Conception de systèmes de commande relatifs à la … · 2016-01-07 · Référentiels normatifs. Actuellement, deux référentiels cohabitent pour traiter des systèmes de commande

Conception de systèmes de commande relatifs à la sécurité

Partie 1

INRS-IET/SSA J. BAUDOIN, J-P. BELLO

CARSAT N-P - Rdv de la prévention – juin 2014

CARSAT N-P - Rdv de la prévention – juin 2014 2

Un système de commande de sécurité ? quand ? pourquoi ? Contexte réglementaire et normatif La norme NF EN ISO 13849-1

Présentation NS 302 : "Aborder la norme NF EN ISO 13849-1 via la

conception d'une fonction de sécurité basique"

Point sur les apports et limites du logiciel SISTEMA

Sommaire


► Un système de commande de sécurité est une partie du système de commande d'une machine qui participe à la mise en œuvre d'une ou plusieurs fonctions de sécurité

Système de commande d'une machine

Fonctions de commande "standard" indispensables au fonctionnement de la machine (marche, arrêt, montée, descente, avant, arrière, rotation, …)

Fonctions de sécurité - Le cas échéant - Non nécessaires au fonctionnement de la machine - Principalement des fonctions d'arrêt et/ou de maintien à l'arrêt - Agissent sur les éléments mobiles de la machine qui présentent un danger potentiel pour les opérateurs

Un système de commande de sécurité ?


Un système de commande de sécurité, quand ?

►Positionnement au sein du processus itératif de réduction

du risque (NF EN ISO 12100 – INRS ED 6122)

Analyse du risque

Evaluation du risque

La mesure de prévention dépend-elle du système de

commande ?

Mise en œuvre de moyens de protection - protecteurs fixes

- protecteurs mobiles - dispositifs de protection

Processus itératif de conception des parties d'un système de

commande relatives à la sécurité

OUI

NON



► Exemple ►Analyse/évaluation du risque

► Identification des éléments mobiles potentiellement dangereux

► Identification des différentes phases de vie et modes de fonctionnement de la machine

► Identification des interventions de(s) l’opérateur(s) : fréquence, durée, …

► …



► Exemple ►Analyse/évaluation du risque

►Mise en œuvre de moyens de protections

► Protecteurs fixes

► Protecteurs mobiles avec dispositif de verrouillage ou barrière immatérielle

►Identification des moyens de protections mettant en œuvre le circuit de commande de la machine ►Conception d'une partie de système de commande relative à la sécurité

► Vitesse réduite avec cde à action maintenue


Un système de commande de sécurité, pourquoi ?

►Quid d'une défaillance du système de commande qui gère

une fonction de sécurité ►Réalisation d'une fonction de sécurité. Dans l'exemple précédent :

Arrêt et maintien à l'arrêt de tous les axes du robot en cas de franchissement de la barrière immatérielle.

►Que se passe-t-il en cas de défaillance d'un élément ou d'une partie du circuit de commande qui gère cette fonction ?

Perte de la fonction de sécurité ?

Situation dangereuse !

►Directive "Machines" 2006/42/CE – Annexe I ►EESS 1.2 – SYSTEMES DE COMMANDE

► EESS 1.2.1 – Sécurité et fiabilité des systèmes de commande Extrait :

Contexte réglementaire et normatif


►Référentiels normatifs Actuellement, deux référentiels cohabitent pour traiter des systèmes de commande de sécurité des machines

►NF EN 62061 : Sécurité des machines - Sécurité fonctionnelle des systèmes de commande électriques, électroniques et électroniques programmables relatifs à la sécurité

►NF EN ISO 13849-1 et 2 : Sécurité des machines – Parties des systèmes de commande relatives à la sécurité

►Partie 1 : Principes généraux de conception

►Partie 2 : Validation

Remplace la NF EN 954-1

A terme, un seul référentiel sera utilisé !

Contexte réglementaire et normatif


INRS - NS 305

►Champ d'application ► Conception et intégration des parties des systèmes de commande

relatives à la sécurité (SRP/CS)

► Tous types de machines et d'énergies utilisés (électrique, hydraulique, pneumatique, mécanique, etc.)

►Méthodologie ► Spécifier une (des) fonction(s) de sécurité (Objectif à atteindre)

►Exigences fonctionnelles

►Exigences d'intégrité de sécurité (niveau de performance requis PLr)

Contribution du circuit de commande à la réduction du risque

► Concevoir et/ou intégrer une (des) SRP/CS

► Evaluer le niveau de performance PL atteint (pour la partie matérielle)

► Effectuer les tests fonctionnels

La norme NF EN ISO 13849


► Spécification des exigences fonctionnelles de la fonction de sécurité (FS)

La norme NF EN 13849-1 - Spécification


►Définir le niveau de performance de sécurité requis PLr pour la fonction de sécurité

►Exigence formalisée dans une norme de type "C" Exemple pour la norme de conception des robots ISO 10218-1 : 2011

La norme NF EN 13849-1 – PLr


Risque important Risque faible

PLa PLb

PLc PLd PLe

►Utilisation de l’annexe A de la norme

La norme NF EN 13849-1 – PLr

Evolution probable : Prise en compte de la probabilité d'occurrence de l'événement dangereux


14

EC2011-001 - Exemples didactiques de fonctions de sécurité de faible complexité

Origine > Besoin des PME, TPE qui conçoivent des machines intégrant seulement une ou

quelques fonctions de sécurité basiques (arrêt d'urgence, protecteur mobile, …) > Peu de formation, des référentiels techniques pas ou peu connus et mal maitrisés

Objectif > Se donner les moyens de guider les concepteurs devant réaliser de telles fonctions

de sécurité Méthode

> Fournir des outils sous forme de tableaux et graphes afin de simplifier la lecture et l'utilisation de la norme

> Traiter quelques fonctions de sécurité basiques en utilisant la "méthode simplifiée " préconisée par la norme 13849-1

> Fournir les détails de la conception et les commentaires pertinents Valorisations

> Publication d’une « Note Scientifique et technique » : NS 302 : Aborder la norme NF EN ISO 13849-1 via la conception d’une fonction de sécurité basique

> Communication au SIAS 2012 – Montréal (Safety of Industrial Automated Systems)

Présentation étude "13849-1" – NS 302


15

PL : Les exigences de la norme 13849-1


►Catégories ► 5 catégories : B, 1, 2, 3 et 4

►Architectures ► Un seul canal fonctionnel (simple

canal)

► Un canal fonctionnel + un canal de test (autocontrôle)

► Deux canaux fonctionnels (redondance + autocontrôle)

16



►Fiabilité des composants ► MTTFd (année): Temps moyen avant défaillance dangereuse (Mean Time To

dangerous Failure). Pour les composants simples cette valeur est soit : ► Issue directement des données du fabricant du composant

►Calculée à partir du B10d : Nombre de manœuvres jusqu'à ce que 10% des composants soient défaillants dangereusement

► Issue des données par défaut de l'annexe C de la norme 13849-1

► 3 niveaux définis pour utiliser la méthode simplifiée : ► Faible (3 à 10 ans), moyen (10 à 30 ans) ou élevé (30 à 100 ans)

17



►Diagnostic (autocontrole) ► DCavg (%): Couverture de diagnostic moyenne (Diagnostic Cover average)

►Valeur qui est fonction du type de mesures mises en œuvre pour assurer le diagnostic

►Une estimation de la DC est proposée en annexe E de la norme (parfaitement adaptée pour la majorité des cas)

►Une information du fabricant du composant est disponible pour certaines applications spécifiques (blocs logiques de sécurité, cartes d’entrées de composants de sécurité, …)

► 4 niveaux définis pour utiliser la méthode simplifiée : ► Nulle (< 60 %), faible (de 60 à 90 %), moyenne (de 90 à 99 %) ou élevée (≥ 99

%)

18



►Prise en compte des défaillances de cause commune ► CCF : Défaillances de cause commune (Common cause failure)

►Définition : « Défaillances qui affectent plusieurs entités à partir d’un même événement et qui ne résultent pas les unes des autres »

►Applicable uniquement aux catégories 2, 3 et 4

► Notation des mesures mises en œuvre pour empêcher les CCF ►Utilisation de l’annexe F de la norme

►Notation de 0 à 100

►Un score minimum de 65 est nécessaire pour satisfaire les exigences de la norme

19



►Prise en compte des défaillances systématiques ► Définition : « Défaillance associée de façon déterministe à une certaine cause,

ne pouvant être éliminée que par une modification de la conception ou du processus de fabrication, des procédures d’exploitation, de la documentation ou d’autres facteurs appropriés »

► Mesures à mettre en œuvre ►Utilisation de l’annexe G de la norme

►Choix des matériaux, composants utilisant des principes éprouvés

►Respect des règles de mise en œuvre préconisés par les fabricants

►Respect des règles de l’art (respect des normes de conception ex: électrique 60204-1, hydraulique, pneumatique, …)

►Autres préconisations ► Périodicité des fonctions d’autocontrôle

► Réaction de la fonction en cas de défaillance

►Création de 5 tableaux ► Un tableau pour chaque niveau de PL

► Pour utilisation de la procédure simplifiée (tableau 7 de la norme)

► Regroupement sur chaque tableau de toutes les préconisations communes à un même niveau de PL

► Permet, lorsque le PLr est déterminé d'avoir une vision globale et rapide de toutes les possibilité de conception (architectures) du circuit de commande ainsi que les conséquences sur les choix des matériels (MTTFd et DC)

► Permet, lorsque le choix de la catégorie est effectué, de regrouper dans une seule colonne, les exigences principales relatives à cette catégorie

20

NS 302 – Outils - Tableaux de préconisation


PL a

►Création de 5 tableaux ► Un tableau pour chaque niveau de PL

21



PL a PL b PL c PL d PL e

22

► Evolution par rapport au référentiel précédent


►Constat : on retrouve toutes les exigences de la norme EN 954-1


et le respect des règles de l'art (EN 60204-1 pour l'électrique, …)

23

► Evolution par rapport au référentiel précédent


►Constat : on retrouve toutes les exigences de la norme EN 954-1


►Une couche supplémentaire de quantification des données

et le respect des règles de l'art (EN 60204-1 pour l'électrique, …)

►Modèle général de structure logique d'un SC/FS (circuit de commande de la fonction de sécurité)

►Cas le plus fréquent : Création de trois entités logiques

►Possibilité de décliner ces entités logiques en une ou plusieurs SRP/CS suivant le matériel envisagé

NS 302 – Conception d'un SC/FS



Processus général de conception d'un SC/FS en vue d'atteindre un PL requis

NS 302 – Choix de conception/intégration

►Application à l'exemple du robot ► Intégration de SRP/CS de PL connu (branche de gauche du graphe)

►Réalisation d'une structure logique

NS 302 – Intégration de SRP/CS de PL connu


Entrée (I) Dispositif de détection de l'opérateur

Sortie (O) Interface de

commande du robot

Traitement (L) Logique électrique

pour agir sur l'interface du robot

Actionneurs : Moteurs d'axes

Partie standard Sélection du mode de fonctionnement, …

Commande des axes du robot

►Application à l'exemple du robot ►Spécification de chaque partie logique

►Attribution à des SRP/CS de PL connu



Spécification (I)

Fonctionnelle Champs de détection Capacité de détection

Temps de réponse Interface Out.(v, a, …)

Réarmement Conditions d'ambiance

PLr ≥ PL d

Spécification (L)

Fonctionnelle Equation logique tenant

compte du mode de fonct. Contrôles …..

Temps de réponse Interface In/Out.(v, a, …) Conditions d'ambiance

PLr ≥ PL d

Spécification (O)

Fonctionnelle Fonction STO (arrêt

catégorie 0) Priorité ordres standards

Temps de réponse Interface In.(v, a, …)

Conditions d'ambiance

PLr ≥ PL d

SRP/CS (I)

PLr ≥ PL d

SRP/CS (L)

PLr ≥ PL d

SRP/CS (O)

PLr ≥ PL d

►Application à l'exemple du robot ►Matériel envisagé



STO

Barrière Immatérielle

Données Constructeur - Spécifications fonctionnelles = OK - PL e ≥ PL d

Module de sécurité programmable

Données Constructeur - Spécifications fonctionnelles = OK - PL e ≥ PL d

Carte de sécurité robot Données Constructeur - Spécifications fonctionnelles = OK - PL d ≥ PL d

►Application à l'exemple du robot ►Déterminer le PL résultant de la fonction de sécurité



Attention, cela n'est pas fini !

►Application à l'exemple du robot ►Prendre en compte les mesures nécessaires pour couvrir les

défaillances systématiques

►Dans le cas de l'intégration de composants ►Respect des règles générales de mise en œuvre des composants définies

dans les notices des constructeurs (Protections correctement calibrées, charges admissibles sur les contacts de sorties, longueur et nature des câbles, protections environnementales, …)

►Respect des règles de l'art (EN 60204-1, …)



►Application à l'exemple du robot ►Appliquer les règles spécifiques de mise en œuvre des

composants ►Choix de câblage ou de paramétrage

►pour tenir compte des spécifications prévues et/ou des contraintes liées au niveau de performance revendiqué par le composant

►Programmation



Le niveau de performance de la partie matérielle n'est pas suffisant pour s'assurer du niveau de performance d'une

fonction de sécurité lorsqu'elle est assurée pour partie par du paramétrage ou de la programmation

Attention aux niveaux de performance revendiqués par les fournisseurs de composants qui dépendent du câblage ou du

paramétrage. Ex : PLr - Jusqu'à PLe

NS 302 – Conception d'une SRP/CS


A suivre … Conception d'une SRP/CS

Documents

Conception de systèmes de commande relatifs à la … · 2016-01-07 · Référentiels normatifs. Actuellement, deux référentiels cohabitent pour traiter des systèmes de commande