Guide de Sécurité - Leroy-Somer · 4 La fonction de sécurité Absence sûre du couple (Safe Torque Off - STO) est conforme à la norme CEI 61800-5-2 et intégrée en standard aux

Guide de Sécurité

4545 fr - 2010.06/ a

Absence sûre du couple- Safe Torque Off -

CEI 61

800-5

-2STO

a.c.

3www.leroy-somer.com

Table des matières

Page

1 Présentation rapide 4

2 Principes de conception sécuritaire des machines 6

Principes généraux 6

Évaluation des risques 6

Responsabilités 7

Normes applicables au contrôle/commande des machines 7

Informations sur le niveau d’intégrité de sécurité (SIL) et données dérivées 8

3 Contrôleurs de sécurité avec composants électromécaniques 9

Principes généraux 9

Emplacement des contacteurs par rapport aux variateurs 10

4Fonction Absence sûre du couple (Safe Torque Off) - Principes de fonctionnement

11

Principes 11

Capacité 12

Restrictions 13

Déclarations de conformité et conformité aux normes 13

Pourquoi la fonction Absence sûre du couple (Safe Torque Off) n’utilise ni relais, ni signal de retour?

14

5 Application de la fonction Absence sûre du couple (Safe Torque Off) 16

Verrouillage monocanal avec retour 17

Verrouillage double-canal avec retour 19

Utilisation d’un contacteur pour un second canal 20

Dispositif de freinage électronique pour un arrêt rapide 21

6 Application des normes 22

7 Applications Ascenseur 22

8 Compatibilité avec les sorties logiques de sécurité 23

9 Branchement en parallèle 23

10 Caractéristiques 23

11 Autorisations de conformité 25

12 Glossaire 25

13 Références 27

4 www.leroy-somer.com

La fonction de sécurité Absence sûre du couple (Safe Torque Off - STO) est conforme à la norme CEI 61800-5-2 et intégrée en standard aux variateurs Unidrive SP et Digitax ST de LEROY-SOMER. Elle permet de verrouiller la sortie du variateur de sorte que celui-ci ne transmette aucun couple au moteur. En l’absence de +24V sur l’entrée “déverrouillage” ou lors d’une défaillance d’un seul composant, le variateur est verrouillé avec un niveau d’intégrité élevé. Seulement la combinaison improbable de trois défauts de composants pourrait permettre son déverrouillage. Dans une application relative à la sécurité des machines, le variateur peut alors servir d’élément de commande fi nal et empêcher tout fonctionnement inattendu du moteur. Généralement, le variateur est intégré à un système de verrouillage qui remplace les confi gurations conventionnelles des contacteurs avec un verrouillage éléctrique.

L'entrée de déverrouillage fonctionne exactement de la même manière qu'une entrée standard non sécurisée et peut donc être utilisée pour toutes les applications usuelles. Elle se distingue seulement des autres entrées de par son niveau d'intégré élevé qui lui permet d'assurer des fonctions de sécurité.

La fonction STO offre un niveau de fi abilité supérieur à celui des dispositifs électromécaniques monocanaux, tels que les contacteurs. Comparable à un contacteur offrant un niveau d'intégrité élevé et monté directement à la sortie du variateur, cette fonction présente des avantages supplémentaires appréciables : aucune pièce mobile, pas de coût supplémentaire ni d'arc électrique entre les contacts si le variateur est verrouillé en charge. Elle permet d'éliminer les contacteurs, y compris les modèles spéciaux conçus pour la sécurité, des systèmes au sein desquels la prévention de toute mise en marche non souhaitée est essentielle afi n d'éviter tout risque intempestif ou dommages coûteux pour les installations ou les équipements.

L'expression « Absence sûre du couple » (Safe Torque Off) est défi nie par la norme applicable aux fonctions de sécurité des variateurs à vitesse variable, CEI 61800-5-2 (EN 61800-5-2). Avant la publication et l'entrée en vigueur de cette norme, cette fonction existait déjà sur les produits Unidrive SP de LEROY-SOMER, mais elle était appelée “Déverrouillage sécuritaire“ (Secure Disable). Ces deux appellations désignent exactement la même fonction de sécurité, à savoir la fonction grâce à laquelle le variateur ne permet pas au moteur de générer un couple, avec l'assurance d'un niveau d'intégrité élevé lorsque l’entrée « Déverrouillage » est déconnectée ou réglée sur une valeur de logique « basse ».

1 Présentation rapide

Unidrive SP Digitax ST


Note sur les fonctions d'arrêt d'urgenceLa fonction STO n’est pas fonction d'arrêt d'urgence. En fonction des normes et des exigences applicables pour une application donnée, il est possible d'utiliser cette fonction au sein d'un système d'arrêt d'urgence. Néanmoins, elle est initialement conçue pour être utilisée dans une confi guration de contrôle de sécurité dont l’objectif est d'éliminer tout risque de danger, sans recourir à un arrêt d'urgence. Une fonction d'arrêt d'urgence est souvent intégrée sur les machines pour permettre à un opérateur qui doit faire face à un danger imprévu de réagir afi n d'éviter un accident.

Les exigences de conception pour une fonction d'arrêt d'urgence sont différentes de celles applicables à un dispositif de verrouillage sécurisé. En effet, ce type de fonction doit généralement être totalement indépendant de toute commande complexe ou « intelligente » et ne peut, dans certains cas, utiliser que des dispositifs électromécaniques pour couper l'alimentation, c'est pour cela que la fonction STO ne convient pas. Avertissement important

La conception de systèmes relatifs à la sécurité exige des connaissances spécialisées. Pour garantir la sécurité d'un système de contrôle complet, celui-ci doit être entièrement conçu conformément aux principes de sécurité établis et reconnus. L'utilisation de sous-systèmes individuels, tels que des variateurs avec une fonction Absence sûre du couple (Safe Torque Off), destinés aux applications relatives à la sécurité, ne constitue pas à elle seule une garantie de la sécurité du système complet.

Les informations fournies dans ce document sont destinées à guider l'utilisateur dans l'application de la fonction Absence sûre du couple (Safe Torque Off) des variateurs LEROY-SOMER, et à donner des indications générales concernant la conception de systèmes relatifs à la sécurité et dédiés au contrôle des machines. Ce guide ne prétend pas couvrir intégralement le sujet abordé. Des références détaillées sont données à la fi n de l'ouvrage. Les informations fournies sont considérées exactes et conformes aux pratiques établies au moment de l'impression. Il incombe au concepteur de l'application ou du produit fi nal de s'assurer que celui-ci est sécuritaire et conforme aux réglementations en vigueur.

La section 2 de ce guide présente les principes de conception des fonctions de sécurité des machines, tandis que la description de l'équipement dans le contexte d'utilisation est détaillée dans les sections suivantes. Si vous connaissez déjà ces principes, vous pouvez passer directement à la section 3.

Pour plus d'informations sur les familles de variateurs Unidrive SP et Digitax ST, consultez les documentations sur internet: www.leroy-somer.com


Principes générauxLa conception de machines sécuritaires est un processus complexe qui exige, dès l'étude, une attention particulière. Cette section fournit une brève description destinée à expliquer comment l'utilisation de la fonction Absence sûre du couple (Safe Torque Off) des variateurs LEROY-SOMER s'inscrit dans le cadre plus global de la conception de machines sécuritaires.

Évaluation des risquesPlusieurs mesures permettent de s'assurer du niveau de sécurité qu'offre une machine. Dans la mesure du possible, la machine doit être conçue pour offrir une sécurité maximale, ce qui signifi e que tous les dangers sont éliminés lors de sa conception de base. Néanmoins, il arrive souvent que certains risques inacceptables persistent et doivent être réduits via l'application de mesures de contrôle adaptées, qui peuvent être de type pneumatique, hydraulique, électrique, ou encore d'autres méthodes de pilotage. Il peut s'agir de différents dispositifs de verrouillage ou de protection qui bloquent le fonctionnement de la machine en cas de possibilité d'entrée ou d'accès (par exemple, via l'ouverture d'une porte de sécurité, etc.). L'utilisation de fonctions plus complexes peut aussi parfois s'avérer nécessaire, notamment une limitation de la vitesse ou le blocage de certaines opérations suivant l'état de la machine.

Pour s'assurer de la sécurité de l'intégralité de la conception, la machine doit être soumise à une évaluation des risques. Cette évaluation prend en compte l'effet des fonctions de sécurité sur le système de contrôle en examinant le risque global qui existe pour chaque danger potentiel.

Pour assurer la mise en oeuvre de la Directive Machines de l'Union Européenne, plusieurs normes européennes harmonisées (EN) défi nissent les principes essentiels de la procédure applicable à la conception de machines sécuritaires et à l'évaluation des risques. Ces normes sont appelées les « normes A » et sont associées à d'autres normes plus détaillées consacrées à des aspects spécifi ques de la sécurité « normes B » ou à des types spécifi ques de machines « normes C ». Ces normes proviennent toutes de l'organisme de réglementation international ISO et ont été adoptées directement sous l'appellation de normes EN pour permettre leur application conformément à la Directive Machines de l'Union européenne.

“Normes A » :

EN ISO 12100–1 Sécurité des machines — Notions fondamentales et principes généraux de conception Partie 1 : Terminologie de base et méthodologie

EN ISO 12100–2 Sécurité des machines — Notions fondamentales et principes généraux de conceptionPartie 2 : Principes techniques

EN ISO 14121-1 Sécurité des machines. Évaluation des risques. Principes

ISO TR 14121-2 Sécurité des machines. Évaluation des risques. Lignes directrices pratiques et exemples de méthodes (Cette proposition de norme était destinée à compléter la norme ISO 14121-1, mais comme elle n'est pas encore acceptée par certains organismes de réglementation de la sécurité, elle conserve seulement le statut de Rapport technique et n'a pas été harmonisée.)

2 Principes de conception sécuritaire des machines


L'évaluation initiale des risques doit indiquer si des risques inacceptables existants doivent être réduits. En général, l'évaluation initiale des risques ne comporte pas de mesure de contrôle. Le cas échéant, des mesures de réduction des risques peuvent être ajoutées et, dans ce cas, la conception de la machine peut continuer jusqu'à ce que le risque considéré atteigne un niveau acceptable. C'est aussi au cours de cette évaluation que les exigences en matière d'intégrité du système de contrôle de sécurité sont défi nies.

ResponsabilitésÉtant donné ce qui précède, il est important de bien comprendre la répartition des responsabilités concernant la sécurité de la machine. Le fabricant de la machine endosse toute la responsabilité en ce qui concerne la sécurité de la machine. En aucun cas, cette responsabilité ne peut être déléguée aux fournisseurs de composants ou à d'autres prestataires. Du fait de sa responsabilité, le fabricant doit imposer des exigences spécifi ques de sécurité pour tous les composants ou sous-assemblages qu'il achète. Ces exigences doivent être précisément mentionnées dans les spécifi cations d'achat. Il incombe au fournisseur des composants ou sous-ensembles de s'assurer que ceux-ci répondent aux spécifi cations d'achat et notamment à tous les aspects relatifs à la sécurité. Cela inclut normalement toutes les références aux normes de sécurité en vigueur applicables à ces composants ou sous-ensembles. Il est impératif que toutes les parties concernées comprennent bien et acceptent ces exigences.

Normes applicables au Contrôle/Commande des machinesAu cours des dernières années, les normes applicables à l'équipement de contrôle/commande des machines ont connu d'importantes modifi cations, liées d'une part aux efforts d'harmonisation globale et, d'autre part, à l'introduction de nouvelles normes utilisant des méthodes quantitatives et permettant l'utilisation de logiciels et d’équipements complexes dans les applications relatives à la sécurité. Ces nouvelles normes sont basées sur les méthodes et les exigences préconisées par une norme de base essentielle, à savoir la norme CEI 61508 Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables relatifs à la sécurité. Les notes suivantes fournissent des indications sur différents aspects des normes applicables pour l'utilisation des variateurs. En général, les références aux normes ne comportent pas de date, excepté lorsque des modifi cations importantes sont intervenues entre les versions.

CEI 60204-1 Sécurité des machines. Équipement électrique des machines. Prescriptions généralesLe contenu de cette norme est identique à celui de la norme EN 60204-1 et très étroitement associé à celui de la norme NFPA79. Cette norme ne défi nit pas directement les exigences d'intégrité applicables aux systèmes de contrôle de sécurité, mais elle comporte d'importantes défi nitions pour les aspects, tels que les méthodes pour arrêter une machine et les dispositifs d'arrêt d'urgence. L'exigence des versions antérieures de la norme qui stipulait que la coupure d'alimentation d'une machine, suite à un arrêt d'urgence, doit s'effectuer par le biais de dispositifs électromécaniques, a été récemment supprimée.

EN 954-1:1997 Sécurité des machines. Parties des systèmes de commande relatives à la sécurité. Principes généraux de conceptionCette norme s'accompagne d'une version internationale, ISO 13849-1:1999, aujourd'hui devenue obsolète, sachant que le retrait de la norme EN 954-1 etait prévu pour fi n 2009. Cette version et les précédentes ont été utilisées pendant de nombreuses années et ont servi de base à la classifi cation


des contrôleurs de sécurité. Elle défi nit les catégories d'intégrité de 1 à 4 et fournit des indications quant au niveau de réduction des risques présumés. Elle ne s'applique pas aux équipements qui utilisent un software pour contrôler les fonctions de sécurité ou un hardware complexe, si celui-ci ne relève pas de l'AMDEC. Bien qu'obsolète, le concept EN 954 des catégories d'intégrité va sûrement perdurer pendant quelques années encore.

EN ISO 13849-1:2006 Sécurité des machines. Parties des systèmes de commande relatives à la sécurité. Principes généraux de conceptionCette norme remplace les normes EN 954-1 et ISO 13849-1:1999, bien que son contenu soit entièrement différent de celles-ci, elle repose sur les principes édictés par la norme CEI 61508. En effet, elle utilise le « Niveau de performances » comme indicateur d'intégrité, les niveaux possibles s'échelonnant de (a) à (e). Contrairement aux normes ci-dessous, elle autorise l'utilisation de méthodes de contrôle mécaniques, hydrauliques et pneumatiques. Elle est complétée par la norme EN ISO 13849-2:2008 Validée, qui fournit des indications détaillées, telles que les listes d'exclusion de défauts pour les composants de machine communément utilisés.

CEI 62061 Sécurité des machines. Sécurité fonctionnelle des systèmes de commande électriques, électroniques et électroniques programmables relatifs à la sécurité (et EN 62061)Dans une certaine mesure, cette norme et la norme ISO 13849-1:2006 se chevauchent et font mutuellement référence l'une à l'autre. Basée sur la norme CEI 61508, la norme CEI 62061 utilise le SIL pour mesurer l'intégrité des systèmes. Elle autorise l'utilisation de software et de hardware complexes pour gérer les fonctions de sécurité des machines.

IEC 61800-5-2 Entraînements électriques de puissance à vitesse variable. Exigences de sécurité. Fonctionnalité (et EN 61800-5-2)Cette norme concerne spécifi quement les variateurs dotés de fonctions de sécurité. Comme la norme CEI 62061 à laquelle elle se conforme, elle utilise le SIL pour mesurer l'intégrité des systèmes. Dans la pratique, il est possible de l'intégrer directement avec l'utilisation de la norme ISO 13849-1:2006.

Informations sur le niveau d'intégrité de sécurité (SIL) et données dérivéesLes valeurs de SIL possibles sont comprises entre 1 et 4, mais pour les applications spécifi ques aux machines le niveau maximum est limité à 3. En principe, un SIL peut uniquement être assigné à un système de commande électrique/électronique complet relatif à la sécurité (SRECS) et en aucun cas à des sous-systèmes ou composants. En effet, on considère que les capacités d'un système complet ne peuvent être correctement analysées qu'une fois celui-ci conçu et installé dans son contexte pour lequel des exigences en matière de sécurité ont été défi nies. Dans la pratique, il est nécessaire de fournir les informations contribuant au niveau d'intégrité de sécurité offert dans un sous-système et ces données sont généralement regroupées sous la notion de « Capacité SIL ». Il résulte de ce qui précède que la capacité ne peut être obtenue qu'après une intégration adaptée dans un système SRECS complet.

Outre la capacité SIL, un sous-système doit également avoir un taux de probabilité de défaut hardware dangereux, communément désigné par PFH ou PFHD¹. Ces données doivent être combinées aux informations correspondantes des autres sous-systèmes pour calculer le PFHD total des systèmes SRECS complets.

¹Probabilité de défaut dangereux du hardware, exprimée par heure


Cette section explique comment une fonction STO peut être mise en oeuvre en utilisant des composants électromécaniques conventionnels, pour démontrer qu’une fonction de ce type, intégrée au variateur, peut remplacer une confi guration électromécanique et donner d'excellentes performances.

Principes générauxLe moteur de la machine est un moteur AC triphasé, qui peut être raccordé directement à une alimentation AC triphasée ou à un variateur de vitesse AC. Quelle que soit la confi guration choisie, la méthode permettant d'empêcher la génération d'un couple indésirable consiste à installer un contacteur électromécanique pour séparer le moteur de sa source d'alimentation lorsque la bobine du contacteur n'est pas alimentée. Si un variateur est utilisé, le contacteur peut être placé au niveau de l'entrée ou de la sortie, le choix de sa position étant abordé plus loin.

Étant donné que l'alimentation triphasée est toujours présente et susceptible de générer un champ magnétique tournant dans le moteur avec développement possible d'un couple permanent, seule l'ouverture du contacteur bloque le couple. Les modes de défaut du contacteur doivent donc être analysés et si un défaut peut occasionner des blessures, il est nécessaire de s'assurer que le défaut d'un seul contacteur ne peut pas se traduire par la perte de la fonction de sécurité. En général, cela signifi e que deux contacteurs doivent être utilisés en série et qu'ils doivent être surveillés afi n de détecter tout défaut dangereux. Par ailleurs, il faut s'assurer qu'un défaut au niveau de l'un des deux contacteurs empêche la fermeture du second contacteur. La fi gure 1 illustre cette confi guration.

Il existe des relais de sécurité qui prennent en charge la surveillance et la gestion des contacteurs branchés en série tout en offrant, par exemple, des

entrées redondantes à deux canaux pour préserver cette redondance sur toute la chaîne de sécurité. Il est possible de réaliser un système de ce type pour répondre aux exigences de la norme EN 954-1, catégorie 4, suivant laquelle aucun défaut ne doit générer une perte de la fonction de sécurité et qui exige la détection de tous les défauts (autrement dit, un défaut ne doit pas rester non détecté, ni se combiner par la suite à un autre défaut pour provoquer la perte de la fonction de sécurité).

3 Contrôleurs de sécurité avec composants électromécaniques

K1

K2

K2

K1

K2

K1

a.c.

Retour

Déverrouillage

Variateurconventionnel

Figure 1 : Fonction de verrouillage sécuritaire réalisé à l'aide de contacteurs

1 0 www.leroy-somer.com

Emplacement des contacteurs par rapport aux variateursLorsque les contacteurs sont utilisés avec des variateurs AC, il est possible de les placer au niveau de l'entrée ou de la sortie des variateurs. L'une et l'autre possibilités présentent des avantages et des inconvénients. Néanmoins, s'il est décidé de placer les contacteurs au niveau de la sortie des variateurs, la spécifi cation suivante doit impérativement être respectée : les contacteurs ne doivent pas être ouverts lorsque la fréquence de sortie est basse et que le courant moteur est présent (risque d’arc électrique) lors de la tentative de coupure du circuit inductif.

AttentionLes contacteurs AC sont cownçus pour assurer la coupure du courant AC à une fréquence de 50 ou 60 Hz. Ils se servent de l'interruption du courant à chaque demi cycle pour supprimer l'arc formé lorsque le contact ouvre le circuit de puissance. En cas de raccordement à une sortie de variateur, la fréquence peut varier sur une large plage jusqu'à 0 Hz (d.c), c'est pourquoi il est essentiel que le courant de sortie du variateur soit ramené à zéro avant l'ouverture des contacteurs. Pour y parvenir, il faut verrouiller le variateur et attendre que le courant soit nul. Le non-respect de cette exigence peut engendrer des situations dangereuses. Un arc électrique d.c persistant peut occasionner un risque d'incendie ou encore souder les contacts, ce qui représente potentiellement une défaillance en mode commun des deux contacteurs et peut entraîner la perte de la fonction de sécurité.

L'intégration de la fonction STO au variateur, via l'utilisation de composants semi-conducteurs, permet d'éliminer les coûts et les risques que représente l'usage de contacteurs.

1 1www.leroy-somer.com

PrincipesLes moteurs asynchrones nécessitent un champ magnétique tournant pour produire un couple, ce qui exige une source de courant triphasée alternative pour l'alimentation. Le variateur comporte une seule source d'énergie DC interne, laquelle est convertie en AC grâce à l'action continue de découpage de six semi-conducteurs de puissance (IGBT). En cas de défaut d'un IGBT ou de l'un de ses circuits de commande à l'état Marche ou Arrêt, aucun couple ne peut être généré.

(Il faut noter que lors de l'utilisation d’un servomoteur, un simple transitoire de couple peut être produit par une défaillance des IGBT. Le moteur peut être entraîné en rotation sur 360°/p (où « p » correspond au nombre de pôles.)

Le variateur intègre un circuit de contrôle complexe qui utilise une logique numérique et un ou plusieurs microprocesseurs pour générer la séquence de pilotage appropriée pour les IGBT. Il ne serait pas satisfaisant d'appliquer la fonction de verrouillage à ce niveau car la complexité de la confi guration rend très diffi cile l'attestation de la prise en compte et de la suppression de tous les modes de défaut. Cela s'applique à la fois au concepteur du variateur, à qui il incomberait de prouver qu'aucun effet imprévu côté hardware ou logiciel ne peut entraîner la perte de la fonction de verrouillage, et au concepteur du système, car le variateur offre de nombreuses fonctions de contrôle avancées qui peuvent induire, dans des conditions inhabituelles, des effets imprévisibles au niveau du fonctionnement du moteur.

Quel que soit le point de vue considéré, ce qui importe, c'est de disposer d'une méthode simple et fi able pour empêcher que le variateur ne transmette un couple au moteur, indépendamment de toutes les autres tâches intelligentes complexes qu'il est capable d'accomplir.

Certains modèles de variateur ont une entrée « déverrouillage » dont le fonctionnement repose sur une logique électronique simple et qui permet de bloquer le fonctionnement de l’étage de puissance, comme illustré à la fi gure 2. La fonction de déverrouillage que fournissent ces variateurs est probablement plus fi able que celle appliquée via le logiciel, mais le circuit logique n'est pas sécurisé, ce qui signifi e qu'il peut également présenter un défaut lors du passage de l'état non sécurisé à sécurisé. Pour une application relative à la sécurité, ce risque n'est pas acceptable.

4 Fonction Absence sûre du couple (Safe Torque Off) - Principes de fonctionnement

~

Figure 2 : Validation hardware d'un variateur conventionnel

Arrêt

Marche

Utilisateur

E/S

Interface μP Logique(ASIC) Opto-

coupleurs(6)

Puissance(6)

Vers moteur

Déverrouillage


Les dernières générations de variateurs ont des signaux de commutation qui sont transmis du circuit de contrôle aux IGBT via les optocoupleurs qui utilisent des diodes électroluminescentes (DEL) pour acheminer les commandes simples de Marche/Arrêt à travers les barrières d'isolation galvanique. Dans la confi guration de la fonction Absence sûre du couple (Safe Torque Off) présentée à la fi gure 3, les DEL sont alimentées par un circuit sécurisé via l'entrée de déverrouillage. La séquence de découpage ne peut donc être transmise aux IGBT que si l'entrée de déverrouillage est présente ou si une combinaison improbable de défauts non détectés se produit et permet à l'entrée de déverrouillage d'être validée.

CapacitéLa fonction de sécurité Absence sûre du couple (Safe Torque Off) permet de garantir, lorsque l'entrée de déverrouillage n'est pas validée (par exemple, en cas de circuit ouvert ou fi xé au potentiel 0 V), que le variateur ne transmettra aucun couple au moteur.

La fonction Absence sûre du couple n'est mise en oeuvre qu'au sein d'un hardware simple à base de semi-conducteurs pour lequel des données de défaut existent et permettent d'effectuer une analyse AMDEC quantitative pertinente. Elle n'utilise aucun logiciel ou hardware complexe.

La probabilité de défaut de la fonction de sécurité suite à une défaillance hardware a été estimée par LEROY-SOMER à 8 x 10-10 par heure et vérifi ée par l'organisme certifi é BGIA/IFA comme inférieure à 10-8 par heure, ce qui correspond à la valeur minimale défi nie par les normes CEI 62061 et CEI 61800-5-2.

L'entrée est compatible avec les sorties logiques auto-testées des contrôleurs, tels que des API, pour lesquelles l'impulsion de test est de 1 ms maximum. Cela signifi e que le variateur n'est pas verrouillé par les impulsions d'entrée à logique basse d'une durée maximum de 1 ms.

L'état de l'entrée de déverrouillage peut être surveillé via le paramètre 8.09.

~

Figure 3 : Absence sûre du couple (Safe Torque Off)

Arrêt

Marche

Utilisateur

E/S

Interface

Interface de sécurité

μP Logique(ASIC) Opto-

coupleurs(6)

Puissance(6)

Vers moteur

Alimentation des optocoupleurs


Restrictions

➜ La fonction STO utilise des techniques de semi-conducteurs et ne sépare pas physiquement les branchements électriques car elle n'est pas conçue pour offrir une quelconque isolation électrique.

➜ La fonction STO n'assure pas la fonction de freinage, elle verrouille le variateur et le moteur de sorte que la fonction de freinage électrique du moteur ne soit pas disponible. Si le freinage du moteur est nécessaire, il convient de prévoir un dispositif externe pour décélérer normalement le moteur, puis dévalider l'entrée de déverrouillage en toute sécurité afi n d'activer la fonction STO. À cette fi n, des relais de sécurité temporisés sont disponibles. Le freinage par le variateur ne correspond pas à une fonction d'intégrité élevée. S'il s'agit d'une exigence de sécurité, un frein sécurisé indépendant doit être installé.

➜ La fonction STO offre une entrée monocanal, ce qui signifi e que si un défaut du circuit externe fournit accidentellement une tension comprise dans la plage de fonctionnement de l'entrée, cela peut générer un défaut de la fonction de sécurité. Le fi l raccordé à l'entrée de déverrouillage doit être protégé contre tout type de défaut susceptible de provoquer accidentellement sa mise sous tension. Conformément à la norme EN ISO 13849-2, cette protection peut être assurée en séparant physiquement le fi l ou en utilisant un fi l blindé dont le blindage est raccordé à la terre et au 0V logique. En outre, il est possible d'assurer la surveillance de l'état de l'entrée et le verrouillage du système en cas d'erreur via un canal indépendant.

➜ Avec les moteurs à aimants permanents, il est peu probable qu'un défaut au niveau de l'étage de puissance du variateur entraîne une mise en phase du couple moteur, autrement dit, une rotation du moteur équivalente à 1 pôle. Pour que cela se produise, les deux IGBT opposés dans le pont de sortie ou leurs commandes, doivent générer un défaut de court-circuit au cours d’une seule période lors du verrouillage du variateur. Si le variateur doit être mis en marche après un défaut de l'un des IGBT, ce défaut peut être détecté car le variateur se mettra en sécurité car il ne peut pas fonctionner avec un IGBT en court-circuit. La mise en marche du variateur constitue donc un test d'essai et le risque d'avoir deux défauts IGBT n'est important que dans les applications où le variateur connaît de longues périodes de verrouillage (plusieurs semaines ou mois). Après une série de tests complets du variateur, aucun mode de défaillance de cause commune, susceptible de générer un double défaut n'a pu être identifi é. Il est toutefois recommandé de prendre en considération cette éventualité avec les moteurs à aimants permanents.

Déclarations de conformité et conformité aux normesLa fonction Absence sûre du couple (Safe Torque Off) est conforme aux normes ci-dessous :

EN 954-1:1997, catégorie 3 Sécurité des machines. Parties des systèmes de commande relatives à la sécurité. Principes généraux de conception - déclaré conforme par le BGIA/IFA (autrefois appelé BIA)


CEI 61800-5-2:2007 (EN 61800-5-2:2007) Entraînements électriques de puissance à vitesse variable. Exigences de sécurité. Fonctionnalité.

SIL = 3 ; PFH = 0 approuvé par le BGIA/IFA. La valeur effective est faible, à savoir <10-8 (2) Déclaré conforme par le BGIA/IFA (2) Estimation LEROY-SOMER 8 x 10-10

EN ISO 13849-1:2006 Sécurité des machines. Parties des systèmes de commande relatives à la sécurité. Principes généraux de conception.

PL = e ; MTTFD > 105 années (temps de mission de 20 ans) - Déclaré conforme par le BGIA/IFA

EN 81-1:1998 clause 12.7.3 Règles de sécurité pour la construction et l’installation d’ascenseurs.Ascenseurs électriques - Déclaré conforme par le TÜV Sud & TÜV Nord

La norme CEI 61800-5-2 utilise les mêmes paramètres que les normes CEI 62061 et CEI 61508 (-1 à -7) (et leur équivalent EN) pour indiquer l'intégrité de sécurité, soit SIL ou SILCL (Limite de revendication ou niveau de capacité SIL) et PFH ou PFHD (probabilité de défaut (dangereux), exprimée par heure). Il est donc possible d'utiliser les données fournies conformément à cette norme pour intégrer la fonction STO à des systèmes dont la conception est conforme aux normes apparentées.

Pourquoi la fonction Absence sûre du couple (Safe Torque Off) n'utilise ni relais ni signal de retour ?En premier lieu, la fonction Absence sûre du couple (Safe Torque Off) a été conçue pour les variateurs LEROY-SOMER. Grâce à la conception fi able de circuits électroniques sécurisés, elle permet de ne pas recourir à des modules optionnels supplémentaires et coûteux, ni à des relais de sécurité et offre, pour un coût moindre, une intégrité supérieure.

Certains systèmes STO utilisent des relais pour couper l'alimentation des optocoupleurs de commande et assurer l'isolation galvanique. Cette confi guration est illustrée à la fi gure 4 qui représente un circuit de surveillance externe du contact de retour du relais.

Bien que le type du relais offre un niveau de fi abilité élevé, un risque de défaillance existe toujours lors du passage à l'état fermé. Pour permettre la détection de ce défaut, le relais doit être doté de contacts guidés afi n que si les contacts principaux restent fermés, cela puisse être détecté par un circuit externe via un contact auxiliaire. Dans l'exemple présenté, le contact auxiliaire est raccordé en série à l'entrée de reset du circuit de sécurité externe, de sorte que le relais du variateur soit testé à chaque utilisation du dispositif de verrouillage. Il s'agit d'une méthode standard utilisée pour surveiller les relais de sécurité. Cependant, en cas de défaut du relais au passage à l'état fermé, il existe un risque de déverrouillage du variateur avant que le défaut ne soit détecté. De ce fait, les variateurs raccordés à un circuit de contrôle externe ne sont conformes qu'à la catégorie 2 de la norme EN 954-1. Pour que la catégorie 3 soit applicable, il est toujours nécessaire d'utiliser un contacteur externe afi n d'empêcher l'entraînement du moteur suite à ce premier défaut.


Figure 4 : Fonction standard de verrouillage du variateur à l'aide d'un relais muni de "contacts guidés"

Figure 5 : Fonction Absence sûre du couple (Safe Torque Off) intégrée à un système de sécurité standard

Reset

Dispositifs de verrouillage

Relais de sécurité Relais

Variateur

Reset


Relais de sécurité

Unidrive SP ou Digitax ST

Fil protégé

Circuitde sécurité


5 Application de la fonction Absence sûre du couple (Safe Torque Off)

La fonction Absence sûre du couple (Safe Torque Off) s'utilise exactement de la même façon qu'une entrée sécuritaire, ce qui signifi e qu'aucun changement n'affecte les applications existantes. Par ailleurs, elle offre un avantage supplémentaire car elle permet de verrouiller le variateur en garantissant un niveau d'intégrité élevé, ce qui en fait la solution idéale pour les applications relatives à la sécurité, décrites plus en détails ci-dessous.

La seule différence que présente l'entrée de déverrouillage par rapport aux autres entrées logiques du variateur est l'impossibilité de la confi gurer pour fonctionner avec une logique négative. Il s'agit d'une exigence qu'imposent la plupart des normes et des conventions applicables aux fonctions de sécurité et qui garantit qu'un éventuel défaut à la terre du circuit de contrôle génère un défaut de sécurité (verrouillage du variateur).

La fonction STO peut également être utilisée dans d'autres applications qui exigent la mise en oeuvre d'une fonction de verrouillage hautement fi able. Par exemple, les fonctions Marche/Arrêt utilisent souvent un circuit simple de contacteur pour prévenir tout dommage coûteux non relatif à la sécurité pouvant résulter de démarrages accidentels.

1 11

21 31

21

22+24V

30

31

Figure 6 : Raccordement de l’entrée de déverrouillage (borne 31) pour la fonction Absence sûre du couple (Safe Torque Off)

L'utilisation d'un relais et d'un contact de retour peut sembler rassurante pour les utilisateurs habitués à travailler avec des systèmes dotés d'une logique de sécurité à relais. Néanmoins, ce type de confi guration n'offre que très peu d'avantages et ajoute un nouveau mode de défaut qui nécessite sa détection par un circuit de surveillance et sa protection via l'utilisation d'un contacteur supplémentaire. La fonction Absence sûre du couple (Safe Torque Off) utilise un circuit à semi-conducteurs qui permet d'éliminer ce problème. Son seul inconvénient est qu'elle ne permet pas de détecter les défauts de câblage dans les confi gurations à un seul canal d'entrée. Pour surmonter cette diffi culté, la norme EN ISO 13849-2 impose l'utilisation d'un fi l protégé, comme illustré à la fi gure 5.

Fil protégéL'utilisation d'un fi l protégé élimine toute possibilité de court-circuit des sources de tension susceptibles d'entraîner un défaut au passage à l'état non sécurisé. Exemples de mise en oeuvre possible :

Fil entièrement séparé, par exemple, dans un chemin de câble dédié, etc. ou Fil blindé, avec raccordement à la terre du blindage aux deux extrémités, dans un circuit de contrôle à logique positive raccordé à la terre

0 V commun

0 V commun


La fonction STO permet d'éliminer la nécessité d'utiliser un contacteur.Dans les exemples suivants, les schémas présentent des mises en oeuvre standard comprenant des dispositifs électromécaniques et une implémentation avec la fonction STO. Ces schémas sont destinés à illustrer les différentes méthodes et principes d'application, et ne présentent donc pas toutes les alternatives détaillées complètes. Dans tous les cas, il est de la responsabilité du concepteur de la machine d'effectuer une analyse des risques et de s'assurer que la machine dans son ensemble et son système de contrôle de sécurité associé, satisfont aux critères de conception requis en matière de sécurité fonctionnelle.

Figure 7 : Commande Marche/Arrêt simple (sans niveau d'intégrité de sécurité -SIL)

K1

K1

K1

K1

STO

+24V+24V a.c. a.c.

K1

Le contacteur de puissance est remplacé ici par un relais auxiliaire, ce qui réduit l'encombrement et le câblage de puissance tout en permettant au variateur de rester alimenté lorsque la machine n'est pas en fonctionnement.

Arrêt

Marche

Arrêt

MarcheVariateurconventionnel

Électromécanique Avec la fonction Absence sûre du couple (Safe Torque Off)


Figure 8 : Verrouillage monocanal avec retour (SIL1)

Dans cet exemple, la confi guration électromécanique comprend un relais de sécurité qui surveille un dispositif de verrouillage, ainsi que le bon fonctionnement du contacteur de sortie qui isole le moteur. Si au passage à l'état dangereux, le contacteur ne met pas le moteur en sécurité, le reset du relais de sécurité est impossible et l'intervention de l'opérateur devient nécessaire afi n d'empêcher que la machine ne continue à fonctionner. Ce mode d'utilisation est adapté avec les machines dont les dispositifs de verrouillage sont régulièrement appliqués, de sorte qu'un défaut du contacteur ne risque pas d'entraîner un quelconque danger.

Avec la fonction Absence sûre du couple (Safe Torque Off), il n'est plus nécessaire d'utiliser le contacteur. Comme la fonction STO n'a pas de mode de défaut équivalent au blocage en position fermée du contacteur, la surveillance de ce dernier n'est pas nécessaire. Si le relais ou le contrôleur de sécurité exige un retour, il est possible de leur fournir à partir d'une sortie logique du variateur via le paramètre 8.093.

Le fi l entre le relais et l'entrée STO du variateur doit être protégé, comme décrit au chapitre 4.

3 Le chemin du circuit de surveillance ne présente pas une intégrité élevée, mais cela reste sans effet sur l'analyse globale des risques en raison du PFH très faible de la fonction STO.

STO

K1

a.c. a.c.

Reset

Dispositifs de verrouillage Relais de sécurité


Relais de sécuritéVariateur

convetionnel

ÉlectromécaniqueAvec la fonction Absence sûre

du couple (Safe Torque Off)

Fil(blindé ou

séparé)


Figure 9 : Verrouillage double canal avec retour (SIL3)

Dans cet exemple, la mise en oeuvre électromécanique utilise deux contacteurs en série, dotés chacun de contacts de surveillance utilisés pour fournir un retour au contrôleur de sécurité (non représenté) et pour permettre la détection éventuelle de défauts du contacteur. Dans ce cas, si un défaut survient au niveau de l'un des deux contacteurs, il est détecté. Mais le système reste sécurisé car l'autre contacteur empêche l'alimentation du moteur.

L'utilisation de la fonction Absence sûre du couple (Safe Torque Off) permet d'éliminer ces deux contacteurs. Le niveau d'intégrité de la fonction STO est équivalent à celui des deux contacteurs avec la détection de défauts. Pour maintenir ce niveau, il est essentiel que la protection du fi l et la source du signal « Déverrouillage » offrent le niveau d'intégrité correspondant.

Pour éviter d'avoir à utiliser une protection du fi l ou si l'analyse des risques du système démontre la nécessité d'utiliser une architecture à deux canaux, le branchement représenté à la Figure 10 peut être appliqué.

STO

a.c. a.c.

K1

K2

K2

K1

K2

K1

Variateurconventionnel

Fil(blindé ou

séparé)

Retour

Déverrouillage

Déverrouillage

ÉlectromécaniqueAvec la fonction Absence sûre

du couple (Safe Torque Off)


Figure 10 : Utilisation d'un contacteur pour un second canal (SIL3)

Lorsque le système de contrôle de sécurité exige l'utilisation de deux canaux pour l'application de la fonction STO, il est possible de mettre en oeuvre un premier canal via la fonction STO de l’Unidrive SP et le second à l'aide d'un contacteur. Celui-ci peut être raccordé aux circuits d'alimentation d'entrée ou de sortie du variateur.

Ce contacteur doit être surveillé par le biais d'un contact auxiliaire, libellé K1 sur le schéma.

Plusieurs méthodes peuvent être adoptées pour surveiller l'entrée STO du variateur. Le schéma illustre un raccordement d'un dispositif de surveillance (en pointillé) au contrôleur de sécurité. Ce branchement peut s'effectuer via une sortie logique sécurisée sur un contrôleur de sécurité, avec fonction de surveillance intégrée, ou une entrée logique sécurisée. Il est également possible d'utiliser une sortie logique du variateur pour obtenir un retour de surveillance, via le paramètre 8.09.

Sur le schéma, le contacteur est dédié à un seul variateur. Néanmoins, si un contrôleur de sécurité est utilisé pour exécuter plusieurs fonctions, il peut être confi guré pour ouvrir un seul contacteur qui alimente l'ensemble des variateurs, dans l'éventualité où un défaut serait détecté en un point quelconque du système.

K1

STO

Pr 8.09K1

K1

a.c.

Surveillance de la détectiondes défauts au niveau dusystème de commande

Contrôle dela fonction

STO

Déverrouillage (2 canaux)


Figure 11: Dispositif de freinage électronique pour un arrêt rapide (SIL3)

Pour obtenir un freinage de la charge en priorité avant le changement d'état STO, la fonction Marche/Arrêt du variateur peut être utilisée avec un dispositif de freinage approprié, câblé sur le variateur. Ces fonctions ne sont pas destinées à être utilisées avec les applications relatives à la sécurité. Le schéma ci-dessus montre comment un signal distinct du relais de sécurité peut être utilisé pour donner un ordre d’arrêt au variateur à l'aide des fonctions de freinage et de décélération de celui-ci, en supprimant l'entrée « Marche ». Le relais de sécurité avec un bloc auxiliaire temporisé est utilisé pour piloter l'entrée STO du variateur. Lorsque le délai de temporisation est écoulé, le variateur est placé en mode sécuritaire STO. Dans ce cas, la fonction de freinage n'est plus disponible car le mécanisme de freinage du moteur est également désactivé par la fonction STO.

Il est important de noter : quand la fonction de freinage constitue une exigence de sécurité, ce type de fonctionnement n'est pas adapté. Car pour permettre le freinage, le variateur, ou la plupart de ses composants, doit être opérationnel (autrement dit, son état ne doit pas être « sécurisé »). Pour répondre à ce besoin, une fonction de supervision du freinage plus complexe ou un frein mécanique sécurisé doit être utilisé.

STO

a.c.

Reset

Dispositifs de verrouillage Relais de sécurité

RetourRelais

auxiliairetemporisé

Fil(blindé ou

séparé)

Marche


6 Application des normes

7 Applications ascenseur

La fonction Absence sûre du couple (Safe Torque Off) des variateurs LEROY-SOMER peut être utilisée afi n d'empêcher tout mouvement non souhaité dans les applications ascenseur. Elle peut remplacer directement l'un des deux contacteurs qui servent habituellement à bloquer l’arrivée d'énergie au moteur, conformément à la clause 12.7.3 de la norme européenne EN 81-1:1998. Pour qu'elle puisse se substituer aux deux contacteurs, l'entrée STO doit être contrôlée par deux relais raccordés en série avec des contacts auxiliaires guidés. Des instructions et des conseils sont disponibles auprès de LEROY-SOMER pour les applications ascenseur.

Les variateurs LEROY-SOMER avec fonction Absence sûre du couple (Safe Torque Off) sont conçus pour s'intégrer au sein d'un système de commande de sécurité complet. Il incombe au fabricant de la machine de fournir les spécifi cations relatives au niveau d'intégrité de sécurité (SIL, PL ou catégorie) exigé par le système de commande. Muni de ces informations, le variateur avec fonction STO doit être intégré au système de contrôle de sorte que ce niveau d'intégrité de sécurité soit atteint.

Une analyse du système de commande de sécurité global doit être réalisée pour déterminer son intégrité, conformément aux normes applicables, en tenant compte des différents composants individuels nécessaires à son fonctionnement et à la mise en oeuvre des fonctions de sécurité. Les normes qui s'appliquent à la fonction STO des variateurs LEROY-SOMER sont compatibles avec la famille de normes basées sur la norme CEI 61508 (par exemple, les normes CEI 62061 et CEI 61511, ainsi que la norme CEI 61508 proprement dite ou encore ISO 13849-1:2006).

Pour les normes plus récentes qui utilisent un niveau SIL ou PL, les données PFHD ou MTTFD pour la fonction STO du variateur doivent être combinées aux données équivalentes des autres sous systèmes de commande de sécurité afi n d'obtenir un PFHD ou un MTTFD global. La valeur très faible du PFHD pour la fonction STO des variateurs LEROY-SOMER signifi e que, dans la plupart des cas, sa contribution au taux de défaillance total reste négligeable. Par ailleurs, les contraintes architecturales et le contrôle des défauts systématiques doit être pris en considération.

Les contraintes architecturales déterminent la nécessité d'un système monocanal ou double canaux. Des exemples d'application sont donnés ci-dessous pour ces deux cas. Il arrive très souvent que pour les applications qui exigent un haut niveau d'intégrité, on préfère utiliser deux canaux, plutôt qu'un seul pour atteindre un niveau très élevé d'intégrité.

Le contrôle des défauts systématiques doit également être adapté au niveau d'intégrité demandé. La fonction STO des variateurs LEROY-SOMER est classée SIL3, ce qui signifi e qu'elle peut être intégrée à un système SIL3, considéré comme le niveau d'intégrité de sécurité le plus élevé applicable aux contrôleurs de sécurité des machines. Notez que le niveau d'intégrité de sécurité SIL d'un système ne doit pas dépasser la limite de revendication SILCL pour un sous système, en raison de l'exigence de contrôle des défauts systématiques. Par exemple, un variateur avec fonction STO niveau SIL2 ne peut pas être utilisé dans un système SIL3 en ajoutant des canaux redondants supplémentaires.


8 Compatibilité avec les sorties logiques de sécurité

9 Branchement en parallèle

10 Caractéristiques

La fonction Absence sûre du couple (Safe Torque Off) des variateurs LEROY-SOMER a été conçue pour garantir la compatibilité avec les sorties logiques de sécurité qui utilisent une impulsion de test pour surveiller les défauts lorsque la sortie est à l'état haut. La durée maximum d'une impulsion périodique pour laquelle le variateur n'est pas verrouillé est de 1ms.

Les entrées "Absence sûre du couple" (Safe Torque Off) des Unidrive SP peuvent être directement raccordées entre elles pour contrôler plusieurs variateurs via la même liaison de commande.Le regroupement de ces entrées augmente le taux de probabilité de passage à l'état dangereux, dans la mesure où en cas de défaut d'un variateur, toutes les autres peuvent être verrouillés. Néanmoins, le taux de probabilité d'un défaut est si faible (8 x 10-10 par heure), que le résultat fi nal reste conforme aux exigences de la normes SIL3 pour un nombre raisonnable de variateurs. Il est recommandé de ne pas brancher plus de 12 entrées en parallèle en cas d'application de la norme SIL3.

L'entrée STO est une entrée logique pour une tension d'entrée nominale 24 V dc et en logique positive (l'entrée est active à l'état haut).

Caractéristiques électriques :

Plage de tension maximale tension maximale -30 V à +30 V

Seuil logiquSeuil logique 15,5 V ± 2,5 V

Tension maximale à l'état Bas pour SIL3 2V (ou circuit ouvert)

Courant d'entrée nominal à +24 V 3,5 mA

Temps de réponse :

Tension nominale 8 ms

Tension maximale 20 ms

Aucune réaction au train d'impulsions de « déverrouillage » de 1 ms à une fréquence inférieure à 100 Hz.


CEM :En complément des tests d'immunité conformes aux normes EN 61800-3 et EN 61000-6-2, la fonction Absence sûre du couple (Safe Torque Off) a été testée à des niveaux supérieurs en adéquation avec les normes ci-dessous :

EN 61000-4-2 (décharge électrostatique) jusqu'à 15 kV

EN 61000-4-3 (champ RF) jusqu'à 30 V/m

EN 61000-4-4 (Transitoire rapide) jusqu'à 4 kV

Il est possible que des décharges électrostatiques ou transitoires rapides puissent endommager le variateur et l’empêchent de fonctionner. Néanmoins, celles-ci n'entraînent pas le déverrouillage intempestif du variateur lorsque l'entrée STO est désactivée (circuit ouvert ou 0 V).

Spécifications de sécurité

Fonction de sécuritéLorsque l'entrée STO n'est plus active, le variateur ne transmet aucun couple au moteur.

Réponse en cas de défautTous les défauts individuels des composants ont soit, aucun effet identifi able sur le variateur soit une action de verrouillage de celui-ci.

Temps de réponse en cas de défautLa fonction Absence sûre du couple (Safe Torque Off) est conçue pour être intrinsèquement sécuritaire. Elle ne va pas autodiagnostiquer la détection des défauts. Par conséquent, le délai de réaction en cas de défaut ne s'applique pas à cette fonction.

Normes

EN 954-1:1997 Catégorie 3

EN 61800-5-2:2007 SIL3 PFH < 10-8, estimé par LEROY-SOMER 8 x 10-10/heure Couverture du diagnostic (DC) - Sans objet

EN ISO 13949-1 :2006 PL = e MTTFD > 105 années (basé sur un temps de mission estimé de 20 ans)

Note : la catégorie 3 de la norme EN 954-1 s'applique lorsque tous les défauts ne sont pas identifi és. Cependant, en cas d'analyse quantitative, la probabilité d'accumulation de défauts non identifi és indiquée par l'analyse AMDEC est si faible que les niveau SIL 3 et PLe sont atteints.


11 Autorisations de conformité

12 Glossaire

Le tableau ci-dessous fournit un glossaire des termes importants utilisés dans ce document. Pour obtenir un glossaire plus complet, consultez les références et les normes mentionnées, comme la norme CEI 62061.Note : en matière de fonctions de sécurité, on considère généralement que le terme « défaut » fait référence à une défaillance susceptible d'accroître les probabilités de danger. Dans ce cas, les défauts dangereux ne sont pas spécifi quement considérés, sauf indication explicite.

Contrainte architecturale

Contrainte applicable à la structure fonctionnelle du système de contrôle sécuritaire. En général, il s'agit d'un choix de niveau de redondance et donc de la tolérance aux défauts.

CatégorieMesure qualitative de l'intégrité de sécurité, défi nie par la norme EN 954-1:1997. Les valeurs disponibles sont B, et 1 à 4.

DC(Diagnostic Coverage)

Couverture du diagnostic

Sur les systèmes qui utilisent un dispositif de détection des défauts, cette information fournit le pourcentage de défauts détectés.

AMDEC

Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité

Analyse des effets des défaillances de composant. Il peut s'agir d'une analyse qualitative, avec une description des effets de chaque défaut et l'identifi cation de leur niveau de sécurité, ou d'une analyse quantitative, dans le cadre de laquelle le taux de défaillance des composants est utilisé pour estimer les probabilités de défaut associées à chaque mode. Selon les besoins, elle peut se limiter aux défauts individuels des composants ou considérer l'accumulation des défauts observés, sans identifi er leur chronologie.

Des autorisations de conformité spécifi ques ont été obtenues pour l'Unidrive SP (tailles z et 0 à 6) et le Digitax ST (400 V). La fonction Absence sûre du couple (Safe Torque Off) est identique pour toutes les tailles et puissances de variateur.

EN 954-1:1997 catégorie 3 BIA (désormais BGIA/IFA)

CEI et EN 61800-5-2:2007 BGIA/IFA

ISO et EN ISO 13849-1:2006 BGIA/IFA

BGIA/IFA est notifi é dans les Directives de l'Union européenne sur les machines, 98/37/CE et 2006/42/CE.

Une copie des certifi cats de conformité et d'autres documents sont disponibles sur simple demande auprès de LEROY-SOMER.


Réponse en cas de défaut Action en cas de défaut.

Temps de réponse en cas de défaut

Temps qui s'écoule entre l'apparition d'un défaut et la réponse donnée. Il s'agit généralement du temps nécessaire à la détection d'un défaut et à la mise en oeuvre d'une action préventive.

RetourInformations relatives à l'état du contrôleur ou de l'un de ses composants, qui sont utilisées par le dispositif de détection de défauts.

Dispositif de verrouillage

Ensemble de capteurs disposés de telle sorte qu'ils doivent tous avoir l'état sécuritaire pour qu'une fonction de la machine soit opérationnelle.

MTTFD

Durée moyenne de fonctionnement avant défaillance (Dangereuse)

Durée moyenne de fonctionnement avant le passage à l'état dangereux (comme utilisé dans la norme EN ISO 13849-1:2006).

Surveillance Dispositif utilisé pour détecter les défauts.

PLNiveau de performance

Mesure de l'aptitude à réaliser des fonctions de sécurité dans un système de commande de machine qui utilise la norme EN ISO 13849-1:2006. Les valeurs comprises entre a et e sont autorisées.

PFH 4 Probabilité de défaillance hardware

Probabilité de défaillance hardware dans une direction dangereuse, exprimée par heure (au sens de son utilisation dans la norme CEI 61800-5-2).

PFHD

Probabilité de de défaillance dangereuse du hardware

Probabilité de défaillance dangereuse du hardware, exprimée par heure (au sens de son utilisation dans la norme CEI 62061).

STO(Safe Torque Off)

Absence sûre du couple

Fonction de sécurité pour variateurs de puissance empêchant de transmettre au moteur de l'énergie pouvant générer un couple. Cette fonction est défi nie par la norme CEI 61800-5-2

SIL(Safety Integrity Level)

Niveau d'intégrité de sécurité

Mesure du niveau d'intégrité de sécurité d'un système de commande, défi ni par les normes CEI 61508-x et (CEI 62061 et CEI 61800-5-2). Les valeurs comprises entre 1 et 4 sont disponibles. Pour les applications impliquant des machines, la valeur maximum considérée est SIL3.

SR Relatif à la sécurité S'applique à une fonction dont toute défaillance constatée est susceptible d'entraî ner des blessures physiques.

4 Note l'utilisation spécifi ée par la norme CEI 61800-5-2 diffère des autres normes dans lesquelles « PFH » fait référence au nombre total de passages probables à l'état sécurisé et dangereux sur la durée de vie du produit (exprimé en heures).


SRECS (Safety Related Electrical Control System)

Système de commande électrique ou électronique relatif à la sécurité

Système de commande dont toute défaillance est susceptible d'entraîner des blessures physiques à une personne

SD(Secure Disable)

Entrée sécuritaireTerme utilisé par LEROY-SOMER pour désigner la fonction Absence sûre du couple (Safe Torque Off) avant la publication de la norme CEI 61800-5-2.

SIL CL(Safety Integrity Level Claim limit/Capability Level)

Limite de revendication ou niveau de capacité SIL

Mesure du niveau d'intégrité de sécurité d'un sous-système ou d'un module, tel qu'un variateur, dans la mise en oeuvre de ses fonctions de sécurité. Ce terme est utilisé pour souligner que le niveau d'intégrité de sécurité SIL d'un système global, doit faire l'objet d'un calcul spécifi que qui tient compte des exigences de sécurité connues et de la capacité de l'ensemble des sous-systèmes. Il établit que le niveau SIL du système global, ne doit en aucune façon dépasser celui de l'un des sous-systèmes individuels.La norme CEI 62061 emploie le terme « limite de revendication”, tandis que la norme CEI 61800-5-2 utilise le terme « niveau de capacité SIL ».

Défaillance systématique

Une défaillance de la fonction de sécurité occasionnée par une autre fonction inhérente au système, contrairement à un défaut qui se développe au fi l du temps. En général, il s'agit d'une fonction dont l'action n'a pas été prise en considération pendant le processus de conception, de vérifi cation et de validation, autrement dit, une erreur de conception dans le sens le plus général du terme. Ce type de défaut s'applique particulièrement au logiciel, qui ne génère pas de défauts aléatoires, mais peut se comporter de manière étrange du fait de sa complexité et qui ne permet pas le test de toutes les combinaisons possibles de changements d'état.

13 Références

Toutes les normes en vigueur sont citées dans le texte.

Une description complète des techniques d'analyse des défauts pour les systèmes constitués de composants hardware (matériel) et software (logiciels) est fournie dans : Control Systems Safety Evaluation & Reliability, William M. Goble, ISA, ISBN 1-55617-636-8

Ce document mentionne des informations autorisées issues de la seconde édition de “The Control Techniques Drives and Controls Handbook”, publié en 2009 par l'IET (Institution of Engineering and Technology) et disponible sur demande chez LEROY SOMER.

MOTEURS LEROY-SOMER 16015 ANGOULÊME CEDEX - FRANCE

RCS ANGOULÊME No. B 671 820 223Limited company with capital of 62,779,000 €

http://www.leroy-somer.com

Documents

Guide de Sécurité - Leroy-Somer · 4 La fonction de sécurité Absence sûre du couple (Safe Torque Off - STO) est conforme à la norme CEI 61800-5-2 et intégrée en standard aux