Mesures de protection et équipement complémentaire. Rockwell Automation SAFEBOOK 3

Documento

SAFEBOOK 3

Systèmes de commande de sécurité pour machines

Mesures de protection et équipement complémentaire

Lorsque l’évaluation des risques montre qu’une machine ou un procédé présente un risque de blessure corporelle, la source de danger doit être éliminée ou limitée. Le moyen d’y parvenir dépend du type de machine et de la source de danger. Les systèmes de protection sont définis comme des méthodes dont l’objectif est de limiter l’accès à une zone à risque ou de détecter tout accès à cette zone. Les systèmes de protection incluent des dispositifs comme les barrières fixes, les barrières munies d’interrupteurs de sécurité, les barrières immatérielles, les tapis de sécurité, les commandes bimanuelles et les poignées de sécurité.

Blocage de l’accès avec dispositifs de protection fermés fixes

Si la source de danger a pour siège une partie de la machine dont l’accès n’est pas nécessaire, celle-ci doit être protégée de manière permanente par des dispositifs de protection fixes. Le retrait de ces protections doit nécessiter des outils. Ces dispositifs fixes doivent être capables de 1) résister à l’environnement dans lequel ils sont utilisés, 2) contenir les projectiles le cas

échéant et 3) ne pas être une source de danger, par exemple ne pas avoir de bords coupants.

Les dispositifs de protection fixes peuvent avoir des ouvertures à l’endroit où le dispositif et la machine se rejoignent, ou des ouvertures dues à l’utilisation d’un treillis métallique.

Des fenêtres permettent de surveiller le fonctionnement de la machine. Le choix du matériau utilisé est important ; en effet, les interactions chimiques avec les liquide de coupe, les rayons ultraviolets et le vieillissement entraînent un dégradation du matériau des fenêtres avec le temps.

La taille des ouvertures ne doit pas permettre à l’opérateur d’atteindre la zone à risque. Le tableau O-10 de la norme OHSA 1910.217 (f) (4), la norme ISO 13854, le tableau D-1 de la norme ANSI B11.19, le tableau 3 de la norme CSA Z432 et la norme AS4024.1 fournissent des conseils sur la distance appropriée entre une ouverture et la zone à risque.

Détection d’accès

Le système de protection est utilisé pour détecter tout accès à la zone à risque. Lorsque la détection est sélectionnée comme méthode de réduction des risques, le concepteur doit être conscient qu’un système de sécurité complet doit être utilisé ; le dispositif de protection seul ne permet pas une réduction des risques suffisante.

Ce système de sécurité est généralement constitué de trois blocs : 1) un capteur qui détecte l’accès à la zone à risque, 2) un dispositif logique qui traite les signaux provenant du dispositif de détection, vérifie l’état du système de sécurité et active ou désactive les dispositifs de sorties, et 3) un dispositif de sorties qui commande l’actionneur (par exemple, un moteur).

Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr

SAFEBOOK 3

Equipement et mesures de protection

Dispositifs de détection

Il existe de nombreux dispositifs capables de détecter une personne entrant dans la zone à risque ou présente dans cette zone. Le meilleur choix pour une application particulière dépend de plusieurs facteurs.

• Fréquence d’accès

• Délai d’arrêt du danger

• Nécessité de terminer le cycle de la machine

• Confinement des projectiles, des liquides, des pulvérisations, des vapeurs, etc.

Des protections mobiles adaptées peuvent être interconnectées afin de fournir une protection contre les projectiles, les liquides, les pulvérisations et d’autres types de dangers ; de plus, elles sont souvent utilisées lorsque l’accès à la zone à risque n’est pas fréquent. Des barrières munis d’interrupteurs de sécurité peuvent également être verrouillées pour bloquer l’accès lorsque la machine est en fonctionnement et lorsqu’elle prend beaucoup de temps pour s’arrêter.

Les dispositifs de détection de présence, comme les barrières immatérielles, les tapis et les scrutateurs, fournissent un accès rapide et facile à la zone à risque et sont souvent choisis lorsque les opérateurs doivent fréquemment accéder à la zone à risque. Ces types de dispositifs de protection ne protègent pas contre les projectiles, les pulvérisations, les liquides ou d’autres dangers de ce genre.

La meilleure protection est celle par laquelle le dispositif ou le système utilisé offre un maximum de protection pour un minimum de gêne dans l’exploitation de la machine. Tous les aspects d’usage de la machine doivent être pris en compte, l’expérience montrant en effet qu’un système difficile à mettre en œuvre est davantage susceptible d’être mis hors service ou neutralisé.

Dispositifs de détection de présence

Lorsqu’il s’agit de décider comment protéger une zone, il est important de comprendre exactement quelles sont les fonctions de sécurité qui sont nécessaires. En général, on trouvera au moins deux fonctions.

• Couper ou désactiver l’alimentation lorsqu’une personne pénètre dans la zone à risque.

• Empêcher la mise sous tension ou l’activation de l’alimentation quand une personne se trouve dans la zone à risque.

A première vue, on pourrait penser qu’il ne s’agit que d’une seule et même fonction, mais il s’agit bien de deux fonctions distinctes même si elles sont manifestement liées et qu’elle sont souvent réalisées au moyen du même équipement. Pour réaliser la première fonction, un dispositif de déclenchement est nécessaire. En d’autres termes, un dispositif qui détecte qu’une personne a partiellement dépassé un certain point et qui envoie un signal pour couper l’alimentation. Si cette personne est en mesure de poursuivre au-delà du point de déclenchement et que sa présence n’est plus détectée, alors la deuxième fonction (prévention de la remise sous tension) ne peut

être remplie.

Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr

SAFEBOOK 3

Systèmes de commande de sécurité pour machines

Point de déclenchement :

Début de la détection

Fin de la détection

Détecté Non détecté

Point de déclenchement : Début de la détection

Détecté

Source de danger

Accès du corps entier

Accès d’une partie du corps

Le schéma donne un exemple d’accès de tout le corps avec comme dispositif de déclenchement, une barrière immatérielle montée verticalement. Les barrières munis d’interrupteurs de sécurité peuvent également être considérées comme dispositifs uniquement déclencheurs lorsqu’il n’y a rien pour empêcher la barrière d’être fermée après être entré dans la zone à risque.

Si l’accès de tout le corps n’est pas possible, c’est-à-dire que la personne ne peut poursuivre au-delà du point de déclenchement, sa présence sera toujours détectée et la deuxième fonction (prévention de la mise sous tension) sera remplie.

Pour les applications de détection d’une partie du corps, ce sont les mêmes types de dispositifs qui assurent le déclenchement et la détection de présence. La seule différence réside dans le type d’application.

Les dispositifs de détection de présence sont utilisés pour détecter la présence des personnes. Cette gamme de dispositifs inclut les barrières immatérielles de sécurité, les barrières de sécurité à faisceau unique, les scrutateurs de zone de sécurité, les tapis de sécurité et les bourrelets de sécurité.

Barrières immatérielles de sécurité

On peut définir simplement les barrières immatérielles de sécurité comme des détecteurs photoélectriques de présence particulièrement conçus pour protéger le personnel contre toute blessure causée par le mouvement dangereux d’une machine. Egalement appelées dispositifs optoélectroniques de protection active et, dans les nouvelles normes équipements de protection

électrosensibles, les barrières immatérielles offrent une sécurité optimale, et permettent pourtant une plus grande productivité car elles constituent la meilleure solution ergonomique par rapport aux protections mécaniques. Elles sont particulièrement bien adaptées aux applications dans lesquelles le personnel doit fréquemment accéder à une zone à risque.

Les barrières immatérielles sont conçues et testées en conformité avec les normes CEI 61496-

1 et -2. L’annexe IV de la Directive Machines européenne impose une certification des barrières immatérielles par un organisme tiers avant de pouvoir les mettre sur le marché de l’Union

Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr

SAFEBOOK 3

Equipement et mesures de protection européenne. Ces organismes tiers testent les barrières immatérielles pour leur conformité avec cette norme internationale. Underwriter’s Laboratory a adopté la norme CEI 61496-1 comme norme nationale aux Etats-Unis.

Scrutateurs laser de sécurité

Les scrutateurs laser de sécurité utilisent un miroir pivotant qui dévie les impulsions lumineuses sur un arc, créant ainsi un plan de détection. L’emplacement de l’objet est déterminé par l’angle de rotation du miroir. En utilisant la technique de la « durée du trajet » d’un faisceau réfléchi de lumière invisible, le scrutateur peut également détecter la distance de l’objet par rapport au scrutateur. En prenant la distance mesurée et l’emplacement de l’objet, le scrutateur laser détermine la position exacte de l’objet.

Tapis de sécurité sensibles à la pression

Ces dispositifs sont affectés à la protection d’une zone de sol autour d’une machine. Une matrice de tapis interconnectés est disposée autour de la zone à risque, et toute pression détectée (par exemple le pas d’un opérateur) entraîne la coupure de la source d’alimentation par l’organe de commande du tapis. Les tapis sensibles à la pression sont fréquemment utilisés dans les zones fermées contenant plusieurs machines – cellules de fabrication adaptables, ou de robotique, par exemple. Lorsqu’il est nécessaire d’accéder à la cellule

(pour le réglage ou « l’apprentissage » du robot par exemple), ils empêchent les mouvements dangereux si l’opérateur s’écarte de la zone sécurisée, ou s’il doit atteindre l’arrière d’un

équipement.

La taille et le positionnement du tapis doivent prendre en compte la distance de sécurité.

Bourrelets sensibles de sécurité

Ces dispositifs se présentent sous la forme de bandes flexibles pouvant être montées sur le bord d’une partie mobile, comme une table élévatrice ou une porte motorisée, pouvant présenter un risque d’écrasement ou de coupure.

Si la partie mobile se heurte à l’opérateur (et inversement), les bourrelets se compriment et coupent l’alimentation de la machine. Les bourrelets sensibles peuvent aussi être utilisés pour protéger l’opérateur en cas de risque d’étranglement. Si cela se produit, le contact avec le bourrelet sensible entraîne la coupure de l’alimentation de la machine.

Il existe différentes techniques utilisées pour créer des bourrelets de sécurité. Une de ces techniques très répandue consiste à insérer ce qui est essentiellement un long interrupteur dans le bourrelet. Cette technique permet d’obtenir des bourrelets droits et utilise généralement une connectique à 4 fils.

Les barrières immatérielles, les scrutateurs, les tapis de sol et les bourrelets sensibles sont classés « dispositifs déclencheurs. Ils n’interdisent pas le passage mais le « détectent » seulement. Ils s’en remettent entièrement à leur capacité de détection et de coupure de la

Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr

SAFEBOOK 3

Systèmes de commande de sécurité pour machines source d’alimentation par mesure de sécurité. En général, ils ne conviennent qu’aux machines pouvant s’arrêter dans un délai raisonnablement court après coupure de la source d’alimentation. Du fait qu’un opérateur peut marcher ou atteindre directement la zone à risque, il est de toute évidence nécessaire que le temps nécessaire à l’arrêt du mouvement soit inférieur à celui pris par l’opérateur pour atteindre la zone à risque après déclenchement du dispositif.

Pour de plus amples informations sur la détection de présence, consultez le site www.ab.com/safety.

Interrupteurs de sécurité

Lorsque l’accès à la machine n’est pas fréquent, les protections mobiles (pouvant être actionnés) ont la préférence. Le dispositif de protection est relié à l’alimentation de la source de danger, de sorte que lorsque la barrière de protection n’est pas fermée, l’alimentation de la source de danger est désactivée. Cette approche impose le montage d’un interrupteur de sécurité sur le dispositif de protection. La commande de l’alimentation de la source de danger transite par le circuit interrupteur de l’unité. La source d’alimentation est le plus souvent électrique, mais elle peut également être pneumatique ou hydraulique. Lorsque le mouvement de la barrière de protection (son ouverture) est détecté, l’interrupteur de sécurité coupe toute source d’alimentation, soit directement, soit par l’intermédiaire d’un contacteur de puissance (ou clapet).

Certains interrupteurs incorporent en outre un système de verrouillage qui bloque la barrière en position fermée et interdit son ouverture tant que la machine présente un danger. Dans la majorité des applications, l’utilisation combinée d’une protection mobile et d’un interrupteur de sécurité, avec ou sans verrouillage, constitue la meilleure solution en termes de fiabilité et de coût.

Il existe de nombreuses options d’interrupteurs de sécurité, notamment :

• Interrupteur de sécurité à broche – Ces dispositifs ont besoin qu’un actionneur en forme de broche soit inséré et retiré de l’interrupteur pour fonctionner.

• Interrupteurs de sécurité à charnière – Ces dispositifs sont placés sur l’axe de la charnière d’une barrière de sécurité et sont actionnés lors de l’ouverture de la barrière.

• Interrupteurs de sécurité à verrouillage – Dans certaines applications, il est nécessaire de verrouiller la barrière en position fermée ou de retarder son ouverture.

Les dispositifs qui répondent à cette exigence sont appelés interrupteurs de sécurité

à verrouillage. Ils conviennent particulièrement aux machines dont l’arrêt n’est pas instantané, mais peuvent également apporter un niveau de protection supplémentaire

à la plupart des autres matériels.

• Interrupteurs de sécurité sans contact – Ces dispositifs n’ont pas besoin de contact physique pour être actionnés. Certaines versions incluent une fonction de codage pour une meilleure protection contre les modification indésirables.

Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr

SAFEBOOK 3

Equipement et mesures de protection

• Détecteurs de position – Les actionneurs à came sont généralement des détecteurs de position en mode positif avec came linéaire ou rotative. Ils sont généralement utilisés sur les protections coulissantes.

• Interrupteurs à clé captive – Les clés captives peuvent servir pour le verrouillage de commande et le verrouillage d’alimentation. Dans le cas du verrouillage de commande, un dispositif de verrouillage envoie une commande d’arrêt à un dispositif intermédiaire, qui à son tour arrête un autre dispositif afin de couper l’alimentation de l’actionneur.

Dans le cas du verrouillage d’alimentation, la commande d’arrêt interrompt directement la source d’alimentation des actionneurs de la machine.

Dispositifs d’interface opérateur

Fonction d’arrêt – Aux Etats-Unis, au Canada, en Europe et au niveau international, une harmonisation des normes existe pour la description des catégories d’arrêt des machines ou des systèmes de fabrication.

REMARQUE : ces catégories sont différentes de celles qui figurent dans la norme EN 954-1

(ISO 13849-1). Voir les normes NFPA79 et CEI/EN 60204-1 pour plus de détails. Les arrêts sont classés en trois catégories :

La catégorie 0 assure la coupure immédiate de l’alimentation des actionneurs de la machine.

On considère que ceci est un arrêt incontrôlé. Une fois l’alimentation coupée, toute action de freinage nécessitant du courant électrique ne fonctionnera pas. Cet arrêt permet aux moteurs de continuer à tourner jusqu’à arrêt absolu après une période relativement longue. Dans d’autres cas, les matériaux tomberont de la machine car ses mécanismes électriques de maintien des matériaux ne seront plus alimentés. L’arrêt mécanique, qui ne nécessite pas d’alimentation électrique, peut aussi être utilisé avec un arrêt de catégorie 0. L’arrêt de catégorie 0 a la priorité sur les arrêts de catégorie 1 ou de catégorie 2.

La catégorie 1 est un arrêt contrôlé avec maintien de l’alimentation sur les actionneurs de la machine pour pouvoir en assurer l’arrêt. L’alimentation est ensuite coupée au niveau des actionneurs une fois que l’arrêt est effectif. Cette catégorie d’arrêt permet d’arrêter rapidement un mouvement dangereux grâce à un freinage électrique, et ensuite de couper l’alimentation des actionneurs.

La catégorie 2 est un arrêt contrôlé avec maintien de l’alimentation sur les actionneurs de la machine. Un dispositif d’arrêt de production normal est considéré comme un arrêt de catégorie 2.

Ces catégories d’arrêt doivent être appliquées à chaque fonction d’arrêt, lorsque la fonction d’arrêt est l’action effectuée par les parties de la commande relatives à la sécurité, en réponse

à une entrée de catégorie 0 ou 1. Les fonctions d’arrêt doivent être prioritaires sur les fonctions correspondantes de démarrage. Le choix de la catégorie d’arrêt pour chaque fonction d’arrêt doit être déterminée par une appréciation du risque.

Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr

SAFEBOOK 3

Systèmes de commande de sécurité pour machines

Fonction d’arrêt d’urgence

La fonction d’arrêt d’urgence doit fonctionner comme un arrêt de catégorie 0 ou 1, selon l’appréciation du risque. Elle doit pouvoir être déclenchée par une seule action humaine.

Lorsqu’elle est déclenchée, elle doit être prioritaire sur toutes les autres fonctions et modes de fonctionnement de la machine. L’objectif est de couper l’alimentation le plus vite possible sans créer de dangers supplémentaires.

Jusqu’à récemment, il était nécessaire d’utiliser des composants électromécaniques câblés dans les circuits d’arrêt d’urgence. Les modifications récentes de normes, comme les normes

CEI 60204-1 et NFPA 79, signifient que les PLC de sécurité et autres formes de logique

électronique conformes aux exigences des normes comme la CEI 61508, peuvent être utilisés dans le circuit d’arrêt d’urgence.

Dispositifs d’arrêt d’urgence

Chaque fois qu’il y a danger pour un opérateur face à une machine, celle-ci doit être munie d’un dispositif d’arrêt d’urgence rapidement accessible. Le dispositif d’arrêt d’urgence doit

être opérationnel en permanence et immédiatement accessible. Le pupitre opérateur doit comporter au moins un dispositif d’arrêt d’urgence. Des dispositifs supplémentaires d’arrêt d’urgence peuvent être implantés à d’autres endroits selon les besoins. Les dispositifs d’arrêt d’urgence se présentent sous diverses formes. Les boutons-poussoirs et les arrêts d’urgence

à câble sont des exemples de dispositifs les plus fréquemment utilisés. Lorsque le dispositif d’arrêt d’urgence est actionné, il doit s’enclencher et il ne doit pas être possible de générer la commande d’arrêt sans enclenchement. La réinitialisation du dispositif d’arrêt d’urgence ne doit pas créer de situation à risque. Le redémarrage de la machine doit faire l’objet d’une action distincte et délibérée de la part de l’opérateur.

Pour plus d’informations sur les dispositifs d’arrêt d’urgence, consultez les normes

ISO/EN 13850, CEI 60947-5-5, NFPA79 et CEI60204-1, AS4024.1, Z432-94.

Boutons d’arrêt d’urgence

Les dispositifs d’arrêt d’urgence sont considérés comme des équipements de protection complémentaires. Il ne sont pas considérés comme dispositifs de protection principaux parce qu’ils n’empêchent pas l’accès à une source de danger et ne détectent pas l’accès à une zone dangereuse.

Ils prennent souvent la forme d’un bouton-poussoir de couleur rouge et en forme de champignon, implanté sur un boîtier de couleur jaune, et que l’opérateur enfonce en cas de danger (voir Figure 4.59). Ces dispositifs doivent être placés aux points stratégiques et en nombre suffisant autour de la machine pour garantir qu’il y en a toujours un à portée de main dans une zone à risque.

Les boutons d’arrêt d’urgence doivent être facilement accessibles et doivent être utilisables pour tous les modes de fonctionnement de la machine. Lorsqu’un bouton-poussoir est utilisé comme dispositif d’arrêt d’urgence, il doit être en forme de champignon (ou à coup-de-poing),

Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr

SAFEBOOK 3

Equipement et mesures de protection de couleur rouge et avec un boîtier jaune. Lorsque le bouton est enfoncé, les contacts doivent changer d’état et en même temps le bouton est verrouillé en position enfoncée.

L’une des dernières techniques appliquées aux dispositifs d’arrêt d’urgence est une technique d’auto-surveillance. Un contact supplémentaire est ajouté à l’arrière du dispositif afin de surveiller si l’arrière des composants du panneau sont toujours présents. Ceci est un bloc de contacts à auto-surveillance. Il est constitué d’un contact actionné par ressort qui se ferme lorsque le bloc de contacts est enclenché en position sur le panneau. La figure 4.60 montre le contact à autosurveillance connecté en série avec un des contacts de sécurité à ouverture directe.

Arrêts d’urgence à câble

Pour des machines comme des convoyeurs à bande, il est souvent plus pratique et plus efficace d’utiliser un arrêt d’urgence à câble placé le long de la zone à risque (voir Figure 4.61). Ces dispositifs incorporent un câble d’acier accroché à des interrupteurs, de telle sorte qu’une traction exercée dans n’importe quelle direction sur le câble en quelque endroit de sa longueur, déclenche l’interrupteur et coupe l’alimentation de la machine.

Ces dispositifs à câble doivent détecter à la fois une tension exercée sur le câble et une absence de tension du câble. La détection du manque de tension permet de s’assurer que le câble n’a pas été coupé et est prêt à fonctionner.

La longueur du câble a un effet sur les performances du dispositif. Pour les petites longueurs, l’interrupteur de sécurité est monté à une extrémité et un ressort de tension est fixé à l’autre extrémité. Pour les grandes longueurs, un interrupteur de sécurité doit être monté à chaque extrémité du câble afin d’assurer que toute action de l’opérateur déclenche la commande d’arrêt. La force exercée sur le câble ne doit pas dépasser 200 N (45 lbs) et sa longueur doit

être inférieure à 400 mm (15.75 in) à une position centrée entre deux supports de câble.

Commandes bimanuelles

L’utilisation de commandes nécessitant les deux mains (ou commandes bimanuelles) constitue une solution courante pour empêcher l’accès à la machine lorsque celle-ci présente un danger.

Deux commandes doivent être actionnées en même temps (à moins de 0,5 secondes d’intervalle) pour démarrer la machine. Ceci assure que les deux mains de l’opérateur sont occupées en position de sécurité (c’est-à-dire sur les commandes) et qu’elles ne peuvent donc se trouver dans la zone à risque. Les commandes doivent être actionnées en continue temps que le danger est présent. Le fonctionnement de la machine doit cesser dès qu’une des commandes est relâchée ; si l’une des commandes est relâchée, l’autre doit également être relâchée avant de pouvoir redémarrer la machine.

Tout système bimanuel est très largement tributaire de l’efficacité de son système de commande et de surveillance à détecter toute défaillance, si bien qu’il est essentiel que des spécifications correctes soient retenues pour la conception de ce système. Les performances du système de sécurité bimanuel sont définies par types dans la norme ISO 13851 (EN 574), comme indiqué, et ces types sont liés aux catégories de la norme ISO 13849-1. Les types les

Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr

SAFEBOOK 3

Systèmes de commande de sécurité pour machines plus utilisés pour la sécurité des machines sont les types IIIB et IIIC. Le tableau suivant montre la relation entre ces types et les catégories de performance de sécurité.

Prescriptions

Activation synchrone

Utilisation de la catégorie 1 (ISO 13849-1)

Utilisation de la catégorie 3 (ISO 13849-1)

Utilisation de la catégorie 4 (ISO 13849-1)

Types

III

A B C

X X X

X X

L’ergonomie du pupitre doit rendre impossible toute manœuvre dangereuse (actionnement par la main et le coude, par exemple). Ceci peut être obtenu grâce à la distance ou à des écrans protecteurs. La machine ne doit pas pouvoir enchaîner deux cycles successifs sans que les deux boutons de commande soient relâchés, puis actionnés. Cela empêche de bloquer les deux boutons ensemble pour laisser tourner la machine en continu. Le relâchement de l’un des deux boutons doit entraîner l’arrêt de la machine.

L’utilisation d’une commande bimanuelle doit être envisagée avec discernement, tout risque n’étant en général pas complètement écarté. La commande bimanuelle ne protège que la personne qui l’utilise. L’opérateur protégé doit pouvoir observer tous les accès à la zone de danger, les autres personnes n’étant peut-être pas protégées.

La norme ISO 13851 (EN 574) fournit des conseils supplémentaires sur la commande bimanuelle.

Poignées de sécurité

Les poignées de sécurité permettent à l’opérateur d’entrer dans la zone de danger lorsque la source de danger fonctionne, mais uniquement s’il tient la poignée de sécurité en position active. Ces poignées de sécurité utilisent des interrupteurs à deux ou trois positions. Les interrupteurs à deux positions sont désactivés lorsque l’actionneur n’est pas actionné et activés lorsque l’actionneur est actionné. Les interrupteurs à trois positions sont désactivés lorsqu’ils sont actionnés (position 1), activés lorsqu’il sont maintenus en position centrale (position 2) et désactivés lorsque l’actionneur est actionné au-delà de la position médiane (position 3). De plus, lorsqu’ils repassent de la position 3 à la position 1, le circuit de sortie ne doit pas se fermer lorsqu’il passe par la position 2.

Les poignées de sécurité doivent être utilisées conjointement avec d’autres fonctions de sécurité. Un exemple type consiste à mettre le mouvement dans un mode à action lente commandée. Une fois en mode à action lente, un opérateur peut pénétrer dans la zone de danger en tenant la poignée de sécurité.

Lorsqu’une poignée de sécurité est utilisée, un signal doit indiquer que la poignée est active.

Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr

SAFEBOOK 3

Equipement et mesures de protection

Dispositifs logiques

Les dispositifs logiques jouent un rôle central dans la partie sécurité du système de commande. Ces dispositifs vérifient et surveillent le système de sécurité et autorisent la machine à démarrer ou exécutent des commandes pour arrêter la machine.

Différents dispositifs logiques sont disponibles et permettent de créer une architecture de sécurité adaptée à la complexité et aux fonctions requises de la machine. Les petits relais de surveillance de sécurité câblés sont économiques et bien adaptés pour les petites machines sur lesquelles un dispositif logique dédié est nécessaire pour compléter la fonction de sécurité.

Des relais de surveillance de sécurité modulaires et configurables sont mieux adaptés lorsqu’un grand nombre et une grande diversité de dispositifs de protection et un contrôle minimal de zone sont requis. Pour les machines de taille moyenne ou de grande taille et plus complexes, les systèmes programmables avec E/S distribuées sont préférables.

Relais de surveillance de sécurité

Les modules à relais de surveillance de sécurité jouent un rôle clé dans de nombreux systèmes de sécurité. Ces modules sont généralement composés de plusieurs relais guidés réciproquement avec circuit complémentaire pour assurer le fonctionnement efficace de la fonction de sécurité.

Les relais guidés réciproquement sont des relais « cube » spécialisés. Les relais guidés réciproquement doivent être conformes aux exigences de performance de la norme EN 50025.

Fondamentalement, ils sont prévus pour empêcher les contacts normalement fermés et normalement ouverts d’être fermés simultanément. Les conceptions plus récentes remplacent les sorties électromécaniques par des sorties statiques de sécurité.

Les relais de surveillance de sécurité effectuent de nombreuses vérifications sur le système de sécurité. A la mise sous tension, ils effectuent une auto-vérification sur leurs composants internes. Lorsque les capteurs sont activés, le relais de surveillance de sécurité compare les résultats des entrées redondantes. Le cas échéant, le relais vérifie les actionneurs externes.

Si le résultat de la vérification est positif, le relais attend un signal de réinitialisation pour activer ses sorties.

Le choix du relais de sécurité approprié dépend de plusieurs facteurs : le type de dispositif qu’il surveille, le type de réinitialisation, le nombre et le type de sorties.

Types d’entrées

Les dispositifs de protection utilisent différentes méthodes pour indiquer que quelque chose s’est produit.

Interrupteurs à contact et arrêts d’urgence : Contacts mécaniques à une seule voie, avec un contact normalement fermé ou deux voies, les deux normalement fermées. Le relais de surveillance de sécurité doit être capable d’accepter une ou deux voies et doit permettre la détection de défaillances multiples pour la disposition à deux voies.

Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr

SAFEBOOK 3

Systèmes de commande de sécurité pour machines

Interrupteurs sans contacts et arrêts d’urgence : Contacts mécaniques à deux voies, une normalement ouverte et une normalement fermées. Le relais de surveillance de sécurité doit

être capable de traiter des entrées variées.

Interrupteurs de sortie statiques : Barrières immatérielles, scrutateurs laser, les dispositifs statiques sans contacts ont deux sorties PNP et font leur propre détection de défaillances multiples. Le relais de surveillance de sécurité doit être capable d’ignorer la méthode de détection de défaillances multiples du dispositif.

Tapis sensibles à la pression : Les tapis créent un court-circuit entre deux voies. Le relais de surveillance de sécurité doit être capable de supporter les courts-circuits répétés.

Bourrelets sensibles à la pression : Certains bourrelets sont conçus comme des tapis à

4 fils. Certains sont des dispositifs à deux fils qui crées un changement dans la résistance.

Le relais de surveillance de sécurité doit être capable de détecter un court-circuit ou le changement de résistance.

Tension : Mesure la FCEM d’un moteur pendant la décélération. Le relais de surveillance de sécurité doit être capable de tolérer des tensions élevées, ainsi que des basses tensions lorsque le moteur décélère.

Mouvement arrêté : Le relais de surveillance de sécurité doit détecter les flux d’impulsions provenant de divers capteurs redondants.

Commande bimanuelle : Le relais de surveillance de sécurité doit détecter différentes entrées normalement ouvertes et normalement fermées, et doit fournir une temporisation de 0,5 s et un programme de séquencement.

Les relais de surveillance de sécurité doivent être conçus spécifiquement pour dialoguer avec chacun de ces types de dispositifs, qui ont différentes caractéristiques électriques. Certains relais de surveillance de sécurité sont capables de se connecter à différents types d’entrées, mais une fois le dispositif choisi, le relais ne peut dialoguer qu’avec ce dispositif. Le concepteur doit choisir un relais compatible avec le capteur.

Impédance d’entrée

L’impédance d’entrée des relais de surveillance de sécurité détermine le nombre de capteurs pouvant être raccordés au relais et la distance à laquelle les capteurs peuvent être montés. Par exemple, un relais de sécurité peut avoir une impédance d’entrée acceptable maximale de

500 ohms. Si l’impédance d’entrée est supérieure à 500 ohms, le relais ne commute pas sur ses sorties. L’utilisateur doit donc veiller à ce que l’impédance d’entrée reste inférieure au maximum spécifié. La longueur, la section et le type du câblage utilisés conditionnent l’impédance d’entrée.

Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr

SAFEBOOK 3

Equipement et mesures de protection

Nombre de capteurs

La procédure d’évaluation du risque permettra de déterminer le nombre de capteurs pouvant

être raccordés à un élément de relais de surveillance de sécurité, ainsi que la périodicité à laquelle ils doivent être contrôlés. Pour s’assurer que les arrêts d’urgence et les interrupteurs de sécurité d’accès sont opérationnels, leur fonctionnement doit être contrôlé à intervalles réguliers, comme établi par l’appréciation du risque. Par exemple, une entrée de relais de surveillance de sécurité à deux voies raccordée à une barrière protégée qui doit être ouverte

à chaque cycle machine (c’est-à-dire plusieurs fois par jour) ne doit pas nécessairement être contrôlée. La raison en est que l’ouverture de la protection déclenche l’auto-vérification par le relais de ses entrées et de ses sorties (selon la configuration) en vue de détecter des défaillances isolées. Plus le dispositif de protection est ouvert souvent, plus la sûreté du processus de contrôle est élevée.

Autre exemple : les arrêts d’urgence. Ces derniers n’étant le plus souvent utilisés qu’en cas d’urgence, ils sont probablement rarement utilisés. C’est pourquoi leur efficacité doit être confirmée par l’établissement d’un programme prévoyant leur actionnement à intervalles réguliers. L’utilisation du système de sécurité de cette façon s’appelle effectuer un essai de sûreté, et l’intervalle entre les tests de validité est appelé intervalle entre essais de sûreté.

Troisième exemple : les panneaux d’accès pour le réglage des machines ; qui, comme les arrêts d’urgence, peuvent être rarement utilisés. Là encore, un programme doit être mis au point pour réaliser la fonction de vérification à intervalles réguliers.

L’évaluation des risques aide à déterminer la nécessité de contrôle des capteurs et la périodicité de ces contrôles. Plus le niveau de risque est élevé, plus la fiabilité requise pour le processus de contrôle doit être importante. Par ailleurs, la fréquence du contrôle « manuel » imposé est inversement proportionnelle à celle du contrôle « automatique ».

Détection de défaillances multiples d’entrées

Dans les systèmes à deux voies, les défauts de court-circuit entre voies des capteurs,

également appelés défaillances multiples, doivent être détectés par le système de sécurité.

Ceci est réalisé par le capteur ou le relais de surveillance de sécurité.

Les relais de surveillance de sécurité à base de microprocesseur, comme les barrières immatérielles, les scrutateurs laser et les détecteurs sans contact évolués, détectent ces courts-circuits de différentes façons. Une façon courante de détecter les défaillances multiples est d’utiliser différents tests par impulsion. L’impulsion des signaux de sortie est très rapide.

L’impulsion de la voie 1 est décalée par rapport à l’impulsion de la voie 2. Si un court-circuit se produit, les impulsions se produisent simultanément et sont détectées par le dispositif.

Les relais de surveillance de sécurité électromécaniques utilisent une technique de diversification différente : une entrée à enclenchement et une entrée à déclenchement. Un court-circuit entre la voie 1 et la voie 2 active le dispositif de protection contre les surintensités et le système de sécurité s’arrête.

Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr

SAFEBOOK 3

Systèmes de commande de sécurité pour machines

Sorties

Les relais de surveillance de sécurité possèdent un nombre différent de sorties. Le types des sorties permet de déterminer quel relais de surveillance de sécurité doit être utilisé dans des applications spécifiques.

La plupart des relais de surveillance de sécurité possèdent au moins 2 sorties de sécurité pouvant fonctionner immédiatement. Les sorties de sécurité des relais sont caractérisés comme normalement ouvertes. Elles sont classées comme sorties de sécurité en raison de la redondance et du contrôle interne. Un deuxième type de sortie sont les sorties à temporisation.

Les sorties à temporisation sont généralement utilisées dans les arrêts de catégorie 1, lorsque la machine requiert du temps pour exécuter la fonction d’arrêt avant de permettre l’accès à la zone de danger. Les relais de surveillance de sécurité possèdent également des sorties auxiliaires. Elles sont généralement considérées comme normalement fermées.

Puissances de sortie

Les puissances de sortie indiquent la capacité d’un dispositif de protection à commuter des charges. En principe, les puissances des dispositifs industriels, sont décrites comme résistives ou inductives. Une charge résistive peut être un élément chauffant. Les charges

électromagnétiques sont généralement des relais, des contacteurs ou des électro-aimants, pour lesquels il existe la charge à un fort caractère inductif. L’annexe A de la norme CEI

60947-5-1 décrit les caractéristiques des charges. Ceci est également indiqué dans le catalogue des équipements de sécurité, dans la section des principes.

Identification : L’identification est formée d’une lettre suivie d’un chiffre, par exemple A300. La lettre se rapporte au courant thermique conventionnel sous boîtier et indique si le courant est continu ou alternatif. Par exemple, la lettre A représente 10 ampères en courant alternatif. Le chiffre indique la tension d’isolation. Par exemple, 300 représente 300 V.

Utilisation : Les catégories d’emploi indiquent les types de charges que le dispositif doit commuter. Les catégories d’emploi relevant de la norme CEI 60947-5 sont répertoriées dans le Tableau.

Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr

Utilisation

AC-12

AC-13

AC-14

AC-15

DC-12

DC-13

DC-14

SAFEBOOK 3

Equipement et mesures de protection

Description des charges

Commande de charges résistives et statiques avec isolement par optocoupleurs

Commande de charges statiques avec isolement par transformateur

Commande de petites charges électromagnétiques

(inférieures à 72 VA)

Charges inductives supérieures à 72 VA

Commande de charges résistives et statiques avec isolement par optocoupleurs

Commande d’électroaimants

Commande de charges inductives pourvues de résistances d’économie dans le circuit

Courant thermique, Ith : Le courant thermique conventionnel sous boîtier correspond à la valeur du courant utilisé pour les essais d’échauffement de l’équipement monté dans un boîtier spécifié.

Tension (Ue) et intensité (Ie) nominales de fonctionnement : L’intensité et la tension nominales de fonctionnement définissent les capacités de fermeture et d’ouverture des

éléments de coupure en fonctionnement normal. Les produits Allen-Bradley Guardmaster sont spécifiquement conçus pour 125 V c.a., 250 V c.a. et 24 V c.c. Consulter l’usine pour une utilisation sous des tensions différentes des valeurs spécifiées.

VA : Les caractéristiques en VA (Volt-Ampère) indiquent les pouvoirs d’établissement et de coupure du circuit.

Exemple n° 1 : La classification A150, AC-15 indique que les contacts peuvent fermer un circuit de

7 200 VA. Sous 120 V c.a., les contacts peuvent établir un circuit sous 60 A. Puisque AC-15 est une charge électromagnétique, les 60 A ne sont que pour une courte durée ; celle du courant d’appel de la charge électromagnétique. La coupure du circuit ne se fait qu’à 720 VA, car le courant de régime établi de la charge inductive est de 6 A, ce qui correspond au courant de service nominal.

Exemple n° 2 : La classification N150, DC-13 indique que les contacts peuvent établir un circuit de 275 VA. Sous 125 V c.a., les contacts peuvent établir un circuit sous 2,2 A. En courant continu, les charges électromagnétiques n’ont pas un courant d’appel comme en

Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr

SAFEBOOK 3

Systèmes de commande de sécurité pour machines courant alternatif. La coupure du circuit ne se fait également qu’à 275 VA, car le courant en régime établi de la charge électromagnétique est de 2,2 A, ce qui correspond au courant de service nominal.

Redémarrage de la machine

Si, par exemple, une barrière munies d’interrupteur de sécurité est ouverte alors que la machine fonctionne, elle provoque l’arrêt de cette dernière. Dans la plupart des cas, il est impératif que la machine ne redémarre pas directement sitôt la barrière refermée. Une façon courante de réaliser cela est de s’appuyer sur un démarrage avec contacteur à loquet.

L’appui et le relâchement du bouton de démarrage met sous tension momentanément la bobine de commande du contacteur, laquelle ferme les contacts d’alimentation. Tant que les contacts d’alimentation restent sous tension, la bobine de commande reste alimentée (verrouillage

électrique) via les contacts auxiliaires du contacteur qui sont reliés mécaniquement aux contacts d’alimentation. Toute interruption de l’alimentation électrique principale ou du système de commande entraîne la désactivation de la bobine et l’ouverture des contacts d’alimentation principale et auxiliaires. Le système d’interrupteur de sécurité du protecteur est relié au circuit de commande du contacteur. Cela implique que pour redémarrer la machine, il faut fermer le protecteur, puis mettre en position « ON » le bouton normal de démarrage qui réarme le contacteur et démarre la machine.

La norme ISO TR 12100-1 définit clairement les impératifs à respecter pour les situations normales d’interdiction de redémarrage (extrait du paragraphe 3.22.4) :

« Lorsque la protection est en position fermée, les actions dangereuses de la machine protégées par la protection peuvent être exécutées, mais la fermeture de la protection ne peut à elle seule les lancer. »

Un nombre important de machines sont déjà dotées de contacteurs simples ou doubles, au fonctionnement identique à ce qui est précédemment décrit (ou qui utilisent un système qui permet d’obtenir le même résultat). Lorsqu’on monte un dispositif d’interrupteur de sécurité sur une machine existante, il est nécessaire de déterminer si la disposition de commande d’alimentation électrique répond à cette exigence et de prendre au besoin des mesures complémentaires.

Fonctions de réarmement

Les relais de surveillance de sécurité Guardmaster d’Allen-Bradley sont conçus au choix avec réarmement manuel surveillé ou réarmement automatique/manuel.

Réarmement manuel surveillé

Le réarmement manuel surveillé nécessite la fermeture et l’ouverture d’un circuit après fermeture du protecteur ou réarmement de l’arrêt d’urgence. Les contacts auxiliaires du contacteur de puissance, reliés mécaniquement et normalement fermés, sont branchés en série à un bouton de

Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr

SAFEBOOK 3

Equipement et mesures de protection réarmement à impulsion. Après ouverture puis fermeture du protecteur, le relais de sécurité n’autorise pas le redémarrage de la machine sans une pression de réarmement sur le boutonpoussoir. Une fois cette action réalisée, le relais de sécurité vérifie (donc surveille) que les deux contacteurs sont hors tension et que les deux circuits d’interrupteur de sécurité (et par conséquent les protections) sont fermés. Si ces contrôles sont positifs, la machine peut être redémarrée normalement. L’interrupteur de sécurité doit être placé de manière à offrir à l’opérateur une bonne visibilité de la source de danger, afin de lui permettre de vérifier que la zone est dégagée avant la mise en route.

Réarmement automatique/manuel

Certains relais de sécurité sont dotés d’un réarmement automatique/manuel. Le mode de réarmement manuel n’est pas surveillé et le réarmement se produit lorsque le bouton est enfoncé.

Un interrupteur de réarmement en court-circuit ou bloqué n’est pas détecté. Dans ce cas, la ligne de réarmement peut être court-circuitée, ce qui autorise un réarmement automatique. L’utilisateur doit alors prévoir un autre mécanisme pour empêcher le redémarrage de la machine à la fermeture de la porte.

Un dispositif de réarmement automatique ne nécessite aucune action de commutation, mais après désactivation il contrôlera systématiquement la sécurité du système avant de réarmer le système. On ne doit pas confondre un réarmement automatique avec un dispositif dépourvu de fonctions de réarmement. Avec ce dernier, le système de sécurité sera immédiatement en service après désactivation, mais il n’y aura pas de contrôle de sécurité du système.

Protection de commande

Une protection de commande arrête une machine lorsque le protecteur est ouvert et la démarre

à nouveau directement lorsque le protecteur est fermé. L’emploi de protections de commande n’est permis que dans certaines conditions strictes en raison du caractère extrêmement dangereux d’un redémarrage intempestif ou d’une impossibilité à s’arrêter. Le système d’interrupteur de sécurité doit présenter un niveau de fiabilité le plus élevé possible (il est souvent souhaitable de recourir au verrouillage du protecteur). L’emploi de protections de commande ne peut être SEULEMENT envisagé que sur une machine où il n’y a AUCUNE

POSSIBILITE pour un opérateur ou une partie de son corps de se trouver dans une zone à risque ou de l’atteindre lorsque le protecteur est fermé. La protection de commande doit être la seule voie d’accès à la zone à risque.

Commande logique programmable de sécurité

Le besoin d’applications de sécurité flexibles et évolutives a conduit à l’élaboration de

PLC/automates de sécurité. Les automates de sécurité programmables fournissent aux utilisateurs le même niveau de flexibilité de commande dans une application de sécurité que celui auquel ils sont habitués avec les automates programmables standard. Cependant, il existe de grandes différences entre les PLC standard et de sécurité. Les PLC de sécurité existent pour différentes plates-formes afin de répondre aux impératifs d’évolutivité, d’intégration et fonctionnels des systèmes de sécurité les plus complexes.

Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr

SAFEBOOK 3

Systèmes de commande de sécurité pour machines

Matériel

La redondance des UC, de la mémoire, des circuits d’E/S et des diagnostics internes présente sur les PLC de sécurité est une caractéristique qui n’est pas nécessaire sur les PLC standard.

Un PLC de sécurité passe beaucoup plus de temps à effectuer des diagnostics internes sur la mémoire, les communications et les E/S. Ces opérations supplémentaires sont nécessaires pour obtenir la certification de sécurité requise. Cette redondance et ces diagnostics supplémentaires sont pris en charge par le système d’exploitation de l’automate, ce qui rend ces opérations transparentes pour le programmeur ; les PLC de sécurité se programment donc sensiblement comme les PLC standard.

Les microprocesseurs qui commandent ces dispositifs effectuent des diagnostics internes complets afin d’assurer les bonnes performances de la fonction de sécurité. La figure cidessous fournit un exemple de schéma fonctionnel d’un PLC de sécurité. Bien que les automates à base de microprocesseurs diffèrent légèrement d’une gamme à l’autres, des principes similaires sont mis en œuvre pour obtenir une classification de sécurité.

Microprocesseur

Adresse

Données

Contrôle

Flash RAM

SYNC

Adresse

Données

Commande

CHIEN DE GARDE/

COMPARAISON

Microprocesseur

Flash RAM

Architecture 1oo2D

Ports

Module d’E/S

Plusieurs microprocesseurs sont utilisés pour gérer les

E/S, la mémoire et les communications de sécurité.

Les circuits du chien de garde effectuent une analyse diagnostique. Ce type de construction est décrite ainsi :

1oo2D ; parce que un ou deux microprocesseurs peuvent prendre en charge la fonction de sécurité et que des diagnostics complets sont effectués afin de s’assurer que les deux microprocesseurs travaillent de façon synchronisée.

Chaque circuit d’entrée est également testé en interne de nombreuses fois chaque seconde pour vérifier qu’il fonctionne correctement. Même si le dispositif d’arrêt d’urgence n’est actionné qu’une fois par mois, le circuit est testé de façon continue, ce qui permet d’assurer que l’arrêt d’urgence sera détecté correctement dans le PLC de sécurité.

Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr

SAFEBOOK 3

Equipement et mesures de protection

Microprocesseur

Adresse

Données

Contrôle

SYNC

CHIEN DE GARDE/

COMPARAISON

Adresse

Données

Contrôle

Microprocesseur

Schéma fonctionnel de module d’entrées de sécurité

Buffers de données

Test

Entrée 1

Entrée 2

Entrée 3

Circuit de commande de test

Les sorties de PLC de sécurité sont des sorties statiques électromagnétiques ou de sécurité.

Comme les circuits d’entrée, les circuits de sorties sont testés de nombreuses fois chaque seconde afin qu’ils peuvent désactiver la sortie. Si l’un des trois est défectueux, la sortie est désactivée par les deux autres, et la défaillance est signalée par le circuit de contrôle interne.

Lorsque des dispositifs de sécurité sont utilisés avec des contacts mécaniques (arrêts d’urgence, interrupteurs de barrière, etc.), l’utilisateur peut utiliser un test par impulsion pour détecter les défaillances multiples. Afin de ne pas utiliser des sorties de sécurité qui coûtent cher, de nombreux PLC de sécurité fournissent des sorties à impulsion spécifiques qui peuvent être connectées à des dispositifs à contact mécanique.

Logiciel

Les PLC de sécurité se programment de façon très semblable à celle des PLC standard. Tous les diagnostics supplémentaires et la vérification d’erreur mentionnés plus haut sont réalisés par le système d’exploitation, le programmeur n’a donc même pas conscience de ces opérations. La plupart des PLC de sécurité possèdent des instructions spéciales utilisées pour

écrire le programme du système de sécurité, et ces instructions ressemblent à la fonction de leur équivalent dans le relais de sécurité. Par exemple, l’instruction d’arrêt d’urgence fonctionne de façon très semblable à un relais de surveillance de sécurité 127. Bien que la logique qui sous-tend chacune de ces instructions est complexe, les programmes de sécurité ont l’air relativement simples parce que le programmeur ne fait que relier ces blocs entre eux. Ces instructions, avec d’autres instructions logiques, mathématiques, de manipulation de données, etc. sont certifiées par un organisme tiers afin de s’assurer que leur fonctionnement est cohérent avec les normes en vigueur.

Les blocs fonctionnels constituent la méthode principale pour programmer les fonctions de sécurité. En plus des blocs fonctionnels et de la logique à relais, les PLC de sécurité fournissent également des instructions pour application de sécurité certifiées. Les instructions

Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr

SAFEBOOK 3

Systèmes de commande de sécurité pour machines de sécurité certifiées permettent un comportement particulier de l’application. Cet exemple montre une instruction d’arrêt d’urgence. Accomplir la même fonction avec la logique à relais nécessiterait environ 16 lignes de logique à relais. Puisque le comportement logique est intégré dans l’instruction d’arrêt d’urgence, la logique intégrée n’a pas besoin d’être testée.

Des blocs fonctionnels certifiés sont disponible pour dialoguer avec presque tous les dispositifs de sécurité. Une exception à cette liste est le bourrelet de sécurité qui utilise la technologie résistive.

Les PLC de sécurité génèrent une « signature » qui permet de voir si des modifications ont été apportées ou non. Cette signature est généralement une combinaison du programme, de la configuration des entrées/sorties et de l’horodatage. Lorsque le programme est finalisé et validé, l’utilisateur doit enregistré cette signature dans le cadre des résultats de la validation pour pouvoir s’y reporter plus tard. Si le programme doit être modifié, une nouvelle validation est nécessaire et une nouvelle signature doit être enregistrée. Le programme peut également

être verrouillé avec un mot de passe afin d’empêcher les modifications non autorisées.

Avec les systèmes logiques programmables, le câblage est simplifié par rapport aux relais de surveillance de sécurité. Contrairement au câblage sur des bornes spécifiques des relais de surveillance de sécurité, les dispositifs d’entrées sont connectés à n’importe quelle borne d’entrée et les dispositifs de sorties sont connectés à n’importe quelle borne de sortie. Les bornes sont ensuite attribuée par le logiciel.

Automates à sécurité intégrée

Les solutions de commande fournissent désormais une intégration totale avec une unique architecture de commande dans laquelle résident et collaborent les fonctions de commande de sécurité et standard. La capacité d’avoir la commande de mouvement, de variation de vitesse, de processus, de traitement par lots, séquentielle haute vitesse et de sécurité SIL3 dans un seul automate apporte des avantages significatifs. L’intégration des commandes de sécurité et standard permet d’utiliser des outils et des technologies courants, ce qui réduit les coûts de conception, d’installation, de mise en service et de maintenance. La possibilité d’utiliser du matériel de commande courant, des E/S ou des dispositifs de sécurité distribués sur les réseaux de sécurité et des dispositifs IHM courants, permet de réduire les coûts d’acquisition et de maintenance, ainsi que le temps de développement. Toutes ces fonctions améliorent la productivité, la vitesse de dépannage et réduisent les coûts de formation en raison de la standardisation.

Le schéma suivant donne un exemple d’intégration de la commande et de la sécurité. Les fonctions de commande standard, non liées à la sécurité, résident dans la tâche principale

(Main Task). Les fonctions de sécurité résident dans la tâche de sécurité (Safety Task).

Toutes les fonctions standard et de sécurité sont isolées les unes des autres. Par exemple, les points de sécurité peuvent être directement lus par le programme logique standard. Les points de sécurité peuvent être échangés entre les automates GuardLogix sur EtherNet, ControlNet

Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr

SAFEBOOK 3

Equipement et mesures de protection ou DeviceNet. Les données de point de sécurité peuvent être directement lues par des dispositifs externes, des interfaces homme-machine (IHM), des ordinateurs personnels (PC) ou d’autres automates.

Integrated

Tasks

1. Les points standard et le programme logique se comportent de la même façon qu’avec ContrrolLogix.

2. Données de point standard, de programme ou d’automate et dispositifs externes, IHM, PC, autres automates, etc.

3. En tant qu’automate intégré, GuardLogix permet de déplacer (mapper) des données de point standard dans des points de sécurité pour une utilisation dans la tâche de sécurité.

Ceci permet aux utilisateurs de lire les l’état à partir du côté standard de GuardLogix. Ces données ne doivent pas être utilisées pour commander directement une sortie de sécurité.

4. Les points de sécurité peuvent être lus directement par le programme logique standard.

5. Les points de sécurité peuvent être lus ou

écrits par le programme logique de sécurité.

6. Les points de sécurité peuvent être

échangés entre les automates GuardLogix sur EtherNet.

7. Les données de point de sécurité, de programme ou d’automate peuvent être lues par des dispositifs externes, des IHM, des PC, d’autres automates, etc. Remarque : une fois ces données lues, elles sont considérées comme des données standard, non comme des données de sécurité.

Réseaux de sécurité

Les réseaux de communication d’usine ont traditionnellement donné aux fabricants la possibilité d’améliorer la flexibilité, d’accroître les diagnostics, d’augmenter la distance, de réduire les coûts d’installation et de câblage, de faciliter la maintenance et plus généralement d’améliorer la productivité. Ces mêmes objectifs sont le moteur de la mise en œuvre des réseaux de sécurité industriels. Ces réseaux de sécurité permettent aux fabricants de répartir les E/S de sécurité et les dispositifs de sécurité autour de leurs machines à l’aide d’un unique

Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr

SAFEBOOK 3

Systèmes de commande de sécurité pour machines câble réseau, réduisant ainsi les coûts d’installation tout en améliorant les diagnostics et en permettant aux systèmes de sécurité d’augmenter la complexité. Ils autorisent également des communications sécurisées entre les PLC et les automates de sécurité, ce qui permet aux utilisateurs de répartir leur commande de sécurité entre plusieurs systèmes intelligents.

Les réseaux de sécurité n’empêchent pas les erreurs de communication de se produire. Ils sont plus capables de détecter les erreurs de transmission, puis de permettre aux dispositifs de sécurité à prendre les mesures appropriées. Les erreurs de communication détectées incluent : insertion de message, perte de message, corruption de message, retard de message, répétition de message et séquence de message incorrecte.

Pour la plupart des applications, lorsqu’une erreur est détectée, le dispositif passe à un état désactivé, généralement appelé « état de sécurité ». Le dispositif d’entrée ou de sortie de sécurité est responsable de la détection de ces erreurs de communication et du passage en

état de sécurité le cas échéant.

Les premiers réseaux de sécurité étaient liés à un type de câble ou à un schéma d’accès câblé particuliers, les fabricants devaient donc utiliser du matériel spécifique (câbles, cartes d’interface réseau, routeurs, passerelles, etc.) qui faisait alors partie de la fonction de sécurité.

Ces réseaux étaient limitées puisqu’ils ne prenaient en charge que les communications entre des dispositifs de sécurité. Ceci signifiait que les fabricants devaient utiliser plusieurs réseaux pour leur stratégie de commande des machines (un réseau pour la commande standard et un autre pour la commande de sécurité), ce qui augmentait les coûts d’installation, de formation et des pièces de rechange.

Les réseaux de sécurité modernes permettent à un seul câble réseau de communiquer avec des dispositifs de commande de sécurité et standard. CIP (Common Industrial Protocol) Safety est un protocole standard ouvert publié par l’ODVA (Open DeviceNet Vendors Association) qui permet les communications de sécurité entre dispositifs de sécurité sur les réseaux DeviceNet,

ControlNet et EtherNet/IP. CIP Safety étant une extension du protocole CIP standard, les dispositifs de sécurité et standard peuvent tous résider sur le même réseau. Les utilisateurs

établissent également des passerelles entre les réseaux contenant des dispositifs de sécurité, ce qui leur permet de subdiviser les dispositifs de sécurité pour affiner les temps de réponse de la sécurité, ou tout simplement pour faciliter la répartition des dispositifs de sécurité. Etant donné que le protocole de sécurité relève de la seule responsabilité des dispositifs finaux

(PLC/automate de sécurité, module d’E/S de sécurité, composant de sécurité), des câbles, cartes d’interfaces réseau, passerelles et routeurs standard sont utilisés, ce qui élimine le matériel et les dispositifs réseau spécialisés de la fonction de sécurité.

Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr

SAFEBOOK 3

Equipement et mesures de protection

Dispositifs de sorties

Relais de contrôle de sécurité et contacteurs de sécurité

Les relais de contrôle et les contacteurs sont utilisés pour couper l’alimentation de l’actionneur.

Des fonctions spécialisées sont ajoutées aux relais de contrôle et aux contacteurs pour en faire des dispositifs de sécurité.

Les contacts normalement fermés à couplage mécanique sont utilisés pour renvoyer l’état des relais de contrôle et des contacteurs vers le dispositif logique. L’utilisation des contacts à couplage mécanique permet d’assurer la fonction de sécurité. Pour être conforme aux exigences des contacts à couplage mécanique, les contacts normalement fermés et normalement ouverts ne peuvent pas être en position fermée en même temps. La norme CEI 60947-5-1 définit les critères pour les contacts à couplage mécanique. Si les contacts normalement ouverts devaient se souder, les contacts normalement fermés restent ouverts d’au moins 0,5 mm. Réciproquement, si les contacts normalement fermés devaient se souder, les contacts normalement ouverts restent ouverts.

Les systèmes de sécurité ne doivent être démarrés qu’à des emplacements spécifiques.

L’armature des relais de contrôle et contacteurs standard peut être enfoncée pour fermer les contacts normalement ouverts. Sur les dispositifs de sécurité, l’armature est protégée contre le contournement manuel afin de limiter les démarrage imprévus.

Sur les relais de contrôle de sécurité, le contact normalement fermé est commandé par la clé

à-boulon principale. Les contacteurs de sécurité utilisent un bloc de contacts supplémentaire pour localiser les contacts à couplage mécanique. Si le bloc de contacts tombe de la base, les contacts à couplage mécanique restent fermés. Les contacts à couplage mécanique sont fixés de façon permanente au relais de contrôle de sécurité ou au contacteur de sécurité.

Sur les plus gros contacteurs, un bloc de contacts supplémentaire n’est pas suffisant pour refléter de façon précise l’état de la clé à boulon plus large. Les contacts miroir, illustrés sur la figure 4.81, sont situés sur les côtés du contacteur utilisé.

La durée de déclenchement des relais de contrôle ou des contacteurs joue un rôle dans le calcul de la distance de sécurité. Un suppresseur de surtension est souvent placé sur la bobine pour améliorer la durée de vie des contacts qui commandent la bobine. Pour les bobines c.a., la durée de déclenchement n’est pas affectée. Pour les bobines c.c., la durée de déclenchement est augmentée. L’augmentation dépend du type de suppression sélectionnée.

Les relais de contrôle et les contacteurs sont conçus pour basculer de fortes charges, de 0,5 A à plus de 100 A. Le système de sécurité fonctionne avec des courants faibles. Le signal de retour généré par le dispositif logique du système de sécurité peut être de quelques milli-ampères jusqu’à des dizaines de milliampères, généralement à 24 V c.c. Les relais de contrôle et les contacteurs de sécurité utilisent des contacts jumelés plaqués or pour commuter de façon fiable ce faible courant.

Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr

SAFEBOOK 3

Systèmes de commande de sécurité pour machines

Protection contre les surcharges

Une protection contre les surcharges moteur est imposée par les normes électriques. Les diagnostics fournis par le dispositif de protection contre les surcharges améliorent non seulement la sécurité de l’équipement, mais également la sécurité de l’opérateur. Les technologies disponibles actuellement peuvent détecter les conditions d’erreur, comme la surcharge, la perte de phase, le défaut de mise à la terre, le rotor bloqué, le blocage, la sous-charge, le courant asymétrique et la surchauffe. La détection et la communication de conditions anormales avant le déclenchement permet d’améliorer le temps de disponibilité pour la production et de protéger les opérateurs et le personnel de maintenance de situations dangereuse imprévues.

Variateurs et servo-variateurs

Les variateurs et servo-variateurs de sécurité peuvent être utilisés pour empêcher une énergie de rotation d’être transmise afin d’obtenir un arrêt sécurisé, ainsi qu’un arrêt d’urgence.

Les variateurs c.a. obtiennent la classification de sécurité avec des voies redondantes pour couper l’alimentation du circuit de commande de la barrière de protection. Une voie est le signal de validation ; un signal matériel qui supprime le signal d’entrée vers le circuit de commande de la barrière. La deuxième voie est celle d’un relais guidé réciproquement qui coupe l’alimentation du circuit de commande de la barrière de protection. Le relais guidé réciproquement fournit également un signal d’état au système logique. Cette approche redondante permet au variateur de sécurité d’être utilisé dans les circuits d’arrêt d’urgence sans avoir besoin d’un contacteur.

Le servo-variateur obtient un résultat d’une façon similaire aux variateurs c.a. qui utilisent les signaux de sécurité redondants utilisés pour la fonction de sécurité. Un signal interrompt le variateur vers le circuit de commande de la barrière. Un deuxième signal interrompt l’alimentation du circuit de commande de la barrière. Deux relais guidés réciproquement sont utilisés pour supprimer les signaux et pour fournir un retour au dispositif logique de sécurité.

Systèmes de raccordement

Les systèmes de raccordement apportent une valeur ajoutée en réduisant les coûts d’installation et de maintenance des systèmes de sécurité. La conception doit prendre en compte les considérations de voie unique, double voie, double voie avec indication et multiples types de dispositifs.

Lorsqu’un montage en série d’interrupteurs à deux voies est nécessaire, un boîtier de distribution peut simplifier l’installation. Avec leur classification IP67, ces types de boîtiers peuvent être montés sur la machine dans des sites distants. Lorsque différents dispositifs sont nécessaires, un boîtier d’E/S Guard I/O ArmorBlock peut être utilisé. Les entrées peuvent être configurées avec le logiciel pour accepter différents types de dispositifs.

Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr

¡Hola! Soy un chatbot de IA específicamente entrenado para ayudarte con el Rockwell Automation SAFEBOOK 3 Manuel utilisateur. He revisado a fondo el documento y puedo ayudarte a localizar la información exacta que necesitas o explicar el contenido de forma clara y sencilla. Ya sea que busques orientación sobre funciones específicas, pasos para solucionar problemas o uso general, no dudes en hacer tus preguntas. Cuantos más detalles proporciones sobre tus inquietudes o necesidades, más preciso y eficaz será mi apoyo.