Impr
imé
en F
ranc
e . D
ocum
ent n
on c
ontra
ctue
l.38
3 73
17a
. 1M
0711
electroPNeUMAtIQUe et
SecurIteDeS MachIneS
NoUvelle dIrectIve 2006/42/ce NorMes NF eN/ceI 62061 - eN Iso 13849-1
securite des machines
Principe de la sécurité des machines :
Garantir la sécurité et la santé des personnes exposées lors de la mise en place, l'utilisation, le réglage et la maintenance de la machine.
Evaluation des risques :
Evolution des Normes
Le fabricant d'une machine ou son mandataire doit veiller à ce qu'une évaluation des ris-ques soit effectuée afin de déterminer les exigences de santé et de sécurité des personnes liées à l’utilisation de celle-ci. La machine doit ensuite être conçue et construite en tenant compte des résultats de l'évaluation des risques.
De la pratique de la nouvelle Directive Machines 2006/42/CE émergent 3 idées fortes pour la conception des machines et les fonctions de sécurité :
• L'analyse des risques préalable à la conception
• Une attention particulière à l'aspect quantitatif des fonctions de sécurité, qui s'ajoute à l'approche qualitative
• L'utilisation des niveaux de performance (PL : Performance Level).
Directive Machines98/37/CE
“Sécurité fonctionnelle des systèmes électriques, électroniques, électroniques programmables relatifs à la sécurité”
“Parties des systèmes de commande électriques, électroniques, électroniques programmables, hydrauliques, pneumatiques et mécaniquesrelatives à la sécurité” Partie 1 : Principes généraux de conception
31 D
ecem
br
e 20
11TouTes les machines mises sur le marché européen
Norme NF EN/CEI 62061
Directive Machines 2006/42/CE
Norme NF EN ISO 13849-1
(publiée au journal officiel)
Dec
emb
re
2005
Dec
emb
re
2009
ma
i 20
07 (publiée au journal officiel)
Norme NF EN 954-1
3
Distribution
Mini distributeurs séries 519-520-521
Distributeur à tiroir séries 551 552-553
Les données fiabilistes des produits (MTTF, MTTFd, B10, B10d…), issus de test de fiabilité dans les conditions standards sont téléchargeables au format SISTEMA sur notre site www.asconumatics.fr, rubrique téléchargements.
Pl, sIl
Traitement de l’air
Régulateur
Vanne de coupure et démarreur progressif
Téléchargeable surwww.asconumatics.fr
rubrique téléchargements
electrovannes tous fluides
Bibliothèque de données fiabilistes
contrôle des actionneurs
Détecteur de position Stop vérin Série 346 ou NCPPG
Distributeurs à tiroir inox sans joint séries L1/L2
séries 541-542-543
Distributeurs ISO 5599/1
série compacte Electrovannes-pilotes séries 302-190-192
pressostat
Les actionneurs (vérins pneumatiques) ne sont jamais pris en considération dans les calculs de niveau de per-formance (PL). En effet, les actionneurs ne faisant pas partie intégrante des systèmes de contrôle-commande ne sont donc pas concernés par la norme EN ISO 13849-1. Toutefois, le constructeur de machines doit intégrer les risques liés à une défaillance de l’actionneur dans l’évaluation du risque (EN ISO 14121 et EN ISO 12100).
sisTema(Safety Integrity Software Tool for the Evaluation of Machine Applications)
Logiciel SISTEMA téléchargeable sur le site www.dguv.de/ifa/en
P
P
G
dOnnees de FiaBiLite
1V1A
1S1
2V32V2
0S1 2S1
0V1A 2V1
1V1B
0V1B
Ilots séries 2005-2012 et ISO 15407-2 26 mm
3
eVaLuatiOn des risQues
4
« Les règles de l’art + le calcul probabiliste »
construction et évaluation des risques de la machine
conception et réalisation des systèmes de commandes relatifs à la sécurité des machines
evaluation des risques
Aspect électrique de la sécurité
EN 60204-1Sécurité des machines équipement électrique des machines, partie 1 : règles générales
EN 1050 (EN ISO 14121-1) Sécurité des machines Appréciation des risques, partie 1 : principes
EN ISO 12100 Sécurité des machines Notions fondamentales, principes généraux de conception
Exigences fonctionnelles et touchant à la sécurité sur les commandes relatives à la sécurité
EN/CEI 62061 EN ISO 13849-1
niveaux d'intégrité de sécurité sil 1, 2, 3
série sans fonction de diagnosticparallèle sans fonction de diagnostic série avec fonction de diagnostic parallèle avec fonction de diagnostic
Architecture au choix
ABCD
Architecture désignée (catégorie)
niveaux de performance pl a, b, c, d, e
B, 1,23, 4
série sans fonction de diagnosticsérie avec fonction de diagnostic parallèle avec fonction de diagnostic
SSévérité des dommages
Risques liés à l’évènement dangereux
Fréquence et/ou durée d’exposition FProbabilité d’apparition Probabilité
du dommageOProbabilité d’évitement P
= et
a
b
c
d
e
F1
F2
F1
F2
S1
S2
P1
P2
P1
P2
P1
P2
P1
P2
Risque faible
Risque élevé
PL requis
Point de départde l’estimationdu risque
Autres mesures
Conséquences Sévérité Classe
S K = F + O + P
3-4 5-7 8-10 11-13
Mort, perte d’un œil ou d’un bras 4 SIL 2 SIL 2 SIL 2 SIL 3
Permanentes, perte de doigts 3
2
SIL 1 SIL 2
Réversibles, suivi médical SIL 1
Réversibles, premiers soins
1
14-15
SIL 3
SIL 3
SIL 2
SIL 1
Détermination du sil requis Détermination du pl requis
5
demarche de cOnceptiOnnF en/cei 62061 - nF en isO 13849-1
Choisir l'Architecture du systèmeparmi les modèles
• A, B, C ou DEN/CEI 62061
• Catégorie B, 1, 2, 3 ou 4 ISO 13849-1
Déduire la performance de sécurité réalisable par le système
• PL ISO 13849-1• SIL EN/CEI 62061
Choisir lesComposants du systèmeimpliqués dans les fonctions de sécurité
En tenant compte de leursdonnées fiabilistes
• MTTF, MTTFd, B10, B10d,etc.
Spécifier pour chaquecomposant lesmécanismes de diagnosticafin de garantir le DC (Diagnostic Coverage)requis
Construire pour chaque fonction unmodèle ou diagramme de fiabilitésupport des différents calculs
Calculer
Spécifier les autres mesures
• CCF (Common Cause Failure)
• Logiciels• Pour satisfaire aux
contraintes architecturales• Intégrité systémique
• MTTFd et DC par canalISO 13849-1
• d EN/CEI 62061
y
Documentation
Réalisation duSYSTEME
conformèment auxapplications
MTTFd
Indice pour chaque canalFaibleMoyenElevé
3 ans <_ MTTFd < 10 ans10 ans <_ MTTFd < 30 ans30 ans <_ MTTFd < 100 ans
Inventorier les Fonctions de sécurité d'une machine :• Spécifications fonctionnelles pour en
déduire les dysfonctionnements dangereux
• Spécifications de sécurité
Durée de mission T10 : En relation avec les recommandations EN ISO 13849-1 “good engineering practices” le matériel atteignant cette valeur doit être remplacé (principe de précaution).
CCF : Défaillance de cause commune (Common Cause Failure). Mesures à appliquer pour qu'une cause (et son effet) donnée ne détruise pas de façon simultanée les différents canaux d'un circuit de sécurité.
B10d : Nombre de cycles nécessaires pour que 10% des éléments d'usure de l'échantillon rencontrent une défaillance dangereuse - Valeur exprimée en nombre de cycles.
Couverture de diagnostic
Sans Faible Moyenne Elevée
DC < 60% 60% <_ DC < 90% 90% <_ DC < 99% 99% <_ DC
DC : Couverture de diagnostic (Diagnostic Coverage)
MTTFd : temps moyen avant défaillancedangereuse (mean time to dangerous failure)
Valeur exprimée en année.
Données de fiabilité des composants Constructeurs, normes, banques de données, etc.
6
pOur VOs FOnctiOns de
Obtenir un PL = c, architecture catégorie 1
Mouvementdangereux
Electrodistributeurchoisi pour assurer
les règles de sécurité
Autres utilisations etsystèmes de contrôle
0V1A
0S1
1V1A
1A
P
Catégories B et 1 :
Signald'entrée
Signalde sortie
I L O
PL
a
b
c
d
e
Catégorie BDCavg nulle
Catégorie 1DCavg nulle
Catégorie 2DCavg faible
Catégorie 2DCavg moyenne
Catégorie 3DCavg faible
Catégorie 3DCavg moyenne
Catégorie 4DCavg élevée
● Fonction de sécurité : Arrêt du mouvement potentiellement dangereux du vérin 1A.
● Description fonctionnelle :
Entrée ‘I’ : non représentée
Partie logique ‘L’ : non représentée, automate programmable
B10d (1V1A – série 520) = 130 000 000 cycles, donc une durée d’utilisation de 47 ans, MTTFd=470 ans “élevé”
● Calcul de probabilité d’une défaillance dangereuse :
On peut conclure à un niveau compatible PL=c, en limitant l’utilisation du distributeur à 47 ans.
Les exemples traités ici ne portent que sur l’arrêt de mouvements dangereux. Il convient en pneumatique de ne pas oublier les sécurités concernant l’isolement de la source d’énergie, l’évacuation d’énergie potentielle (pression emprisonnée dans une partie d’un circuit), et la remise en marche “progressive” après un arrêt intempestif.
PL Niveaux de performance
MTTFd indice pour chaque canal = faible
MTTFd indice pour chaque canal = moyen
MTTFd indice pour chaque canal = élevé
Seule la description de la partie pneumatique sous la forme de sous système de sécurité est décrite dans ces exemples. D’autres sécurités (éléments de protection, logique électrique …) doivent compléter la machine pour assurer une fonction complète de sécurité.
Fonction sécurité
Nb heures de travail
Nb jours de travail / an
Nb cycles / an
1 cycle = 5 s 16h 240 j 2 764 800 cycles
7
securite
Obtenir un PL = c, architecture Catégorie 2
Entrée ‘I’ : non représentée
Partie logique ‘L’ : non représentée, automate programmable
On peut conclure à un niveau compatible PL=c pour la boucle de sécurité, en limitant l’utilisation du distributeur à 16,2 ans.
Mouvementdangereux
Autres utilisations etsystèmes de contrôle
0V1B
a b
0S1
1V1B
1S1
1A
P
GCatégorie 2 :
Signald'entrée
Dia
gn
ost
ic
TE : équipement d’essaiOTE : sortie de l’équipement
Dia
gn
ost
ic
DiagnosticDiagnostic
Signalde sortie
Signalde sortie
OTETE
I OL
PL
a
b
c
d
e
Catégorie BDCavg nulle
Catégorie 1DCavg nulle
Catégorie 2DCavg faible
Catégorie 2DCavg moyenne
Catégorie 3DCavg faible
Catégorie 3DCavg moyenne
Catégorie 4DCavg élevée
● Fonction de sécurité : Arrêt du mouvement potentiellement dangereux du vérin 1A.
● Description fonctionnelle :
0V1 : distributeur d’isolement énergétique : assure la mise à l’échappement de l’installation en cas du dysfonctionnement de la boucle.
● Calcul de probabilité d’une défaillance dangereuse :
B10d (distributeur 1V1B - série 542) = 44 912 670 cycles, donc une durée d’utilisation de 16,2 ans, MTTFd = 162 ans “élevé”
MTTFd (capteurs 1S1) = 45 000 000 h, soit 11 718 ans “élevé”
L’étude de cas donne : DC (Diagnostic Coverage) = 60% “faible”.
Fonction sécurité
Nb heures de travail
Nb jours de travail / an
Nb cycles / an
1 cycle = 5 s 16h 240 j 2 764 800 cycles
Blocage du vérin assuré par : Diagnostic assuré par :
Sortie O : Distributeur 1V1B Surveillance croisée dans L des cohérences d’états d’alimentation des bobines 1V1Ba et 1V1Bb et des capteurs de fin de course 1S1
PL Niveaux de performance
MTTFd indice pour chaque canal = faible
MTTFd indice pour chaque canal = moyen
MTTFd indice pour chaque canal = élevé
8
pOur VOs FOnctiOns de
Obtenir un PL = d, architecture catégorie 3
Mouvementdangereux
Autres utilisations et systèmes de contrôle
0V1B
0S1
2V1
2S1
P
P
G 1S1
2Z1
1V1B
1A
a b
Catégories 3 et 4 :
Signald'entrée
Dia
gn
ost
iccr
ois
é
Diagnostic
Diagnostic
Signald'entrée
Signalde sortie
Signalde sortie
I1
I2
L1 O1
L2 O2
Entrées ‘I1’ et ‘I2’ : non représentées
Parties logiques ‘L1’ et ‘L2’ : non représentées, automate programmable
● Fonction de sécurité : Arrêt du mouvement potentiellement dangereux du vérin 1A.
● Description fonctionnelle :
Blocage du vérin assuré par : Diagnostic assuré par :
Sortie O1 : Distributeur 1V1B
Sortie O2 : Distributeur 2V1 com-mandant le bloqueur de tige 2Z1
Comparaison dans L1 des états d’ali-mentation des bobines 1V1Ba et 1V1Bb et des capteurs de fin de course 1S1
Pressostat 2S1 dont le signal est envoyé à L2
Surveillance croisée des cohérences d’états L1 / L2 dans l’automate
PL
a
b
c
d
e
Catégorie BDCavg nulle
Catégorie 1DCavg nulle
Catégorie 2DCavg faible
Catégorie 2DCavg moyenne
Catégorie 3DCavg faible
Catégorie 3DCavg moyenne
Catégorie 4DCavg élevée
On peut conclure à un niveau compatible PL=d pour la boucle de sécurité, en limitant l’utilisation du pressostat et du bloqueur à 2,89 ans.
* Les méthodes "good engineering practice" associent à ce type de composants un DC faible à moyen pour couvrir les défaillances de glissement de ces dispositifs.
PL Niveaux de performance
MTTFd indice pour chaque canal = faible
MTTFd indice pour chaque canal = moyen
MTTFd indice pour chaque canal = élevé
0V1B : Distributeur d’isolement énergétique : assure la mise à l’échappement de l’installation.
● Calcul de probabilité d’une défaillance dangereuse :
L’étude de cas donne :
DC (1V1B)=60% “faible”, DC (2V1)=99% “haut”, DC* (2Z1)=75%
Donc pour le canal O2, DC = 78% “faible”.
Fonction sécurité
Nb heures de travail
Nb jours de travail / an
Nb cycles / an
1 cycle = 10 s 16h 240 j 1 382 400 cycles
B10d (distributeur 1V1B - série 542) = 44 912 670 cycles, donc une durée d’utilisation de 32,4 ans, MTTFd = 324 ans “élevé”
B10d (distributeur 2V1 - série 520) = 10 000 000 cycles, donc une durée d'utilisation de 7,23 ans, MTTFd = 72,3 ans “élevé”
B10d (pressostat 2S1, bloqueur dynamique 2Z1) = 4 000 000 cycles, donc durée de mission T10 = 2,89 ans,MTTFd = 28,9 ans “moyen”
MTTFd (capteurs 1S1) = 45 000 000 h, soit 11 718 ans “élevé”
9
securite
Obtenir un PL = d, architecture Catégorie 3
Mouvementdangereux
Autres utilisations et systèmes de contrôle
0V1B
0S1
2V1
2S1
P
P2V3 2V2
1V1B
1A
a b
Catégories 3 et 4 :
Signald'entrée
Dia
gn
ost
iccr
ois
é
Diagnostic
Diagnostic
Signald'entrée
Signalde sortie
Signalde sortie
I1
I2
L1 O1
L2 O2
PL
a
b
c
d
e
Catégorie BDCavg nulle
Catégorie 1DCavg nulle
Catégorie 2DCavg faible
Catégorie 2DCavg moyenne
Catégorie 3DCavg faible
Catégorie 3DCavg moyenne
Catégorie 4DCavg élevée
Entrées ‘I1’ et ‘I2’ : non représentées
Parties logiques ‘L1’ et ‘L2’ : non représentées, automate programmable
* Les méthodes "good engineering practice" associent à ce type de composants et de circuit un DC faible pour couvrir les défaillances de blocage non diagnostiquées.
On peut conclure à un niveau compatible PL=d pour la boucle de sécurité, en limitant l’utilisation du pressostat à 2,89 ans.
● Fonction de sécurité : Arrêt du mouvement potentiellement dangereux du vérin 1A.
● Description fonctionnelle :
0V1B : distributeur d’isolement énergétique : assure la mise à l’échappement de l’installation.● Calcul de probabilité d’une défaillance dangereuse :
L’étude de cas donne :
DC (1V1B)=60% “faible”, DC (2V1)=99% “haut”, DC* (2V3, 2V2)=60%
Donc pour le canal O2, DC = 78% “faible”.
Fonction sécurité
Nb heures de travail
Nb jours de travail / an
Nb cycles / an
1 cycle = 10 s 16h 240 j 1 382 400 cycles
Blocage du vérin assuré par : Diagnostic assuré par :
Sortie O1 : Distributeur 1V1B
Sortie O2 : Distributeur 2V1 comman-dant les 2 vannes 2/2 “stop-vérin” utilisées comme dispositif de freinage
Surveillance croisée des cohérences d’états L1 / L2 dans l’automate
Comparaison dans L1 des états d’ali-mentation des bobines 1V1Ba et 1V1Bb et des capteurs de fin de course 1S1
Pressostat 2S1 dont le signal est envoyé à L2
B10d (distributeur 1V1B - série 542) = 44 912 670 cycles, donc une durée d’utilisation de 32,4 ans, MTTFd = 324 ans “élevé”
B10d (distributeur 2V1 - série 520) = 10 000 000 cycles, donc une durée d'utilisation de 7,23 ans,MTTFd = 72,3 ans “élevé”
B10d (pressostat 2S1) = 4 000 000 cycles, donc durée de mission T10 = 2,89 ans, MTTFd = 28,9 ans “moyen”
B10d (vannes 2/2 stop vérin - 2V3, 2V2) = 60 000 000 h, d'où MTTFd = 434 ans “élevé”
PL Niveaux de performance
MTTFd indice pour chaque canal = faible
MTTFd indice pour chaque canal = moyen
MTTFd indice pour chaque canal = élevé
Impr
imé
en F
ranc
e . D
ocum
ent n
on c
ontra
ctue
l.38
3 73
17a
. 1M
0711