Retours d’expériences sur la mise en application des ... · 11/04/2013 Club Automation – Sureté de fonctionnement 10 Réflexions sur les critères de respect de la catégorie

Retours d’expériences sur la mise en application des normes ISO 13849-1 et CEI 62061

Jean-Paul Bello INRS-IET/SSA

Club Automation : 11 avril 2013

Club Automation – Sureté de fonctionnement 11/04/2013 2

  INRS-IET/SSA : les missions

  Présentation étude "13849-1" (2011)

  Retour d’expérience sur la mise en application de la norme ISO 13849-1

  Présentation étude "62061" (2007)

  Retour d’expérience sur la mise en application de la norme CEI

62061   Pour en savoir plus …

Sommaire


  INRS – Institut national de recherche et de sécurité Contribuer à la prévention des accidents du travail et des maladies professionnelles en déployant des activités de recherche, assistance, formation et information pour :

  Identifier les risques professionnels et mettre en évidence les dangers   Analyser leurs conséquences pour la santé et la sécurité de l'homme au travail   Développer et promouvoir les moyens pour maitriser ces risques

  IET – Ingénierie des équipements de travail Evaluer et réduire les risques physiques liés aux équipements de travail

  Machines (fixes ou portatives, outils, engins, …), composants de sécurité   Locaux (ateliers, bureaux, …)   Equipements de protection individuelle ou collective

  SSA – Sûreté des systèmes automatisés Mener des études et des opérations d'assistance pour

  Sécuriser les machines,   Développer des systèmes de commande sûrs   Évaluer la faculté des nouvelles technologies (systèmes de détection, aide à la

conduite, etc.) à prévenir les risques

INRS – IET/SSA : les missions


  EC2011-001 - Exemples didactiques de fonctions de sécurité de faible complexité

  Origine >  PME, TPE qui conçoivent des machines intégrant seulement une ou quelques fonctions

de sécurité basiques (arrêt d'urgence, protecteur mobile, …) >  Peu de formation, des référentiels techniques pas ou peu connus et mal maitrisés

  Objectif >  Se donner les moyens de guider les concepteurs devant réaliser de telles fonctions

de sécurité   Méthode

>  Fournir des outils sous forme de tableaux et graphes afin de simplifier la lecture et l'utilisation de la norme

>  Traiter quelques fonctions de sécurité basiques en utilisant la "méthode simplifiée " préconisée par la norme 13849-1

>  Fournir les détails de la conception et les commentaires pertinents   Valorisations

>  Publication d’une « Note Scientifique et technique » : NS 302 : Aborder la norme NF EN ISO 13849-1 via la conception d’une fonction de sécurité basique

>  Communication au SIAS 2012 – Montréal (Safety of Industrial Automated Systems)

Présentation étude "13849-1"


  Points marquants

  Outils à destination des concepteurs >  Graphe 1 : Processus général de conception d'un SC/FS en vue d'atteindre un

PL requis >  Graphe 2 : Détail de la conception d'une SRP/CS en vue d'atteindre un PL requis >  Préconisations minimales pour atteindre un PL donné – Suivant tableau 7 de la norme

et pour utilisation de la procédure simplifiée – Tableaux récapitulatifs

  Fonctions de sécurité traitées >  1 fonction de sécurité d'arrêt d'un vérin sur ouverture d'un protecteur

•  PLr "d" avec utilisation de la catégorie 2 et mise en œuvre de composants électromécaniques

>  1 fonction d'arrêt d'un moteur hydraulique sur ouverture d'un protecteur (NS 302) •  PLr "d" avec utilisation de la catégorie 3 et mise en œuvre d'un module de sécurité

  Quelques enseignements >  Travail amont au niveau du circuit de commande de la fonction de sécurité SC/FS >  Rappel de l'importance de la prise en compte des défaillances systématiques et des

défaillances de causes communes >  Restriction de mise en œuvre de la catégorie 2 >  Couverture de diagnostic DCavg dans le cas de plusieurs entrées câblées sur un

module de sécurité >  Cas de plusieurs SRP/CS agissant sur le même actionneur

Retours d'expériences "13849-1"


  Processus général de conception d'un SC/FS en vue d'atteindre un PL requis

Retours d'expériences "13849-1" - Outils


  Exemple : Préconisations minimales pour atteindre un PL « c » – Suivant tableau 7 de la norme et pour utilisation de la procédure simplifiée



  Extrait du tableau des préconisations minimales pour atteindre un PL « c » – Suivant tableau 7 de la norme et pour utilisation de la procédure simplifiée



  Extrait du tableau des préconisations minimales pour atteindre un PL « c » – Suivant tableau 7 de la norme et pour utilisation de la procédure simplifiée



  Réflexions sur les critères de respect de la catégorie 2

Retours d'expériences "13849-1" - Commentaires

  Constat >  Pour le respect de la catégorie 2 (si utilisation de la procédure simplifiée), la norme (§ 4.5.4)

exige que le taux d’essais (test en vue de diagnostic) de la partie considérée soit au moins 100 fois supérieur à son taux de demande (sollicitation de la fonction de sécurité)

  Conséquence >  Cette exigence élimine de manière quasi systématique la possibilité d'utiliser des composants

électromécaniques, pneumatiques ou hydrauliques dont le diagnostic nécessite une commutation physique

>  Usage de la catégorie 2 réservé principalement aux systèmes électroniques qui tolèrent des micro-impulsions de tests sans avoir besoin de solliciter la fonction de sécurité

>  Si utilisation de composants électromécaniques architecture de catégorie 2 déconseillée choix d'une autre catégorie adaptée au PLr


  Couverture de diagnostic DCavg dans le cas de plusieurs entrées câblées en série sur un module de sécurité


  Constat >  Il est courant de voir des modules de sécurité sur

lesquels sont câblés en série de nombreux contacts (BP AU, interrupteurs de protecteurs, …)

  Question >  Comment déterminer la couverture de diagnostic

DC réalisée par le module pour ces capteurs ?   Pour répondre à cette interrogation

>  Respecter les consignes de câblage du fabricant (possibilité ou pas de raccordement de plusieurs éléments, valeur correspondante de DC, …)

>  Analyser les spécificités de l'application (Nb d'éléments pouvant être actionnés simultanément)

  Conclusions >  Au-delà d'un élément, DC < 99% on ne peut plus revendiquer un Ple >  Au-delà de deux éléments raccordés en série, il est conseillé de considérer une DC inférieure à

60% (indice nul) >  Certains référentiels fixent des règles (ISO/DIS 14119 pour les dispositifs de verrouillage des

protecteurs)


  Combinaison de plusieurs fonctions agissant sur un même actionneur


  Constat >  Lorsque plusieurs fonctions de sécurité (ou un mixte fonction(s) de sécurité / fonction(s)

« standard ») doivent intervenir sur un même actionneur pour commander son arrêt, il est nécessaire de réaliser une logique entre ces fonctions

>  Chacune d’elles doit pouvoir jouer son rôle indépendamment ou simultanément des autres en préservant, le cas échéant, la priorité des fonctions de sécurité sur les fonctions « standard »

>  Dans la mise en œuvre pratique, une ou des parties d’une fonction de sécurité ou d’une fonction « standard » vont être utilisées pour faire transiter les ordres d’arrêt issus d’une ou d’autres fonctions de sécurité vers l’actionneur

>  Lorsque ce sont plusieurs SC/FS, elles peuvent requérir des niveaux de sécurité différents

?




  Questions >  SC/FSa pourrait-il être affecté par une défaillance de SRP/CSb3 ? >  Si oui, quelle est sa conséquence sur l’évaluation du PL de SC/FSa ?

  Pour répondre à ces interrogations >  Analyser les modes de défaillance de la SRP/CSb3 >  Vérifier l’influence de ces défaillances par rapport au comportement de SC/FSa

  1er cas – SRP/CSb3 est dotée de sorties à contact libres de potentiel >  la défaillance de SRP/CSb3 n’a aucune influence sur le comportement de SC/FSa >  L’estimation du PL de la fonction FSa s’effectuera en prenant en compte uniquement SRP/

CSa1, SRP/CSa2 et SRP/CSa3.




  2ème cas – SRP/CSb3 est dotée de sorties électroniques >  SRP/CSb3 est supposée défaillante (énergie suffisante pour maintenir alimenté l’actionneur) >  Cette défaillance est potentiellement dangereuse pour la fonction FSa >  L’estimation du PL de la fonction FSa doit alors s’effectuer en prenant en compte SRP/CSa1,

SRP/CSa2, SRP/CSa3 et également SRP/CSb3.

  Conclusion : >  Il faut analyser l’influence de la défaillance des éléments matériels insérés entre un SC/FS et

l’actionneur sur lequel il doit agir >  Si cette défaillance influe sur la fonction considérée revoir la conception de la ou des

fonctions et/ou modifier leur emplacement au niveau de l’interconnexion >  Si l’on maintient ces éléments, ils doivent être pris en compte pour l’évaluation du PL du SC/FS

considéré.


  Etude A5-1068 (2007) : Conception et intégration d'un système de commande électrique relatif à la sécurité (SRECS)

  Origine >  Evolution des référentiels normatifs (norme donnant présomption de conformité à la

directive "machines")

  Objectif >  Présenter un cas pratique de réalisation d’un système de commande complexe

d’une machine basé sur les préconisations de ce référentiel en se mettant à la place d'un concepteur

  Méthode >  Traiter intégralement (conception, développement, mise en œuvre et validation) la

réalisation du circuit de commande relatif à la sécurité d'une presse plieuse hydraulique

>  Fournir les détails de la conception et les commentaires pertinents >  Rédiger un document comprenant une partie guide et une partie exemple

  Valorisations >  Publication d’une « Note Scientifique et technique » (en cours) : Projet NS - Exemple

didactique d'application de la norme NF EN 62061 >  Communication au SIAS 2010 – Tampere (Safety of Industrial Automated Systems)

Présentation étude "62061"


  Points marquants

  Scope de la norme >  Traite uniquement de la partie

"électrique" du système de commande relatif à la sécurité SRECS

>  Privilégie l'intégration de dispositifs existants ou de composants de sécurité

  Fonctions de sécurité traitées >  16 fonctions de sécurités >  Des niveau de SIL requis différents >  Des éléments d'entrée communs à

plusieurs fonctions >  Des interfaces de sortie communes à

plusieurs fonctions

  Travail préparatoire >  Séparation/priorisation entre fonctions

standard/sécurité >  Spécification des fonctions de sécurité >  Délimitation du SRECS dans le circuit de

commande – interfaces/interactions avec les autres parties

Retours d'expériences "62061"


  Exemple de découpage d'une SRCF en blocs fonctionnels En dehors du schéma classique "acquisition – traitement – action" Blocs fonctionnels spécifiques pour gérer les interactions et les priorités



  Exemple d'attribution des blocs fonctionnels à des sous-systèmes


Sous-systèmes "finis"

Sous-systèmes à concevoir



  Le SRECS sur la presse plieuse de l'INRS


  Sur le site de l'INRS : www.inrs.fr

  Déjà disponible NS 302 : Aborder la norme NF EN ISO 13849-1 via la conception d’une fonction de sécurité basique

  A paraitre prochainement

NS … - Exemple didactique d'application de la norme NF EN 62061

Pour en savoir plus …

Merci de votre attention

Documents

Retours d’expériences sur la mise en application des ... · 11/04/2013 Club Automation – Sureté de fonctionnement 10 Réflexions sur les critères de respect de la catégorie