Lundi, Avril 04 2011 18: 20

Principes de conception de systèmes de commande sûrs

Évaluer cet élément
(2 votes)

Il est généralement admis que les systèmes de contrôle doivent être sûrs pendant leur utilisation. Dans cet esprit, la plupart des systèmes de contrôle modernes sont conçus comme illustré à la figure 1.

Figure 1. Conception générale des systèmes de contrôle

SAF062F1

La façon la plus simple de sécuriser un système de contrôle est de construire un mur impénétrable autour de celui-ci afin d'empêcher l'accès ou l'interférence humaine dans la zone dangereuse. Un tel système serait très sûr, bien que peu pratique, car il serait impossible d'y accéder pour effectuer la plupart des travaux de test, de réparation et de réglage. Étant donné que l'accès aux zones dangereuses doit être autorisé sous certaines conditions, des mesures de protection autres que des murs, des clôtures et autres sont nécessaires pour faciliter la production, l'installation, l'entretien et la maintenance.

 

Certaines de ces mesures de protection peuvent être partiellement ou totalement intégrées dans les systèmes de contrôle, comme suit :

  • Le mouvement peut être arrêté immédiatement si quelqu'un entre dans la zone dangereuse, au moyen de boutons d'arrêt d'urgence (ES).
  • Les commandes à bouton-poussoir permettent le mouvement uniquement lorsque le bouton-poussoir est activé.
  • Les commandes bimanuelles (DHC) permettent le mouvement uniquement lorsque les deux mains sont engagées pour appuyer sur les deux éléments de commande (garantissant ainsi que les mains sont tenues à l'écart des zones dangereuses).

 

Ces types de mesures de protection sont activés par les opérateurs. Cependant, comme l'être humain représente souvent un point faible dans les applications, de nombreuses fonctions, telles que les suivantes, sont exécutées automatiquement :

  • Les mouvements des bras du robot pendant l'entretien ou le « teach-in » sont très lents. Néanmoins, la vitesse est surveillée en permanence. Si, en raison d'une défaillance du système de contrôle, la vitesse des bras robotiques automatiques devait augmenter de manière inattendue pendant la période d'entretien ou d'apprentissage, le système de surveillance s'activerait et arrêterait immédiatement le mouvement.
  • Une barrière lumineuse est prévue pour empêcher l'accès à une zone dangereuse. Si le faisceau lumineux est interrompu, la machine s'arrêtera automatiquement.

 

Le fonctionnement normal des systèmes de contrôle est la condition préalable la plus importante pour la production. Si une fonction de production est interrompue en raison d'une défaillance du contrôle, c'est tout au plus gênant mais pas dangereux. Si une fonction relative à la sécurité n'est pas exécutée, cela peut entraîner une perte de production, des dommages matériels, des blessures ou même la mort. Par conséquent, les fonctions du système de commande relatives à la sécurité doivent être plus fiables et plus sûres que les fonctions normales du système de commande. Conformément à la directive européenne 89/392/CEE (lignes directrices pour les machines), les systèmes de commande doivent être conçus et construits de manière à être sûrs et fiables.

Les commandes sont constituées d'un certain nombre de composants reliés entre eux de manière à exécuter une ou plusieurs fonctions. Les commandes sont subdivisées en canaux. Un canal est la partie d'une commande qui exécute une fonction spécifique (par exemple, démarrage, arrêt, arrêt d'urgence). Physiquement, le canal est créé par une chaîne de composants (transistors, diodes, relais, portes, etc.) à travers laquelle, d'un composant à l'autre, des informations (principalement électriques) représentant cette fonction sont transférées de l'entrée à la sortie.

Lors de la conception des canaux de commande pour les fonctions relatives à la sécurité (fonctions impliquant des humains), les exigences suivantes doivent être remplies :

  • Les composants utilisés dans les canaux de commande avec des fonctions relatives à la sécurité doivent pouvoir résister aux rigueurs d'une utilisation normale. Généralement, ils doivent être suffisamment fiables.
  • Les erreurs de logique ne doivent pas provoquer de situations dangereuses. Généralement, le canal pertinent pour la sécurité doit être suffisamment résistant aux pannes.
  • Les influences externes (facteurs) ne doivent pas conduire à des défaillances temporaires ou permanentes dans les canaux importants pour la sécurité.

 

Fiabilité

Fiabilité est la capacité d'un canal ou d'un composant de commande à exécuter une fonction requise dans des conditions spécifiées pendant une période de temps donnée sans faillir. (La probabilité pour des composants ou des canaux de contrôle spécifiques peut être calculée à l'aide de méthodes appropriées.) La fiabilité doit toujours être spécifiée pour une valeur de temps spécifique. Généralement, la fiabilité peut être exprimée par la formule de la figure 2.

Figure 2. Formule de fiabilité

SAF062F2

Fiabilité des systèmes complexes

Les systèmes sont construits à partir de composants. Si les fiabilités des composants sont connues, la fiabilité du système dans son ensemble peut être calculée. Dans de tels cas, les dispositions suivantes s'appliquent :

Systèmes série

La fiabilité totale Rtot d'un système série composé de N composants de même fiabilité RC est calculé comme dans la figure 3.

Figure 3. Graphique de fiabilité des composants connectés en série

SAF062F3

La fiabilité totale est inférieure à la fiabilité du composant le moins fiable. À mesure que le nombre de composants connectés en série augmente, la fiabilité totale de la chaîne diminue considérablement.

Systèmes parallèles

La fiabilité totale Rtot d'un système parallèle composé de N composants de même fiabilité RC est calculé comme dans la figure 4.

Figure 4. Graphique de fiabilité des composants connectés en parallèle

SAF062F4

La fiabilité totale peut être améliorée de manière significative grâce à la connexion en parallèle de deux composants ou plus.

La figure 5 illustre un exemple pratique. Notez que le circuit éteindra le moteur de manière plus fiable. Même si le relais A ou B n'ouvre pas son contact, le moteur sera toujours éteint.

Figure 5. Exemple pratique de la figure 4

SAF062F5

Calculer la fiabilité totale d'un canal est simple si toutes les fiabilités nécessaires des composants sont connues et disponibles. Dans le cas de composants complexes (circuits intégrés, microprocesseurs, etc.) le calcul de la fiabilité totale est difficile voire impossible si les informations nécessaires ne sont pas publiées par le fabricant.

Sécurité

Lorsque les professionnels parlent de sécurité et demandent des machines sûres, ils parlent de la sécurité de l'ensemble de la machine ou de l'installation. Cette sécurité est cependant trop générale, et pas assez précisément définie pour le concepteur de commandes. La définition suivante de sécurité peut être pratique et utilisable par les concepteurs de circuits de commande : la sécurité est la capacité d'un système de commande à exécuter la fonction requise dans les limites prescrites, pendant une durée donnée, même lorsque des défauts anticipés se produisent. Par conséquent, il doit être clarifié lors de la conception à quel point le canal relatif à la sécurité doit être « sûr ». (Le concepteur peut développer un canal qui est sûr contre la première panne, contre une panne quelconque, contre deux pannes, etc.) De plus, un canal qui remplit une fonction qui est utilisée pour prévenir les accidents peut être essentiellement fiable, mais il n'a pas être inévitablement à l'abri des pannes. Ceci peut être mieux expliqué par les exemples suivants :

Exemple 1

L'exemple illustré à la figure 6 est un canal de commande relatif à la sécurité exécutant la fonction de sécurité requise. Le premier composant peut être un interrupteur qui surveille, par exemple, la position d'une porte d'accès à une zone dangereuse. Le dernier composant est un moteur qui entraîne les pièces mécaniques en mouvement dans la zone dangereuse.

Figure 6. Un canal de commande relatif à la sécurité exécutant la fonction de sécurité requise

SAF062F6

La fonction de sécurité requise dans ce cas est double : Si la porte est fermée, le moteur peut fonctionner. Si la porte est ouverte, le moteur doit être arrêté. Connaître les fiabilités R1 à R6, il est possible de calculer la fiabilité Rtotal Les concepteurs doivent utiliser des composants fiables afin de maintenir une fiabilité suffisamment élevée de l'ensemble du système de contrôle (c'est-à-dire que la probabilité que cette fonction puisse encore être exécutée dans, disons, même 20 ans doit être prise en compte dans la conception). En conséquence, les concepteurs doivent remplir deux tâches : (1) le circuit doit remplir la fonction requise et (2) la fiabilité des composants et de l'ensemble du canal de commande doit être adéquate.

La question suivante doit maintenant être posée : Le canal susmentionné assurera-t-il les fonctions de sécurité requises même en cas de défaillance du système (par exemple, si un contact de relais est collé ou si un composant fonctionne mal) ? La réponse est non". La raison en est qu'un seul canal de commande constitué uniquement de composants connectés en série et fonctionnant avec des signaux statiques n'est pas à l'abri d'une défaillance. Le canal ne peut avoir qu'une certaine fiabilité, ce qui garantit la probabilité que la fonction soit réalisée. Dans de telles situations, la sécurité s'entend toujours comme lié à une panne.

Exemple 2

Si un canal de commande doit être à la fois fiable et sûr, la conception doit être modifiée comme dans la figure 7. L'exemple illustré est un canal de commande relatif à la sécurité composé de deux sous-canaux entièrement séparés.

Figure 7. Un canal de commande relatif à la sécurité avec deux sous-canaux entièrement séparés

SAF062F7

Cette conception est sûre contre la première panne (et d'éventuelles autres pannes dans le même sous-canal), mais n'est pas sûre contre deux pannes qui peuvent se produire dans deux sous-canaux différents (simultanément ou à des moments différents) car il n'y a pas de circuit de détection de panne. Par conséquent, au départ, les deux sous-canaux fonctionnent avec une grande fiabilité (voir système parallèle), mais après la première panne, un seul sous-canal fonctionnera et la fiabilité diminue. Si une deuxième panne survient dans le sous-canal encore en fonctionnement, les deux seront alors défaillants et la fonction de sécurité ne sera plus assurée.

Exemple 3

L'exemple illustré sur la figure 8 est un canal de commande relatif à la sécurité composé de deux sous-canaux entièrement séparés qui se surveillent mutuellement.

Figure 8. Un canal de commande relatif à la sécurité avec deux sous-canaux entièrement séparés qui se surveillent mutuellement

SAF062F8

Une telle conception est à l'abri des pannes car après toute panne, un seul sous-canal sera non fonctionnel, tandis que l'autre sous-canal restera disponible et assurera la fonction de sécurité. De plus, la conception a un circuit de détection de panne. Si, en raison d'une panne, les deux sous-canaux ne fonctionnent pas de la même manière, cette condition sera détectée par un circuit "ou exclusif", avec pour résultat que la machine sera automatiquement éteinte. C'est l'un des meilleurs moyens de concevoir des commandes de machine : concevoir des sous-canaux pertinents pour la sécurité. Ils sont sûrs contre une panne et offrent en même temps une fiabilité suffisante pour que les chances que deux pannes se produisent simultanément sont infimes.

Redondance

Il est évident qu'il existe diverses méthodes par lesquelles un concepteur peut améliorer la fiabilité et/ou la sécurité (contre les pannes). Les exemples précédents illustrent comment une fonction (par exemple, porte fermée, le moteur peut fonctionner ; porte ouverte, le moteur doit être arrêté) peut être réalisée par diverses solutions. Certaines méthodes sont très simples (un sous-canal) et d'autres plus compliquées (deux sous-canaux avec supervision mutuelle). (Voir figure 9.)

Figure 9. Fiabilité des systèmes redondants avec ou sans détection de panne

SAF062F9

Il existe une certaine redondance dans les circuits et/ou composants complexes par rapport aux composants simples. Redondance peut être définie comme suit : (1) La redondance est la présence de plus de moyens (composants, voies, facteurs de sécurité plus élevés, tests supplémentaires, etc.) qu'il n'en faut réellement pour la simple réalisation de la fonction recherchée ; (2) la redondance n'« améliore » évidemment pas la fonction, qui est quand même réalisée. La redondance ne fait qu'améliorer la fiabilité et/ou la sécurité.

Certains professionnels de la sécurité pensent que la redondance n'est que le doublement ou le triplement, etc., du système. Il s'agit d'une interprétation très limitée, car la redondance peut être interprétée de manière beaucoup plus large et flexible. La redondance peut être non seulement incluse dans le matériel ; il peut également être inclus dans le logiciel. L'amélioration du facteur de sécurité (par exemple, une corde plus solide au lieu d'une corde plus faible) peut également être considérée comme une forme de redondance.

Entropie

Entropie, un terme que l'on trouve principalement en thermodynamique et en astronomie, peut être défini comme suit : Tout tend vers la décomposition. Par conséquent, il est absolument certain que tous les composants, sous-systèmes ou systèmes, indépendamment de la technologie utilisée, tomberont en panne à un moment donné. Cela signifie qu'il n'existe pas de systèmes, sous-systèmes ou composants fiables et/ou sûrs à 100 %. Tous sont simplement plus ou moins fiables et sûrs, selon la complexité de la structure. Les défaillances qui surviennent inévitablement plus tôt ou plus tard démontrent l'action de l'entropie.

Le seul moyen dont disposent les concepteurs pour contrer l'entropie est la redondance, qui est obtenue en (a) introduisant plus de fiabilité dans les composants et (b) en fournissant plus de sécurité dans toute l'architecture du circuit. Ce n'est qu'en augmentant suffisamment la probabilité que la fonction requise soit exécutée pendant la période de temps requise que les concepteurs peuvent, dans une certaine mesure, se défendre contre l'entropie.

Évaluation des risques

Plus le risque potentiel est grand, plus la fiabilité et/ou la sécurité (contre les pannes) requises sont élevées (et vice versa). Ceci est illustré par les deux cas suivants :

Cas 1

L'accès à l'outil de moulage fixé dans une presse à injecter est protégé par une porte. Si la porte est fermée, la machine peut fonctionner, et si la porte est ouverte, tous les mouvements dangereux doivent être arrêtés. En aucun cas (même en cas de défaillance du canal relatif à la sécurité) des mouvements, en particulier ceux qui actionnent l'outil, ne doivent se produire.

Cas 2

L'accès à une chaîne de montage contrôlée automatiquement qui assemble de petits composants en plastique sous pression pneumatique est gardé par une porte. Si cette porte est ouverte, la ligne devra être arrêtée.

Dans le cas 1, si le système de commande de surveillance de porte tombe en panne, une blessure grave peut survenir si l'outil est fermé de manière inattendue. Dans le cas 2, seules des blessures légères ou des dommages insignifiants peuvent survenir si le système de contrôle de surveillance de porte tombe en panne.

Il est évident que dans le premier cas, il faut introduire beaucoup plus de redondance pour atteindre la fiabilité et/ou la sécurité (contre les pannes) requises pour se protéger contre les risques extrêmement élevés. En fait, selon la norme européenne EN 201, le système de contrôle de surveillance de la porte de la machine de moulage par injection doit avoir trois canaux ; dont deux sont électriques et supervisés mutuellement et dont l'un est majoritairement équipé de circuits hydrauliques et d'essais. Ces trois fonctions de surveillance concernent la même porte.

A l'inverse, dans des applications comme celle décrite dans le cas 2, une seule voie activée par un interrupteur à action positive est adaptée au risque.

Catégories de contrôle

Étant donné que toutes les considérations ci-dessus sont généralement basées sur la théorie de l'information et sont par conséquent valables pour toutes les technologies, peu importe que le système de contrôle soit basé sur des composants électroniques, électromécaniques, mécaniques, hydrauliques ou pneumatiques (ou un mélange de ceux-ci) , ou sur une autre technologie. L'inventivité du concepteur d'une part et les questions économiques d'autre part sont les principaux facteurs affectant un nombre presque infini de solutions quant à la manière de réaliser des caniveaux importants pour la sécurité.

Pour éviter toute confusion, il est pratique de fixer certains critères de tri. Les structures de canaux les plus typiques utilisées dans les commandes de machines pour exécuter des fonctions liées à la sécurité sont classées selon :

  • fiabilité
  • comportement en cas de panne
  • temps de révélation de panne.

 

Leurs combinaisons (toutes les combinaisons possibles ne sont pas présentées) sont illustrées dans le tableau 1.

Tableau 1. Certaines combinaisons possibles de structures de circuit dans les commandes de machine pour les fonctions liées à la sécurité

Critères (questions)

Stratégie de base

 

En augmentant la fiabilité (la survenance d'une panne est-elle décalée dans un futur peut-être lointain ?)

Par une structure de circuit (architecture) appropriée, la défaillance sera au moins détectée (Cat. 2) ou l'effet de défaillance sur le canal sera éliminé (Cat. 3) ou la défaillance sera immédiatement révélée (Cat. 4)

 

Catégories

 

Cette solution est fondamentalement fausse

B

1

2

3

4

Les composants du circuit peuvent-ils supporter les influences attendues ? sont-ils construits selon l'état de l'art ?

Non

Oui

Oui

Oui

Oui

Oui

Des composants et/ou des méthodes éprouvés ont-ils été utilisés ?

Non

Non

Oui

Oui

Oui

Oui

Une panne peut-elle être détectée automatiquement ?

Non

Non

Non

Oui

Oui

Oui

Une défaillance empêche-t-elle l'exécution de la fonction relative à la sécurité ?

Oui

Oui

Oui

Oui

Non

Non

Quand la panne sera-t-elle détectée ?

Jamais

Jamais

Jamais

En avance (au plus tard à la fin d'un intervalle qui ne dépasse pas un cycle machine)

Immédiatement (lorsque le signal perd de la dynamique
personnage)

   

Dans les produits de consommation

A utiliser dans les machines

 

La catégorie applicable à une machine spécifique et à son système de commande relatif à la sécurité est principalement spécifiée dans les nouvelles normes européennes (EN), à moins que l'autorité nationale, l'utilisateur et le fabricant ne conviennent mutuellement qu'une autre catégorie doit être appliquée. Le concepteur développe ensuite un système de contrôle qui répond aux exigences. Par exemple, les considérations régissant la conception d'un canal de contrôle peuvent inclure les éléments suivants :

  • Les composants doivent résister aux influences attendues. (OUI NON)
  • Leur construction doit être conforme aux normes les plus récentes. (OUI NON)
  • Des composants et des méthodes éprouvés sont utilisés. (OUI NON)
  • Échec doit être détecté. (OUI NON)
  • La fonction de sécurité sera-t-elle exécutée même en cas de panne ? (OUI NON)
  • Quand la panne sera-t-elle détectée ? (JAMAIS, TÔT, IMMÉDIATEMENT)

 

Ce processus est réversible. En utilisant les mêmes questions, on peut décider à quelle catégorie appartient un canal de contrôle existant, précédemment développé.

Exemples de catégories

Catégorie B

Les composants du canal de commande principalement utilisés dans les biens de consommation doivent résister aux influences attendues et être conçus selon l'état de la technique. Un interrupteur bien conçu peut servir d'exemple.

Catégorie 1

L'utilisation de composants et de méthodes éprouvés est typique pour la catégorie 1. Un exemple de catégorie 1 est un interrupteur à action positive (c'est-à-dire qui nécessite l'ouverture forcée des contacts). Cet interrupteur est conçu avec des pièces robustes et est activé par des forces relativement élevées, atteignant ainsi une fiabilité extrêmement élevée uniquement lors de l'ouverture des contacts. Malgré des contacts collés ou même soudés, ces interrupteurs s'ouvrent. (Remarque : les composants tels que les transistors et les diodes ne sont pas considérés comme des composants éprouvés.) La figure 10 servira d'illustration d'une commande de catégorie 1.

Figure 10. Un interrupteur à action positive

SAF62F10

Ce canal utilise le commutateur S à action positive. Le contacteur K est surveillé par le voyant L. L'opérateur est averti que les contacts normalement ouverts (NO) sont collés au moyen du voyant lumineux L. Le contacteur K a des contacts à guidage forcé. (Remarque : les relais ou contacteurs à guidage forcé des contacts ont, par rapport aux relais ou contacteurs habituels, une cage spéciale en matériau isolant de sorte que si les contacts normalement fermés (NC) sont fermés, tous les contacts NO doivent être ouverts, et vice-versa. Cela signifie qu'en utilisant des contacts NF, une vérification peut être effectuée pour déterminer que les contacts de travail ne collent pas ou ne sont pas soudés ensemble.)

Catégorie 2

La catégorie 2 prévoit la détection automatique des pannes. Une détection automatique de panne doit être générée avant chaque mouvement dangereux. Ce n'est que si le test est positif que le mouvement peut être effectué ; sinon la machine sera arrêtée. Des systèmes de détection automatique de panne sont utilisés pour les barrières lumineuses afin de prouver qu'elles fonctionnent toujours. Le principe est illustré sur la figure 1.

Figure 11. Circuit comprenant un détecteur de panne

SAF62F11

Ce système de contrôle est testé régulièrement (ou occasionnellement) en injectant une impulsion à l'entrée. Dans un système fonctionnant correctement, cette impulsion sera ensuite transférée à la sortie et comparée à une impulsion provenant d'un générateur de test. Lorsque les deux impulsions sont présentes, le système fonctionne évidemment. Sinon, s'il n'y a pas d'impulsion de sortie, le système est en panne.

Catégorie 3

Les circuits ont été décrits précédemment dans l'exemple 3 dans la section Sécurité de cet article, figure 8.

L'exigence - c'est-à-dire la détection automatique des pannes et la capacité d'exécuter la fonction de sécurité même si une panne s'est produite n'importe où - peut être satisfaite par des structures de contrôle à deux canaux et par une supervision mutuelle des deux canaux.

Pour les commandes de la machine uniquement, les défaillances dangereuses doivent être étudiées. A noter qu'il existe deux types de panne :

  • Non dangereux les pannes sont celles qui, après leur apparition, provoquent un « état sûr » de la machine en prévoyant l'arrêt du moteur.
  • dangereux les pannes sont celles qui, après leur apparition, provoquent un "état dangereux" de la machine, car le moteur ne peut pas être arrêté ou le moteur commence à se déplacer de manière inattendue.

Catégorie 4

La catégorie 4 prévoit généralement l'application d'un signal dynamique changeant en continu sur l'entrée. La présence d'un signal dynamique sur les moyens de sortie pour le running ("1"), et l'absence de signal dynamique signifie Arrêtez (« 0 »).

Pour de tels circuits, il est typique qu'après la défaillance d'un composant, le signal dynamique ne soit plus disponible sur la sortie. (Remarque : le potentiel statique sur la sortie n'a pas d'importance.) De tels circuits peuvent être appelés « à sécurité intégrée ». Toutes les pannes seront divulguées immédiatement, pas après le premier changement (comme dans les circuits de catégorie 3).

Autres commentaires sur les catégories de contrôle

Le tableau 1 a été développé pour les commandes de machine habituelles et montre uniquement les structures de circuit de base ; selon la directive machine, il doit être calculé en partant du principe qu'une seule panne se produira dans un cycle de machine. C'est pourquoi la fonction de sécurité n'a pas à être réalisée en cas de deux défaillances simultanées. On suppose qu'une panne sera détectée dans un cycle machine. La machine sera arrêtée puis réparée. Le système de contrôle redémarre alors, pleinement opérationnel, sans défaillance.

L'intention première du concepteur devrait être de ne pas autoriser les défaillances "permanentes", qui ne seraient pas détectées au cours d'un cycle car elles pourraient ensuite être combinées avec une ou plusieurs défaillances nouvelles (cumul des défaillances). De telles combinaisons (une panne permanente et une nouvelle panne) peuvent provoquer un dysfonctionnement même des circuits de catégorie 3.

Malgré ces tactiques, il est possible que deux pannes indépendantes se produisent en même temps dans le même cycle machine. Ce n'est que très improbable, surtout si des composants hautement fiables ont été utilisés. Pour les applications à très haut risque, trois sous-canaux ou plus doivent être utilisés. Cette philosophie est basée sur le fait que le temps moyen entre les pannes est beaucoup plus long que le cycle de la machine.

Cela ne signifie pas, cependant, que le tableau ne peut pas être développé davantage. Le Tableau 1 est fondamentalement et structurellement très similaire au Tableau 2 utilisé dans l'EN 954-1. Cependant, il n'essaie pas d'inclure trop de critères de tri. Les exigences sont définies selon les lois rigoureuses de la logique, de sorte que seules des réponses claires (OUI ou NON) peuvent être attendues. Cela permet une évaluation, un tri et une classification plus précis des circuits soumis (canaux liés à la sécurité) et, enfin et surtout, une amélioration significative de la reproductibilité de l'évaluation.

L'idéal serait que les risques puissent être classés en différents niveaux de risque, puis qu'un lien précis soit établi entre les niveaux de risque et les catégories, le tout indépendamment de la technologie utilisée. Cependant, ce n'est pas tout à fait possible. Peu de temps après la création des catégories, il est devenu clair que même avec la même technologie, diverses questions n'avaient pas suffisamment de réponses. Quel est le meilleur : un composant de catégorie 1 très fiable et bien conçu, ou un système répondant aux exigences de la catégorie 3 avec une faible fiabilité ?

Pour expliquer ce dilemme, il faut distinguer deux qualités : la fiabilité et la sécurité (contre les pannes). Ils ne sont pas comparables, car ces deux qualités ont des caractéristiques différentes :

  • Le composant le plus fiable a la caractéristique désagréable qu'en cas de panne (même hautement improbable), la fonction cessera de fonctionner.
  • Les systèmes de catégorie 3, où même en cas de panne, la fonction sera exécutée, ne sont pas à l'abri de deux pannes en même temps (ce qui peut être important, c'est de savoir si des composants suffisamment fiables ont été utilisés).

Compte tenu de ce qui précède, il se peut que la meilleure solution (du point de vue du risque élevé) soit d'utiliser des composants hautement fiables et de les configurer de sorte que le circuit soit protégé contre au moins une panne (de préférence plus). Il est clair qu'une telle solution n'est pas la plus économique. En pratique, le processus d'optimisation est principalement la conséquence de toutes ces influences et considérations.

L'expérience de l'utilisation pratique des catégories montre qu'il est rarement possible de concevoir un système de contrôle qui ne peut utiliser qu'une seule catégorie dans l'ensemble. La combinaison de deux ou même trois parties, chacune d'une catégorie différente, est typique, comme illustré dans l'exemple suivant :

De nombreuses barrières immatérielles de sécurité sont conçues dans la catégorie 4, dans laquelle un canal fonctionne avec un signal dynamique. À la fin de ce système, il y a généralement deux sous-canaux supervisés mutuellement qui fonctionnent avec des signaux statiques. (Cela répond aux exigences de la catégorie 3.)

Selon EN 50100, ces barrières lumineuses sont classées comme Dispositifs de protection électrosensibles de type 4, bien qu'ils soient composés de deux parties. Malheureusement, il n'y a pas d'accord sur la dénomination des systèmes de contrôle constitués de deux parties ou plus, chaque partie appartenant à une autre catégorie.

Systèmes électroniques programmables (PES)

Les principes utilisés pour créer le tableau 1 peuvent, avec certaines restrictions bien sûr, être généralement appliqués également aux SPE.

Système PES uniquement

Lors de l'utilisation des PES pour le contrôle, les informations sont transférées du capteur à l'activateur via un grand nombre de composants. Au-delà, il passe même « par » un logiciel. (Voir figure 12).

Figure 12. Un circuit du système PES

SAF62F14

Bien que les PES modernes soient très fiables, la fiabilité n'est pas aussi élevée que celle requise pour le traitement des fonctions de sécurité. Au-delà de cela, les systèmes PES habituels ne sont pas suffisamment sûrs, car ils n'assureront pas la fonction liée à la sécurité en cas de panne. Par conséquent, l'utilisation de PES pour le traitement de fonctions de sécurité sans aucune mesure supplémentaire n'est pas autorisée.

Applications à très faible risque : systèmes avec un PES et des mesures supplémentaires

Lors de l'utilisation d'un seul PES pour le contrôle, le système se compose des parties principales suivantes :

Partie d'entrée

La fiabilité d'un capteur et l'entrée d'un PES peuvent être améliorées en les doublant. Une telle configuration d'entrée à double système peut être en outre supervisée par un logiciel pour vérifier si les deux sous-systèmes fournissent les mêmes informations. Ainsi, les défaillances dans la partie d'entrée peuvent être détectées. C'est presque la même philosophie que celle requise pour la catégorie 3. Cependant, comme la supervision est effectuée par logiciel et une seule fois, cela peut être dénommé 3- (ou pas aussi fiable que 3).

Partie centrale

Bien que cette partie ne puisse pas être bien doublée, elle peut être testée. Lors de la mise sous tension (ou pendant le fonctionnement), une vérification de l'ensemble du jeu d'instructions peut être effectuée. Aux mêmes intervalles, la mémoire peut également être vérifiée par des modèles de bits appropriés. Si de telles vérifications sont effectuées sans échec, les deux parties, CPU et mémoire, fonctionnent évidemment correctement. La partie centrale présente certaines caractéristiques typiques de la catégorie 4 (signal dynamique) et d'autres typiques de la catégorie 2 (tests effectués régulièrement à des intervalles appropriés). Le problème est que ces tests, malgré leur ampleur, ne peuvent pas être vraiment complets, car le système à un seul PSE ne les permet pas par nature.

Partie sortie

Semblable à une entrée, la sortie (y compris les activateurs) peut également être doublée. Les deux sous-systèmes peuvent être supervisés par rapport au même résultat. Les pannes seront détectées et la fonction de sécurité sera exécutée. Cependant, on retrouve les mêmes points faibles que dans la partie input. Par conséquent, la catégorie 3 est choisie dans ce cas.

Dans la figure 13 la même fonction est apportée aux relais A et B. Les contacts de contrôle a et b, informe ensuite deux systèmes d'entrée si les deux relais effectuent le même travail (sauf si une panne s'est produite dans l'un des canaux). La supervision est refaite par logiciel.

Figure 13. Un circuit PES avec un système de détection de panne

SAF62F13

L'ensemble du système peut être décrit comme catégorie 3-/4/2/3- s'il est correctement et largement réalisé. Néanmoins, les points faibles de tels systèmes tels que décrits ci-dessus ne peuvent pas être totalement éliminés. En fait, les SPE améliorés ne sont effectivement utilisés pour des fonctions liées à la sécurité que là où les risques sont plutôt faibles (Hölscher et Rader 1984).

Applications à faible et moyen risque avec un seul PES

Aujourd'hui, presque toutes les machines sont équipées d'une unité de commande PES. Pour résoudre le problème de fiabilité insuffisante et de sécurité généralement insuffisante contre les défaillances, les méthodes de conception suivantes sont couramment utilisées :

  • Dans des machines relativement simples comme les ascenseurs, les fonctions sont divisées en deux groupes : (1) les fonctions qui ne sont pas liées à la sécurité sont traitées par le PES ; (2) les fonctions relatives à la sécurité sont regroupées dans une chaîne (circuit de sécurité) et traitées en dehors du PES (voir figure 14).

 

Figure 14. État de l'art pour la catégorie d'arrêt 0

SAF62F15

  • La méthode donnée ci-dessus n'est pas adaptée aux machines plus complexes. L'une des raisons est que ces solutions ne sont généralement pas suffisamment sûres. Pour les applications à risque moyen, les solutions doivent satisfaire aux exigences de la catégorie 3. Des idées générales sur l'apparence de telles conceptions sont présentées dans les figures 15 et 16.

 

Figure 15. État de l'art pour la catégorie d'arrêt 1

SAF62F16

 

Figure 16. État de l'art pour la catégorie d'arrêt 2

SAF62F17

Applications à haut risque : systèmes avec deux (ou plus) PES

Outre la complexité et les dépenses, aucun autre facteur n'empêcherait les concepteurs d'utiliser des systèmes PES entièrement doublés tels que Siemens Simatic S5-115F, 3B6 Typ CAR-MIL, etc. Ceux-ci incluent généralement deux PES identiques avec un logiciel homogène, et supposent l'utilisation de PES "bien éprouvés" et de compilateurs "bien éprouvés" (un PES ou un compilateur éprouvé peut être considéré comme celui qui, dans de nombreuses applications pratiques, sur 3 ans ou plus a montré que les défaillances systématiques ont été évidemment éliminées). Bien que ces systèmes PSE doublés n'aient pas les points faibles des systèmes PSE simples, cela ne signifie pas que les systèmes PSE doublés résolvent tous les problèmes. (Voir figure 17).

Figure 17. Système sophistiqué avec deux SPE

SAF62F18

Échecs systématiques

Les défaillances systématiques peuvent résulter d'erreurs dans les spécifications, la conception et d'autres causes, et peuvent être présentes aussi bien dans le matériel que dans les logiciels. Les systèmes à double PES conviennent à une utilisation dans des applications liées à la sécurité. De telles configurations permettent la détection de pannes matérielles aléatoires. Grâce à la diversité du matériel, comme l'utilisation de deux types différents ou de produits de deux fabricants différents, des défaillances matérielles systématiques pourraient être révélées (il est très peu probable qu'une défaillance systématique matérielle identique se produise dans les deux SPE).

Logiciels

Le logiciel est un nouvel élément dans les considérations de sécurité. Le logiciel est soit correct, soit incorrect (en ce qui concerne les pannes). Une fois correct, le logiciel ne peut pas devenir instantanément incorrect (par rapport au matériel). Les objectifs sont d'éradiquer toutes les erreurs du logiciel ou au moins de les identifier.

Il existe différentes manières d'atteindre cet objectif. L'un est le vérification du programme (une deuxième personne tente de découvrir les erreurs lors d'un test ultérieur). Une autre possibilité est diversité du logiciel, dans lequel deux programmes différents, écrits par deux programmeurs, traitent le même problème. Si les résultats sont identiques (dans certaines limites), on peut supposer que les deux sections de programme sont correctes. Si les résultats sont différents, il est présumé que des erreurs sont présentes. (NB, Le architecture du matériel doit naturellement aussi être pris en compte.)

Résumé

Lors de l'utilisation de PES, les mêmes considérations de base suivantes doivent généralement être prises en compte (comme décrit dans les sections précédentes).

  • Un système de contrôle sans aucune redondance peut être attribué à la catégorie B. Un système de contrôle avec des mesures supplémentaires peut être de catégorie 1 ou même supérieure, mais pas supérieure à 2.
  • Un système de contrôle en deux parties avec comparaison mutuelle des résultats peut être attribué à la catégorie 3. Un système de contrôle en deux parties avec comparaison mutuelle des résultats et plus ou moins de diversité peut être attribué à la catégorie 3 et convient aux applications à haut risque.

Un nouveau facteur est que pour le système avec un PES, même le logiciel doit être évalué du point de vue de l'exactitude. Le logiciel, s'il est correct, est fiable à 100 %. A ce stade de développement technologique, les meilleures solutions techniques possibles et connues ne seront probablement pas utilisées, les facteurs limitants étant encore économiques. En outre, divers groupes d'experts continuent de développer les normes pour les applications de sécurité des PES (par exemple, EC, EWICS). Bien qu'il existe déjà différentes normes (VDE0801, IEC65A, etc.), cette question est si vaste et complexe qu'aucune d'entre elles ne peut être considérée comme définitive.

 

Retour

Lire 10622 fois Dernière modification le mercredi 31 août 2011 16:05

" AVIS DE NON-RESPONSABILITÉ : L'OIT n'assume aucune responsabilité pour le contenu présenté sur ce portail Web qui est présenté dans une langue autre que l'anglais, qui est la langue utilisée pour la production initiale et l'examen par les pairs du contenu original. Certaines statistiques n'ont pas été mises à jour depuis la production de la 4ème édition de l'Encyclopédie (1998)."

Table des matières

Références des applications de sécurité

Arteau, J, A Lan et JF Corveil. 1994. Utilisation des lignes de vie horizontales dans l'érection de structures en acier. Actes du symposium international sur la protection contre les chutes, San Diego, Californie (27-28 octobre 1994). Toronto : Société internationale de protection contre les chutes.

Backström, T. 1996. Risque d'accident et protection de la sécurité dans la production automatisée. Thèse de doctorat. Arbete och Hälsa 1996:7. Solna : Institut national de la vie active.

Backström, T et L Harms-Ringdahl. 1984. Une étude statistique des systèmes de contrôle et des accidents du travail. J Occup Acc. 6:201–210.

Backström, T et M Döös. 1994. Défauts techniques à l'origine des accidents dans la production automatisée. Dans Advances in Agile Manufacturing, édité par PT Kidd et W Karwowski. Amsterdam : Presse IOS.

—. 1995. Une comparaison des accidents du travail dans les industries à technologie manufacturière de pointe. Int J Hum Factors Manufac. 5(3). 267–282.

—. Dans la presse. La genèse technique des pannes de machines conduisant à des accidents du travail. Int J Ind Ergonomie.

—. Accepté pour publication. Fréquences absolues et relatives des accidents d'automatisation sur différents types d'équipements et pour différents groupes professionnels. J Saf Rés.

Bainbridge, L. 1983. Ironies de l'automatisation. Automatica 19: 775–779.

Bell, R et D Reinert. 1992. Concepts de risque et d'intégrité du système pour les systèmes de contrôle liés à la sécurité. Saf Sei 15:283–308.

Bouchard, P. 1991. Échafaudages. Guide série 4. Montréal : CSST.

Bureau des affaires nationales. 1975. Normes de sécurité et de santé au travail. Structures de protection en cas de retournement pour matériel de manutention et tracteurs, sections 1926, 1928. Washington, DC : Bureau des affaires nationales.

Corbett, JM. 1988. L'ergonomie dans le développement de l'AMT centré sur l'humain. Ergonomie appliquée 19: 35–39.

Culver, C et C Connolly. 1994. Empêcher les chutes mortelles dans la construction. Saf Health septembre 1994 : 72–75.

Deutsche Industrie Normen (DIN). 1990. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben. DIN V VDE 0801. Berlin : Beuth Verlag.

—. 1994. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben Änderung A 1. DIN V VDE 0801/A1. Berlin : Beth Verlag.

—. 1995a. Sicherheit von Maschinen—Druckempfindliche Schutzeinrichtungen [Sécurité des machines — Équipement de protection sensible à la pression]. DIN prEN 1760. Berlin : Beuth Verlag.

—. 1995b. Rangier-Warneinrichtungen—Anforderungen und Prüfung [Véhicules utilitaires — détection d'obstacles en marche arrière — exigences et essais]. Norme DIN 75031. Février 1995.

Döös, M et T Backström. 1993. Description des accidents dans la manutention automatisée des matériaux. Dans Ergonomics of Materials Handling and Information Processing at Work, édité par WS Marras, W Karwowski, JL Smith et L Pacholski. Varsovie : Taylor et Francis.

—. 1994. Les perturbations de la production comme risque d'accident. Dans Advances in Agile Manufacturing, édité par PT Kidd et W Karwowski. Amsterdam : Presse IOS.

Communauté économique européenne (CEE). 1974, 1977, 1979, 1982, 1987. Directives du Conseil sur les structures de protection contre le renversement des tracteurs agricoles et forestiers à roues. Bruxelles : CEE.

—. 1991. Directive du Conseil sur le rapprochement des législations des États membres relatives aux machines. (91/368/CEE) Luxembourg : CEE.

Etherton, JR et ML Myers. 1990. Recherche sur la sécurité des machines au NIOSH et orientations futures. Int J Ind Erg 6: 163–174.

Freund, E, F Dierks et J Roßmann. 1993. Unterschungen zum Arbeitsschutz bei Mobilen Rototern und Mehrrobotersystemen [Tests de sécurité au travail des robots mobiles et des systèmes de robots multiples]. Dortmund : Schriftenreihe der Bundesanstalt für Arbeitsschutz.

Goble, W. 1992. Évaluation de la fiabilité du système de contrôle. New York : Société d'instruments d'Amérique.

Goodstein, LP, HB Anderson et SE Olsen (eds.). 1988. Tâches, erreurs et modèles mentaux. Londres : Taylor et Francis.

Gryfe, CI. 1988. Causes et prévention des chutes. Dans Symposium international sur la protection contre les chutes. Orlando : Société internationale de protection contre les chutes.

Directeur de la santé et de la sécurité. 1989. Statistiques sur la santé et la sécurité 1986–87. Employez Gaz 97(2).

Heinrich, HW, D Peterson et N Roos. 1980. Prévention des accidents industriels. 5e éd. New York : McGraw Hill.

Hollnagel, E, et D Woods. 1983. Ingénierie des systèmes cognitifs : Nouveau vin dans de nouvelles bouteilles. Int J Man Machine Stud 18: 583–600.

Hölscher, H et J Rader. 1984. Microcomputer in der Sicherheitstechnik. Rheinland : Verlag TgV-Reinland.

Hörte, S-Å et P Lindberg. 1989. Diffusion et mise en œuvre des technologies de fabrication avancées en Suède. Document de travail n° 198:16. Institut d'innovation et de technologie.

Commission électrotechnique internationale (CEI). 1992. 122 Projet de norme : Logiciels pour ordinateurs dans l'application de systèmes liés à la sécurité industrielle. CEI 65 (Sec). Genève : CEI.

—. 1993. 123 Projet de norme : Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables ; Aspects génériques. Partie 1, Exigences générales Genève : CEI.

Organisation internationale du travail (OIT). 1965. Sécurité et santé dans le travail agricole. Genève : OIT.

—. 1969. Sécurité et santé dans les travaux forestiers. Genève : OIT.

—. 1976. Construction et utilisation sécuritaires des tracteurs. Un recueil de directives pratiques du BIT. Genève : OIT.

Organisation internationale de normalisation (ISO). 1981. Tracteurs agricoles et forestiers à roues. Ouvrages de protection. Méthode d'essai statique et conditions d'acceptation. ISO 5700. Genève : ISO.

—. 1990. Normes de gestion de la qualité et d'assurance qualité : Lignes directrices pour l'application de la norme ISO 9001 au développement, à la fourniture et à la maintenance de logiciels. ISO 9000-3. Genève : ISO.

—. 1991. Systèmes d'automatisation industrielle—Sécurité des systèmes de fabrication intégrés—Exigences de base (CD 11161). TC 184/WG 4. Genève : ISO.

—. 1994. Véhicules utilitaires—Dispositif de détection d'obstacles en marche arrière—Exigences et essais. Rapport technique TR 12155. Genève : ISO.

Johnson, B. 1989. Conception et analyse de systèmes numériques tolérants aux pannes. New York : Addison Wesley.

Kidd, P. 1994. Fabrication automatisée basée sur les compétences. Dans Organisation and Management of Advanced Manufacturing Systems, édité par W Karwowski et G Salvendy. New York : Wiley.

Knowlton, RE. 1986. Une introduction aux études sur les risques et l'exploitabilité : l'approche du mot guide. Vancouver, C.-B. : Chimie.

Kuivanen, R. 1990. L'impact sur la sécurité des perturbations dans les systèmes de fabrication flexibles. Dans Ergonomics of Hybrid Automated Systems II, édité par W Karwowski et M Rahimi. Amsterdam : Elsevier.

Laeser, RP, WI McLaughlin et DM Wolff. 1987. Fernsteurerung und Fehlerkontrolle von Voyager 2. Spektrum der Wissenshaft (1):S. 60–70.

Lan, A, J Arteau et JF Corbeil. 1994. Protection contre les chutes des panneaux d'affichage hors sol. International Fall Protection Symposium, San Diego, Californie, 27-28 octobre 1994. Actes International Society for Fall Protection.

Langer, HJ et W Kurfürst. 1985. Einsatz von Sensoren zur Absicherung des Rückraumes von Großfahrzeugen [Utilisation de capteurs pour sécuriser la zone derrière les gros véhicules]. FB 605. Dortmund : Schriftenreihe der bundesanstalt für Arbeitsschutz.

Levenson, NG. 1986. Sécurité des logiciels : pourquoi, quoi et comment. Enquêtes informatiques ACM (2):S. 129–163.

McManus, TN. Sd Espaces confinés. Manuscrit.

Microsonic GmbH. 1996. Communication d'entreprise. Dortmund, Allemagne : Microsonic.

Mester, U, T Herwig, G Dönges, B Brodbeck, HD Bredow, M Behrens et U Ahrens. 1980. Gefahrenschutz durch passive Infrarot-Sensoren (II) [Protection contre les dangers par les capteurs infrarouges]. FB 243. Dortmund : Schriftenreihe der bundesanstalt für Arbeitsschutz.

Mohan, D et R Patel. 1992. Conception d'équipements agricoles plus sûrs : Application de l'ergonomie et de l'épidémiologie. Int J Ind Erg 10:301–310.

Association nationale de protection contre les incendies (NFPA). 1993. NFPA 306 : Contrôle des risques de gaz sur les navires. Quincy, MA : NFPA.

Institut national pour la sécurité et la santé au travail (NIOSH). 1994. Décès de travailleurs dans des espaces confinés. Cincinnati, OH, États-Unis : DHHS/PHS/CDCP/NIOSH Pub. N° 94-103. NIOSH.

Neumann, PG. 1987. Les N meilleurs (ou pires) cas de risques liés à l'informatique. IEEE T Syst Man Cyb. New York : S.11–13.

—. 1994. Risques illustratifs pour le public dans l'utilisation des systèmes informatiques et des technologies connexes. Notes du moteur logiciel SIGSOFT 19, No. 1:16–29.

Administration de la sécurité et de la santé au travail (OSHA). 1988. Décès professionnels sélectionnés liés au soudage et au coupage, tels que trouvés dans les rapports d'enquêtes sur les décès/catastrophes de l'OSHA. Washington, DC : OSHA.

Organisation de coopération et de développement économiques (OCDE). 1987. Codes standard pour les essais officiels des tracteurs agricoles. Paris : OCDE.

Organisme professionnel de prévention du bâtiment et des travaux publics (OPPBTP). 1984. Les équipements individuels de protection contre les chutes de hauteur. Boulogne-Bilancourt, France : OPPBTP.

Rasmussen, J. 1983. Compétences, règles et connaissances : ordre du jour, signes et symboles, et autres distinctions dans les modèles de performance humaine. Transactions IEEE sur les systèmes, l'homme et la cybernétique. SMC13(3) : 257–266.

Reason, J. 1990. Erreur humaine. New York : Cambridge University Press.

Reese, CD et GR Mills. 1986. L'épidémiologie traumatique des décès en espace confiné et son application à l'intervention/prévention maintenant. Dans L'évolution de la nature du travail et de la main-d'œuvre. Cincinnati, Ohio : NIOSH.

Reinert, D et G Reuss. 1991. Sicherheitstechnische Beurteilung und Prüfung mikroprozessorgesteuerter
Sicherheitseinrichtungen. Dans BIA-Handbuch. Sicherheitstechnisches Informations-und Arbeitsblatt 310222. Bielefeld : Erich Schmidt Verlag.

Société des ingénieurs automobiles (SAE). 1974. Protection des opérateurs pour les équipements industriels. Norme SAE j1042. Warrendale, États-Unis : SAE.

—. 1975. Critères de performance pour la protection contre le retournement. Pratique recommandée par la SAE. Norme SAE j1040a. Warrendale, États-Unis : SAE.

Schreiber, P. 1990. Entwicklungsstand bei Rückraumwarneinrichtungen [État de l'évolution des dispositifs d'avertissement de zone arrière]. Technische Überwachung, Nr. 4, avril, S. 161.

Schreiber, P et K Kuhn. 1995. Informationstechnologie in der Fertigungstechnik [Technologie de l'information dans la technique de production, série de l'Institut fédéral pour la sécurité et la santé au travail]. FB 717. Dortmund : Schriftenreihe der bundesanstalt für Arbeitsschutz.

Sheridan, T. 1987. Contrôle de surveillance. In Handbook of Human Factors, édité par G. Salvendy. New York : Wiley.

Springfeldt, B. 1993. Effets des règles et mesures de sécurité au travail avec une attention particulière aux blessures. Avantages des solutions fonctionnant automatiquement. Stockholm : Institut royal de technologie, Département des sciences du travail.

Sugimoto, N. 1987. Sujets et problèmes de la technologie de sécurité des robots. Dans Occupational Safety and Health in Automation and Robotics, édité par K Noto. Londres : Taylor & Francis. 175.

Sulowski, AC (éd.). 1991. Principes fondamentaux de la protection contre les chutes. Toronto, Canada : Société internationale de protection contre les chutes.

Wehner, T. 1992. Sicherheit als Fehlerfreundlichkeit. Opladen : Westdeutscher Verlag.

Zimolong, B et L Duda. 1992. Stratégies de réduction des erreurs humaines dans les systèmes de fabrication avancés. Dans Human-robot Interaction, édité par M Rahimi et W Karwowski. Londres : Taylor & Francis.