Exclusion des fautes et dispositifs de verrouillage

Dernière modification: 10/08/2023

Exclusion de faute appliquée aux dispositifs d’interverrouillage

La perte d’une fonction de sécurité en l’absence d’une défaillance matérielle est due à une défaillance systématique ou à une défaillance de cause commune. Cette dernière est examinée au point 3.6, tandis que la première peut être causée par des erreurs commises au cours des phases de conception ou d’intégration. Certaines de ces défaillances systématiques seront révélées au cours du processus de conception, tandis que d’autres le seront au cours de la validation du système de sécurité.

En ce qui concerne les défaillances matérielles, des considérations sur l’exclusion des défaillances apparaissent lorsque l’on discute de la nécessité d’une redondance. Dans les machines, un capteur très courant est un dispositif de protection avec un mécanisme d’interverrouillage.

Les figures 4.14 {4.11.2.1.1} et 4.15 {4.11.2.1.2} présentent un exemple et une représentation graphique d’un dispositif de verrouillage avec ses éléments clés :

Traduit avec www.DeepL.com/Translator (version gratuite)

  1. L’actionneur : sur la photo, il est de type « languette ». Selon la norme ISO 14119 [30], il s’agit d’un dispositif de verrouillage de type 2, à faible codage.
  2. La tête d’actionnement
  3. Piston d’interverrouillage
  4. Solénoïde de verrouillage du protecteur. Il permet de bloquer l’actionneur de manière à ce que la porte ne puisse pas être ouverte, à moins que tous les mouvements dangereux à l’intérieur de la zone protégée n’aient été arrêtés, par exemple.
  5. Contact de surveillance du verrouillage. Il s’agit d’un contact normalement fermé en ce sens que lorsque la porte est fermée, le contact est fermé et le circuit d’entrée est donc alimenté.
  6. Contact de surveillance de l’interverrouillage. Il indique l’état du mécanisme de verrouillage : en général, si la porte est verrouillée, le contact est fermé.
  7. Boîtier.

Si une redondance complète doit être obtenue sur le sous-système d’entrée (la porte d’accès), deux dispositifs de verrouillage doivent être installés sur cette porte spécifique par le fabricant de la machine. C’est rarement le cas. Ce qui se passe normalement, c’est que le fabricant du composant travaille sur son dispositif d’interverrouillage, en essayant d’augmenter la redondance à l’intérieur du composant lui-même.

La première chose que font les fabricants est de fournir deux contacts libres de tension pour la surveillance du verrouillage. Ils peuvent même fournir deux contacts pour la surveillance de l’interverrouillage. Ce qu’ils ne feraient jamais, c’est d’avoir deux solénoïdes d’interverrouillage : dans ce cas, le fabricant ferait des considérations sur les défauts et arriverait à la conclusion qu’il peut faire une exclusion de défaut sur le solénoïde.

En général, certaines défaillances matérielles peuvent être exclues parce que si un élément a clairement une très faible probabilité de défaillance en vertu de propriétés inhérentes à sa conception et à sa construction, alors, normalement, il ne serait pas jugé nécessaire de limiter (sur la base de la tolérance aux défaillances matérielles) l’intégrité de la sécurité de toute fonction de sécurité qui utilise cet élément.

En d’autres termes, il n’est pas toujours possible d’évaluer les sous-systèmes sans supposer que certaines défaillances sont exclues. L’exclusion des fautes est un compromis entre les exigences de sécurité technique et la possibilité d’apparition d’une faute.

L’exclusion des fautes peut être basée sur

  • L’improbabilité technique de l’apparition de certaines fautes,
  • L’expérience technique généralement acceptée, indépendamment de l’application considérée, et
  • Les exigences techniques liées à l’application et au danger spécifique.

 

Exclusion des défauts sur des sous-systèmes prédéfinis

En général, les exclusions de défauts effectuées par le fabricant du composant sont définies comme étant effectuées sur des sous-systèmes « prédéfinis » ou « préconçus« . L’utilisateur peut acheter un dispositif de verrouillage de type 4, déclaré PL e, pour lequel le fabricant a appliqué des exclusions de faute pour une partie de son composant. Dans un certain sens, cela est « transparent » pour l’utilisateur. Cela signifie que les limitations applicables à une fonction de sécurité en cas d’exclusion de défaillance ne sont pas valables si l’exclusion de défaillance est effectuée par le fabricant de l’un des composants du système de sécurité.

[ISO 14119] 9.2.2 Exclusion de défauts

9.2.2.1 Généralités. [Dans le cas d’une exclusion de panne pour les fonctions de verrouillage destinées à atteindre PL e ou SIL 3, le dispositif de verrouillage doit présenter une structure à double canal ou un comportement de catégorie 4 pour la majorité de son architecture. Certaines parties de l’architecture d’un dispositif de verrouillage peuvent avoir une structure à une seule voie. S’il peut être prouvé que la partie à canal unique ne peut pas tomber en panne avant les autres parties à double canal, par exemple en raison d’un surdimensionnement, une exclusion de défaut est autorisée et ne limitera pas le PL ou le SIL.

 

Exclusion pour faute faite par le fabricant de la machine

La situation est différente lorsque le fabricant de la machine utilise un dispositif de verrouillage de type 2, illustré à la figure 4.14 {4.11.2.1.1} et applique une exclusion de panne à l’actionneur. Dans ce cas, il ne peut pas revendiquer PL e ou SIL 3 pour cette fonction de sécurité.

[IEC 62061] 7.3.3 Prise en compte et exclusion des défauts

7.3.3.3 Exclusion des fautes […] LIMITATION : Pour certaines applications, il n’est pas prévu que toutes les fautes puissent être exclues avec une confiance suffisante pour SIL 3. La liste non exhaustive suivante fournit une indication des sous-systèmes (non préconçus) avec une tolérance aux fautes matérielles de zéro et où des exclusions de fautes ont été appliquées aux fautes qui pourraient conduire à une défaillance dangereuse où un maximum de SIL 2 peut être approprié, à condition qu’une justification suffisante soit donnée :

  • interrupteur de position avec aspects mécaniques avec HFT de 0 ;
  • fuite d’une vanne d’alimentation en fluide (lorsque la fuite est une défaillance dangereuse).

NOTE Cette limitation ne s’applique pas aux sous-systèmes préconçus utilisés dans le cadre de leur spécification.

De même, le tableau D.8 de la norme ISO 13849-2 [14] stipule ce qui suit :

[ISO 13849-2] D.2.4 Exclusions de défauts et circuits intégrés

Tableau D.8 […] Pour le PL e, une exclusion de défaut pour les aspects mécaniques (par exemple, le lien mécanique entre un actionneur et un élément de contact) et électriques n’est pas autorisée. Dans ce cas, une redondance est nécessaire. Pour les dispositifs d’arrêt d’urgence conformes à la CEI 60947-5-5, une exclusion de faute pour les aspects mécaniques est autorisée si un nombre maximum d’opérations est considéré.

Veuillez également vous référer aux considérations suivantes de la norme ISO 14119 [30] sur la possibilité, pour un fabricant de machines, d’appliquer une exclusion de défaillance aux dispositifs de verrouillage.

[ISO 14119] 9.2.2 Exclusion des défauts

9.2.2.3 Exclusion de défauts mécaniques pour les dispositifs de verrouillage de type 2 sans blocage du protecteur.

Pour les dispositifs de protection de type 2, les défauts suivants de leurs parties mécaniques peuvent être exclus. Dommages (rupture) et usure de l’actionneur et du système d’actionnement dus à un désalignement, uniquement si des éléments d’alignement mécaniques supplémentaires empêchent l’actionnement de l’interrupteur de position en dehors des limites de désalignement spécifiées par le fabricant. Les éléments mécaniques supplémentaires d’alignement doivent être conçus et construits de manière à être efficaces lorsqu’ils sont soumis à une charge égale à deux fois la force maximale prévue pendant le fonctionnement du protecteur pour la durée de vie prévue (temps de mission) du dispositif de verrouillage.

En définitive, l’exclusion des défauts ne s’applique qu’à certains défauts d’un élément et il incombe au concepteur (fabricant ou intégrateur) de prouver l’exclusion des défauts respectifs, sur la base des limites fixées par la conception et l’utilisation de l’élément. De telles exclusions de défauts ne sont possibles que si l’improbabilité technique de leur survenance peut être justifiée sur la base des lois connues de la science physique. Toute exclusion de défaillance doit être justifiée et documentée : justifiable dans tous les environnements industriels prévus, y compris la température, la pression, les vibrations, la pollution, l’atmosphère corrosive, etc.

Une exclusion de faute ne peut être appliquée à l’ensemble du sous-système que si toutes les défaillances dangereuses du sous-système peuvent être exclues. Il est à noter que le fabricant du composant peut appliquer une exclusion de défaut lors de l’évaluation de la fiabilité du composant. Des informations utiles sur les exclusions de défauts sont disponibles dans la norme ISO 13849-2:2012, annexes A à D.

 

Types de mécanismes de verrouillage des protecteurs

Avant de quitter le sujet, il est important de clarifier quelques aspects supplémentaires.

Il y a deux raisons de choisir un interverrouillage avec verrouillage :

  • Soit pour protéger les personnes. Par exemple, à l’intérieur d’une zone protégée, il y a des mouvements dangereux ayant de l’inertie. La porte n’est déverrouillée que lorsque tous les mouvements sont arrêtés.
  • Pour des raisons de fabrication ou de processus.

Il existe quatre façons de verrouiller une porte (serrure de garde) [75] :

  1. Application d’un ressort – déblocage à la mise sous tension. Il est également appelé « verrouillage mécanique ». Cela signifie que le dispositif d’interverrouillage est mis en position « verrouillée » par un ressort lors de la coupure de l’alimentation. Il s’agit d’un principe de courant en circuit fermé, en ce qui concerne la fonction de verrouillage. Lorsque le courant est rétabli, le dispositif est déverrouillé. En cas de panne de courant, la porte reste verrouillée.
  2. Alimentation appliquée – Ressort libéré. Il fonctionne de manière inverse et est appelé « interverrouillage électrique ». Il s’agit d’un principe de courant en circuit ouvert. Pour que la porte reste verrouillée, le courant doit être présent en permanence. En cas de panne de courant, le ressort est libéré, la porte se déverrouille et peut être ouverte.
  3. Mise sous tension – Mise hors tension. Il s’agit d’un principe qui ne change pas de position lorsque l’alimentation est coupée. Il est également appelé principe bistable. Il faut que l’alimentation soit appliquée pour qu’il passe à l’autre état. Comme la coupure de courant ne modifie pas la position du dispositif d’interverrouillage, ce principe est considéré comme un principe de circuit fermé. En cas de panne de courant, l’interverrouillage reste dans sa dernière position.
  4. Mise sous tension – Mise hors tension. Il correspond à un principe de courant ouvert, car le dispositif d’interverrouillage s’ouvre à la coupure de l’alimentation. Il a le même comportement que le deuxième cas, mais dans celui-ci il n’y a pas de ressort. La porte est maintenue fermée grâce à un électro-aimant. En cas de panne de courant, l’aimant est mis hors tension, la porte se déverrouille et peut être ouverte.

Quel principe d’interverrouillage choisir ? Si la serrure est utilisée pour des raisons de production, les quatre principes conviennent : le deuxième et le quatrième sont probablement plus « flexibles ». Pour la protection des machines, l’ingénieur concepteur est totalement libre de décider du type d’interverrouillage choisi, puisqu’il ne s’agit pas d’une fonction de sécurité.

Si l’interverrouillage est destiné à la protection des personnes, les solutions 1 et 3 sont recommandées

 

Quels sont les signaux de sécurité d’un dispositif de protection avec interverrouillage ?

Le composant possède les entrées et les sorties suivantes :

  • Un signal d’entrée : celui qui verrouille le dispositif d’interverrouillage en agissant sur l’électro-aimant d’interverrouillage. Si le principe de verrouillage est choisi pour la protection des personnes, le signal doit provenir d’un système de sécurité. Pour des raisons liées au processus, il peut provenir d’un système non sécurisé.
  • Deux signaux de sortie : Contacts de surveillance du verrouillage. Ils doivent toujours être acheminés vers un système de sécurité.
  • Un ou deux signaux de sortie pour le contact de surveillance de l’interverrouillage. Pour des raisons de processus, l’état peut être géré par un automate général, sinon il doit être géré par un système de sécurité.

 

Quelles sont les fonctions de sécurité associées à un dispositif d’interverrouillage ?

Un dispositif de verrouillage peut être utilisé sur une porte qui donne accès à un espace protégé (§4.3.3). Lorsque le dispositif de verrouillage est activé, tous les mouvements dangereux à l’intérieur de la zone doivent être arrêtés. Il existe en fait deux fonctions de sécurité à analyser dans le cadre d’une évaluation des risques :

  • La fonction d’arrêt liée à la sécurité, lorsque la porte est ouverte.
  • La prévention d’une mise en marche involontaire lorsque la porte reste ouverte.

Ces deux fonctions peuvent nécessiter, en principe, des niveaux de performance ou SIL différents.

Entre les deux, la dernière est probablement la plus importante. Si un mouvement dangereux se produit à l’intérieur de la zone, il est normalement visible. Par conséquent, s’il n’est pas arrêté, lorsque la porte est ouverte, l’opérateur a de bonnes chances de le voir et de se protéger. Une situation plus dangereuse est celle où le mouvement est arrêté, où l’opérateur travaille sur la partie dangereuse qui redémarre soudainement : dans ce cas, la personne peut ne pas avoir assez de temps pour se mettre en position de sécurité.

Le dispositif d’interverrouillage comporte également deux fonctions de sécurité qui doivent être analysées en termes de performance requise ou de niveau SIL :

  • Le déverrouillage du dispositif d’interverrouillage : en d’autres termes, lorsque la porte peut être déverrouillée.
  • La fonction d’arrêt liée à la sécurité lors de la libération du dispositif d’interverrouillage : en d’autres termes, ce qui doit être arrêté, à l’intérieur de l’espace protégé, au cas où la porte se déverrouillerait (mais resterait fermée).