CAPTEURS DE FORCE SENSY PRÊT POUR LE SIL - EN62061 & EN61508

Qu’est-ce que la norme SIL - 62061 & 61508 (sécurité des machines) ?

Notre monde moderne et industrialisé ne peut plus se passer des machines. Des tâches lourdes aux tâches les plus minutieuses, les machines et les systèmes automatisés sont des outils indispensables pour réduire la charge de travail des employés tout en assurant une rapidité et une qualité de travail.

Aussi puissant que soient ces outils, ils présentent également un danger non négligeable pour l’Homme. C’est ainsi que sont nés les principes de sécurité machine et de directive machine.

L’idée des différentes normes de sécurité est d’assurer une sécurité juridique du fabricant et de l’utilisateur. Ce dernier souhaitant recevoir une machine sûre et efficace.

Dans cette démarche tout fabricant de machine doit faire une appréciation des risques que va générer celle-ci, pour ensuite les éliminer ou les réduire selon les besoins. Cette démarche est d’autant plus importante quand on parle d’éléments intervenant dans la sécurité elle-même.

Une des normes les plus utilisée quand on parle de sécurité est la norme EN/IEC 61508 – « Sécurité fonctionnelle des systèmes de commande électriques, électronique et électroniques programmables relatifs à la sécurité ». Cette norme donne de précieuses informations sur la réalisation de système de commande.

SENSY, en tant que partenaire de vos démarches de création et de sécurisation de vos machines, vous propose des solutions pour la réalisation d’installations conforme au norme SIL, jusqu’à SIL3.

Dans cette optique, cet article vous propose un résumé des principales notions à garder en tête lors de la réalisation d’une commande de sécurité.

Déterminer votre « SIL » requis.

La norme CEI 61508 prévoit différents niveaux de sécurisation des machines. Ces safety integrate level (SIL) sont représentés par un chiffre de « 1 » à « 4 », « SIL1 » étant le plus bas niveau et « SIL4 » le plus haut.

Les besoins pour la réalisation de systèmes de différents niveaux peuvent varier fortement en coûts. Il est donc primordial de bien choisir le niveau SIL dont votre installation à besoin.

La détermination du niveau SIL requis est fonction de 4 variables. La gravité des blessures (Se) et le CI qui est la somme des niveaux de la fréquence d’exposition au danger(Fr), de la probabilité d’accident (Pr) et de la probabilité d’éviter le danger ou de limiter les dégâts (Av).

Afin de déterminer ces valeurs, vous pouvez utiliser les tableaux, ci-dessous.

Le premier tableau permet de déterminer la valeur de la gravité des dégâts (Se).

securite-des-machines-iso-61508-capteur-de-force-1

Les 3 tableaux, ci-dessous, permettent de déterminer les facteurs dont dépendront le coefficient CI. D’une manière générale, CI est défini comme la somme de 3 facteurs, la fréquence d’exposition, la probabilité d’apparition du danger ainsi que la probabilité des dégâts.

securite-des-machines-iso-61508-capteur-de-force-2

securite-des-machines-iso-61508-capteur-de-force-3

securite-des-machines-iso-61508-capteur-de-force-4

Une fois les CI et Se obtenus, ils peuvent être intégrés dans le tableau, ci-dessous, pour une rapide mise en lumière du SIL minimum à atteindre.

securite-des-machines-iso-61508-capteur-de-force-5

Création d’un système de sécurité

La création d’un système assurant une fonction de sécurité demande l’estimation de plusieurs facteurs :

  • L’architecture des différents hardware et software (catégories) ;
  • La couverture diagnostique possible ;
  • La fiabilité des composants (λ) ;
  • Et les causes communes de défaillances et cela en fonction de l’architecture.

Composition d’une fonction de sécurité

securite-des-machines-iso-61508-capteur-de-force-6

Dans le cas d’un capteur, celui-ci, n’est pas un sous-système à lui seul, mais un élément de ce sous-système. Il est donc essentiel de faire valider l’ensemble du sous-système.

Est-ce que le capteur travail seul ? Est-ce que le capteur travail en paire redondante ? Est-ce que des tests doivent être effectués pendant le fonctionnement ? Autant de questions qui doivent être prisent en considération quand l’on décide de créer un sous-système.

Prenons comme exemple, la fonction de sécurité responsable de la détection d’une fin de course et de la coupure d’un moteur.

D’une manière générale, on peut découper le système en 3 blocs fonctionnels, la détection, la logique et la sortie.

securite-des-machines-iso-61508-capteur-de-force-7

Pour remplir cette fonction, divers éléments seront ajoutés pour garantir les différentes fonctionnalités. Dans le cas présent, il y aurait 2 switches qui servirait à garantir la partie détection, un automate programmable pour faire la logique et une paire de relais, en série, pour couper le moteur.

Dans le cas présent, les switches ne sont qu’une partie du bloc fonctionnel « détection ». On dit que le relais est un élément du sous-système (c’est également le cas des capteurs).

securite-des-machines-iso-61508-capteur-de-force-8

Notons que les relais ne sont pas suffisants pour garantir la sécurité de la détection. L’automate aura également son rôle à jouer. Dans le cas présent, il pourrait tester la présence des capteurs et vérifier l’absence de courts-circuits.

securite-des-machines-iso-61508-capteur-de-force-9

Architecture des sous-systèmes

On peut voir, ci-dessous, les différents types d’architecture. Chaque type d’architecture a sa propre façon de calculer les probabilités de défaillances. Par soucis d’économie de place, nous n’avons pas détaillé ces différentes façons et nous vous conseillons de consulter la norme pour de plus amples informations.

Type A

securite-des-machines-iso-61508-capteur-de-force-10

Type B

securite-des-machines-iso-61508-capteur-de-force-11

Type C

securite-des-machines-iso-61508-capteur-de-force-12

Type D

securite-des-machines-iso-61508-capteur-de-force-13

La fiabilité des composants (λd)

La fiabilité des composants est évidement au cœur de la capacité d’un système à assurer sa fonction de sécurité. Plus la fiabilité d’un composant est faible plus ce composant risque d’entrainer des défaillances (et par conséquent des défaillances dangereuses).

Dans le cadre des SIL la fiabilité des composants entre directement dans le calcul du PFHd (probability of failure per hours - dangerous) et est appliquée en fonction de l’architecture.

Notons qu’il serait toutefois inconscient de considérer la fiabilité d’un composant comme unique justification pour atteindre des hauts niveaux de performance.

Couverture de diagnostic

La couverture de diagnostic est la valeur qui va quantifier la capacité du système à diagnostiquer des défauts dangereux. Cette valeur est exprimée en pourcentage.

On peut donner, par exemple, la couverture de diagnostic d’un défaut de relais. Si un relais N/O venait à se fermer sur un circuit ouvert, le système ne serait pas forcément capable de faire la différence entre le défaut et l’ouverture classique. Un système à haut diagnostic comprendra des systèmes permettant de vérifier l’état du relais.

Il est évident que l’architecture du système a un lien direct sur la couverture de diagnostic de ce dernier.

D’une manière générale, celui-ci est vu comme la différence du nombre de défaillances dangereuses détectées par le nombre de défaillances dangereuses total :

securite-des-machines-iso-61508-capteur-de-force-14

Il est également important de noter que certaines architectures ne conviendront pas pour justifier le niveau SIL de certains systèmes. Ainsi un système de catégorie 2 peut facilement convenir pour un système de détection simple (i.e. butées) qui pourra facilement être testé lors de l’activation de la machine (i.e ; mise en butée lors du démarrage de la machine). Cependant, les systèmes plus complexes peuvent demander des systèmes de test extrêmement compliqués ou dont la fiabilité serait plus que douteuse. C’est pourquoi, il est bien souvent plus facile et plus économique de tester un système à l’architecture redondante.

Causes communes de défaillance

Les causes communes de défaillances sont toujours à envisager. En effet dans ces systèmes, les causes possibles d’une défaillance peuvent se répercuter sur plusieurs éléments du système (i.e. les deux canaux peuvent tous les deux subir une surcharge, en même temps !).

Les causes communes de défaillances peuvent être estimées sur base de la norme IEC 61508, mais il est toujours possible de se contenter de la valeur « défaut » maximal qui est de 10 %. Il est évident que les causes communes de défaillance n’ont lieu d’être qu’en présence d’un système à 2 signaux d’entrée et/ou de sortie.

Le taux de défaillance commune est donné en %.

Déterminer si le Niveau SIL est atteint

Tous ces facteurs permettent, à l’aide de la norme, de déterminer un coefficient de PFHd atteint. Pour plus de détails, se référer à la norme correspondante.

Un rapide coup d’œil au tableau, ci-dessous, permet de vérifier si le SIL atteint est du niveau souhaité.

securite-des-machines-iso-61508-capteur-de-force-15