 92.766 art. R233.49 à 82) Règles techniques applicables aux équipements de travail et de protection (décret 92.767 art. R233.84 à 90) Règles techniques applicables aux équipements de protection individuels (décret 92.768 art. R233.151 à 157)

Le décret 93-40 du 11 janvier 1993 définit les prescriptions techniques des équipements de travail mis en service avant le 1er janvier 1993 (art. R233.15 à R233.30).

22 – Définitions : MACHINE : Ensemble de pièces ou d'organes liés entre eux dont au moins un est mobile ... en vue d'une application définie telle que la transformation, le traitement ou le conditionnement de matériaux et le déplacement des charges avec ou sans changement de niveau.Le décret 92.765 précise que les équipements interchangeables, les arbres à cardans, les véhicules et leurs remorques utilisés sur un réseau privé sont également des machines.ÉQUIPEMENT DE TRAVAILLe décret 92.765 (modifié par le décret 93-40 du 11 janvier 1983) définit comme équipement de travail :

Les machines (voir définition ci-dessus) Tracteurs agricoles et forestiers à roues Accessoires de levage Composants d'accessoires de levage Chaînes câbles sangles Appareils de radiographie Cabines de projection de peintures et de vernis Electrificateurs à clôtures.

Sont exclus de la définition d'équipement de travail : Les machines mues par la force humaine autres que celles utilisées pour le levage de charges Les machines qui, par nature, exposent davantage aux risques d'origine électrique qu'aux risques mécaniques,

les machines de bureau, les machines du domaine électroménager, les postes de soudage et les pistolets à colle

Les machines à usage médical utilisées en contact direct avec le patient Les moyens de transport (aéronefs, véhicules routiers et leurs remorques, bateaux..) utilisés sur le domaine

public Les machines spécialement conçues et construites pour l’armée et les armes à feu Les machines spécifiques pour fêtes foraines et parcs d'attraction Les installations à câble pour le transport public ou non de personnes Les ascenseurs installés à demeure et leurs composants Les appareils de levage conçu et construits pour l'élévation de personnes éventuellement accompagnées de

charges, avec déplacement ou non, à l'exception des chariots automoteurs de manutention à poste de conduite élevable.



CLASSIFICATIONS DES MACHINES OUTILSLes machines outils sont classées en 5 groupes :

les machines travaillant par enlèvement de matière (tour, fraiseuse, perceuse, rectifieuse,...) les machines travaillant par formage ou cisaillages (presse, cisaille, riveteuse, ...) les machines de soudage ou de découpage thermique les machines à travailler le bois (raboteuses, scies ....) les machines portatives

DESCRIPTION D'UNE MACHINE UTILISANT DES ÉNERGIES (électrique, pneumatique, hydraulique)Circuit de puissance : alimentation des éléments de la machine (moteurs, résistances...) utilisant l'énergie électrique, avec les moyens de protection et de séparation nécessaire. En général c'est un réseau 220/380v.Organes de services : interrupteurs, boutons poussoirs, sélecteurs ...Circuit de commande : à partir des informations données par les organes de service, et celles données par les capteurs ou contacts situés sur la machine, il commande le circuit de puissance et assure sa protection à l'aide de relais électromagnétiques, d'automate programmable ou d'ordinateur.Signalisation : lampes, voyants, avertisseurs, synoptiques, écranDÉFINITIONS DES DIFFÉRENTS MODES DE FONCTIONNEMENTS DES MACHINESCycle : ensemble de toutes les opérations, déplacements d'organes de la machine qui se produisent jusqu'à ce que tous les organes reviennent à leur position initiale. (Exemple : cycle L, cycle en U,...)Position de départ de cycle : ensemble des positions que doivent occuper les différents organes pour permettre par commande volontaire le démarrage du cycle. Arrêt automatique en fin de cycle.Marche en continu : après la mise en marche de la machine, l'arrêt de celle-ci se fait par action volontaire (machine manuelle).Marche au coup par coup ou marche manuelle: fonctionnement de la machine par action de l'opérateur sur les organes normalement affectés à la commande.Marche en mode réglage : le déroulement du cycle se fait pas à pas par action sur les organes de commande. Certaines sécurités peuvent être "shuntées" pendant cette étape. Ce mode de fonctionnement est parfois réservé à la maintenance qui est autorisé par une clé.

23 – Principes de la protection des machines : Les machines doivent être munies de dispositifs appropriés qui éliminent ou réduisent les dangers avant que l'on puisse accéder à un point ou une zone de danger.On définit ainsi une obligation de résultat et pas une obligation de moyens.Le décret 93-40 du 11 janvier 1993 définit les prescriptions techniques des équipements de travail mis en service avant le 1er janvier 1993 (art. R233-15 à R233-30) pour atteindre un bon niveau de sécurité. Son article 7 donne obligation aux chefs d'établissement d'établir et de transmettre à l'inspection du travail avant le 30 juin 1995 un plan de mise en conformité des machines en service dans leur établissement.R233-15 : Les éléments mobiles de transmission d'énergie ou de mouvements des équipements de travail présentant des risques de contact mécanique dangereux doivent être équipés de protecteurs ou de dispositifs appropriés empêchant l'accès aux zones dangereuses.Les zones de dangers provoquées par les arbres, tiges de vérins, bielles, coulisseaux, courroie, chaînes, pignons, etc. ou les éléments mobiles, les dispositifs de guidage doivent être inaccessible par la mise en place de protecteurs fixes (exigeant l'emploi d'un outil ou d'une clé pour leur ouverture).On peut utiliser des protecteurs mobiles lorsque la fréquence des interventions (réglages, changement de fabrication ...) est trop grande, celui-ci doit être équipé d'un dispositif arrêtant les éléments dangereux dés son déplacement avec si possible un dispositif de freinage efficace.Les protecteurs fixes, ou les protecteurs mobiles doivent être utilisés de préférence aux autres techniques (barrière immatérielle, dispositifs sensibles, commandes bi manuelles...).



R233-16 : Les éléments mobiles concourant au travail pouvant entraîner des accidents par contact mécanique doivent être disposés, protégés, commandés ou équipés de façon telle que les opérateurs ne puissent atteindre la zone de dangereuse. Toutefois lorsque cela n'est pas possible ils doivent être munis de protecteurs ou de dispositifs appropriés limitant l'accès aux zones dangereuses. On doit chercher à réduire les risques au maximum.Les zones de dangers provoquées par les outils, moules, matrices, cylindres de laminage ou d'impression, bras de malaxage, bandes transporteuse de convoyeur, rouleaux de convoyage, câble et chaînes de levages, etc. doivent être inaccessible pendant les phases les plus dangereuses de leur fonctionnement.On peut atteindre cet objectif soit par l'implantation de la machine (disposés), soit par la mise en place de protecteurs (protégés), soit par une commande à distance ou commande à action maintenue (commandés) , ou par le choix d'outils ou d'outillage présentant moins de danger(équipés).Pour de nombreux équipements de travail (meuleuses, machines à bois a alimentation manuelle, machines-outils conçues pour des travaux à l'unité, les appareils de levage...), il faut chercher à restreindre au maximum, en fonction du travail à réaliser, la dimension de la zone de danger par des protecteurs partiels facilement réglables, voir des protecteurs automatiques qui se dégage au moment de l'arrivé de la pièce à usiner.R233-17 : Les protecteurs et les dispositifs de protection :

1) Doivent être de construction robuste, adaptée aux conditions d'utilisation ;2) Ne doivent pas occasionner de risques supplémentaires, la défaillance d'un de leurs composants ne devant

compromettre leur fonction de protection ;3) Ne doivent pas pouvoir être facilement ôtés ou rendus inopérants ;4) Doivent être situés à une distance suffisante de la zone dangereuse, compatible avec le temps nécessaire pour

obtenir l'arrêt des éléments mobiles ;5) Doivent permettre de repérer rapidement la zone dangereuse ;6) Ne doivent pas limiter plus que nécessaire l'observation du cycle de travail ;7) Doivent permettre les interventions indispensables pour la mise en place ou le remplacement des éléments ainsi

que pour les travaux d'entretien, ceci en limitant l'accès au seul secteur où le travail doit être réalisé et, si possible, sans démontage du protecteur ou du dispositif de protection.

L'obligation de résultat nous impose de choisir le dispositif le plus efficace, d'abord des protecteurs par obstacle fixe, si nécessaire des protecteurs mobiles, en dernier ressort des dispositifs sensible barrière immatérielle ou commande bi manuelle.Les systèmes de détection de la présence, ou de la défaillance, du protecteur doivent être a sécurité positive (la défaillance du détecteur, ressort cassé, lames collées, défaut d'alimentation électrique, doit être détectée).On peut utiliser des systèmes d'interverrouillage par transfert de clé pour s'assurer de la présence des protecteurs.Les protecteurs doivent respecter des distances de sécurité, et des dimensions pour les ouvertures régulières pratiquées. Celles-ci sont précisées dans la norme NF EN 294.R233-18 : La mise en marche des équipements de travail ne doit être obtenue que par l'action d'un opérateur sur l'organe de service prévu à cet effet, sauf si cette mise en marche, obtenue autrement, ne présente aucun risque pour les opérateurs concernés. Ne s'applique pas à la mise en marche d'un équipement de travail résultant de la séquence normale d'un cycle automatique.La mise en marche doit résulter de l'action volontaire de l'opérateur, la fermeture d'un protecteur, la manoeuvre d'un sélecteur (manuelle / automatique), le déblocage d'un bouton d'arrêt d'urgence, le réarmement d'un dispositif de protection thermique ne doivent qu'autoriser la mise en marche.Pour éviter les mises en marche intempestives on utilisera un bouton à effleurement de couleur verte ou des pédales avec capot protecteur.Pour éviter les redémarrages après coupure de tension on utilisera des contacteurs autoalimentés.R233-19 : Les organes de service d'un équipement de travail doivent être clairement visibles et identifiables et faire l'objet d'un marquage approprié (en français).Ils doivent être disposés de façon à permettre une manœuvre sûre, rapide et sans équivoque.Ils doivent être choisis pour éviter toute manœuvre non intentionnelle pouvant avoir des effets dangereux.Depuis l'emplacement des organes de mise en marche, l'opérateur doit être capable de s'assurer l'absence de personnes dans les zones dangereuses. Si cela est impossible, toute mise en marche doit être précédée automatiquement d'un signal sonore ou visuel dans un délai suffisant pour lui permettre de se soustraire aux dangers.Les boutons-poussoirs, levier, pédale, sélecteurs ... doivent être identifiés par des pictogrammes normalisés notamment l'emploi de la couleur rouge pour l'arrêt d'urgence.R233-20 : Les avertissements, signalisations, dispositifs d'alerte doivent être choisis et disposés de façon à être perçus et compris facilement, sans ambiguïté.



Lorsque les opérateurs ont la possibilité de choisir et de régler les caractéristiques techniques de fonctionnement d'un équipement de travail, celui-ci doit comporter toutes les indications nécessaires pour que ces opérations soient effectuées d'une façon sûre. La vitesse limite au-delà de laquelle un équipement de travail peut présenter des risques doit être précisée clairement.Les boutons-poussoirs, levier, pédale, sélecteurs ... doivent être identifiés par des pictogrammes normalisés notamment l'emploi de la couleur rouge pour l'arrêt d'urgence.Sur des machines de grande dimension un dispositif d'arrêt d'urgence doit être facilement accessible.R233-21 : Éclatement, rupture : les éléments des équipements de travail pour lesquels il existe un risque de rupture ou d'éclatement doivent être équipés de protecteurs appropriés.Sont particulièrement concernés les meules, les outils rotatifs, les organes de travail comportant des éléments rapportés, les flexibles hydrauliques fortement sollicités...On doit utiliser des protecteurs suffisamment résistants.R233-22 : Projection, chute de pièce : les équipements de travail doivent être installés et équipés pour éviter les dangers dus à des chutes ou des projections d'objets tels que pièces usinées, éléments d'outillage, copeaux, déchets.Les mesures à prendre sont essentiellement :

D’équiper les machines de protecteurs fixes ou mobiles suffisamment résistants, De disposer les machines de façon à éviter que des personnes se trouvent en permanence sur la trajectoire

des projections possibles.R233-23: Éclairage : les zones de travail, de réglage ou de maintenance d'un équipement de travail doivent être convenablement éclairées en fonction des travaux à effectuer.A titre indicatif les valeurs moyennes d'éclairement suivantes peuvent être retenues : 300 lux pour les machines-outils, 500 lux pour les machines à bois, 750 lux pour un poste de câblage,1000 lux pour un poste de couture, 1500 lux pour la micromécanique de précision.De préférence on utilisera des tensions inférieures à 50 volts (24 volts en milieu humide) et on évitera les tubes fluorescents uniques.Prise de courant pour baladeuses pour les opérations de maintenances si besoin, 24 v le cas échéant.Le personnel intervenant au voisinage de pièces nues sous tension, doit être autorisé et habilité (art.46).R233-24 : Risques de brûlure les éléments des équipements de travail destinés à la transmission d'énergie calorifique, notamment les canalisations de vapeur ou de fluide thermique, doivent être disposés ou isolés de façon à prévenir tout risque de brûlure.La température maximum tolérée est de 65 ° C.R233-25 : Risque électrique : les équipements de travail alimentés en énergie électrique doivent être équipés, installés et entretenus, conformément aux dispositions du décret n° 88-1056 du 14 novembre 1988, de manière à prévenir les risques d'origine électrique (contacts directs, contacts indirects, surintensités ou arcs électriques).Parmi les principales mesures : mise à la terre des masses, isolement supérieur à 0,5 M ohms.Un dossier de l'installation électrique doit être laissé à demeure dans l'armoire électrique.R233-26 : Arrêt général : Tout équipement de travail doit être muni des organes de service nécessaires permettant son arrêt général dans des conditions sûres.L'organe de service peut être un bouton-poussoir, l'interrupteur d'un contacteur / disjoncteur, une pédale d'arrêt.L'ordre d'arrêt doit avoir priorité sur les ordres de mise en marche.R233-27 : Arrêt au poste de travail : Chaque poste de travail ou partie d'équipement de travail doit être muni des organes de service nécessaires permettant d'arrêter, en fonction des risques existants, soit tout l'équipement de travail, soit une partie seulement, de manière que l'opérateur soit en situation de sécurité...Cet article ne s'applique qu'aux machines présentant une certaine complexité et comportant plusieurs postes de travail ou d'intervention.R233-28 : Arrêt d'urgence : Chaque machine doit être munie d'un ou de plusieurs dispositifs d'arrêt d'urgence clairement identifiables, accessibles et en nombre suffisant, permettant d'éviter des situations dangereuses risquant ou en train de se produire.Sont exclues de cette obligation :

Les machines pour lesquelles un dispositif d'arrêt d'urgence ne serait pas en mesure de réduire le risque... Les machines portatives et les machines guidées à la main.

Un dispositif d'arrêt d'urgence doit permettre d'arrêter la machine dans les meilleures conditions, soit par une interruption immédiate de l'alimentation en énergie des actionneurs, soit par un arrêt contrôlé.



L'organe de commande (bouton coup de poing, câble, barre, pédale ...) doit être de couleur rouge de préférence sur fond jaune.R233-29 : Séparation des énergies : Les équipements de travail doivent être munis de dispositifs clairement identifiables et facilement accessibles permettant de les isoler de chacune de leurs sources d'énergie... Les opérateurs intervenant dans les zones dangereuses doivent pouvoir s'assurer de cette séparation. La dissipation des énergies accumulées dans les équipements de travail doit pouvoir s'effectuer aisément, sans que puisse être compromise la sécurité des travailleurs. Lorsque la dissipation des énergies ne peut pas être obtenue, la présence de ces énergies doit être rendue non dangereuse...L'objectif de cet article est de permettre la consignation afin d'intervenir sans risque pour les opérations de maintenance.La consignation comporte :

- La séparation des sources d'énergie,- La condamnation (le verrouillage) des dispositifs de séparation,- L’identification des ouvrages consignés,- La vérification de l'absence d'énergie.

R233-30 : Risque d'incendie, d'explosion : Les équipements de travail mettant en oeuvre des produits ou des matériaux dégageant des gaz, vapeurs, poussières ou autre déchets inflammables, doivent être munis de dispositifs protecteurs permettant notamment d'éviter qu'une élévation de température d'un élément ou des étincelles d'origine électrique ou mécanique puissent entraîner un incendie ou une explosion.L'objectif de cet article peut être atteint par le respect des règles de la protection électrique (NF C 15 100) ,et soit par évacuation des produits dangereux, soit par inertage, soit par des dispositifs de contrôle permettant de maintenir automatiquement l'atmosphère en dehors du domaine d'inflammabilité.

III – DIRECTIVE MACHINES ET NORMES : Avec la mise en place du Marché intérieur européen, les normes et prescriptions nationales relatives à la réalisationtechnique des machines ont fait l’objet d’une vaste harmonisation :

Des exigences de sécurité fondamentales, qui s’adressent d’une part au constructeur (libre circulation des marchandises, article 95) et d’autre part à l’exploitant (protection des travailleurs, article 137), ont été définies dans le cadre du Traité CE.

La Directive Machines, qui est une directive européenne basée sur le Traité CE, a dû être transposée dans le droit national des différents Etats membres. En France, par exemple, elle est entrée dans la législation par l’adoption de la loi 91-1414 du 31 décembre 1991 modifiant les Codes du travail et de la santé publique, en Allemagne, par l’adoption de la loi sur la sécurité des appareils (GSG).

Pour que la conformité à une directive soit garantie, il est recommandé d’utiliser les normes européennes harmonisées correspondantes. Leur respect constitue une « présomption de conformité » et apporte au constructeur comme à l’exploitant la sécurité juridique en matière de conformité aux prescriptions nationales et aux exigences de la directive CE.Avec le marquage CE, le constructeur d’une machine apporte la preuve visuelle que toutes les directives et prescriptions applicables au sein du Marché intérieur ont été respectées. Les directives européennes étant par ailleurs reconnues à l’échelle internationale, leur respect facilite également l’exportation vers les pays de l’Espace économique européen.

Normes fondamentales pour la conception des fonctions de commande : La sécurité exige une protection contre de multiples dangers, qui peuvent être maîtrisés comme suit : conception selon des principes visant

à réduire le risque et évaluation du risque de la machine (EN ISO 12100-1, EN ISO 14121-1)



mesures de protection techniques, le cas échéant par utilisation de systèmes de commande relatifs à la sécurité (sécurité fonctionnelle selon EN 62061 ou EN ISO 13849-1)

sécurité électrique (EN 60204-1)

La norme EN 62061 « Sécurité des machines – Sécurité fonctionnelle des systèmes de commande électriques, électroniques et électroniques programmables relatifs à la sécurité » définit de nombreuses exigences. Elle donne en outre des recommandations pour la conception, l’intégration et la validation des systèmes de commande électriques, électroniques et électroniques programmables relatifs à la sécurité (SRECS) pour les machines. Elle considère pour la première fois l’ensemble de la chaîne de sécurité allant du capteur à l’actionneur. Pour atteindre un niveau d’intégrité de sécurité donné (SIL 3, par exemple), il ne suffit plus d’utiliser des composants individuels certifiés. C’est désormais l’ensemble de la fonction de sécurité qui doit répondre aux exigences définies. La norme ne spécifie pas les exigences de fonctionnement des éléments de commande non électriques relatifs à la sécurité (par exemple hydrauliques, pneumatiques ou électromécaniques).La norme EN ISO 13849-1 « Sécurité des machines – Parties des systèmes de commande relatives à la sécurité – Partie 1 : Principes généraux de conception » se fonde sur les catégories connues de la norme EN 954-1, édition 1996. Elle considère les fonctions de sécurité complètes avec tous les appareils impliqués dans leur exécution. Allant au-delà de l’approche qualitative de la norme EN 954-1, la norme EN ISO 13849-1 se penche également sur l’aspect quantifiable des fonctions de sécurité en définissant un niveau de performance (PL) basé sur les catégories. Elle décrit la marche à suivre pour la détermination du PL des parties des systèmes de commande relatives à la sécurité sur la base d’architectures données (architectures désignées) pour la durée d’utilisation prévue. En cas de divergence, elle renvoie à la norme IEC 61508. En cas de combinaison de plusieurs parties en un système global, elle donne des indications pour le calcul du PL résultant. Elle s’applique aux parties des systèmes de commande relatives à la sécurité (SRP/CS) de tous les types de machines, indépendamment de la technologie et du type d’énergie utilisés (électrique, hydraulique, pneumatique, mécanique).

Stratégie de réduction du risque : L’objectif d’une stratégie de réduction du risque est de reconnaître les phénomènes dangereux, de les évaluer et de les maîtriser à l’aide de mesures de prévention afin qu’ils n’entraînent aucun dommage.La norme EN ISO 12100-1 propose à cet effet le processus itératif suivant :



Estimation du risque


1Spécification des limites physiques et temporelles de la machine

2Identification des phénomènes dangereux et des situations dangereuses qui leur sont liées

3Estimation du risque pour chacun des phénomènes dangereux et situations dangereuses identifiés

4Evaluation du risque et décisions concernant la nécessité de le réduire

5Suppression du phénomène dangereux ou réduction du risque qui lui est associé en respectant la « méthode des trois étapes » : prévention intrinsèque, mesures de protection techniques, informations pour l’utilisation.


Exigences relatives aux systèmes de commande :



Exemple : d’une presse hydraulique :

IV – COMMANDES D’ARRET GENERAL ET D’ARRET D’URGENCE :

41 - Les deux catégories de dispositifs détecteurs de sécurité : Les dispositifs passifs : dispositifs détecteurs dont le changement d’état est provoqué par l’apparition accidentelle de conditions préjudiciables à la sécurité des personnes ou à la sûreté de fonctionnement du matériel.Exemples : dispositifs détectant le dépassement d’un seuil : interrupteurs dits « de surcourse », pressostats détectant une

surpression dans un circuit hydraulique, dispositifs de protection thermique des moteurs électriques dispositifs détectant la présence d’un protecteur fixe

Ces dispositifs ne changent d’état que si un incident de fonctionnement ou, plus généralement, un écart par rapport aux conditions normales du fonctionnement vient à se produire.

Les dispositifs actifs : dispositifs vérifiant l’existence d’un état ou d’une condition nécessaire à la sécurité des personnes ou à la sûreté de fonctionnement du matériel et qui, dans les conditions normales de ce fonctionnement, changent d’état à chaque cycle ou, au moins, à la mise sous tension de l’équipement.Exemples :

dispositifs de verrouillage ou d’interverrouillage associés à des protecteurs mobiles : manostat ne permettant la mise en marche de la machine que si la pression est suffisante dans le circuit

pneumatique.42 – La normalisation dans l’arrêt d’urgence:

C'est la fonction de sécurité la plus répandue sur les machines. Elle ne doit dépendre d'une logique programmable ou d'un automate. L'arrêt d'urgence doit être réalisé en logique câblée.Norme EN 418 : Equipement d’arrêt d’urgence : c’est une fonction destinée à parer les risques, et qui doit être déclenchée par une action humaine. Exigences de sécurité :

la fonction d’AU doit être disponible à tout moment (donc logique câblée) l’arrêt d’urgence doit fonctionner selon le principe de l’action positive (défini dans l’EN 292) l’AU peut être de catégorie 0 ou 1



Extrait de la norme EN 60 204 :Cette norme distingue 3 types d’arrêts :

Arrêt contrôlé (EN60204) : arrêt du mouvement d'une machine par réduction du signal de commande à 0 dès que l'ordre d'arrêt a été reconnu par le dispositif de commande mais en maintenant la puissance aux actionneurs durant la procédure d'arrêt.Paragraphe 9254 :Le paragraphe 9254 de la norme EN 60204-1 précise que l'arrêt d'urgence doit fonctionner comme un arrêt de catégorie 0 ou 1. Le choix se fait en fonction de l'évaluation du risque de la machine :

Si l'arrêt d'urgence est de type 0, on ne doit employer que des composants en technologie électromécanique câblée uniquement

Si l'arrêt d'urgence est de type 1, la suppression de l’énergie aux actionneurs est assurée par des composant électromécaniques

En ce qui concerne le réarmement après arrêt d’urgence, celui-ci ne doit être possible que par action manuelle volontaire sur l’appareil de commande. Ce réarmement ne doit en aucun cas provoquer à lui seul le redémarrage.

43 – Analyse structurelle : Le schéma de la page suivante illustre le fonctionnement classique d’un arrêt d’urgence dans le cadre de la commande d’un moteur par un variateur.Si le contact KM1 reste collé au moment où l'on effectue un arrêt d'urgence la sécurité n'est plus assurée. Ce montage de prise en compte de l'arrêt d’urgence est autorisé uniquement pour les machines à faible risque (classement B ou 1).Pour améliorer la fiabilité du montage, il faut effectuer un relayage de manière redondante (cf. schéma ci-contre).C’est la 1ère amélioration.En cas de défaillance d'un des relais (collage), aucune détection automatique n'est prévue à son apparition. Ce circuit de commande peut être réarmé alors qu'un des relais est défaillant.Il faut donc « auto contrôler » les deux relais, donc les maintenir au repos dès l'apparition d'un défaut et ne pas autoriser le réarmement de l'ensemble.C’est la 2ème amélioration. A la redondance, on ajoute l’autocontrôle.C’est le schéma ci-dessous (C crée un maintien de KA3 pendant environ 100 ms et KA1, KA2, KA3 sont des relais à contacts liés).


KA2

S2(March

e)

S1(Arrê

t)

S0(ATU)

KA1 KA2

KA1

KA2KA1


S2 (Marche)

KA2b

KA1b KA2c

KA1c

KA3c

S1 (Arrêt)

S0 (ATU)

KA1a KA3b KA2a KA3a

KA3 KM1 KA2

C

KA1



44 – Définitions de la redondance et de l’autocontrôle : Redondance : action qui consiste à pallier les défaillances d'un organe par le bon fonctionnement d'un autre en faisant l'hypothèse probabiliste qu'ils ne seront pas défaillants simultanément.Autocontrôle (cyclique) : consiste à vérifier automatiquement le fonctionnement de chacun des organes qui changent d'état à chaque cycle.

Le chronogramme de la page suivante illustre ces 2 fonctions.


M.C.C

P110 kP10

E1

OE1

0V

INR

0V

RUN

AL21

CL2

AL11

CL1

Q1+2F110A Am

L1 AL/1 M1+

F1+F2-

M2-

AL/2

FL1 FL2

Variateur RTV04

carte régulation VW2-RZD871

S0(ATU)

KM1 10 10

15

17

17

10

25 25

23 23

21

19

9 8

2 1

1 3 5

2 4

4 3

7

6

6

7

Mesure de I moteur

S1(Arrêt

)

S2(Marche

)

Q4GB2-CB06 / 2A

KM1

Q1

F1

Q2

Q3C60L 1A Q2

C60L 2AT1 /

63VA230V /

24V

230 V

KM1

H2Sous

Tension

H1March

e

F1AUTOMATIQUE BTS MSLA SECURITE DES EQUIPEMENTS

S2 (Marche)

KA2b

KA1b KA2c

KA1c

KA3c

S1 (Arrêt)

S0 (ATU)

KA1a KA3b KA2a KA3a

KA3 KM1 KA2

C

KA1

KA3 est temporisé. On obtient les fonctions: REDONDANCE : par les 2 relais KA1 et KA2 pour commander KM1 AUTO CONTRÔLE : par les 2 contacts NF KA1 et KA2 montés en série sur KA3

La fonction SÉCURITÉ est bien assurée car au premier défaut l'arrêt est réalisé et le cycle suivant est interdit.


KA1t

KM1t

KA3t

KA2t

S1Arrêt t

S2 marche t

100 ms


45 – Auto-surveillance par modules de sécurité : A partir d’un certain niveau de risque, catégorie 3 ou 4, l’utilisation de composants sûrs, comme les relais de sécurité ou modules de sécurité, est indispensable. Ils s’installent en lieu et place de solutions moins fiables. (Auto-surveillance par module de sécurité)Ex : Caractéristiques du module de sécurité PREVENTA XPS AL :



Principe de Fonctionnement

45 – Prévention des mises en marche intempestives : La mise en marche intempestive de machines étant une cause fréquente d’accident, notamment sur les ensembles automatisés, une norme EN 1307 a été élaborée à ce sujet. Elle souligne qu’une machine automatique peut être en état de marche bien que ses mécanismes soient au repos, pas de mouvement. Elle précise que, dans ce cas, le risque d’accident fait intervenir la probabilité d’occurrence de deux situations : qu’une personne soit présente dans une zone dangereuse, et celle d’un démarrage intempestif. En conséquence, une double analyse est à faire : celle des modes de marche dangereux, et celle des situations où la présence d’une personne dans les zones dangereuses est nécessaire. Un démarrage intempestif peut se produire en raison de quatre causes :

Défaillance du système de commande d’origine interne ou due à une influence exté-rieure Ordre humain non approprié (à tout niveau du système de commande) Retour de l’énergie après interruption Effet d’un facteur externe inattendu, tel que pesanteur, vent, etc

Pour empêcher ces démarrages, il convient tout d’abord de prendre des mesures de consignation, basées sur quatre actions :



Séparation fiable et visible de la machine et de ses sources d’énergie Condamnation par cadenas, verrouillage à clef captive, etc. des appareils de séparation (par exemple

sectionneur) Dissipation ou confinement des énergies accumulées, mécaniques (inertie, gravité, res-sort, etc.), électriques

(condensateurs, accumulateurs ou fluidiques (fluides comprimés) Vérification par un mode opératoire sûr du fait que les actions mentionnées ci-dessus ont produit leur effet

(séparation visible, indicateurs, procédures, etc.) La norme Pr EN 1037 détaille d’autre part des "mesures contre la génération accidentelle d’ordres de mise en marche intempestive” par conception, disposition, protection et marquage des organes de mise en service. Le principe de ces mesures est d’introduire des “ordres d’arrêt maintenus” séparément ou conjointement, et ceci à différents niveaux :

appareillage de commande, préactionneurs et/ou actionneurs.

Un ordre accidentel de mise en marche ne provoquera alors aucun démarrage.

V - LA FONCTION REDONDANCE :

51 – Définition et caractérisation : La redondance consiste à doubler la sécurité : la défaillance d’un organe est alors compensée par le bon fonctionnement d’un autre en émettant l’hypothèse probabiliste qu’ils ne peuvent être défaillants simultanément.La redondance est une des solutions de conception de systèmes dits « à tolérance aux fautes ». Elle peut concerner l'ensemble des moyens, tant techniques (matériels et/ou logiciels) qu'humains (personnels). Son principe réside dans la duplication ou la multiplication de certains composants, constituants, fonctions, sous-systèmes, voire du système lui même, dans le but d'assurer une mission donnée en présence de défaillances (d'après NF Z 61 -000).Si la redondance verbale a pour fonction de renforcer un message et donc d'en améliorer la compréhension, la redondance technique a pour fonction d'améliorer la sûreté d'un système, sans pour autant apporter une quelconque modification au fonctionnement de base.Redondance (norme NFX 60-500) : existence, dans une entité, de plus d'un moyen pour accomplir une fonction requise.Chaîne (ou unité) primaire : partie ou ensemble d'un système capable d'effectuer à lui seul la mission spécifiée (et reproduit à un ordre n déterminé).Chaîne (ou unité) redondante : reproduction, à un ordre n, de la chaîne (ou de l'unité) primaire.Ordre (ou degré) d'une redondance : nombre de n-plications effectuées sur la chaîne ou l'unité.Ordre d'activité d'une redondance : nombre m de chaînes (ou d'unités) simultanément actives ou opérationnelles à un instant t.Plus généralement, une redondance est caractérisée par un doublet, noté m/n. Ex : redondance 2/2 de commande (API). La caractérisation d'une redondance peut s'effectuer par un ensemble d'attributs dont la problématique est illustrée par la figure ci-dessous.



La redondance est une disposition d'amélioration de la disponibilité d'un système comportant des éléments peu disponibles. Augmentant le nombre d'éléments du système, elle se traduit cependant par une fiabilité réduite et un besoin d'entretien accru.La redondance peut porter sur tout ou partie de la production, du procédé, du processus, de la partie opérative, de la partie commande ou des moyens d’exploitation et de maintenance (cf. page suivante).La redondance passive est utilisée pour une production « tout de même ». Si un élément est en panne, l’élément redondant assurera l’intérim afin d’éviter l’arrêt du système. Le degré de tolérance est le nombre d’éléments moins un, assurant la même fonction, pouvant tomber en panne sans provoquer de dysfonctionnement. La redondance passive ne permet d'améliorer que la disponibilité. Un élément défaillant en redondance passive est transparent. Pour le détecter, on devra utiliser des fonctions de surveillance programmée.La redondance active est utilisée pour s’assurer qu’une fonction est correcte. Tous les moyens redondants sont en action simultanément (par exemple 2/2). Si les éléments redondants n’ont pas le même fonctionnement simultané, le système s’arrête. L’élément défaillant est actif dans la transmission de l’information. La redondance active permet d'assurer la disponibilité (pas d'ordre intempestif) et d'améliorer la sécurité (maintien de la fonction sur la première défaillance). La redondance active multiplie les éléments et donc les risques de dysfonctionnement. La redondance active impose donc des plans de maintenance plus importants.La redondance globale correspond à la duplication (ou n-plications) d'un système complet ou d'une chaîne fonctionnelle. La redondance locale ne porte que sur une partie du système ou une partie d'une chaîne fonctionnelle.La redondance massive ou sélective précise le champ d'application d'une redondance locale et concerne principalement la fonction commande (PC).

massive : les différents constituants redondants effectuent la même mission, soit directement ou soit à travers un organe de contrôle qui peut être un comparateur ou un voteur.

sélective : les différents constituants redondants effectuent la même mission, mais la fonction requise est assurée par l'un ou l'autre.

La redondance matérielle ou logicielle précise si la fonction est réalisée de manière câblée ou programmée. La redondance homogène ou hétérogène précise le caractère technologique des constituants redondants :

homogène: les constituants sont de même types (capteurs ou API identiques). hétérogène : la solution de redondance combine des techniques ou des technologies différentes.

En conclusion, à chaque besoin de sûreté correspond une solution de redondance juste nécessaire.



Exemple : La sécurité des équipements - 29


Exemple de défaillance au repos : L’étude porte sur les conditions de chargement d’un chariot lorsque celui-ci est en poste.Le capteur « b » est placé en redondance de « a » si celui-ci ne détecte pas le chariot.Deux cas de dysfonctionnement sont envisageables :

Cas 1 : le capteur « a » se décale par rapport à sa position d’origine. Au bout d’un certain temps, le danger de désalignement du chariot par rapport à la ligne de chargement risque de positionner la palette en travers du chariot et de la faire tomber au sol.

Cas 2 : le capteur « a » tombe en panne provoquant un arrêt important de la production.

Traitement séquentiel du dysfonctionnement :

Redondance active Redondance active

Le chargement n’est possible que si les capteurs « a » et « b » sont tous les 2 actifs. Si « a » se décale, le grafcet

ne peut plus évoluer et la production s’arrête.

Le capteur « a » peut rester à 0, le capteur « b » permet le chargement tout de même. La production

continue même si le capteur et décalé.

Exemple de défaillance au travail : Dans l’exemple précédent, le dysfonctionnement est dû au capteur « a » restant intempestivement à 1. Les transitions (1) et (2) deviennent alors les suivantes.

Redondance active Redondance passive52 – Redondance active :

Une redondance est dite active lorsque tous les moyens redondants sont en action simultanément (tous les éléments ou les chaînes fonctionnelles redondantes participent en permanence à l'obtention de la fonction).La redondance active permet donc d'assurer simultanément la sécurité (pas d'ordre intempestif) et d'améliorer la disponibilité (maintien de la fonction sur première défaillance).Les éléments redondants peuvent être :

soit dupliqués. La redondance, d'ordre 2, est alors dite 2/2 (2 sur 2). soit tripliqués (redondance d'ordre 3), ou n-pliqués.

Une telle redondance est associée à une logique de choix majoritaire, appelée VOTEUR.

Redondance active 2/2 : Sécurité orienté et / ou disponibilité améliorée.La redondance active 2/2 permet d'assurer la sécurité orientée (à la coupure ou à l'émission) et d'assurer partiellement la disponibilité. Sans assurer la disponibilité totale (qui implique un voteur), elle permet de tendre vers celle-ci lorsque le taux de couverture de pannes est optimisé.Seule une étude de sûreté permet alors de caractériser le niveau réel de disponibilité et de quantifier les risques résiduels, compte tenu du taux de couverture.Les figures ci-après présentent la structure de base d'une commande 2/2 à sécurité orientée :

Principes de sécurité orientée (figures 1 et 2). Principes d'amélioration de la disponibilité (figure 3).


3

4

Avancer Chariot

Charger

a et b(1)

3

4

Avancer Chariot

Charger

a ou b(2)

/a ou /b(1) /a et /b(2)


En fonctionnement normal, les deux automates sont simultanément actifs, et l'ordre de sécurité « S » est obtenu par traitement logique des deux sorties « s » et « s' », au moyen d'un dispositif à comportement orienté (cette solution implique également une redondance des alimentations pour obtenir une solution cohérente avec le besoin).L'amélioration de la sûreté (la sécurité orientée étant assurée par ailleurs) d'une solution redondante 2/2 peut être obtenue par diverses techniques, allant de la simple amélioration de la fiabilité à des solutions à modules à sorties à tolérance de (première) panne.



53 – Redondance passive : Définition (norme X 60-500) : redondance telle qu'une partie seulement des moyens d'accomplir la fonction est en fonctionnement, le reste n'étant utilisé sur sollicitation qu'en cas de défaillance de la partie en fonctionnement.Les éléments redondants peuvent être :

Soit non opérationnels ou en attente : la redondance passive est alors dite « froide » ou de type « normal / secours ». Dans le cas où la redondance concerne la PC, la reprise requiert alors une initialisation totale, automatique ou manuelle. Exemples : groupe électrogène, réseau d'alimentation de secours, automate en attente.

Soit opérationnels, en surveillance ou assurant des tâches différentes, mais inactifs sur la fonction faisant l'objet de la redondance. Cette redondance passive est dite alors « tiède ». Exemples : cellule flexible d'usinage reconfigurable en mode de production dégradé, équipe d'opérateurs sur une ligne parallèle.

La redondance passive ne permet d'améliorer que la disponibilité.



Redondance passive 1/2.La redondance passive ne permet de satisfaire qu'un besoin de disponibilité. Trois réalisations industrielles de redondance passive tiède 1/2 sont présentées. Elles se distinguent :

Par le mode de disponibilité des sorties. Par le mode de détection de défaillance. Par le mode de reprise sur défaillance.

En fonctionnement normal, la fonction de l'automate passif de secours se limite le plus souvent : à assurer des tâches auxiliaires, (et/ou) à surveiller l'apparition d'une défaillance sur l'API acteur (en général grâce à une liaison série), (et/ou) à acquérir à chaque cycle l'état de l'API acteur afin de permettre une reprise rapide.

Une redondance tiède permet éventuellement de reprendre le fonctionnement avec l'API en attente, par reconfiguration à partir du contexte acquis juste avant défaillance (variables internes, pointeurs de programme, états des entrées-sorties). Il est essentiel de noter que pendant la reconfiguration, le système est « aveugle » et ne peut réagir aux événements extérieurs. Cet état peut durer plusieurs secondes, ce qui peut poser certains problèmes.Si la redondance est froide, on procède en général à un arrêt du processus. Il faudra analyser l'état, puis configurer l'API de secours (avec éventuellement une séquence de réapprentissage) pour pouvoir repartir.La détection de défaillance de l'automate actif peut être obtenue de plusieurs manières :

Soit par autodiagnostic de l'API acteur. Le niveau de disponibilité est alors fonction du taux de couverture de pannes de cet API. La reprise peut être effectuée plus ou moins automatiquement selon les dispositions retenues.

Soit par un dispositif externe (système de supervision ou opérateur en surveillance) avec, à la limite, un forçage manuel des commutateurs.

Comparaison des solutions de redondance passive :

Commutateur de sorties Commutateur de bus E/SContacts en parallèle

AvantagesSolution la plus sûre car couvrant les défaillances des cartes d’entrées / sorties.

Meilleur taux de couverture vis à vis des pannes de l’unité centrale.Surveillance indépendantes des API.Moins coûteuse que la solution 1 (en fonction des E/S).En catalogue chez les constructeurs.

Solution la moins chére.

Inconvénients

Coût matériel élevé (les E/S étant doublées).Coût de câblage très élevés.Non catalogué

Solutions la moins sûre au niveau des E/S.Coût élevé si nombre faible d’E/S.

Impose une logique positive et sorties API à comportement orientées.Coût du câblage.



54 – Redondance globale ou locale (ou partielle) : La redondance globale pour un système correspond à la duplication ou triplication (ou n-plication) du système complet. Par extension, on parlera de redondance globale d'une chaîne fonctionnelle (des capteurs aux actionneurs et effecteurs, partie commande incluse).Exemples : n unités de production parallèles (figure ci-dessous), redondance globale d'une chaîne de commande d'actionneur.

La redondance locale ne porte, elle, que sur une partie du système ou une partie d'une chaîne fonctionnelle.Exemples : redondance d'actionneur, de capteur (figure, ci-dessous), redondance de chaîne de commande d'actionneur, redondance processeur (disponibilité traitement) ou redondance mémoire (disponibilité données).

55 – Redondance massive ou sélective : Cet attribut précise le champ d'application d'une redondance partielle, notamment relative à une fonction. En pratique, cet attribut concerne principalement la fonction commande.Redondance massive : la redondance de commande est dite massive lorsque le(s) constituant(s) redondant(s) effectue(nt) la mission au même titre que l'unité primaire, le processus étant piloté par l'ensemble des sorties des différentes chaînes ; soit directement, soit à travers un organe de contrôle qui peut être soit un comparateur. (figure ci-contre).

Redondance sélective : la redondance sélective peut concerner tout élément d'une chaîne fonctionnelle, du capteur à l'actionneur en passant par le traitement. Quelques exemples types :

Redondance active pour l'acquisition d'un état du procédé (redondance capteur, souvent hétérogène). Redondance active pour l'acquisition d'une consigne (commande bimanuelle, associée à du dynamisme). Redondance active de traitement hétérogène d'une information de sécurité (d'application fréquente à un arrêt

de sécurité : la sécurité directe est complétée par une chaîne secondaire de confirmation, voir figure ci-dessous).

Redondance passive normal/secours pour une alimentation électrique (par groupe électrogène)...

Nota : une redondance sélective peut être active.Redondance massive de commande : Exemple de constructions.La fonction commande, par son incidence sur la sûreté de fonctionnement du système, est souvent l'objet d'une redondance massive. A chaque besoin de sûreté correspond une solution de redondance juste nécessaire (voir tableau, ci-dessous). Quelques réalisations constructives pour chaque solution sont présentées.



Redondance massive 2 parmi 3 :La redondance 2/3, ou redondance à vote majoritaire 2/3, est le plus souvent une redondance globale matérielle homogène d'ordre 3 (principe figure ci-dessous). Le vote majoritaire peut s'effectuer à plusieurs endroits de la chaîne de traitement : vote des seules sorties, vote des seules entrées, vote des entrées et vote des sorties au seul niveau logique, vote des entrées et vote des sorties au niveau physique, via des commutateurs redondants (triacs ou transistors de puissance).La présence d'un « voteur 2 parmi 3 », c'est-à-dire d'un dispositif à décision majoritaire 2/3, constitue la différence fondamentale avec la redondance 2/2 (qui ne comporte qu'un comparateur).

Les modes de comportement, selon l'état de trois sorties homologues « s », « s' », et « s" », sont les suivants :

Normal en concordance totale si s = s' = s". « Quasi-normal » ou « à disponibilité dégradée »

sur un premier défaut, si par exemple « sortie = s'.s"./s ». La sortie prend l'état de concordance 2/3. L’automate en discordance est diagnostiqué et, si nécessaire, considéré comme défaillant. Le fonctionnement peut alors se maintenir en configuration dégradée 2/2, mais tout nouveau défaut provoquera alors une mise en sécurité.

Défaillant sur second défaut et API hors service ou sur un désaccord global au premier défaut.

Autres redondances massives :D'autres solutions n-redondantes spécifiques ont été développées pour des applications de très haute sûreté.Citons à titre d'exemples :

Le contrôle-commande de trafic ferroviaire (redondance 2 parmi 3). Le système quadri-redondant SPIN (système de protection intégrée numérique), développé pour le contrôle-

commande de fonctions de sécurité de centrales nucléaires (CEA, Merlin-Gerin, CERCI et Framatome). En cas de défaut du système de contrôle d'exploitation normale du réacteur, il est nécessaire de l'arrêter en urgence, en coupant l'alimentation des mécanismes de grappes de contrôle à comportement orienté (chute par gravité dans le cœur pour stopper la réaction). Cette fonction de sûreté est assurée par le SPIN à partir des informations issues de capteurs. De redondance 2/4 en fonctionnement normal et 2/3 en fonctionnement dégradé, il comprend :

o 4 unités redondantes d'acquisition et de traitement.o 2 unités logiques de sauvegarde, également redondantes 2/2. câblées et à sécurité orientée.



56 - Redondance matérielle ou logicielle : Matérielle : elle correspond à la duplication (n-plication) de tout ou partie du matériel constituant le système :

redondance de capteurs, d'actionneurs, redondance d'unité centrale, d'automate

Logicielle : elle correspond à la duplication du logiciel ou d'une partie du logiciel (pour une ou plusieurs fonctions) : redondance d'échange pour contrôle de transmission de données, redondance de traitement (voir figure ci-contre) avec contrôle de concordance du résultat.

57 – Redondance homogène ou hétérogène : La redondance est dite homogène lorsque les moyens matériels ou logiciels sont de même type (deux capteurs ou deux API identiques, même logiciel dans deux API).La redondance est dite hétérogène lorsque la solution combine des techniques ou technologies différentes.Exemples : association de sécurité directe câblée avec une sécurité complémentaire programmée, hétérogénéité logicielle.De manière générale, certains attributs sont liés. Par exemple un principe de redondance active implique :

Un niveau de redondance totale ou massive, au minimum de type 2/2. Une redondance matérielle et logicielle.

Redondances homogènes actives (ou série) : Redondance homogène série électrique = Deux contacts NO en série commandent un préactionneur alimenté en fonctionnement normal.

Comportement au 1er défaut : si un seul contact reste collé, le fonctionnement est normal et la défaillance non vue. Si un seul contact reste ouvert, il y a non fonctionnement.Redondance homogène série électrique = Deux contacts NF en série commandent un préactionneur alimenté en fonctionnement normal.

Comportement au 1er défaut : si un seul contact reste collé, le fonctionnement est normal et la défaillance non vue. Si un seul contact reste ouvert, il y a non fonctionnement.



Redondance homogène série pneumatique = Deux électrovannes en série sur alimentation pneumatique.

Comportement au 1er défaut : si un seul distributeur reste bloqué passant, le fonctionnement est normal et la défaillance non vue. Si un seul distributeur reste bloqué non passant, il y a non fonctionnement.Dans tous ces cas, si défaillance d’un des éléments « d’entrée » => comportement orienté arrêtSi le premier défaut n’a pas été détecté, on se retrouve sans redondance avec une forte probabilité que le système reste bloqué en fonctionnement lors du deuxième défaut (même composant donc même comportement).

Redondance parallèle active électrique = Deux contacts NO en parallèle commandent un préactionneur alimenté en fonctionnement normal.Comportement au 1er défaut : si un seul contact reste collé, le système est bloqué en fonctionnement. Si un seul contact reste ouvert, il y a fonctionnement et la défaillance est non vue.

Redondance parallèle active électrique = Deux contacts NF en parallèle commandent un préactionneur alimenté en fonctionnement normal.Comportement au 1er défaut : si un seul contact reste collé, le système est bloqué en fonctionnement. Si un seul contact reste ouvert, il y a fonctionnement et la défaillance est non vue.

Redondance parallèle active hydraulique = 2 pompes en // pour alimenter un circuit hydraulique. Les 2 pompes étant toutes les deux en fonctionnement simultané.

Comportement au 1er défaut : si une pompe est arrêtée, le fonctionnement est normal et la défaillance non vue.Dans tous ces cas si défaillance d’un des éléments « d’entrée » => comportement orienté fonctionnementSi le premier défaut n’a pas été détecté, on se retrouve sans redondance avec une forte probabilité que le système reste bloqué en arrêt lors du deuxième défaut.

Redondance homogène passive : L’idée est d’utiliser le composant en état de fonctionnement normal, l’autre est déjà prêt à fonctionner en cas de défaillance du premier (mais le deuxième ne fonctionne pas, donc ne s’use pas).On utilise alors un (ou plusieurs) composant(s) supplémentaire(s) de commutation pour commuter sur l’élément non défaillant. Ce composant, ne travaillant pas, ne peut pas être indisponible (au sens probabilité, à 99,9%). Par principe, on ne peut avoir de redondance série passive, vu que l’on commute d’un élément sur l’autre. C’est nécessairement une redondance parallèle.



Redondance homogène passive électrique = Deux contacts NO en parallèle commandent un pré actionneur alimenté en fonctionnement normal. L’organe de commutation est un contacteur tournant à deux positions stables.

Redondance homogène passive hydraulique = Deux pompes en parallèle pour alimenter un circuit hydraulique. L’organe de commutation est un contacteur tournant à deux positions stables. Leurs commandes étant séparées : Soit l’une soit l’autre.

La redondance série (donc active) est utilisée pour assurer principalement la priorité à l’arrêt. La redondance parallèle active est utilisée pour assurer la priorité à la marche.Les redondances actives participent principalement à l’amélioration de la sécurité.La redondance parallèle passive est utilisée pour assurer une action corrective rapide.La redondance parallèle passive est globalement une amélioration de la maintenabilité :

Dès la détection du défaut (surveillance nécessaire), il faut commuter sur l’autre composant valide = temps d’arrêt réduit. (D’où la surveillance automatique et la commutation automatique sur certains systèmes pour réduire le temps d’arrêt à quelques secondes : Fonctionnement en « cluster » dans le domaine informatique. Un fonctionnement similaire existe pour certains API).

Le composant inactif n’étant pas sollicité, cela augmente la fiabilité (durée de vie) après commutation. Le composant passif peut être changé sans perturber le fonctionnement.

La redondance parallèle active est globalement une amélioration de la fiabilité (et donc de la sécurité lorsque l’on cherche à obtenir le fonctionnement pour la sécurité) :

En électrique, si la défaillance des contacts est orientée vers l’ouverture du circuit (cas de certaines cartes de sorties automates), cela permet un fonctionnement normal sans interruption lors de la première défaillance d’un des deux contacts mais une surveillance est nécessaire car la redondance n’existe plus et au prochain défaut c’est l’arrêt.

En hydraulique, la défaillance d’une pompe n’entraîne qu’une perte de puissance, et assure donc au pire un fonctionnement « dégradé » ou un fonctionnement normal si une seule pompe suffit à fournir l’énergie mais une surveillance est nécessaire car la redondance n’existe plus et au prochain défaut c’est l’arrêt.

La redondance série est globalement une amélioration de la sécurité lorsque l’on cherche à obtenir l’arrêt pour la sécurité :

Au premier défaut, l’arrêt est prioritaire mais une surveillance est nécessaire car après le premier défaut non détecté, la redondance n’existe plus et au prochain défaut c’est le risque d’un blocage en fonctionnement (la sécurité n’est plus assurée !).

Redondance hétérogène : Le terme hétérogène fait référence au(x) composant(s) redondant(s) : Chaque composant ayant une fonction particulière, on peut assurer la même fonction que ce composant avec un autre (ou d’autres) composant(s) de technologies différentes. Si ce composant (ou cet ensemble) qui assure la même fonction est « assemblé » avec le composant initial pour assurer la même fonction globale, c’est ce que l’on appelle une redondance hétérogène. En ce qui concerne « l’assemblage », on retrouve les mêmes priorités que dans la redondance homogène.



Redondance hétérogène série : (priorité à l’arrêt) Le traitement de l’information « Appui sur AU » (appui physique sur l’arrêt d’urgence) est effectuée par le relais KAU et par l’API pour agir sur le « Relais d’autorisation » de la même façon. Les résultats de leurs traitements respectifs (contacts de sortie) sont en série avec le composant commandé.Remarque : Ici, seul le transport de l’information est assuré par cette redondance. Si le bouton d’AU est défaillant, ou si le relais d’autorisation est défaillant, l’arrêt peut ne pas s’effectuer.

Redondance hétérogène parallèle : (priorité à la marche) Le traitement de l’information « Niveau atteint » (niveau d’eau critique) est effectué par le relais KVid et par l’API pour agir sur le « Relais de pompe de cale » de la même façon. Les résultats de leurs traitements respectifs (contacts de sortie) sont en parallèle avec le composant commandé.Remarque : Ici, seul le transport de l’information est assuré par cette redondance. Si le capteur de niveau est défaillant, ou si le relais de pompe de cale est défaillant, le fonctionnement peut ne pas s’effectuer.

Conclusion sur les redondances hétérogènesLes redondances hétérogènes permettent un traitement différent de la même information d’origine. Cela permet d’éviter qu’un défaut puisse rendre défaillant en même temps (et donc de la même façon) les deux composants redondants. Ce type de défaut s’appelle un défaut de mode commun.Les deux redondances hétérogènes qui ont été présentées sont les même pour préciser la différence de type entre série et parallèle : redondance d’un relais et d’un API pour assurer la sécurité.Mais simplement, le fait de mettre deux capteurs de technologies différentes pour traiter la même information physique et donner une seule information logique est une redondance hétérogène. Exemple : Un capteur fin de course mécanique et un capteur photoélectrique (de type barrière) sont positionnés sur le même mobile au niveau du pare choc, pour obtenir la même information physique de détection d’obstacles. Ils sont câblés en série sur un module de sécurité de type Preventa (chariot de transport autonome). C’est donc une redondance hétérogène série.



Conclusion générale : En combinant les différents types de redondance, il est alors possible d’assurer à la fois la sécurité et la fiabilité et donc d’avoir un comportement sûr du système (Il est à remarquer que cette réflexion ne s’applique pas seulement aux systèmes automatisés mais à bien des domaines dès lors que l’on pense fonction… Ressources humaines comprises !). Les redondances sont coûteuses mais permettent d’améliorer largement la sûreté de fonctionnement , mais ce n’est pas le seul moyen d’y parvenir : rien ne pourra remplacer la réflexion de tous pour assurer une meilleure sûreté de fonctionnement dans tous les domaines. Par contre, il est très utile de connaître et de maîtriser les différentes techniques pour améliorer cette réflexion (redondance, surveillance, prévention, check-list, comportements, …) et indispensable pour comprendre le sens de certaines normes. Les normes sont là aussi pour rappeler et imposer cette réflexion sur les redondances surtout dans un but de sécurité. Exemples de normes exploitant la redondance:

norme EN292 sur la sécurité des machines et notions fondamentales, norme EN418 sur l’équipement d’arrêt d’urgence, norme EN1037 sur les préventions de la mise en marche intempestive, norme EN60204 sur l’équipement électrique des machines.

Remarque importante : Un mauvais usage des redondances peut avoir pour conséquence l’effet inverse de celui recherché…

58 – Comportement orienté et redondance : une application type : Les principales techniques de conception des systèmes sûrs visent à obtenir un comportement sûr, donc orienté vers la sécurité, lors de l’apparition d’une défaillance.Le principe de base est d’orienter le comportement de la chaîne d’action étudiée en cas de défaillance vers :

l’arrêt Sécurité positive la marche Disponibilité la sûreté totale combinaison des deux solutions précédentes

La démarche de l’obtention d’une chaîne d’action à défaillance orientée comporte plusieurs étapes : Définir le comportement souhaité pour la fonction : Sécurité orientée vers la marche, l’arrêt ou totale. Définir le comportement de l’effecteur : vanne en position de sécurité ouverte, ventouse en dépression par

exemple. En déduire le comportement à obtenir pour :

l’actionneur le préactionneur les sorties API l’architecture de la commande, choix du mode de fonctionnement de la commande (logique positive ou

négative) Choisir les constituants à comportement orienté en cas de défaillance, l’obtention d’un comportement monostable

repose sur les procédés physiques suivants : le rappel élastique (ressort, élastomère, gaz ...) la gravité la rupture mécanique ou de continuité

Vérifier que l’ensemble des choix retenus garantit bien le comportement souhaité

Comportement orienté et redondance sont souvent associés dans les chaînes d’action de fonctions de sécurité : sécurité d’un four à atmosphère contrôlée d’hydrogène vis-à-vis du risque d’explosion.Le risque d’explosion est dû à la présence d’hydrogène H2. Ce risque existe en fonctionnement comme à l’arrêt du four. La procédure de mise en sécurité du four est obtenue par un balayage à l’azote et un maintien en surpression.La fonction « alimentation en hydrogène » requiert un comportement orienté vers l’arrêt.La fonction de mise en sécurité du four est obtenue par la fonction « balayage à l’azote », fonction assurée par redondance active globale de l’ensemble de la chaîne fonctionnelle avec vanne à comportement orienté vers la marche.



N2

NO

NO

NF NF

59 – Séparation fonctionnelle : Le principe de la séparation fonctionnelle est la séparation des fonctions de sûreté des fonctions standards.Elle peut être appliquée soit à la partie commande soit à des chaînes complètes. Dans bien des cas, ce principe permet d’éviter des redondances tout en offrant un niveau de sûreté acceptable. Dans le cas d’une séparation fonctionnelle du traitement, celui-ci peut être assuré par un deuxième API standard ou de fiabilité améliorée.L’exemple suivant permet d’illustrer le principe de séparation fonctionnel. L’unité de traitement thermique est composée de 4 fours.La structure de commande de chaque four repose sur 2 critères : Séparation des fonctions de commande de

régulation et séquentielle. Séparation des fonctions standards et de sécurité. Pour le pilotage de l’unité, on a retenu les critères

suivant :o Séparation des fonctions de conduite et

de supervision du système.o Disponibilité de la fonction de pilotage

assurée par redondance du réseau.



VI – SURETE DE LA REDONDANCE :

Des risques comme celui de voir un fil coupé ou celui d'une erreur dans le logiciel d'application peuvent entraîner alors des défaillances bien plus critiques pour la disponibilité que celui d'une défaillance de commande.Il en résulte les règles pratiques suivantes:

1. La redondance ne dispense pas de l'application des règles de l'art (blindage, filtrage).

2. La redondance doit être associée à une grande qualité logicielle impliquant une assistance importante sur le cycle de vie logiciel (atelier logiciel).

3. La redondance doit être complétée par une surveillance adéquate de la chaîne redondante : Détection défaut de ligne. Retour préactionneur (contacts auxiliaires). Retour actionneur (capteurs d'intensité en électrique, de pression en hydraulique...). Retour d'état effecteur ou retour d'état PO.

Les avantages des solutions redondantes doivent être mis en relation avec les accroissements de coût induits.Certains modes communs de défaillance peuvent affecter toutes tes parties du système et concerner matériels et logiciels. C'est certainement l'un des aspects qui doit faire l'objet d'une analyse très approfondie avec mise en œuvre systématique de règles pratiques, telles que :1. Doubler tes alimentations d'API redondants et garantir une

sélectivité dans leur protection.2. Doubler les moyens de dialogue et/ou de supervision

(terminaux à liaisons indépendantes).3. Répartir sur des modules d'E/S distincts des entrées ou

sorties relatives à des chaînes redondantes.



Attention à la qualité des moyens et procédures : tous les éléments des chaînes fonctionnelles étant susceptibles de défaillance, la qualité doit être totale sur tous les éléments (et en particulier la connectique) mais aussi pour toutes les phases du cycle de vie : qualité de la conception, mais aussi de réalisation, de l'exploitation et de la maintenance, tant préventive que corrective (éviter le bricolage des liaisons, les modifications logicielles intempestives).

VII – MODES NÉGATIF, POSITIF ET COMBINÉ :

71 – Introduction : Le fonctionnement d'un composant de sécurité tel un interrupteur de position peut s'effectuer selon trois modes : le mode positif, le mode négatif ou le mode combiné.Les contacts entrant en jeu dans ce type de composants sont des contacts électriques liés mécaniquement.Ce sont des contacts ayant : Un lien mécanique entre les

contacts Un isolement minimum entres les

grains d’un contact ouvert, même en cas de soudure d’un contact fermé.

La liaison mécanique (guidage forcé) permet d’être sûr que les contacts NF et NO ne seront jamais fermés en même temps, quelle que soit la course. Il n’y a pas de recouvrement entre les courses d’activation / désactivation.

En cas de soudure d’un contact NF, les contacts NO ne doivent plus pouvoir se fermer lors de l’excitation de la bobine. En cas de soudure d’un contact NO, les contacts NF ne doivent plus pouvoir se fermer lors de la désexcitation de la bobine.

72 - Contacts de sécurité : manœuvre positive d’ouverture des contacts :



Cela concerne tous les contacts : capteurs, mais aussi relais (KAU par exemple).Un appareil de commutation électrique est dit à manœuvre positive d’ouverture des contacts si les contacts d’ouverture peuvent être amenés avec certitude à leur position d’ouverture : il n’y a pas de liaison élastique entre la tête d’attaque et les contacts.Conséquence : si les contacts sont collés, l’activation du capteur entraîne l’ouverture “ en force ” des contacts par enfoncement.

Liaison r igide

enf oncement descontacts

éventuel lementcol lés

73 – Le mode négatif : Fonctionnement du capteur en mode négatif : Machine en fonctionnement = capteur actionnéLes défauts possibles sont internes au capteur, ils ne peuvent pas être détectés par la maintenance préventive

74 – Le mode positif : Fonctionnement du capteur en mode positif : Machine en fonctionnement = capteur au reposLes défauts « invisibles » (internes au capteur) comme des contacts collés ou un ressort cassé ne conduisent plus à une situation dangereuse. Par contre, une maintenance préventive permet de s’affranchir des défauts dangereux présentés ci-dessous.

SI LE CAPTEUR EST UNIQUE, IL DOIT ÊTRE INSTALLÉ SELON LE MODE POSITIFCependant, il reste encore les défauts possibles du mode positif, qui peuvent conduire à des situations dangereuses.

75 – le mode combiné : Pour s’affranchir des défauts dus au mode positif seul, on peut utiliser le mode combiné : association des 2 modes positif et négatif. Le mode négatif n’est admissible que s’il est utilisé en combinaison avec un capteur en mode positif. Il permet d'éviter les défaillances de mode commun (même défaillance sur les deux capteurs).



VII – LES SOLUTIONS DE SECURITE :

81 – Problématique : A partir d’un risque identifié, comment assurer la sûreté de fonctionnement d’un système de production ? Cela revient à assurer la sécurité des personnes et des biens tout en assurant la disponibilité du moyen de production.Des dispositifs de protection sont donc nécessaires pour interdire l’accès à une zone dangereuse.

82 – Modules logiques de sécurité : Les modules logiques de sécurité sont des appareils qui s’intègrent dans les circuits de commande pour assurer la sûreté et la disponibilité des fonctions de sécurité. Leur câblage interne est réalisé en redondance et leur logique est autocontrôlée.Les modules de sécurité sont des éléments indispensables pour assurer sans risque de défaillance les fonctions de sécurité. Ils permettent de détecter les défauts de fonctionnement qu’une installation simple ne permet pas d’éviter.Ils effectuent à chaque cycle de fonctionnement une série de tests qui permettent de détecter toute défaillance des dispositifs de protection et des circuits associés. C’est ainsi qu’ils détectent :

tout défaut et court-circuit sur les câblages des organes de commande, tout collage d’un contact électrique dans un organe de service, la mise en court-circuit d’un contact de bouton d’arrêt d’urgence, le grippage d’un bouton d’impulsion de mise en marche, un courant de fuite à la terre.

L’association de la redondance et de l’autocontrôle dans certains modules de sécurité permet le classement des circuits de commande en catégorie 4.Après un premier défaut, l’autocontrôle signale le défaut et incite au dépannage tandis que la redondance permet d’assurer la fonction de sécurité.Les principales fonctions que les modules de sécurité peuvent ainsi surveiller sont :

l’arrêt d’urgence, les protecteurs mobiles (dispositifs de verrouillage et d’inter-verrouillage), les commandes bimanuelles, les barrières immatérielles, la détection de vitesse nulle, la rupture d’arbre ou de chaîne, les tapis et bords sensibles, etc.

Les modules de sécurité pilotent des contacteurs ou des relais de commande qui sont équipés de contacts liés mécaniquement ; l’insertion de ces contacts dans la boucle de retour assure la détection d’un défaut sur les sorties.Exemple d’intégration d’un module logique de sécurité dans un circuit de commande



Exemples d’application de modules de sécurité pour la fonction d’arrêt d’urgence.

Exemples de schéma pour protecteur mobile



83 – Les différents moyens de protection: Protection par éloignement : maintien du corps ou d’une partie du corps hors de la zone de danger. Exemples : protecteurs fixes, commandes bimanuelles.PROTECTION PAR CONTRÔLE D’ACCES PERIPHERIQUES : détection du franchissement du périmètre délimitant la zone de danger. Exemples : barrières immatérielles, cellules mono faisceau, protecteurs mobiles associés à un dispositif de verrouillage et/ou d’interverrouillage.

Distance de sécurité (EN 999) :Une distance de sécurité minimale S doit être respectée entre l’organe de service et la zone dangereuse.Cette distance permet d’adapter le temps d’accès au temps d’arrêt de l’élément mobile dangereux.

S ≥ K x (t1 + t2) + CS : Distance de sécurité en mm avec Smini = 100 mmK : Vitesse d’approche du corps humain dans la zone dangereuse (en mm/s)t1 : Temps de réponse global du dispositif (en secondes) (Données constructeur)t2 : Temps de mise à l’arrêt de la machine (en secondes)C : Distances supplémentaires (garde) (en mm)

La norme EN 999 donne les valeurs des paramètres K et C selon les dispositifs envisagés. PROTECTION de zone surfacique ou volumétrique : détection de la présence humaine dans la zone de danger. Exemples : Balayage de zone (radar), barrières immatérielles, plancher sensibles, ultrasons.PROTECTION par suppression du risque : mise ou maintien de la machine en sécurité. Exemples : Boutons « coup de poing », dispositifs à câble.

83 - Solutions de sécurité : GRILLES ET PROTECTEURS FIXES :Les protecteurs fixes sont utilisés pour veiller à la sécurité des opérateurs qui travaillent à proximité de zones dangereuses ou sur des machines dangereuses.Ils peuvent prendre la forme d’écrans, de couvercles ou de morceau de plastique.Avantages : protection permanente, durée de vie importante, faible investissement, pas de projections dangereuses.Inconvénients : accès à la zone à des fins de maintenance parfois difficile, peut être retiré sans détection.

PROTECTEURS MOBILES :La protection peut être fournie de 2 façons :Protecteurs mobiles avec dispositifs de verrouillage : L’ouverture du protecteur mobile entraînera l’arrêt de fonctionnement de la machine. Utilisation d’interrupteur de sécurité à clé captive, Détecteurs à commande magnétique.Protecteurs mobiles avec dispositifs d’interverrouillage : est utilisé lorsque le temps de mise à l’arrêt est supérieur au temps d’accès. (Installations robotisées, machines tournantes avec inertie). Le protecteur mobile ne pourra pas s’ouvrir tant que la machine ne s’est pas mise à l’arrêt ou qu’il y a toujours un danger présent.

Avantages : gain de place pour le contrôle d’accès, investissement faible, pas de projections dangereuses.Inconvénients : accès à la zone à des fins de maintenance parfois difficile, maintenance nécessaire.



COMMANDE BIMANUELLE : Cet équipement protège l’opérateur pendant la période de fonctionnement dangereux de la machine. (protection individuelle).Avantages : faible encombrement, faible investissement, installation facile.Inconvénients : ne garantit que la protection des mains, ne fonctionne que sur des machines à cycle, n’empêche pas l’accès par des tiers (protection individuelle).

EQUIPEMENT DE PROTECTION SENSIBLE OPTOELECTRONIQUE (OPSE) :Ces dispositifs sont des barrières photoélectriques composées de plusieurs faisceaux infrarouges qui sont alignés sur une barre de transmission et une barre de réception.L’interruption d’un faisceau unique suffit pour détecter une pénétration dans la zone dangereuse pour activer la barrière qui désactivera les relais de sortie (module de sécurité) reliés à l’arrêt d’urgence de la machine dangereuse.Choix d’un ESPE : hauteur et portée du faisceau, sensibilité et distance de sécuritéDifférentes sensibilités : ≤ 40 mm doigt ou main ≤ 70 mm main > 70 mm corps ou partie du corpsDes dispositifs de protection fixes complémentaires sont souvent nécessaires pour interdire complètement le passage.Remarque : Ce dispositif de protection n’est généralement pas adapté aux machines présentant un temps de mise à l’arrêt important. Ce type de contrôle d’accès ne garantit pas l’absence de personnel dans la zone contrôlée.Avantages : longues distances de balayage possible, grande immunité aux parasites électriques, à la lumière ambiante et aux projections de soudure.Inconvénients : distance de sécurité minimum, encombrement important, souvent nécessaire d’ajouter des protecteurs fixes.

DETECTION DE PRESENCE :DETECTEURS LASER : ils protègent une zone autour d’une machine dangereuse par un balayage rotatif. La zone balayée doit être bien délimitée.Dès qu’un objet de plus de 70mm de diamètre (ex. : jambe, pied) est détecté, le dispositif émet un signal d’arrêt pour le système de contrôle de sécurité de la machine.En outre, ces dispositifs offrent une fonction d’alarme anticipée lorsque des personnes s’approchent de la zone de danger. Ceci peut éviter les arrêts superflus parce que les gens sont avertis avant de pénétrer dans la zone dangereuse.Avantages : Zone de protection à forme complexe et modifiable à volonté. (grande zone), La zone d’alarme protège contre les arrêts non souhaités.Inconvénients : Sensible aux environnements pollués, prix élevé.



PLANCHERS DE SECURITE : ils protègent la zone qui entoure la machine dangereuse. Dès qu’une pression de 30kg minimum est atteinte (typiquement le poids appliqué en marchant dessus), l’unité de commande interrompt le cycle de la machine. Une distance de sécurité minimale S doit être respectée entre le tapis de sécurité et la zone dangereuse.Avantages : Robuste (résiste aux conditions environnementales difficiles : poussière, grandes particules, graisse), simple, grande durabilité, peu de maintenance.Inconvénients : Ne convient pas aux superficies importantes, la surface qui se trouve en dessous doit être plate.

DISPOSITIFS D’ARRET D’URGENCECOMMANDES D’ARRET D’URGENCE : En cas de danger, la machine interrompt son mouvement dangereux lorsque le bouton d’arrêt d’urgence est activé.Ces boutons doivent être placés en nombre suffisant autour de la machine pour être accessibles à tout le monde.

L’équipement d’arrêt d’urgence ne doit pas se substituer ni à un protecteur, ni à un dispositif de protection adéquat, ni à un dispositif de sécurité fonctionnement automatiquement. En revanche, il peut être utilisé comme complément à de tels dispositifs.Avantages : facile à utiliser, temps de réponse immédiat, souplesse d’installation.Inconvénients : exige une action volontaire, le choix de l’emplacement du dispositif par rapport à la zone de danger est essentiel (accessibilité), exige plusieurs dispositifs pour couvrir une grande superficie.

INTERRUPTEUR DE SECURITE A CABLE : les interrupteurs à câble fournissent un moyen d’arrêt manuel du système sur une grande machine ou une machine d’assemblage.Avantages : Visible, accessible de partout, grande longueur couverte, investissement relativement faibleInconvénients : exige une action volontaire.



IX – LA FONCTION SURVEILLANCE :

91 – Introduction : OBJECTIF : détecter et signaler une défaillance du système surveillé

INDICATEURS DE SURVEILLANCE:

Pour un processus : température, vibrations, débits, efforts, etc.Pour les constituants de la PO (actionneurs, préactionneurs, capteurs, etc.) :

soit le temps par rapport à un temps enveloppe mini ou Maxi (discordance temporelle) soit l’état logique (discordance d’état)

92 – Discordances : Une discordance peut être définie comme une incohérence logique entre un fonctionnement attendu et un fonctionnement observé.

921 - Discordances temporelles sur temps enveloppe : Exemple 1 : Surveillance du temps d’un cycle (Temps enveloppe Maxi = 20s)

Dans cet exemple, le temps enveloppe Maxi correspond à la durée Maxi entre le passage à la 1ère

étape du cycle (début du cycle) et le retour à l’étape initiale (fin du cycle).Remarque : à l’étape X62 peut être associée une alarme visuelle (Voyant) ou sonore (Sirène) ou un ordre de forçage.

Exemple 2 : Surveillance de l’exécution normale d’une action (3C+) par la détection de 4 discordances temporelles sur temps enveloppe (mini/Maxi).

Définition des temps enveloppe de référence : Temps t1 : temps mini

pour effectuer la sortie de tige du vérin 3C

Temps t2 : temps maxi pour effectuer la sortie de tige du vérin 3C

Temps t3 : temps maxi pendant lequel le capteur 3s0 peut demeurer à l’état 1 alors que X10 = 1

Partie Opérative GFN

Discordance de réceptivité du capteur 3s1 : Cette discordance sera détectée par le temps enveloppe mini de l’action 3C+ (t1).Le défaut D1 permet de surveiller le bon fonctionnement de la mise à 1 3s1, qui dans ce cas s’effectue trop tôt. En cas de défaut, la défaillance se situe sur la chaîne d’acquisition de 3s1. Il y a un problème sur le capteur ou des parasites sur la liaison entre le capteur et l’API.


10

11

16

60

61

62 Alarme DTcy

X11

21s/x61X10

Acquittement défaut

3v14 3v12

3s0 3s1

3C-12

3C+10

11

3C+

sm

3s1

10

11

3C+

sm

101 D1

3s1.(t1/X10)

3s1./(t1/X10)


Discordance d’exécution de l’action 3C+ : Cette discordance sera détectée par le temps enveloppe Maxi de l’état du capteur 3s0 (t3).le défaut D2 permet de surveiller l’exécution de la sortie de tige 3C+. Il y a présence de l’information « vérin rentré » t3 secondes après la demande de l’ordre de sortie. En cas de défaut, la défaillance se situe sur la chaîne d’action de 3C+.

Discordance de durée de l’action 3C+ :Cette discordance sera détectée par le temps enveloppe Maxi de l’action 3C+ (t2).Le défaut D3 permet de surveiller le bon fonctionnement de la sortie de tige de 3C ou l’état de 3s1. Le vérin est sorti mais il est bloqué au milieu de sa course ou le capteur 3s1 est HS. En cas de défaut, la défaillance se situe sur la chaîne d’action de 3C+ ou sur la chaîne d’acquisition de 3s1.

Discordance d’arrêt de l’action 3C+ : Cette discordance sera détectée par le temps enveloppe mini t4 de l’état du capteur 3s1 correspondant au changement d’état du capteur (passage de 1 à 0 dans un temps très court).3s1 passe à 0 avant la demande de l’ordre de rentrée.Le défaut D4 permet de surveiller un éventuel défaut du capteur 3s1 ou un mouvement anormal du vérin.

Détection et traitement des discordances par aiguillages sur le GFN : (détection et traitement des défauts D1, D2 et D3).


10

11

3C+

sm

101 D2

10

11

3C+

sm

101 D3

11

12 3C-

3s1. t1/X10

101 D4

10 3C+

sm

15

400

D3301D2201

3C+

01

D110111

10

t4/X11 /3s1

3s1.t1/X10 3s1./(t1/X10)

B1

3s0.t3/X10 t2/X10

B2 B3

Acquit défautALARME


Détection et traitement des discordances par traitement combinatoire : (en langage à contacts par exemple) : détection et traitement des défauts D1 et D4.

922 - Discordances d’état ou discordances logiques:

Discordance d’antivalence : L’antivalence est un procédé de recherche de discordance par redondance complémentaire à partir par exemple de 2 capteurs différents ou de 2 contacts à fermeture (NO) ou à ouverture (NF) d’un même capteur. Pour s’affranchir des aléas d’asynchronisme, il est recommandé de valider la discordance d’état par une temporisation permettant de prendre en compte le temps de commutation des contacts.

API GRAFCET de SURVEILLANCE

Description du fonctionnement : le GRAFCET de surveillance démarre à chaque changement d’état physique du capteur (actionnement ou relâchement). Si au bout du temps de commutation des contacts, ceux-ci sont dans le même état, il y a défaut sur le capteur.

Discordance de cohérence (ou test de cohérence) : la cohérence est un procédé de recherche de discordance d’état par redondance de 2 contacts de même nature à partir par exemple de 2 capteurs différents ou d’un même capteur (2 contacts à fermeture « F » (NO) ou 2 contacts à ouverture « O » (NF)). De même que pour l’antivalence, il est nécessaire de valider la discordance par une temporisation.

Description du fonctionnement : le GRAFCET de surveillance démarre à chaque changement d’état physique du capteur (actionnement ou relâchement).

API GRAFCET de SURVEILLANCE

Si au bout du temps de commutation des contacts, ceux-ci sont dans des états différents, il y a défaut sur le capteur.


B4S

3s1X11

SB1t1/X103s1X10

Entr

ées

API

capteure1

e2

20

21

22

t1/x21 . (e1. /e2)+(/e1.e2)

t1/x21 . (e1.e2)+(/e1./e2)

acquittement

DEFAUT Discordance d’antivalence

(e1+e2) + (e1+e2)

Entr

ées

API

capteure1

e2

20

21

22

T1/x21 . (e1. /e2)+(/e1.e2)

T1/x21 . (e1.e2)+(/e1./e2)

acquittement

DEFAUT Discordance de cohérence

(e1+e2) + (e1+e2)


Discordance de commande ou d’action :

Exemple 1 : Surveillance du bon fonctionnement d’un actionneur et de son préactionneur. La sortie S1 est activée à une étape Xi d’un grafcet.

Discordances :Si /e11.t/Xi alors, il y a « DEFAUT 1 ». Le préactionneur ne permet pas la fermeture du contact e11. Les défaillances se situent au niveau de la liaison API préactionneur ou du préactionneur lui-même.

Si /e12.t/Xi alors, il y a « DEFAUT 2 ». L’actionneur ne permet pas la fermeture du contact e12. Les défaillances se situent au niveau de la liaison préactionneur actionneur ou de l’actionneur lui-même.

Exemple 2 : Surveillance du bon fonctionnement de la chaîne fonctionnelle d’une action.Partie Opérative

Diagnostic de défauts sur discordances :

GFN

si X1./3s0 = 1 alors « DEFAUT 1 » si X1./sm = 1 alors « DEFAUT 2 » si X2./3s1 = 1 alors « DEFAUT 3 » si X3./3s0 = 1 alors « DEFAUT 4 » si /sm./3s1/3s0 =1 alors « DEFAUT PC »


EN

TRE

ES

e11

e12

SO

RTI

ES

A.P

.I.

PréactionneurS1

Actionneur

3v14 3v12

3s0 3s1

3C+3C-2

3

3C+

Sm . /3s1 . 3s0

3s1 . /3s0

3C-12

3s0 . /3s1

1


93 – Dynamisme : Le principe du dynamisme est de contrôler périodiquement si un composant est toujours en état de fonctionnement, test de vie, ou bien de le solliciter en permanence par un signal électrique haute fréquence par exemple.Prévention des pannes « dormantes » par test de vie. Exemple : mise en fonctionnement périodique des vannes anti-incendie (hypermarché, usine ou entrepôt avec stockage de produits inflammables…).

Test de vie passif : observation pendant un laps de temps de l’état du composant dont l’état doit changer, principe de l’homme mort.Test de vie actif :Par pilotage de la fonction et observation de la réaction. Ce test est principalement utilisé pour les chaînes d’action.Par traitement du signal de sortie. Pour piloter le préactionneur, le signal Ox,y émis par l’API est de type carré. Ce signal est redressé (signal continu S(t)) et commande le préactionneur. Si le signal Ox,y est défaillant (reste à 0 ou à 1), S(t) est nul _ pas de commande.


3

4

=1

10 Défaut Vanne

2 Ov 1

t1/X1.vanne fermée)

1

Vanne « en vie »

Ov 0

Procédures à définir -arrêt programmé -arrêt de sécurité ….

. t2/X2

t1 = périodicité des testst2 = temps limite d’ouverture vanne

E S

Vanne NFVf Vo

0v

API

Vf

Vo

Vf


X – CONCEPTION DES SYSTEMES SURS : La conception de systèmes sûrs repose sur quatre principes : voir l’organigramme de la page suivante.

SPECIFIER le besoin de sûreté, IDENTIFIER les fonctions de sûreté, SEPARER les fonctions de sûreté des fonctions standards, DEFINIR une architecture de sûreté, RECHERCHER pour chaque fonction de sûreté une solution adaptée au besoin, et au coût juste nécessaire.

La démarche proposée a pour but d’assurer, par conception, la sûreté du système automatisé pour la totalité de son cycle de vie. Pour chaque point de vue, l’analyse est la même :

ETABLIR le cahier des charges selon le point de vue considéré (produit, production...)

ANALYSER les risques DEFINIR les chaînes de sûreté RETENIR une solution adaptée AMELIORER la sûreté par des dispositions

compensatrices VALIDER la solution (revue de projet)

Cette démarche, développée dans l’EN 292 "Sécurité des machines", permet une construction progressive et itérative du besoin de sûreté.



Principe général de conception d’un système sûr :



Organigramme « Démarche Sûreté » :



Grille EN 292 « Concevoir une machine sûre »



Arbres de solutions de sûreté selon un point de vue processus



Arbre de solutions de sûreté selon un point de vue P.O.



Arbre de solutions de sûreté selon un point de vue P.C.



I – STRUCTURE GENERALE D’UN SYSTEME AUTOMATISE... · Web viewIl faut noter que le manque...

Documents

Transcript of I – STRUCTURE GENERALE D’UN SYSTEME AUTOMATISE... · Web viewIl faut noter que le manque...