Dernière modification: 26/06/2023
5.3.2.1 Classification des ESPE
La IEC 61496-1 définit trois « types » d’ESPE. Ces types diffèrent par leurs performances en présence de défauts et sous l’influence des conditions environnementales.
Les ESPE de type 2 utilisent un test périodique pour révéler les défaillances en cas de danger. Il est peu probable que le type 2 convienne aux applications exigeant une réduction des risques moyenne ou élevée.
Les ESPE de type 3 sont conçues pour ne pas tomber en panne à cause d’une seule défaillance, mais peuvent tomber en panne à cause d’une accumulation de défaillances. Le type 3 peut convenir à des applications exigeant une réduction des risques moyenne à élevée lorsque leur technologie de détection est appropriée.
Les ESPE de type 4 sont conçues pour ne pas tomber en panne à cause d’un défaut unique ou d’une accumulation de défauts. Le type 4 peut convenir à des applications exigeant une réduction des risques moyenne à élevée lorsque leur technologie de détection est appropriée.
ne pas être réduit par un verrouillage de démarrage
5.3.2.4.3 Type d’ESPE
Lorsqu’un ESPE est utilisé dans un système de commande relatif à la sécurité, le PL ou le SIL maximal pouvant être atteint par une fonction de sécurité qui inclut cet ESPE est spécifié dans le tableau 1.
5.5. Un dispositif de verrouillage du démarrage doit être prévu, sauf si l’analyse des risques a montré que la probabilité de blessure n’est pas réduite par la présence d’un dispositif de verrouillage du démarrage.
5.6. Un blocage au redémarrage doit être prévu, sauf lorsque l’analyse des risques a montré que la probabilité de blessure n’est pas réduite par la présence d’un blocage au redémarrage. Un blocage au redémarrage doit être prévu lorsqu’un dispositif de protection doté d’une fonction d’arrêt est utilisé pour la protection du périmètre (dispositif de déclenchement).
Un blocage au redémarrage doit avoir un temps ≤ 0,5 s entre le réarmement manuel et la reprise des fonctions de sécurité.
5.7 Inhibition
La fonction d’inhibition ne doit être prévue que lorsqu’elle est strictement nécessaire au processus de production.
Les parties du système de commande qui exécutent la fonction d’inhibition doivent avoir un niveau de performance approprié (SIL ou PL) et ne doivent pas réduire le niveau de performance de la fonction de sécurité.
Lorsque la fonction d’inhibition est prévue, les exigences suivantes s’appliquent :
– La fonction d’inhibition doit être déclenchée par deux signaux d’inhibition ou plus, de sorte qu’une seule défaillance ne provoque pas de condition d’inhibition.
– La fonction d’inhibition doit s’arrêter lorsque l’un des signaux d’inhibition est désactivé.
– Utilisation de minuteries et/ou de séquences pour contrôler les signaux d’inhibition.
– La protection contre les manipulations.
5.7.2 La fonction d’inhibition peut être utilisée pour autoriser l’accès de l’opérateur uniquement :
– Pendant les parties non dangereuses du cycle de fonctionnement
– Lorsque la sécurité est assurée par d’autres moyens
5.7.3 La fonction d’inhibition peut être utilisée pour permettre l’accès du matériel uniquement lorsque la sécurité est assurée par d’autres moyens.
Les mesures suivantes doivent être prises, le cas échéant :
– Sélection, positionnement et configuration des capteurs d’inhibition afin de distinguer les personnes du matériel
– Sélection et positionnement des capteurs d’inhibition de manière à détecter la charge transportée, mais pas la palette ou l’unité de convoyage.
– Installer les capteurs d’inhibition suffisamment près de l’ESPE
– Conception de l’accès à la zone dangereuse de manière à ce qu’il ne soit pas possible d’y accéder sans être détecté.