Sécurité des machines, procédés et infrastructuresDémarche et solutions de mise en œuvre

04 Les directives européennes et les normes

06 La sécurité fonctionnelle

08 Les machines et les normes de sécurité Exemple d’une machine d’étalonnage

Exemple d’une machine - analyse

Exemple d’une machine - conception

Sistema, outil d’évaluation du niveau de performance

22 Les procédés industriels et les normes de sécurité Procédés industriels - la directive Seveso

Procédés industriels - la norme EN 61511

Exemple de rénovation d’une unité de production chimique

Exemple de rénovation - analyse

Exemple de rénovation - conception

Exemple de rénovation - synthèse et recommandations

36 Les infrastructures et les normes de sécurité Exemple de la centralisation d’un réseau d’écluses

Exemple d’un système de détection des vents sur un réseau ferré

42 Les solutions Schneider Electric Fonctions de base d’un système de sécurité

Architectures machines

Architectures procédés

Architectures infrastructures

52 Les services experts en sécurité de Schneider Electric

Sommaire

2

En tant que fournisseur d’équipements et partenaire dans

le domaine de la sécurité, nous souhaitons vous accompagner

avec ce guide sur les dernières évolutions des directives sécurité

dans les domaines de la machine, des procédés et des infrastructures

ainsi que sur les normes qui les mettent en application.

Nous avons particulièrement veillé à mettre l’accent sur la

démarche et les points essentiels afin de vous sensibiliser

au respect d’une méthodologie. Nous avons également illustré

l’ensemble de nos propos par des exemples pour montrer

concrètement comment nous pouvons vous assister tout au long

de vos projets et vous faire partager notre savoir-faire.

machines industrie infrastructures

3

Les directives européennes et les normes

4

Une directive est un acte juridique communautaire établi par le Conseil de l’Union européenne. Les États membres doivent transposer la directive dans leur droit national. Les directives sont publiées au Journal Offi ciel des Communautés Européennes.

La surveillance des entreprises est assurée par les services d’inspection du travail ou de la DREAL.

Lorsqu’une machine ou un procédé n’est pas conforme aux exigences essentielles de la directive, trois types de sanctions sont susceptibles d’être mises en œuvre :- une sanction administrative consistant à procéder au retrait du produit du marché européen, - une sanction judiciaire avec mise hors service de la machine ou du procédé non conforme, - des sanctions pénales à l’encontre du fabricant et de l’utilisateur.

Les directives sont spécifi ques au secteur d’activité, elles découlent des différents traités qui ont érigé des droits fondamentaux. Le tableau (Fig.1) résume les directives et les normes applicables aux fonctions de sécurité.

Si la conformité d’une machine neuve est de la responsabilité du constructeur, la mise en exploitation et les modifi cations sont du ressort des utilisateurs. Ils doivent, à chaque fois qu’une évolution est engagée, démontrer que les directives sociales, voire environnementales sont respectées et que le niveau de sécurité est conservé.

Une norme est une spécifi cation technique approuvée par un organisme reconnu. Son application n’est pas obligatoire.

Une norme harmonisée est une norme élaborée par un organisme européen de normalisation sur la base d’un mandat délivré par la Commission Européenne. Elle est publiée au Journal Offi ciel de l’Union Européenne et respecte la directive par rapport à laquelle elle est rédigée.

Pour le produit ou le système qui est construit conformément à cette norme, elle lui confère présomption de conformité aux exigences essentielles de sécurité concernées.

Parmi les normes citées ci-dessous, seules les EN/ISO 13849 et EN 62061 sont harmonisées, les autres normes telles qu’IEC sont reconnues comme de bonnes pratiques.

La norme sécurité fonctionnelle EN 61508 est générique, elle sert de référence aux normes sectorielles qui sont plus faciles à appréhender.

Fig.1 Résumé des directives et normes applicables aux fonctions de sécurité

Droits fondamentaux de l’Union Européenne

Libre circulation Protection des travailleurs

Protection de l’environnement , des personnes et des biens

Directives de l’Union Européenne

Directives machines 2006/42/CE

Directives sociales 89/391/CE

Directives Seveso II 2008/99/CE 96/82/CE

Secteur d’activité Constructeur de machines

Utilisateur intégrateur

Utilisateur intégrateur

Normes fonctions de sécurité

Normes harmoniséesEN/ISO 13849EN 62061

EN/ISO 13849EN 62061EN 61508

EN 61511Norme génériqueEN 61508

5

6

La sécurité fonctionnelle

Réduire le risque demande la mise en œuvre d’un ensemble de moyens et de prescriptions qui concourent à obtenir un niveau de sécurité acceptable.

Si les protections passives (murs d’enceinte, capots de protections...) ne sont pas suffi santes, des systèmes automatisés doivent être ajoutés. Ils sécurisent l’accès et le fonctionnement des machines ou des procédés pour que l’opérateur puisse travailler en sécurité.

Le fi l conducteur de la sécurité fonctionnelle

Les grandes lignes qui ont conduit l’élaboration des directives sont :- une approche basée sur le risque pour déterminer les exigences d’intégrité de la sécurité des systèmes.- la prise en compte de toutes les phases

du cycle de vie du système. Celles-ci comprennent (Fig.3) : la conception initiale, en passant par l’analyse et l’évaluation des risques, le développement des exigences de sécurité, la spécifi cation, la conception des systèmes, l’implémentation, la mise en service, l’exploitation et la maintenance, la modifi cation, le démantèlement fi nal et la mise au rebut.- le concept de sécurité fonctionnelle qui prend en compte un ensemble complet assurant une fonction de sécurité. Ces fonctions sont composées de sous-ensembles qui s’intègrent dans le système de sécurité.- des exigences pour se prémunir des pannes et pour garantir la sécurité en présence de pannes.- la formalisation des processus de décision touchant à la sécurité, des méthodes employées et de la mise à jour des documents.

La norme EN 61508 et les systèmes de sécurité fonctionnelle

Les systèmes de sécurité sont des sous-ensembles qui viendront en parallèle des automatismes de contrôle/commande. Ils compléteront les autres protections pour assurer le niveau de sécurité requis.

La norme EN 61508 précise sous le terme de sécurité fonctionnelle des règles pour réaliser ces sous-ensembles et les exigences quant à leur fonctionnement.

Ces sous-ensembles assurent une fonction défi nie. Ils sont constitués d’une chaîne complète tels que les capteurs, les circuits électriques et électroniques, les interverrouillages et les moteurs (voir Fig.2).

Mise en œuvre de la sécurité fonctionnelle

Pour faciliter la compréhension de la démarche, nous allons présenter la mise en œuvre de la sécurité fonctionnelle à travers deux exemples : une machine et un procédé industriel.

Le propos n’est pas de détailler les calculs, mais de présenter les diffi cultés et les points essentiels qui permettent au lecteur d’orienter ses choix d’architecture de système et éventuellement de solliciter des conseils.

Analyse et prescriptions

> concept

> défi nition de l’application

> analyse de danger et de risques

> prescriptions globales de sécurité

Réalisation

> spécifi cation des fonctions de sécurité

> conception et développement

> intégration

> procédures d’exploitation et de maintenance

> validation

Mise en service

> installation

> tests de validation

Exploitation

> maintenance

> modifi cation et évolution

> démantèlement

Fig.3 Phases du cycle de vie

Fig.2Illustration de la sécurité fonctionnelle

autres

technologies

système

instrumenté

de sécurité

(SIS)

externes

verrouillage

mécanique

fonctions

instrumentées

mur

capot

ensemble des moyens concourant à la sécurité

Sécurité fonctionnelle

Sécurité fonctionnelle instrumentée

F1 F2 Fn

fonction

capteur

traitement

actionneur

7

Les machines et les normes de sécurité

8

Le contexte

Selon qu’il s’agit d’une machine neuve ou de la modifi cation d’une machine existante, les responsabilités sont endossées par des personnes différentes.

Construction d’une nouvelle machine

L’application des directives machines 2006/42/CE est obligatoire. En se conformant aux normes harmonisées de sécurité, le constructeur obtient une présomption de conformité pour sa machine. Il peut donc apposer le marquage e et vendre dans la CEE.

Le tableau ci-dessous (Fig.4) présente deux normes de type B applicables à la sécurité des machines et de leurs automatismes. Elles sont complétées des normes type C, spécifi ques à certaines machines (presses, robots...).

La mise en œuvre de ces normes est détaillée à partir d’un exemple concret au chapitre suivant.

Fig.4Normes à appliquer pour la conception de la sécurité des machines et de leurs automatismes.

Si ces normes sont exigeantes, elles offrent une méthode utile pour développer la sécurité. En intégrant leurs contraintes en amont de la conception, le constructeur optimisera la part relative à la sécurité.

En effet, une protection mécanique simple, telle qu’un verrouillage de l’accès à une partie dangereuse associé à des constituants de sécurité standards, peut être facilement mis en œuvre sans nécessairement faire appel à des systèmes d’automatisme complexes.

Modifi cation d’une machine existante

Celui qui réalise une modifi cation prend la responsabilité du constructeur (OEM) et doit garantir la conformité du résultat.

Directive machines européenne2006/42/CE

Type Anormes sur les notions fondamentalesEN 14121, EN 12100, EN 1050

Type Bnormes génériques sur les machinesEN/ISO 13849-1 ou EN 62061

Type Cnormes spécifi ques

Certifi cation et marquage e selon la directive machines

9

Description de l’application

Cette machine spéciale d’étalonnage de produits électriques comporte un convoyeur d’entrée, un poste de réglage, un poste de contrôle et un convoyeur de sortie.

Prestation de Schneider Electric

Le constructeur souhaite mettre sa machine en conformité avec la directive machine. La conception est en cours, l’expert sécurité de Schneider Electric participe en amont dès l’analyse des risques.

Nous allons décrire la démarche qui comporte deux phases :

> L’analyse

Elle comporte cinq grandes étapes (fi gure 5) décrites dans les normes EN 14121 et EN 12100. L’itération de ces étapes est nécessaire pour maîtriser les phénomènes dangereux.

> La conception du système

Selon les technologies mises en œuvre le concepteur choisira la norme EN/ISO 13849-1 ou EN 62061.

Exemple d’une machine d’étalonnage de produits électriques

exemple

10

Les machines et les normes de sécurité

Fig.5Les étapes d’appréciation du risque

Début

EN 14121

étape 1

Détermination des limites de la machine

étape 2

Identifi cation des phénomènes dangereux

étape 3

Estimation du risque

étape 4

Evaluation du risque

La machine est-elle sûre ? fi n

non

étape 5

EN 12100

Réduction des risques> mesures de conception> fonctions complémentaires> information du personnel

EN/ISO 13849-1 ou EN 62061Conception du système de contrôle/commande relatif à la sécuritéP

ha

se d

e

con

cep

tio

nP

ha

se d

’an

aly

se

oui

11

étape 1

Détermination des limites de la machine

Les limites de la machine ont été identifi ées en prenant en compte sur l’ensemble du cycle de vie :

- l’usage normal (substances utilisées, cadences... ), - le mauvais usage possible (utilisation hors spécifi cation... ),- les limites d’espace (environnement, accès... ),- les limites de temps (durée de vie, périodes d’entretien... ).

Fig.6Les principaux phénomènes dangereux et leurs risques

étape 2 Identifi cation des phénomènes dangereux

Cette phase commence par l’analyse des zones de travail et des tâches réalisées par l’opérateur de production, le régleur et les personnes de maintenance :

- chargement/déchargement des produits (démarrage, arrêt, arrêt d’urgence, redémarrage),- changement de série (modifi cation des paramètres de tests),- nettoyage, maintenance préventive,- maintenance corrective, réglage.

> identifi cation des opérations dangereuses Elle est réalisée ensuite à partir d’une check-list de phénomènes dangereux fournie par les normes EN 12100 et EN 14121. La fi gure 6 en illustre quelques-uns.

Dans notre cas elles seront essentiellement d’ordre mécanique et électrique avec une attention particulière pour un laser de marquage.

> Les scénarios d’accidents

Lors de l’analyse, nous avons identifi é 22 scénarios d’accidents. Nous allons décrire seulement ceux qui concernent le poste de transfert. Il est plus parlant de présenter un scénario extrait de cette analyse qui conduit à estimer les risques (voir Fig.7).

exemple

12

Les machines et les normes de sécurité

étape 3 Estimation du risque

La norme EN 14121-1 défi nit le risque comme étant le produit de la gravité du dommage possible par la probabilité d’occurrence. Celle-ci étant la combinaison de trois critères :

- exposition de la ou des personnes au phénomène dangereux,- risque d’apparition d’un phénomène dangereux,- possibilité d’éviter ou de limiter le dommage.

Les risques correspondant à chaque phénomène dangereux doivent être estimés pour chaque tâche de la phase de vie. Lors de cette analyse, nous avons identifi é 22 risques, par simplifi cation nous allons en décrire un seul.

Fig.7 Identification des risques sur le poste de transfert.

(1) Ces numéros correspondent aux étapes mentionnées dans la figure 5.

Fig.8 Matrice de risque utilisée dans le projet

étape 4

Evaluation du risque

Malgré la présence de protections mécaniques, un risque résiduel élevé

persiste. Il se déduit des deux lignes du tableau 7 en utilisant la matrice de risque proposée par la norme EN 14121-2.

Une phase préliminaire ayant fi xé le niveau de risque tolérable, cette analyse démontre la nécessité d’utiliser des moyens supplémentaires pour réduire le risque. Il est décidé d’ajouter une fonction de sécurité.

Etape 2 : identifi cation des phénomènes dangereux(1)

Zone dangereuse Transfert

Tâche/opération Opération/cycle normal

Phénomène dangereux Ecrasement

Situation dangereuse Accès d’une personne dans la zone de transfert, à proximité des actionneurs alimentés

Événement dangereux Accès ou contact avec des pièces en mouvement en raison de l’absence de protecteur

Etape 3(1) Dommages malgré la présence de protections

Sérieux

Probabilité d’occurrence du dommage

Probable

Probabilité d’occurrence du dommage

Gravité du dommage

catastrophique sérieuse modérée mineure

très probable élevée élevée élevée moyenne

probable élevée élevée moyenne faible

improbable moyenne moyenne faible négligeable

rare faible faible négligeable négligeable

RisqueGravité du dommage possible

Probabilité d’occurrence

13

étape 5 Réduction des risques

La norme EN 12100 mentionne la notion de risque tolérable comme étant la valeur acceptée par l’ensemble des parties prenantes (Fig.9).

Les moyens à mettre en œuvre pour réduire les risques sont de trois ordres :

- les mesures prises lors de la conception de la machine pour supprimer les risques tels que les protections par carters,- des fonctions de sécurité complémentaires au cas où les autres mesures ne seraient pas suffi santes,- les informations de sécurité aux utilisateurs (affi chage de consignes et formation des opérateurs).

Dans notre cas le risque résiduel est trop élevé. Il est décidé de mettre en œuvre une fonction de sécurité complémentaire.

Fig.9 Réduire le risque à un niveau tolérable

À ce stade, il faut sélectionner une méthode provenant de l’une des deux normes applicables aux machines (EN/ISO 13849-1 / EN 62061).

Comme ces deux normes se chevauchent, le choix est assez fl exible et dépendra souvent du contexte d’utilisation. Elles ont cependant un positionnement différent selon les technologies d’automatisme de sécurité utilisées :

> Technologie pneumatique, hydraulique,

électrique

La norme EN/ISO 13849-1 s’applique, elle remplace la EN 954-1 en lui apportant plusieurs améliorations et surtout une cohérence avec l’ensemble des normes de sécurité (Fig.10) :

- elle classifi e les niveaux de risque en PL (Performance Level ou niveau de performance),- elle couvre les automatismes à relais, les automates et contrôleurs de sécurité, les logiques pneumatiques,- elle s’applique généralement aux machines autonomes et aux machines intégrées aux procédés manufacturiers.

Fig.10 Phases de la norme EN/ISO 13849-1

fréquence

sévé

rité

système sans réduction de risque

obtenu par des mesures de réduction des risques

niveau de risque tolérable

risque initial inhérent à l’activité

risque résiduel

A Identifi er les fonctions de sécurité

B Spécifi er les caractéristiques

C Déterminer le niveau de performance requis (PLr)

D Concevoir la fonction de sécurité

E Déterminer le PL de la fonction

EN/ISO 13849-1

non

vérifi cation PL u PLr

exemple

14

Les machines et les normes de sécurité

fi noui

Fig.11 Détermination du PL requis. Le chemin en rouge représente les paramètres retenus dans le cas du poste de transfert

> Technologie électrique, électronique

et électronique programmable (E/E/EP)

Dans ce cas la norme EN 62061 s’applique. Elle intègre entre autres la notion de sécurité fonctionnelle. Elle défi nit des SIL : Safety Integrity Level (Niveau d’Intégrité de Sécurité).Elle couvre les automatismes à relais, les automates et contrôleurs de sécurité.

> Choix de la norme à appliquer

pour notre étude Les fonctions étant peu complexes, le choix s’est porté sur la EN/ISO 13849-1. Cette norme prescrit un processus basé sur le même concept que la norme EN 14121. Il est schématisé ci-contre (Fig.11).Les travaux d’analyse réalisés aux étapes 1 à 4 nous permettent de passer directement à la phase C de l’EN/ISO 13849-1 qui donne les règles de calcul du PL requis.

Fig.12 Evaluation de la fonction de sécurité

a

b

c

d

e

P1

P2

P1

P2

P1

P2

P1

P2

F1

F2

F1

F2

S1

S2

PLr

faible

élevé

1

> Détermination du niveau PL requis

La norme s’appuie sur le graphique de risque pour obtenir le niveau de performance PL (Performance Level) requis. Les paramètres à prendre en compte sont :

S gravité de la blessure

- S1 blessure légère (normalement réversible)- S2 blessure grave (normalement irréversible, y compris le décès)

F fréquence et/ou durée d’exposition

au phénomène dangereux

- F1 rare à assez fréquente et/ou courte durée d’exposition- F2 fréquente à continue et/ou longue durée d’exposition

P possibilité d’éviter le phénomène dangereux ou de limiter le dommage

- P1 possible sous certaines conditions- P2 rarement possible

Le tableau ci-dessous (Fig.12) résume l’évaluation de notre fonction.

Poste de transfert : risque mécanique, contact avec un actionneur en mouvement

Paramètre retenu

Justifi cation

Gravité de la blessure S2 Sectionnement du doigt

Fréquence F1 Intervention machine ponctuelle (machine automatique) environ 1/jour

Possibilité d’évitement P2 Mouvement à vitesse rapide

Niveau de performance requis

PLd

15

Exemple d’une machine> conceptionexemple

Conception d’une fonction de sécurité

Le niveau PLd de notre fonction est maintenant déterminé, nous allons la décrire. Elle doit assurer lors d’une ouverture de porte :- la coupure de l’alimentation des pièces nues sous tension, - la mise hors énergie des éléments mobiles (coupure alimentation et mise à l’échappement air).

L’architecture est d’abord représentée sous forme de blocs diagramme de fi abilité (Fig.13).

À partir de cette représentation conceptuelle, le choix des composants est effectué et le schéma est réalisé (Fig.14) :

- deux fi ns de course de sécurité XC (S1 et S2), - un contrôleur de sécurité XPS-MP,- deux contacteurs standards LC1K dont le circuit de contrôle est alimenté en 24V (K1 et K2),- des électrovannes (EV1 et EV2), commandées par les contacts auxiliaires des deux contacteurs en série.

S1Fin de courseporte 1

S3Fin de courseporte 2

K1 ContacteurKM1

Coupure air mise à l’échappement

S2 Fin de courseporte 1

S4 Fin de courseporte 2

K2ContacteurKM1

Coupure air mise à l’échappement

Traitement contrôleur de sécurité

canal 1

canal 2

Fig.14 Composants de la fonction de sécurité

Fig.13 Représentation par blocs

16

Les machines et les normes de sécurité

ouvert

fermé

M A1

A2

A1

A2

Air

S1

K2

K1

EV1

EV2

ouvert

fermé

porte 1

porte 2

S2

S3

S4

Déterminer le PL de la fonction

À ce point il est nécessaire de présenter la méthode de calcul du PL.

Le PL se défi nit en terme d’architecture et de probabilité de défaillance dangereuse par heure. Il est basé sur les paramètres suivants : - la catégorie de l’architecture,- la fi abilité des composants (MTTFd : temps moyen avant défaillance dangereuse),- la couverture de diagnostic DC,- l’estimation des défaillances de cause commune (CCF).

Le PL comporte 5 niveaux, pour notre exemple le niveau PLd est requis (Fig.15).

Fig.15 Niveaux de performances PL (extrait de la norme EN 13949-1)

PL Probabilité de défaillance dangereuse par heure

a u 10-5 … < 10-4

b u 3 x10-6 … < 10-5

c u 10-6 … < 3 x 10-6

d u 10-7 … < 10-6

e u10-8 … < 10-7

Fig.16 Les catégories d’architectures utilisées

> La catégorie de l’architecture utilisée

Cinq catégories défi nissent le comportement en cas de défaillance, c’est à ce niveau que la redondance des composants est prise en compte (Fig.16).

De par le choix de l’architecture (Fig.14) qui comporte des composants redondants, la catégorie 3 s’applique.

cat. Comportement du système Principe pour obtenir la sécurité

B Une faute peut conduire à une perte de la fonction de sécurité

Choix du composant approprié

1 Idem à B, mais exigence d’une meilleure fi abilité de la fonction sécurité.

Choix du composant approprié

2Une faute peut conduire à une perte de la fonction de sécurité et la perte de la fonction de sécurité est détectée par le contrôle.

Auto contrôle

3Si la faute est unique, la fonction de sécurité est toujours assurée. L’accumulation de défauts non détectés peut conduire à la perte de la fonction sécurité.

Redondance

4Quand des fautes surviennent, la fonction de sécurité est toujours assurée. Les fautes seront détectées à temps afi n de ne pas perdre la fonction de sécurité.

Redondance + auto contrôle

17

> La fi abilité des composants MTTFd

La fi abilité se mesure par le temps moyen avant défaillance dangereuse du composant (Mean Time To dangerous Failure).

Les composants sont combinés en canaux, la norme EN/ISO 13849-1 propose une méthode de calcul du MTTFd d’un canal à partir du MTTFd de chacun de ses composants. Le MTTFd est compris entre 3 et 100 ans (Fig.17).

Dans notre cas le calcul donne une valeur de 87 ans correspondant à un indice élevé.

Les fabricants de composants doivent fournir ces données pour chacun de leurs produits.

Fig.17 Indice de fiabilité d’un canal

> La couverture de diagnostic DC

Ce terme s’exprime en pourcentage et défi nit la capacité de diagnostiquer une défaillance dangereuse. Par exemple, lors d’un éventuel collage de contact NC d’un relais, l’état du contact NO donnera une information erronée à l’ouverture du circuit. Si le produit a des contacts NO et NC liés, le défaut sera détecté.

L’estimation se fait par analyse des modes de défaillances et leurs effets. La norme reconnaît quatre niveaux. Malgrès l’utilisation d’un contrôleur de sécurité disposant d’une très bonne couverture de diagnostic, la couverture de diagnostic de l’ensemble de la fonction de sécurité est limitée à un niveau moyen par la mise en cascade des capteurs et la surveillance de la coupure d’air (Fig.18).

Fig.18 Gamme de couverture de diagnostic

Couverture de diagnostic Gamme

Nul DC < 60 %

Faible 60 % y DC < 90 %

Moyen 90 % y DC < 99 %

Élevé 99 % y DC

Indice Gamme

Faible 3 ans y MTTFd < 10 ans

Moyen 10 ans y MTTFd < 30 ans

Élevé 30 ans y MTTFd < 100 ans

exemple

18

Les machines et les normes de sécurité

> Les défaillances de cause commune CCF

Il s’agit ici des défaillances pouvant impacter l’ensemble des fonctions comme une coupure de tension. Il faudra mettre en œuvre des mesures pour maintenir le niveau de sécurité lorsqu’elles se produiront.

Le tableau ci-dessous énumère les mesures et contient des valeurs associées, fondées sur une évaluation d’expert.

Pour chaque mesure listée, seuls les résultats tout ou rien peuvent être déclarés. Si une disposition est partiellement réalisée, le score résultant est nul. La norme EN/ISO 13849 donne une méthode de notation détaillée dont nous donnons un extrait ci-dessous (Fig.19).

Elle impose un score total qui doit être au minimum de 65. Dans l’exemple traité le score atteint 70.

Fig.19 Groupes de mesures contre les CCF

Mesure contre les CCF Score maxi

Score réalisé

Séparation/IsolementSéparation physique entre les voies de signaux 15 15

Diversité différents principes de conception/technologies ou principes physiques sont utilisés (ex : composants de diverses technologies, premier canal électronique programmable et second canal câblé)

20 0

Conception/application/expérience(protection surtensions, courant, etc., composants éprouvés)

20 20

Appréciation/analyse (ex. : analyse des modes de défaillance) 5 5

Compétence/formation 5 5

Environnement : CEM, fi ltration des fl uides 25 25

Environnement : températures, chocs, vibrations, humidité 10 0

Total 100 70 Schneider Electric propose une large

gamme de composants de sécurité et

de composants standards en capteurs,

contrôleurs et actionneurs.

Un panorama de l’offre de sécurité

est proposé à la fi n de ce document.

L’ensemble de l’offre est présenté

sur le site de l’entreprise :

www.schneider-electric.fr

19

> Vérifi cation du PL de la fonction

L’architecture de la fonction et les composants étant choisis, il reste maintenant à déterminer le PL.

La fi gure 20 résume les différents éléments du PL présentés dans les paragraphes précédents.

Depuis quelques

années, des bases de

données communes

se sont standardisées.

Elles intègrent les

règles présentées au

paragraphe précédent

et il devient plus

simple de déterminer

le PL d’une fonction.

Fig.21Graphe de choix du PL

Paramètre Résultat pour la fonction

Catégorie d’architecture 3

DC 96 % - élevé (supérieur à moyen pour Fig.21)

MTTFd 87 ans - élevé

CCF 70

a

b

c

d

e

B

nulle

1

nulle

2

faible

2

moyenne

3

faible

3

moyenne

4

élevée

caté

go

rie

élevé

moyen

faible

Catégorie d’architecture

Couverture DC

Niveau de performance PL

Fig.20 Composants du PL

Pour aider le concepteur à orienter sa décision, la norme propose un graphe de choix (Fig.21). Nous y avons entouré les données de notre fonction, ce qui conduit à un niveau supérieur ou égal à PLd.

Cette valeur correspond bien au niveau requis.

MTTFd

exemple

20

Les machines et les normes de sécurité

Plusieurs solutions logicielles sont apparues sur le marché :- les solutions propriétaires sous forme de feuilles de calcul ou de logiciels,- les solutions ouvertes telles que Sistema du BGIA.

Sistema est un logiciel gratuit qui permet d’évaluer le niveau de performance PL à partir d’une architecture déterminée par l’utilisateur. Ce logiciel prend en charge des bases de données standardisées fournies par différents fabricants.

Schneider Electric met à disposition une base de données pour ses produits de sécurité directement exploitable dans Sistema.

L’utilisation de Sistema dans notre exemple confi rme le PL que nous avions calculé.

Sistema, outil d’évaluation du niveau de performance

Ce logiciel est disponible sur le site

de Schneider Electric à l’adresse :

http://xsl.schneider-electric.com

menus > utilitaires > bibliothèques > bibliothèques SISTEMA

Si le logiciel est d’une aide importante, il reste

essentiel de conduire en amont du projet

l’analyse du risque. C’est une étape clé

pour obtenir une machine sûre et optimiser

les fonctions de sécurité nécessaires.

Fig.22 Capture d’écran du logiciel Sistema

Les logiciels spécialisés de détermination du PL

21

22

Les procédés industriels et les normes de sécurité

La directive 96/82/CE, appelée aussi directive Seveso II, concerne la maîtrise des accidents majeurs pouvant survenir dans les procédés potentiellement dangereux. Elle fi xe comme priorité la prévention et la réduction des risques à la source.

Les accidents majeurs

Un accident majeur est un événement tel que :- une émission de polluant,- un incendie,- une explosion,

… résultant d’une anomalie survenue au cours de l’exploitation, entraînant un danger grave, immédiat ou différé pour :- la santé humaine,- l’environnement,- l’intérieur ou l’extérieur de l’établissement.

L’importance de l’organisation comme cause d’accidents

«Sur la période 1992-2006, les défaillances d’ordre humain ou organisationnel sont à l’origine de près de la moitié des accidents [...].» (Fig.23)

Source : bureau du ministère chargé de l’Environnement (Bureau d’Analyse des Risques et Pollutions Industrielles).

Il est à noter que les défaillances proviennent en majorité de mauvaises spécifi cations et des modifi cations après mises en service.

Il en découle la nécessité de travailler la sécurité le plus en amont possible et de traiter non seulement l’ensemble du cycle de vie du procédé, mais aussi l’organisation (processus de décision, méthodes, gestion des documents) et les compétences du personnel.

La norme de sécurité fonctionnelle EN 61511

Cette norme, applicable aux procédés industriels, concerne les Systèmes Instrumentés de

Sécurité (SIS) construits à partir de technologies électriques, électroniques et électroniques programmables.

Elle est basée sur deux concepts fondamentaux : - le cycle de vie complet du procédé,- le niveau d’intégrité de sécurité (SIL : Safety Integrity Level) qui sera présenté dans l’exemple sur la rénovation d’une unité de production chimique (voir page 28).

Fig.23 Répartition des causes de défaillances.(Source ministère de l’Environnement)

44 % Spécification

14,7 % Conception & implémentation

5,9 % Installation & mise en service

14,7 % Exploitation & maintenance

20,6 % Modifications après mise en service

44 %

14,7 %

5,9 %

14,7 %

20,6 %

23

Procédés industriels> la norme EN 61511

phase 1

Analyse des dangers et des risques- identifi er les risques associés aux événements dangereux- défi nir le niveau de risque acceptable et la réduction de risque nécessaire

phase 2

Allocation des fonctions de sécurité aux couches de protection- identifi er les couches de protection et leurs fonctions- allouer le niveau de sécurité associé

phase 3

Prescription de sécurité, spécifi cation du Système Instrumenté de Sécurité (SIS) - spécifi er les exigences pour chaque SIS- allouer le niveau de sécurité associé

phase 4

Conception et ingénierie du SIS- concevoir les SIS- planifi cation des essais

phase 5

Installation, mise en service et validation- intégrer et essayer les SIS- valider que les SIS satisfassent aux exigences de sécurité

phase 6

Exploitation et maintenance- s’assurer que le niveau de sécurité du SIS est conservé pendant l’exploitation et la maintenance

phase 7

Modifi cations- faire des corrections, des améliorations ou des adaptations au SIS- s’assurer que le niveau de sécurité n’est pas dégradé et qu’il n’y a pas de nouveau risque généré

phase 8

Déclassement- lors du démantèlement s’assurer que le SIS reste approprié

La gestion de la sécurité fonctionnellePour garantir la qualité du travail de l’ensemble de ces phases il est nécessaire de mettre en œuvre un management qui consiste à :- établir un planning global- défi nir des étapes de vérifi cation entre chaque phase- planifi er des audits

Le cycle de vieEn reprenant les concepts de cycle de vie de la norme EN 61508, l’EN 61511 précise une méthodologie comportant 8 phases.

Les phases 1 et 2 sont détaillées page 26.

Les phases 3 et 4 sont illustrées par un

exemple concret de réalisation d’une fonction

instrumentée de sécurité (FIS) page 28.

24

Les procédés industriels et les normes de sécurité

Fig.24 Le cycle de vie selon l’EN 61511

Analyse des dangers et des risques

Prescription de sécurité spécifi cation du SIS

Allocation des fonctions de sécurité aux couches de protection

Conception et ingénierie du SIS

Installation, mise en service et validation

Exploitation et maintenance

Modifi cations

Déclassement

Conception et développement des autres moyens de réduction de risque

Ge

stio

n d

e la

sé

curi

té fo

nct

ion

ne

lleP

lan

ifi c

atio

nV

éri

fi ca

tio

n

ph

ase 1

ph

ase 2

ph

ase 3

ph

ase 4

ph

ase 5

ph

ase 6

ph

ase 8

ph

ase 7

25

phase 1

Analyse des dangers et des risques

Défi nition du risque

Le risque se défi nit comme le produit de la fréquence d’apparition du phénomène dangereux par la sévérité des dommages occasionnés aux personnes et à l’environnement.

L’analyse du risque comporte deux dimensions :- la probabilité d’occurrence et les conséquences du phénomène dangereux,- le comportement des personnes face au risque, leur compétence et leur capacité à anticiper ou à réagir en cas d’accident.

Des arrêtés nationaux, basés sur les directives européennes, défi nissent des exigences pour les installations classées à risque.

Comme le risque zéro n’existe pas, un niveau de risque acceptable doit être défi ni. Le travail d’analyse et d’évaluation est généralement réalisé par une équipe multidisciplinaire sous l’autorité de l’ingénieur responsable de la sécurité de l’entreprise.

Fig.25 Les moyens organisés en couches complémentaires

L’expertise de

Schneider Electric

intervient dès

l’analyse de risque

pour contribuer à

défi nir les fonctions

instrumentées de

sécurité (SIS).

Risque Sévérité des dommages

Fréquence d’apparition

Le risque étant évalué, il convient ensuite d’identifi er les moyens qui participent à sa réduction. Ils sont aussi bien d’ordre organisationnel que matériel. En voici quelques exemples :- description du processus- plan de formation du personnel- plan d’évacuation- enceinte de protection- systèmes instrumentés de sécurité (SIS)…

Ces moyens organisés en couches complémentaires contribuent à obtenir le niveau de sécurité requis (Fig.25).

Niveau de sécurité requis

Phénomène dangereux

Système de contrôle/commande

SIS

Plan d’évacuation

Enceintes de protection

Plan de formation

Description du processus

26

Les procédés industriels et les normes de sécurité

Chaque couche participe à la prévention

du risque (ex. fi abilité du système, formation du personnel) ou à la réduction de ses

conséquences (ex. enceinte de confi nement, soupape de sécurité, plan d’évacuation). Les SIS participent à l’une ou à l’autre.De la qualité du travail réalisé dans cette phase dépendra la qualité du système de sécurité. Cette phase est de la responsabilité du client et fait appel à de nombreuses compétences complémentaires capables d’apporter leur expertise sur chacune des couches qui contribuent à la sécurité.

Séparation des couches

Pour prévenir les défaillances de cause commune (surtensions, CEM, perte d’énergie...), la conception doit assurer que l’indépendance entre les couches de protection et le système de contrôle/commande est suffi sante.

L’évaluation peut être qualitative ou quantitative et doit prendre en compte : - l’indépendance entre les couches de protection,- la diversité entre les couches de protection,- la séparation physique entre les différentes couches de protection,- les défaillances de cause commune entre les couches de protection.

Les systèmes de sécurité (SIS)

Ils sont défi nis après la mise en œuvre des autres couches devant assurer la réduction du risque et contribuent à atteindre les objectifs de sécurité de l’ensemble (Fig.26).- Le niveau de sécurité des SIS permet de donner une réponse adaptée au niveau de SIL recherché.- Les SIS sont indépendants du système de gestion du procédé.

L’exemple ci-dessous (Fig.27) montre la complémentarité d’un SIS mettant le système en sécurité lors d’une défaillance du contrôle/commande.

Stratégie pour atteindre le niveau d’intégrité

requis (SIL)

Un système est confronté à deux principaux types de défaillance :- les défaillances matérielles aléatoires. Malgré leur qualité les composants ne sont pas parfaits. Ils se caractérisent par leur taux de défaillance ;- les défaillances systématiques. Elles sont plus diffi ciles à mesurer. Un défaut logiciel par exemple se reproduira toujours dans les mêmes conditions.

La norme défi nit des exigences pour tout le cycle de vie de la fonction de sécurité. Les contraintes d’architecture et le calcul de la probabilité de défaillance dangereuse sont deux exigences parmi d’autres qui sont développées dans les phases 3 et 4.

phase 2

Allocation des fonctions de sécurité aux couches de protection

Fig.26 Exemple de participation des SIS à la réduction du risque.

Dans un automatisme,

la partie spécifi que

liée à la sécurité peut

représenter 20 % du

coût total, le reste

étant assuré par des

produits standards.

En prenant ces

contraintes en amont

dès la conception,

il sera possible de

réduire les coûts liés à

la sécurité, et de limiter

ceux engendrés par la

remise en conformité

d’une installation.

Soupapede sécurité

Système de contrôle commande

Système Instrumenté de Sécurité

(SIS)

réduction et prévention des risques par l’ensemble des couches

Réduction effective du risque

Réduction minimum requise

Sécurité fonctionnelle

réduction préventionprévention

Risque résiduel

Risque tolérable

Risque initial

niveau de risque

Système Instrumenté de Sécurité (SIS)

Seuil de sécurité

Seuil d’alarme

Système de contrôle/commande

Action du SIS

Action du contrôle/commande

Fig.27 Exemple d’intervention du SIS lors de la défaillance du contrôle/commande

27

Contexte

Il s’agit, pour cette unité, de rénover l’ensemble des systèmes de contrôle/commande et de sécurité et de se mettre en conformité avec les directives européennes sachant que l’établissement est classé Seveso. L’exploitant souhaite profi ter de sa mise en conformité pour renégocier son contrat d’assurance.

Le procédé étant existant, il est essentiel de minimiser l’impact sur l’ensemble, la mise en conformité devant être assurée par la seule refonte du SIS. L’étude de danger est faite et le niveau de risque acceptable identifi é (phase 1 du cycle de vie).

L’allocation des fonctions de sécurité aux couches de protection est réalisée (phase 2). Le client souhaite conserver intacte la partie procédé et les sécurités existantes telles que les vannes et autres protections (phase 2).

Exemple de rénovation d’une unité de production chimiqueexemple

Le niveau de sécurité sera atteint à l’aide du nouveau système instrumenté de sécurité (SIS) (phase 2). Sous l’autorité du responsable HSE (hygiène, sécurité et environnement) Schneider Electric a été sollicité pour défi nir et réaliser un SIS et en particulier :- l’aider à spécifi er les fonctions de sécurité (phase 3 du cycle de vie)- les concevoir (phase 4) et démontrer l’atteinte du niveau d’intégrité requis.

Prestation de Schneider Electric

Schneider Electric a proposé une prestation sur les phases 2 à 4. La méthode s’appuie sur la norme EN 61511, bien adaptée à ce type d’industrie.

À partir d’une des fonctions de sécurité choisie comme exemple concret, nous allons décrire la démarche qui a conduit à spécifi er (phase 3) puis à concevoir son architecture et à choisir ses composants (phase 4).

28

Les procédés industriels et les normes de sécurité

Défi nition de la fonction de sécurité

La fonction analysée surveille la température d’un réacteur chimique. Elle a pour but d’anticiper le risque d’emballement de la réaction qui entraînerait le déconfi nement de gaz, dangereux pour les personnes.

La fonction doit en cas de dépassement du seuil dangereux assurer les opérations suivantes :- couper l’électrovanne de distribution d’air,- arrêter les pompes d’alimentation des produits primaires,- ouvrir le refroidissement. Cette opération permet de redémarrer plus rapidement.

L’étude amont (phase 1) réalisée par le client a abouti - pour cette fonction de sécurité - à une exigence d’intégrité de sécurité SIL2.

Fig.29 Fonction de surveillance de température du réacteur chimique

phase 3

Spécifi cation du SIS

Fig.28 Extrait des exigences pour la fonction de sécurité surveillant la température du réacteur

Paramètre de la fonction Caractéristiques

Description de la fonction de sécurité

Surveillance de la température d’une réaction chimique pour prévenir un emballement de la réaction pouvant conduire à des dommages. Si la T° > 120 °C dans le réacteur il faut fermer les vannes et arrêter les pompes d’introduction.

Fréquence de sollicitation de la fonction de sécurité

Rare

Intervalle de test périodique Contrôle annuel, sauf pour les vannes qui peuvent être testées mensuellement.

Temps de réponse du système de sécurité

De l’ordre de plusieurs secondes

Niveau d’intégrité de sécurité souhaité SIL2 – mode faible sollicitation

Acquisition des mesures Mesures température par sonde de température PT100 + interface 4-20 mA

Action des sorties Fermeture des vannes par coupure de l’électrovanne de distribution air Coupure des pompes d’introduction par un contacteur

Relation fonctionnelle entre les entrées et les sorties de la fonction

Autorisation de marche si T° < 120 °C dans le réacteur

Retour en mode normal Acquittement manuel sur la sécurité (état sûr) si T°+ hystérésis < 120 °C

Conséquences d’une activation intempestive de la fonction de sécurité

Arrêt du procédé, pas de nouveau risque généré.

Interface avec les autres systèmes Interface avec automate du contrôle/commande et de la supervision.

Précision sur les exigences de sécurité de la fonction

La norme EN 61511 requiert entre autres les points suivants :- la description de toutes les fonctions instrumentées,- l’identifi cation et prise en compte des défaillances de cause commune,- la défi nition de tous les états du procédé,- les sources et le taux de sollicitation de la fonction,- les exigences pour les intervalles de tests périodiques,- les exigences de temps de réponse.

Un extrait des exigences pour notre fonction est donné dans la fi gure 28.

Capteur

Automate Programmable

de Sécurité(APS)

Ouverturerefroidissement

Coupure pompes

Coupure arrivée d’air

Représentation structurelle de la fonction

À ce stade la structure de la fonction est défi nie et représentée fi gure 29.

Bien que l’ouverture du refroidissement soit commandée par l’automate de sécurité, elle n’entre pas dans la chaîne de sécurité.

29

phase 4

Conception et ingénierie du SIS

Détermination du niveau SIL de la fonction de sécurité

La structure de notre fonction de sécurité étant défi nie (Fig.29), nous allons passer en revue les paramètres nécessaires au calcul du niveau d’intégrité SIL. Nous donnerons en fi n de chapitre le résultat de ces calculs sans en présenter les détails, leur développement sortirait du cadre de cet ouvrage.

La méthode s’appuie sur deux notions :La tolérance aux anomalies du matériel (HFT)

Elle concerne l’architecture. Par exemple, deux capteurs montés en série auront une meilleure tolérance aux pannes qu’avec un seul. Si un contact reste collé, le deuxième assurera l’ouverture. (Fig.30)

La probabilité de défaillance des fonctions

aux sollicitations (PFH ou PFD). Cette exigence quantitative est basée sur des calculs probabilistes refl étant le comportement du SIS en cas de défaillance de ses composants.

Tolérance aux anomalies du matériel (HFT)

Les défaillances se répartissent en deux catégories :- les défaillances systématiques

Comme nous l’avons vu en phase 1, elles proviennent d’erreur de conception ou d’exploitation. Leur réduction passe par la rigueur des méthodes employées et la formation du personnel,- les défaillances aléatoires de la fonction

Leur prise en compte débouchera sur le choix d’architecture. Le calcul se base sur les quatre éléments suivants :

> La proportion de défaillance en sécurité SFF

La première étape consiste à évaluer les conséquences d’une défaillance (Fig.31).- la défaillance est sûre si elle ne met pas le système dans un état dangereux lors d’un défaut, - la défaillance est dangereuse si elle conduit le système est dans un état potentiellement dangereux ou si elle rend la fonction de sécurité inopérante.

λD Taux de défaillances dangereuses par heure

λS Taux de défaillances sûres par heure

λDD

Taux de défaillances dangereuses détectéesλ

DU Taux de défaillances dangereuses non détectées

Fig.31 Proportion de défaillance en sécurité SFF

λD= λ

DD+ λ

DU

λS

λDU

λDD

Fig.30 Exemple de tolérance aux pannes de deux contacts en sériecapteur 2

capteur 1

exemple

30

Les procédés industriels et les normes de sécurité

Ensuite, il faudra vérifi er si les défaillances peuvent être détectées ou non.Nous arrivons ainsi au calcul du SFF (Safe Failure Fraction) qui se défi nit comme le rapport du taux de défaillances sûres ou détectées sur le taux global.

SFF = (∑λs + ∑λ

DD) / (∑λ

s + ∑λ

D)

Ce taux s’exprime en % et traduit la capacité du système à passer en position sûre en cas de défaut, soit intrinsèquement, soit par action spécifi que sur détection de defaillance.

> La couverture du diagnostic (DC)

C’est le taux des défaillances détectées divisé par le taux total de défaillance de la fonction, il s’exprime en %.DC=λ

dd / λ

d

Par exemple, la surveillance d’un contact auxiliaire placé sur une vanne permet de contrôler l’état de la vanne, et de détecter son coincement.

> La redondance

La norme classifi e la tolérance aux anomalies matérielles HFT en trois niveaux :• 0-une seule défaillance conduit à la perte de la fonction de sécurité. • 1-le système tolère 1 défaillance sans perdre la fonction de sécurité.• 2-le système tolère deux défaillances sans perdre la fonction de sécurité.

> Le type d’équipement ou sous-système

Nous utiliserons ici les critères de la EN 61508 qui reconnaît deux types d’équipements :• les sous-systèmes de type A (Fig.32). Ce sont des équipements simples dont le comportement et les modes de défaillance sont connus, et sur lesquels il y a un retour d’expérience. Un contacteur, un bouton poussoir entrent dans cette catégorie.

• les sous-systèmes de type B (Fig.33). Ces équipements plus complexes (ex : électronique fortement intégrée, électronique programmée) ne bénéfi cient pas d’un retour d’expérience permettant de maîtriser tous leurs modes de défaillance.

Dans notre exemple où la valeur SIL2 est requise il sera possible de l’atteindre avec des produits électromécaniques. Il est à noter que les fonctions électroniques redondantes intègrent souvent des logiques de détection qui améliorent le SFF.

Fig.33 Sous-système type B. Pour atteindre le niveau SIL2 avec un SFF < 90 %, il faut un système redondant.

Fig.32 Sous-système type A (selon EN 61508). Le niveau SIL2 avec un SFF > 60 % est atteint sans redondance. À noter que pour les procédés la valeur se limite à SIL3.

Proportion de défaillances en sécurité (SFF)

Tolérance aux anomalies matérielles (HFT)

0 1 2

< 60 % SIL 1 SIL 2 SIL 3

60 % - 90 % SIL 2 SIL 3 SIL 4

90 % - 99 % SIL 3 SIL 4 SIL 4

> 99 % SIL 3 SIL 4 SIL 4

Proportion de défaillances en sécurité (SFF)

Tolérance aux anomalies matérielles (HFT)

0 1 2

< 60 % non autorisé

SIL 1 SIL 2

60 % - 90 % SIL 1 SIL 2 SIL 3

90 % - 99 % SIL 2 SIL 3 SIL 4

> 99 % SIL 3 SIL 4 SIL 4

31

La probabilité de défaillance de la fonction en cas de sollicitation (PFH, PFD)

En cas de détection d’un défaut le système réagira-t-il ? Pour répondre à cette question, la norme reconnaît deux situations :- le système est rarement sollicité, la probabilité se mesurera par sollicitation (PFD). C’est le cas de notre exemple ou une mesure de température anormale sera rare. La norme EN 61511 considère ce mode comme une sollicitation qui intervient moins d’une fois par an, ce qui est bien le cas de la fonction que nous étudions.- le système est sollicité en continu, la probabilité se mesurera par heure (PFH). C’est le cas d’une ouverture de grille de sécurité sur une machine.

Le tableau (Fig.35) donne la valeur du PFD en fonction de l’exigence SIL. Par exemple, il est accepté dans le cas de SIL1, que le système ne fonctionne pas une fois sur 10 et à SIL 3 1 fois sur 1000.

Analyse fonctionnelle

À partir de la spécifi cation de la fonction (voir phase 3), le système est décomposé en sous-systèmes selon la fi gure 36 :- le sous-système capteur assure la fonction mesure, - le sous-système logique assure la fonction traitement,- le sous-système élément fi nal assure la fonction mise en sécurité.

Fig.35 Sélection du PFD pour un niveau SIL2

SIL Facteur de réduction du risque

Probabilité de défaillance à la sollicitation

PFD

Probabilité de défaillance dangereuse par heure

PFH

4 100 000 – 10 000 10-5 y PFD < 10-4 10-9 y PFH < 10-8

3 10 000 – 1 000 10-4 y PFD < 10-3 10-8 y PFH < 10-7

2 1 000 – 100 10-3 y PFD < 10-2 10-7 y PFH < 10-6

1 100 – 10 10-2 y PFD < 10-1 10-6 y PFH < 10-5

Fig.36 Décomposition de la fonction en sous-systèmes

Capteur

Automate Programmable

de Sécurité(APS)

Ouverturerefroidissement

Coupure pompes

Coupure arrivée d’air

Traitement logique

Détection Actionneurs

exemple

phase 4

Conception et ingénierie du SIS (suite)

32

Les procédés industriels et les normes de sécurité

>

> Diagrammes de fi abilité

C’est un diagramme logique qui permet de déterminer le dysfonctionnement du système à partir des dysfonctionnements possibles des composants. Pour notre exemple, le bloc-diagramme de fi abilité est représenté ci-dessous. (Fig.38)

Fig.38 Diagramme de fiabilité de la fonction de sécurité

La description détaillée de ces sous-systèmes aboutit au choix des composants illustrés par la fi gure 37, dont les produits Schneider Electric suivants :- un automate de sécurité Quantum Safety niveau SIL3, pour la gestion de l’ensemble des fonctions de sécurité,- des contacteurs Tesys D.

La partie logicielle de l’automate est également abordée dans cette étape (spécifi cation logicielle et analyse organique).

Fig.37 Réalisation de la fonction de sécurité

Capteur

Automate (APS)

Coupure arrivée d’air

Coupure pompes

Ouverturerefroidissement

> Données de fi abilité

Les données de fi abilité qui seront utilisées par la suite proviennent des fournisseurs, des avis d’experts, ou des recueils de données de fi abilité.

Capteur APSCoupure

arrivée d’airCoupure pompes

33

Fig.40 Résultats des calculs PFD

Calcul du niveau d’intégrité de sécurité (SIL)

Tous les éléments sont réunis pour aboutir au calcul du niveau SIL de la fonction :- l’architecture et les composants sont défi nis- les données de fi abilité sont disponibles- la méthodologie est décrite.

Les calculs qui ne sont pas détaillés aboutissent aux deux tableaux de résultats suivants :

> La tolérance aux anomalies du matériel (HFT)

Le niveau d’intégrité de sécurité de la fonction est déterminé par le sous-système qui satisfait le niveau le plus bas, comme la vanne et le contacteur de pompe permettent un niveau SIL1, le niveau de la fonction sera limité

à SIL1 (Fig.39).

> La probabilité de défaillances dangereuses de la fonction (PFD)

Après calcul, le PFD de la boucle est de 1.59E-02 ce qui correspond à un niveau d’intégrité SIL1 (Fig.40).

Composant Type PFD moy

Contribution

Capteurstempérature

PT100, transmetteur

1.15E-02 72 %

APS Quantum Safety 1.50E-04 1 %

Actionneurs Vanne 3.94E-03 24 %

Actionneurs Contacteur Pompe

3.20E-04 2 %

Somme de la boucle complète 1.59E-02 100 %

Fig.39 Résultats des calculs SFF et HFT

Sous-système Élément SFF HFT Intégrité de sécurité

Capteurs température

PT100, transmetteur

64 % 0 SIL2

APS Quantum Safety SIL3

Actionneurs Vanne 15 % 0 SIL1

Actionneurs Contacteur Pompe

27 % 0 SIL1

exemple

34

Les procédés industriels et les normes de sécurité

Le résultat n’est pas

conforme au cahier

des charges qui

exige un niveau SIL2

pour notre fonction

de surveillance de

la température du

réacteur chimique.

phase 4

Conception et ingénierie du SIS (suite)

Synthèse et recommandations

Le niveau SIL1 atteint n’étant pas suffi sant il faudra donc faire des modifi cations plus substantielles. L’expert de Schneider Electric a proposé plusieurs pistes pour atteindre le niveau SIL2 :

> Le capteur de température

- augmenter la fréquence des tests périodiques,- ajouter un deuxième capteur en redondance,- utiliser le capteur du contrôle/commande pour vérifi er la cohérence avec la mesure du capteur de sécurité. Cette solution, qui maintient l’indépendance des couches de protection, permettrait d’atteindre un PFD de 5.5E03.

> Les actionneurs - mettre en redondance les contacteurs de pompe pour améliorer la tolérance aux défaillances (HFT) et atteindre le niveau SIL2,- instrumenter la vanne pour détecter la position et la faire surveiller par l’automate de sécurité, - mettre des vannes en redondance.

La mise en œuvre de ces évolutions capteurs et actionneurs permet de respecter les contraintes SIL2, tant du point de vue de la tolérance aux fautes (HTF) que du point de vue probabiliste (PFD), et d’atteindre le niveau d’intégrité de sécurité requis.

35

Les infrastructures et les normes sécurité

36

Les exigences de sécurité dans les infrastructures

Selon les secteurs d’activité, les exigences de sécurité s’appuient sur les normes sectorielles. Si elles n’existent pas, la norme générique EN61508 s’impose. Plusieurs secteurs comme le ferroviaire ont toujours été en pointe dans le domaine de la sécurité. Ils disposent de compétences fortes appuyées sur un ensemble normatif très précis adapté à leur métier (Fig.41).

La directive sur les infrastructures critiques européennes

Depuis 2008, la directive 2008/114/CE impose le recensement des Infrastructures Critiques Européennes (ICE) qui doit être terminé au plus tard le 12 janvier 2011. Cette directive :- donne des règles de recensement,- défi nit un plan de sécurité d’opérateurs (PSO),- impose un correspondant par ICE.

La liste initiale, limitée aux secteurs du transport et de l’énergie, s’étend à ce jour à des domaines tels que les technologies de l’information, l’eau, l’alimentation, la santé, l’industrie chimique, l’espace...

Le contenu minimum du PSO (Annexe 2 extrait de la directive) est de :- recenser des points d’infrastructure importants,- conduire une analyse de risques, - identifi er, sélectionner et désigner des contre-mesures.

Besoins des infrastructures

Si les infrastructures couvrent des domaines très divers régis par des règles propres, les méthodes de réduction des risques restent proches. La sécurité fonctionnelle conserve les mêmes défi nitions.

Les besoins présentent des similitudes quant au choix des automatismes :- des installations étendues,- de fortes contraintes de continuité de service.

Nous allons illustrer l’étude de fonctions de sécurité par deux exemples.

Fig.41 Normes ferroviaires pour les fonctions de sécurité des systèmes électriques et électroniques.

Normes Applications

EN 50126Spécifi cation et démonstration de fi abilité, disponibilité, maintenabilité et sécurité (FDMS).

EN 50128

Systèmes de signalisation, de télécommunication et de traitement - Logiciel pour les systèmes ferroviaires de commande et de protection.

EN 50129

Systèmes de signalisation, de télécommunication et de traitement - Systèmes électroniques de sécurité pour la signalisation.

37

Contexte

La sécurité des écluses est gérée localement en utilisant une technologie électromécanique.

Tout en conservant la gestion locale, le client souhaite un système de surveillance et de contrôle centralisé de l’ensemble.

La sécurité des personnes et des biens doit être respectée. Il doit particulièrement être pris en compte les risques d’accidents et d’incendie dans les écluses.

Le système de sécurité doit respecter la norme de sécurité IEC 61508 avec un niveau d’intégrité de SIL3. Un haut niveau de disponibilité est requis.

Exemple de centralisation d’un réseau d’éclusesexemple

Prestation

Un expert de Schneider Electric certifi é TÜV accompagne le client de la phase d’analyse jusqu’à la mise en service des premières écluses en assurant les prestations suivantes :- spécifi cation des fonctions de sécurité,- étude de l’allocation du SIL adapté au juste nécessaire pour chaque fonction,- proposition d’architecture,- analyse des modes de défaillance (AMDE),- évaluation SIL : contraintes architecturales et probabilistes.

En complément de ces études, Schneider Electric a réalisé :- la programmation, - les tests en plateforme et de validation de la solution,- la mise en service,- la formation des opérateurs et du personnel de maintenance.

38

Les infrastructures et les normes de sécurité

Ecluse 12

arrêt d’urgence

incendie

Ecluse 2

arrêt d’urgence

incendie

Solution mise en œuvre

Venant en complément des systèmes de sécurité locaux, les fonctions de sécurité développées concernent :- la gestion des arrêts d’urgence à distance

- la gestion des vannes de déluge à distance

Le système est réalisé à partir d’une architecture d’automates programmables de sécurité Schneider Electric communiquant à travers une boucle optique.

Cette architecture (voir le principe Fig.46) permet d’atteindre le niveau SIL3 requis et assure :- une haute disponibilité,- la fi abilité des communications entre les postes via le protocole « safeEthernet » - la gestion des modes de pilotage site ou distant,- la redondance des calculs et de toutes les acquisitions,- le diagnostic rapide par la mise à disposition de l’ensemble des informations au niveau du poste de supervision via le protocole Modbus TCP/IP.

Toutes les informations sont gérées par le même réseau Ethernet câblé en anneau.Schneider Electric,

par son expérience

dans les automatismes

de sécurité et son

expérience de la

gestion du cycle

de vie d’un projet

de sécurité, a proposé

la spécifi cation et la

mise en œuvre des

fonctions de sécurité :

> en apportant la

démonstration du

respect des normes,

> en rédigeant

les documents

nécessaires à la

certifi cation SIL3.

Fig.42 Principe de l’architecture retenue

Poste de contrôle Ecluse 1

arrêt d’urgence

incendie

incendie arrêt d’urgence

> Le cycle de vie du projet de sécurité

Ce cycle de vie est articulé autour des phases ci-dessous :- défi nition de l’architecture et rédaction du dossier de tests de validation,- conception des fonctions de sécurité et rédaction du dossier de tests d’intégration,- conception détaillée et rédaction du dossier de tests unitaires,- tests unitaires et compte-rendu associé,- tests d’intégration en plateforme et compte-rendu associé,- tests de validation sur site et compte-rendu associé,- transfert de connaissances au client par formation sur une maquette, - mise en service avec le client.

Réseau Ethernetcâblé en anneau

(longueur de l’anneau : 40km)

39

Contexte

Pour assurer la sécurité des voyageurs, il est nécessaire de ralentir les trains à grande vitesse lorsque les vents latéraux sont trop forts. L’exploitant veut mettre en oeuvre un système de détection réparti sur les lignes avec une supervision centralisée.

Prestation

Schneider Electric a réalisé le projet de sécurité dans sa globalité :- études, fourniture et installation de l’ensemble du système de sécurité,- pilotage global du projet,- mise en service et validation du système de sécurité,- fourniture du dossier de sécurité complet selon les normes ferroviaires EN 50126, EN 50128, EN 50129.

Exemple d’un système de détection des vents sur un réseau ferréexemple

Solution mise en œuvre

5 stations de détections sont implantées le long de la ligne dans les zones les plus ventées (viaducs, sortie de tunnels...). Chaque station est composée :- d’un poste de mesure chargé de l’acquisition de la vitesse et de la direction du vent. Il est conçu pour résister aux conditions climatiques et assure la transmission des informations au poste de traitement ;- d’un poste de traitement constitué par un automate de sécurité Schneider Electric. À partir des caractéristiques du vent, un programme élaboré dans l’automate établit les ordres de ralentissement des trains pour respecter les «conditions sûres» d’exploitation. Le poste de traitement envoie une consigne de vitesse aux trains, via le système de signalisation. Le conducteur reçoit l’information dans sa cabine de conduite.

La supervision des stations de détection est assurée par un poste central de conduite. Il permet :- la surveillance en temps réel des vents,- le suivi du bon fonctionnement de la ligne à grande vitesse, la gestion des alarmes et des défauts,- le téléchargement des paramètres des postes de traitement.

40

Les infrastructures et les normes de sécurité

Lors des mises

en service de

chacun des îlots,

l’accompagnement

du client par un expert

de Schneider Electric

assure le transfert

des connaissances.

Réalisation d’un dossier de démonstration

du niveau de sécurité

- pour chaque fonction de sécurité défi nie et nécessaire, démonstration du niveau SIL atteint par la fonction,- comparaison avec le niveau SIL requis lors de l’analyse préliminaire.

Défi nition détaillée des fonctions de sécurité

L’architecture du projet est constituée d’un ensemble de fonctions qui assurent la chaîne de traitement. Chaque fonction est détaillée. Un ensemble de tests est prévu pour chaque fonction, puis réalisé en tests unitaires.

Dans l’exemple ci-dessous (Fig.43), un APS Schneider Electric acquiert les mesures de deux capteurs anémométriques et réalise des calculs de prédiction du vent.

Les informations sont envoyées à l’unité de gestion qui centralise et dialogue en direct avec le système de signalisation. Les alarmes associées sont affi chées dans la cabine de pilotage et au poste de supervision.

Validation de l’architecture

La phase d’intégration en plateforme permet de valider les fonctions des unités de mesure, de traitement, de gestion et leurs interactions. Dans cette étape sont vérifi ées les performances du système. Les tests d’intégration sont réalisés et leur validation autorise la mise en service sur le site.

Fig.43 Architecture du système de sécurité

zone de mesure 1

zone de mesure 2

zone de mesure 3

zone de mesure 4

zone de mesure 5

Acquisition des mesures

Unité d’acquisitionet de traitement

Unité de gestionSystème de signalisation

Elaboration des alarmes de vent et émission d’ordres de ralentissement vers les systèmes de signalisation.

Boucle optique

Poste central de conduite

41

Les solutions Schneider Electric

Schneider Electric fournit l’ensemble de l’offre nécessaire à la réalisation des automatismes et des fonctions de sécurité. Cette offre est disponible dans tous les pays du globe et elle est conforme aux principales normes en vigueur (Europe, Amérique du Nord , Japon, Asie...).

42

Le dialogue

On y retrouve des éléments spécifi ques à la sécurité (Fig.45) : - une très large gamme d’arrêts d’urgence,- des arrêts d’urgence à câble,- des commandes bimanuelles.

Mais également des éléments standards tels que :- les colonnes lumineuses,- les voyants,- les pédales,- les gyrophares.

Le traitement

Selon la complexité de la machine, l’architecture des fonctions de sécurité est réalisée à partir (Fig.46) :- d’un module monofonction paramétrable qui gère une seule fonction,- d’un contrôleur multifonction qui peut gérer simultanément deux fonctions parmi 15 fonctions prédéfi nies,- d’un contrôleur multifonction qui utilise un logiciel pour confi gurer des fonctions prédéfi nies,- d’une gamme d’automates programmables de sécurité pour réaliser une solution complète et communicante.Les liaisons peuvent être faites fi l à fi l ou par un réseau de sécurité tel que Asi Safe ou Ethernet Safe.

Les fonctions de base d’un système de sécurité La base de l’architecture d’un système de sécurité comporte cinq fonctions essentielles :

Fig.45 Les constituants de dialogue

Fig.46 Les constituants de traitement

Fig.44 Les fonctions de base d’un système de sécurité

Dialogue

Traitement

Détection acquisition

Actionneurs / charges

M

Alimentationprotection

Commande de puissance

Les liaisons de contrôle pouvant être réalisées par du câblage fi l à fi l ou par un bus de communication.

43

La détection et l’acquisition

À base de technologies électromagnétiques, magnétiques ou optiques, ces produits permettent de réaliser des fonctions conformes aux niveaux SIL ou PR requis (Fig.47) :- surveillance de protecteurs le plus souvent en association avec des modules ou contrôleurs de sécurité,- fi n de course ou système magnétiques codés, - surveillance de périmètres en association avec des contrôleurs de sécurité ou en autonomie,- protection avec toute une gamme de barrières immatérielles.

L’alimentation et les protections électriques

Ces fonctions sont réalisées avec les produits standards de Schneider Electric qui répondent aux normes requises et qui sont homologués partout dans le monde (Fig.48). Elles couvrent en basse tension :- les disjoncteurs jusqu’à 6300A,- les interrupteurs jusqu’à 6300A,- les relais de protection électroniques multifonctions,- les onduleurs (UPS).

La commande de puissance

Schneider Electric, leader mondial en commande de puissance, propose une large gamme de produits basse tension (Fig.49) :- des contacteurs jusqu’à 900kW,- des variateurs de vitesse jusqu’à 2400kW,- des démarreurs progressifs jusqu’à 900kW,- des servovariateurs jusqu’à 42kW.

De plus en plus de produits Schneider Electric intègrent des fonctions de sécurité.

Par exemple :- des contacteurs avec les contact liés- des variateurs avec les fonctions «safe torque off»

Fig.47 Les constituants de détection et d’acquisition

Fig.48 Les constituants d’alimentation et de protection

Fig.49 Les constituants de commande de puissance

44

Les solutions Schneider Electric

Dialogue

Traitement

Actionneurs

Le besoin

La majorité des applications requiert des fonctions simples et répétitives telles que des arrêts d’urgence, des fi ns de courses pour protecteurs amovibles, des tapis de sol, etc.Ces fonctions doivent répondre aux exigences normatives internationales et satisfaire, selon le danger des machines, à différents niveaux de sécurité.

Les solutions

Pour les machines simples et compactes, les liaisons sont généralement assurées par un câblage fi l à fi l. L’utilisation d’un module de sécurité (Fig.50) simplifi e la réalisation de la fonction sécurité. Il présente l’avantage d’être facile à mettre en œuvre.

Pour des machines plus complexes, un contrôleur paramétrable ou un automate apportera une solution effi cace et évolutive (Fig.51).Pour des machines étendues ou complexes, il est économique de concevoir le système de sécurité autour d’un bus sécurisé Asi-Safe (Fig.52).Afi n de faciliter votre démarche, nous mettons à votre disposition des fi ches pratiques détaillant des fonctions simples de sécurité (ex : chaîne d’AU, chaîne de protection carter, etc.). Pour les obtenir, merci de contacter Chorus au 0 825 012 999 (numéro Indigo).

Ces fi ches, approuvées par un organisme de contrôle, présentent une architecture précise et détaillent tous les calculs relatifs à la nouvelle directive 2006/42/CE.

Architectures de type machine

Pour un constructeur

de machines, la

démarche sécurité

est incontournable.

Schneider Electric s’est

imposé le challenge

de proposer aux OEM

des architectures

types permettant de

répondre au plus juste

aux besoins récurrents

mis en évidence lors de

la phase analyse de

risque.

Grâce à une double

compétence sécurité

et automatisme,

Schneider Electric

défi nit des solutions

conciliant sécurité

et productivité.

De cette manière,

la démarche sécurité

devient un atout pour

le constructeur de

machines.

Fig.50 Architecture d’une machine simple à base de module de sécurité monofonction

signal de sécuritécontrôle commandepuissance

45

Fig.51 Architecture d’une machine compacte à base d’automate programmable de sécurité

Dialogue

Traitement

Actionneurs

Acquisitiondétection

Fig.52 Architecture d’une machine étendue intégrant un bus ASi Safe

Dialogue

Traitement

Actionneurs

Acquisitiondétection

46

Les solutions Schneider Electric

signal de sécuritéréseau de communication Ethernetcontrôle commandepuissancebus ASI Safe

Le besoin

Les procédés sont caractérisés par des installations complexes moyennement étendues (quelques centaines de mètres) et souvent séparées en ateliers. Pour s’adapter aux besoins de la production ou aux évolutions du procédé, le système de sécurité doit être facilement modifi able.La communication est devenue un élément clé pour synchroniser les actions, visualiser les événements et les archiver.La productivité étant essentielle, certaines installations imposent une continuité de service.

Sécurité et contrôle procédé : deux types de fonctions à traiter dans des canaux séparés

Conformément à la norme EN61511, la sécurité est traitée à l’aide d’organes physiquement différenciés du système de contrôle-commande du procédé. La limitation des modes communs entre le système de conduite du procédé (BPCS) et le système de sécurité (SIS) assure l’indépendance des canaux et réduit le risque de défaillance simultanée des systèmes.

L’automate programmable de sécurité Quantum Safety fait partie de la famille Unity. Certifi é pour traiter des fonctions de sécurité jusqu’au niveau SIL3, Quantum Safety apporte une réponse optimale pour des architectures de taille moyenne à grande, avec possibilité de déporter les Entrées/Sorties sur de grandes distances.

Les solutions

De la qualité du développement dépend la performance et la sécurité du procédé. Schneider Electric propose un atelier logiciel unique de développement pour l’automatisme et pour la sécurité.

L’atelier logiciel Unity

L’atelier Logiciel Unity est commun à toute la gamme des automates programmables industriels (API) du M340 au Quantum. Unity Pro XLS permet les modifi cations en run du programme de la gamme Quantum Safety (APS). Certifi é par le TÜV, Unity PRO XLS fournit des fonctions de sécurité et de calcul.

L’ergonomie, le développement et la mise en oeuvre restent identiques aux automates de contrôle. Les différents niveaux d’accès au programme sont protégés par des mots de passe. Les données sont mémorisées dans une zone mémoire spécifi que et protégée.

Architectures de type procédé

Fig.53 Capture d’écran du logiciel Unity Pro

Unity Pro XLS

47

Les architectures simples

Conformément à la norme EN CEI 61511, le système de sécurité est physiquement dissocié du système de contrôle. La communication avec le niveau supérieur est assurée par réseau Ethernet Modbus TCP, Modbus RS232/485, Modbus Plus. L’architecture est basée sur la structure Quantum habituelle.

Fig.58 Exemple d’architecture simple à base d’automate (API) Premium et d’automate de sécurité (APS) Quantum

Atelier 1 Atelier 2

Serveurs

entrées/sorties

Conduite supervision

Traitement

ActionneursAcquisitiondétection

APS AP

Un châssis contient une ou plusieurs alimentations redondantes, le coupleur de communication avec des E/S déportées et les coupleurs de communication Ethernet optionnels.

Aux cartes d’E/S de sécurité peuvent être ajoutées des cartes d’E/S standard pour des fonctions de contrôle standard. Les E/S sont locales ou déportées dans différents châssis jusqu’à plusieurs kilomètres.

48

Les solutions Schneider Electric

signal de sécuritéréseau de communication Ethernetcontrôle commande

Les architectures à haute disponibilité

L’architecture redondante assure la haute disponibilité pour les procédés dont l’arrêt est critique, tout en conservant les caractéristiques de sécurité.

Atelier 1 Atelier 2

Conduite supervision

Traitement

ActionneursAcquisitiondétection

APSAP

Serveurs

Entrées

/sorties

APSAP

Fig.59 Exemple d’architecture haute disponibilité à tous les niveaux, basée sur des automatesprogrammables industriels (API) et des automates programmables de sécurité (APS) Quantum

UC 1

µp1 µp2

UC 2

µp1 µp2

1oo2

Fig.60 Dans chacune des Unités Centrales Quantum Safety, la redondance interne des microprocesseurs 1oo2 (1 parmi 2) garantit le niveau de sécurité SIL3 et la redondance des Unités Centrales 2oo2 (2 parmi 2) apporte la continuité de service (haute disponibilité)

1oo2

49

Le besoin

Les fonctions de sécurité sont souvent réparties sur de grandes distances. Les liaisons sont donc critiques et participent majoritairement aux choix des architectures d’autant que la continuité de service est fondamentale dans ce type d’installations.

Les solutions

Schneider Electric propose des automates de sécurité connectés en réseau Ethernet de sécurité. Le point fort de cette solution est de pouvoir connecter sur un même réseau des fonctions de sécurité et des fonctions standards telles que des caméras de surveillance, sans incidence sur le temps de réponse des communications de sécurité.

La gamme d’automates de sécurité XPSMF autorise une grande souplesse dans sa mise en œuvre et s’intègre facilement dans des architectures hautement réparties et sans contrainte de distance.

Les capteurs et actionneurs sont connectés à des blocs E/S placés au plus près et de faible granularité.

La mise en redondance des UC et des E/S est réalisée pour des applications à haut niveau de disponibilité. L’alimentation peut se faire par deux sources différentes, un système de vote interne assure la commutation.

Une architecture réseau ouverte

Le protocole de sécurité SafeEthernet utilisé pour la communication avec les blocs d’E/S et d’autres automates du même type est véhiculé via des organes réseau tels que switches, convertisseurs « fi bre optique », non spécifi ques. Il cohabite avec les autres protocoles.

Chaque bloc d’E/S de sécurité ou automate de sécurité est muni de ports Ethernet Safe switchés de telle façon que les topologies linéaires ou en anneau sont réalisées sans contraintes.

L’automate de sécurité est ouvert aux protocoles standards de l’industrie.

Un atelier logiciel tout-terrain

L’atelier logiciel conforme à la norme CEI61131-3 est livré en standard avec une bibliothèque de fonctions de sécurité certifi ée par le TÜV. Il est possible de coder des boucles de sécurité type et de les encapsuler dans des blocs fonction de type DFB. Après la validation d’une bibliothèque de blocs fonctions types, l’instanciation des blocs permet de réduire les coûts de développement, de tests et de validation du système.

Les variables et les Entrées/Sorties peuvent être forcées en mode simulation hors ligne ou en mode test en ligne. Plusieurs niveaux d’accès et de privilèges sécurisent les opérations de maintenance et de réglage des paramètres de sécurité.

Architectures de type infrastructure

50

Les solutions Schneider Electric

Fig.60 Exemple d’architecture simple

Unité 1 Unité n

Conduite supervision

Traitement

Actionneurs

Acquisitiondétection

K1

M

Arrêts d’urgence

déportés

Arrêt d’urgence

local

Camera

Fig.61 Exemple d’architecture redondante permettant d’atteindre un niveau de disponibilité élevé

Conduite supervision

Traitement

Actionneurs

Acquisitiondétection

Unité 1 Unité n

signal de sécuritéréseau de communication Ethernet

contrôle commandepuissance

51

Les services experts en sécurité de Schneider ElectricLa mise en application des nouvelles directives européennes sur la sécurité génère des interrogations chez les industriels (utilisateurs, intégrateurs systèmes et constructeurs de machine). Depuis plusieurs années, Schneider Electric accompagne ses clients dans cet environnement et réalise des prestations de service en sécurité dans les automatismes industriels et la distribution électrique. La présence dans nos équipes d’experts habilités TÜV* démontre notre volonté d’apporter le meilleur dans la réalisation des prestations tout au long du cycle de vie des projets. * Certifi cation d’habilitation délivrée par l’organisme de contrôle et de normalisation allemand.

52

Exemples de prestations de service en sécurité

Diagnostic sécurité du systèmeMise en application des normes de sécurité fonctionnelle, analyse des risques, identifi cation de chaque fonction de sécurité, attribution du niveau SIL requis et leur spécifi cation.

Formation sécurité fonctionnelle ciblée de sur votre projetFormation sur les exigences de sécurité fonctionnelle nécessaire à la conduite de votre projet (introduction à la sécurité fonctionnelle, approfondissement des normes EN 62061 / ISO 3849-1/2 ou EN 61511 avec illustration et exercices sur projet client).

Assistance technique à la conduite du projet de sécuritéSensibilisation et formation de vos équipes à la conduite d’un projet de sécurité (sûreté de fonctionnement, normes de sécurité, compréhension et connaissance de nos automates de sécurité, assistance au démarrage de la programmation de l’automate).

53

54

Un accompagnement aux étapes clés du projet

Réalisation de projet sécuritéRéalisation et pilotage du projet de sécurité dans sa globalité : identifi cation des risques et des dangers, défi nition et mise en œuvre des solutions garantes du respect des exigences normatives (IEC61508, IEC62061, IEC61511, EN/ISO13849).

Accompagnement projet de sécuritéÉvaluation du niveau SIL atteint par le système, assistance technique dans le développement de votre application et assistance au démarrage de l’application.

Défi nition et validation des fonctions de sécurité en phase avant projet Spécifi cation des fonctions de sécurité, défi nition de leur architecture pour répondre aux exigences normatives et évaluation du niveau SIL atteint par le système de sécurité pour valider les choix d’architecture.

54

Les services experts en sécurité de Schneider Electric

55

La sécurité est l’affaire de tous… mais surtout des spécialistes

Les étapes clés du cycle de vie d’un projet de sécurité sont décrites dans les normes EN 61508, EN 61511. Cette démarche est applicable à tout projet de sécurité quel que soit le domaine d’application.

Nous vous accompagnons au cours de votre projet pour mettre en œuvre la démarche sécurité.

Notre expérience nous permet de maîtriser l’environnement global (sécurité, automatismes, réseaux et armoires électriques) depuis l’analyse de risques jusqu’à la conception et mise en œuvre des fonctions de sécurité.

Les services experts en sécurité de Schneider Electric

10 119876

1 Concept d’application

2 Défi nition globale du domaine d’application

3Analyse de danger et de risque

5Allocation des prescriptions de sécurité

4 Prescriptions globales de sécurité

Dispositifs externes de réduction de risque

Systèmes de sécurité : autre technologie

Système de sécurité : E/E/PES

Planifi cation globale de l’exploitation et de la maintenance

16Mise hors service ou au rebut

15Modifi cation et remise à niveau globale

14Exploitation, maintenance et réparations globales

13 Validation globale de la sécurité

12 Installation et mise en service globale

Planifi cation globale de la validation de la sécurité

Planifi cation globale de l’installation et de la mise en service

Retour vers la phase du cycle de vie de sécurité global adéquate

Planifi cation globale

Réalisation (voir le cycle de vie de sécurité des E/E/PES) Réalisation Réalisation

En raison de l’évolution des normes et du matériel, les caractéristiques indiquées par les textes

et les images de ce document ne nous engagent qu’après confi rmation par nos services.

Rédaction : Juxeo

Réalisation : pemaco Photos : Adam Gault - Getty Images, Thierry Bonnet - Bonnet/Andia, Fotosearch, Christian Lagerek -

Shutterstock, Deirdre Motto - Jupiterimages, Rudi van der Walt - Fotolia, Alan Gordine -

Shutterstock, Monkey Business Images - Shutterstock, Monty Rakusen - Getty Images, John A. Rizzo -

Photodisc, Mark Yuill - Shutterstock, José Antonio Rojo - Rojofoto, Michael Saint Maur Sheil -

Photodisc, Schneider Electric

Edition : Altavia Connexion

03/2010

Direction Communication et Promotion

Centre PLM-F

F- 38050 Grenoble cedex 9

Tél. 0 825 012 999

www.schneider-electric.fr

Schneider Electric France

FRAED209950FR

ART.960424

* T

irez

le m

eille

ur p

arti

de

votr

e én

ergi

e

Make the most of your energy*

Toutes les réponses de 8h00 à 18h00, du lundi au vendredi, toute l’année.

Chorus