Sécurité

Sûreté de fonctionnement : les études de l’INRS sur l’application des normes

L’Institut national de recherche et de
sécurité contribue à la prévention des accidents du travail et des maladies
professionnelles. Dans ce cadre, il a mené deux études pour aider les PME à
appliquer plus aisément les normes ISO 13849-1 et IEC 62061, présentées lors d’une
des dernières réunions du Club automation.

 

Pas facile
d’appliquer les normes relatives aux fonctions de sécurité, en particulier
quand on est une PME sans bureau d’étude qui produit des machines relativement
simples et qui doit y intégrer une ou seulement quelques fonctions de sécurité
basiques : arrêt d’urgence, protection mobile, etc. Le laboratoire de sûreté
des systèmes automatisés (SSA) de l’Institut national de recherche et de
sécurité (INRS) s’est donc penché, à la demande des industriels, sur les normes
ISO 13849-1 et IEC 62061. « Nous avons travaillé sur des deux référentiels
qui sont des normes de conception de circuits de commande de machines et qui,
tous les deux, donnent présomption de conformité à la directive machine, ce qui
signifie que si l’on suit leurs préconisations, on est de fait conforme à
certaines exigences de la directive, notamment sur le fonctionnement des
circuits de commande », explique Jean-Paul Bello, ingénieur d’études au
laboratoire SSA. Avec une petite nuance : l’IEC 62061 est plus dédiée aux
systèmes de commandes électriques et l’ISO 13849-1, plus récente et beaucoup
plus utilisée actuellement, et relative aux systèmes de commande plus
généralement, notamment les fonctions simples comme les arrêts d’urgence ou les
protections mobiles.

 

L’étude sur l’IOS 13849-1

« Notre
objectif était de se donner les moyens de guider les concepteurs devant
réaliser de telles fonctions de sécurité », se rappelle l’ingénieur
d’études. Sa méthode : « fournir des outils sous forme de tableaux et
graphes, afin de simplifier la lecture et l’utilisation de la norme, traiter
quelques fonctions de sécurité basiques en utilisant la « méthode simplifiée »
préconisée par la norme 13849-1 et fournir des détails de la conception et les
commentaires pertinents ». En un mot, décortiquer cette norme pour que les
petits concepteurs de machines puissent aller à l’essentiel quand ils doivent
l’intégrer. L’Inrs propose ainsi plusieurs outils à destination des
concepteurs. Le premier est un graphe décrivant le processus général de
conception d’un SC/FS (comprenez un système de commande relatif à une fonction
de sécurité) en vue d’atteindre un PL (protection level, ou niveau de
protection, qui va de a à e) requis (voir Fig.1).

 Le second graphe donne le détail de la
conception d’un SRP/CS (système de commande relative à la sécurité) en vue
d’atteindre un PL requis. Enfin, le laboratoire a également défini des préconisations
minimales pour atteindre un PL donné (suivant le tableau 7 de la norme et pour
utilisation de la procédure simplifiée, précise l’ingénieur d’études) sous
forme de tableaux récapitulatifs, en fonction des catégories de matériels
utilisées et des niveaux de performance retenus. « En fonction de ces
différents niveaux de performance possible, il y a des contraintes,
architecturales, concernant le matériel, le diagnostic, etc., et toutes ces
contraintes sont réparties de façon brouillon dans la norme. Nous avons donc
jugé utile de faire des tableaux récapitulatifs qui permettent, d’un coup d’œil,
d’avoir un aperçu de la conception vers laquelle on va s’orienter »,
justifie l’ingénieur d’études. Explication dans le détail : « pour
chaque PL requis, nous avons regroupé dans un tableau les différentes
caractéristiques qui sont nécessaires pour atteindre le niveau de performance.
Par exemple, pour le PL « c », on peut aller jusqu’à des catégories 1
ou 3 en utilisant des architectures uniques, avec canal de test ou redondantes,
avec des niveaux de MTTFd [le temps moyen avant défaillance dangereuse, Ndlr] et
des couvertures de diagnostic qui sont définis selon des tranches. »

A noter,
dans ce tableau, l’Inrs a fait quelques « aménagements » vis-à-vis de
la norme, pour s’adapter à des questions concrètes posées par des industriels
sur le terrain. « Par exemple, quand la norme définit un MTTFd moyen de 10
à 30 ans, les concepteurs se demandaient s’ils pouvaient utiliser un composant
dont le MTTFd était supérieur. C’est évident mais nous l’avons précisé », explique
Jean-Paul Bello.

Pour fixer
les idées, le laboratoire a traité deux fonctions de sécurité très
simples : une fonction de sécurité d’arrêt d’un vérin sur ouverture d’un
protecteur (PL requis « d » avec utilisation de la catégorie 2 et
mise en œuvre de composants électromécaniques) et une fonction d’arrêt d’un
moteur hydraulique sur ouverture d’un protecteur (PL requis « d »
avec  catégorie 3 et mise en œuvre d’un
module de sécurité). Parmi les enseignements tirés de ce travail, Jean-Paul
Bello retient « la nécessité d’un travail important en amont pour bien
définir la fonction de sécurité, ses limites etc. et le rappel de l’importance
de la prise en compte des défaillances systématiques et des défaillances de
causes communes ». L’ingénieur note également des « petites choses »
qui ont leur importance, notamment des restrictions de la mise en œuvre de la
catégorie 2. « Si on utilise des composants de catégorie 2, le taux de
demande doit être supérieur à 100 x le taux d’essais. Cela signifie que la
fonction doit être testée 100 fois plus qu’elle n’est sollicitée dans le cadre
de sa fonction de sécurité. Cette exigence élimine de manière quasi
systématique la possibilité d’utiliser des composants électromécaniques,
pneumatiques ou hydrauliques dont le diagnostic nécessite une commutation
physique ». Au contraire, l’usage de la catégorie 2 est réservé
principalement aux systèmes électroniques qui tolèrent des micro impulsions de
test sans avoir besoin de solliciter la fonction de sécurité.

De la même
façon, l’ingénieur du laboratoire ont mis en exergue les difficultés de cas de
calcul de couverture de diagnostic dans le cas de plusieurs entrées câblées sur
un module de sécurité unique. « Maintenant que l’on doit quantifier le
diagnostic, cela pose problème », note Jean-Paul Bello. La solution :
respecter les consignes de câblage du fabricant mais aussi de voir si le
constructeur donne des valeurs correspondantes du taux de diagnostic en
fonction du nombre de capteurs en entrée et, surtout, bien analyser les
spécificités de l’application. « Si l’on est sûr que les capteurs seront
actionnés individuellement, il n’y aura pas de problème. Mais sinon, une
défaillance sur un capteur pourrait être masquée par l’ouverture d’un autre
capteur ».

L’ingénieur
note une limite analogue lorsqu’un actionneur est concerné par plusieurs
fonctions, standard ou de sécurité. « Il faut réaliser une logique sur ces
fonctions. Chacune d’elle doit pouvoir jouer son rôle indépendamment ou simultanément
des autres en préservant, le cas échéant, la priorité des fonctions de sécurité
sur les fonctions « standard », note Jean-Paul Bello. Dans la mise en
œuvre pratique, une ou des parties d’une fonction de sécurité ou d’une fonction
« standard » vont être utilisées pour faire transiter les ordres
d’arrêt issus d’une ou d’autres fonctions de sécurité vers l’actionneur. Lorsque
ce sont plusieurs SC/FC, elles peuvent requérir des niveaux de sécurité
différents. Conclusion, il faut analyser l’influence de la défaillance des
éléments matériels insérés entre un SC/FS et l’actionneur sur lequel il doit
agir. Si cette défaillance influe sur la fonction considérée, on va revoir la
conception de la ou des fonctions et ou modifier leur emplacement au niveau de l’interconnexion.
Si l’on maintient ces éléments, ils doivent être pris en compte pour
l’évaluation du PL du SC/FS considéré ».

 

L’étude sur l’IEC 62061

Cette
seconde étude date de 2007. « C’était alors le seul référentiel qui
donnait une présomption de conformité à la directive machine », se souvient
Jean-Paul Bello. En revanche, ce référentiel ne concerne que les systèmes de
commande électrique, électroniques ou électroniques programmables. Autrement
dit, Dès qu’il y a d’autres éléments dans le circuit de commande, il faudra
aussi se référer à une autre norme…

« Nous
avons voulu étudier un cas pratique de réalisation d’un système de commande
complexe d’une machine, une presse plieuse, basée sur les préconisations de ce
référentiel en se mettant à la place du concepteur », raconte l’ingénieur.
La méthode : « traiter intégralement (conception, développement, mise
en œuvre et validation) la réalisation du circuit de commande relatif à la
sécurité de la machine, fournir les détails de la conception et les commentaires
pertinents et rédiger un document comprenant une partie guide et une partie
exemple. » Parmi les points marquants associés à cette
norme, « elle ne traite que de la partie électrique du système de
commande relatif à la sécurité (SRECS) et privilégie l’intégration de
dispositifs existants ou de composants de sécurité », note l’ingénieur
d’étude. Dans cet exemple, les ingénieurs avaient 16 fonctions de sécurité à
traiter, avec des niveaux de SIL (Safety Integrity Level, ou niveau d’intégrité
de sécurité) requis différents selon les fonctions, des combinaisons d’éléments
d’entrée et de sorties communs à plusieurs fonctions. « Cela a nécessité
un gros travail préparatoire de séparation et de priorisation entre les
fonctions standard et les fonctions de sécurité », note Jean-Paul Bello.
Le conseil à retenir : « réaliser une spécification précise des
fonctions de sécurité et une délimitation précise du SRECS dans le circuit de
commande et des interfaces et interactions avec les autres parties ».

 

La doc existe

Pour chacune
des études réalisées par le laboratoire de l’INRS, une valorisation du travail
a été réalisée, sous forme de documentations intitulées : « aborder
la norme NF EN ISO 13849-1 via la conception d’une fonction de sécurité basique »,
pour la première, et « Projet NS – exemple didactique d’application de la
norme NF EN 62061 », pour la seconde, toutes deux disponibles gratuitement
auprès de de l’INRS. Mais attention : « A chaque fois, il s’agit d’une
aide à l’application de la norme. Cela ne remplace pas la norme. Nous avons apporté
un éclairage sur les parties obscures de la norme mais toujours en faisant
référence aux véritables paragraphes de la norme », précise Jean-Paul
Bello.

j89_pp63-65

Ces articles peuvent vous intéresser :