La réinitialisation manuelle est-elle une fonction de sécurité ?

Le bouton de réinitialisation d’une machine doit-il être géré par une logique de sécurité ou peut-il être l’une des nombreuses entrées de l’automate programmable ?

La question peut être réécrite dans un langage plus correct en demandant si la réinitialisation est une fonction de sécurité.

La réponse est que, dans plusieurs applications, la réinitialisation est une fonction de sécurité et qu’elle ne peut donc pas être acheminée via l’automate programmable. Où cela est-il écrit ? C’est indiqué dans la norme EN ISO 13849-1 : 2023.

[ISO 13849-1: 2023] 5.2.2 Exigences relatives aux fonctions de sécurité spécifiques

5.2.2.3 Fonction de réarmement manuel. Le rétablissement de la fonction de sécurité par la réinitialisation du dispositif de protection annule l’ordre d’arrêt.

Si l’évaluation des risques l’indique, cette annulation de la commande d’arrêt doit être confirmée par une action manuelle distincte et délibérée (réarmement manuel).

L’évaluation des risques peut indiquer que la réinitialisation est une fonction de sécurité lorsqu’il existe un espace protégée présentant un risque d’accès de l’ensemble du corps.
Une zone robotisée protégée est un cas typique.

Pour réduire le risque, le bouton de réinitialisation doit répondre à un certain nombre de conditions, dont les suivantes :

• Depuis sa position à l’extérieur de la zone protégée, il est parfaitement visible que personne ne se trouve à l’intérieur.
• Il est utilisé comme fonction de sécurité.

Le risque qu’une personne soit bloquée à l’intérieur de la zone peut être réduit par d’autres méthodes : par exemple, par l’utilisation de clés personnelles que l’opérateur doit garder sur lui.

Le réarmement de la zone de travail d’une machine-outil n’est pas nécessaire, car il n’y a pas de risque d’être coincé à l’intérieur de la zone protégée. Si le fabricant décide néanmoins de l’installer, elle peut être traitée comme une fonction de commande normale, et le signal acheminé vers l’automate. Dans ce cas, il ne s’agit pas d’une fonction de sécurité !

Lorsque la réinitialisation des dispositifs de protection est considérée comme une partie du système de commande liée à la sécurité, parce que sa fonction contribue à réduire le risque qu’une personne reste non détectée à l’intérieur d’une zone dangereuse, il est important de souligner que, lorsqu’un opérateur active cette fonction, il doit vérifier qu’aucune personne ne se trouve à l’intérieur de l’espace protégé.

Des situations réelles se sont déjà produites dans lesquelles une personne se trouvait encore à l’intérieur d’une zone dangereuse tandis qu’un collègue a fermé le portail d’accès et redémarré la machine. Dans les quelques cas qui nous ont été rapportés, aucun accident ne s’est produit, mais de tels « quasi-accidents » (near-miss) peuvent facilement conduire à des accidents graves.

Pour cette raison, le manuel d’instructions devrait clairement mettre en évidence ce risque et informer tout opérateur travaillant sur la ligne de production que, avant de réinitialiser une barrière de sécurité (AOPD), par exemple, il doit s’assurer que personne ne se trouve à l’intérieur de l’espace protégé.

Afin de renforcer cette exigence de sécurité, nous recommandons de placer une étiquette d’avertissement à côté de chaque bouton de réinitialisation (Reset) lorsqu’il remplit une fonction de sécurité.

Étant donné que le bouton-poussoir utilisé pour la fonction de réinitialisation ne dispose généralement d’aucune donnée de fiabilité, il est important de réduire au minimum le risque de dysfonctionnement. Pour cette raison, en particulier lorsque la fonction de sécurité réinitialisée revendique un niveau de performance (PL) d ou PL e, il est essentiel que le système de sécurité détecte un changement d’état du bouton de réinitialisation, soit de ouvert à fermé, soit, de préférence, de fermé à ouvert.

Cette exigence garantit que la commande de réinitialisation est déclenchée par une action délibérée de l’opérateur et contribue à prévenir des défauts tels qu’un bouton maintenu en permanence actionné ou court-circuité.

Une exigence de ce type est incluse dans l’édition 2026 de la norme IEC 62046, qui souligne la nécessité de détecter un changement d’état pour les dispositifs de réinitialisation manuelle utilisés dans des fonctions de commande liées à la sécurité.

[IEC 62046:2026] 6.2.4 Verrouillage de redémarrage (Restart interlock)

[…] La réinitialisation d’un verrouillage de redémarrage d’une application SPE constitue toujours une fonction liée à la sécurité. Des mesures doivent être prévues pour réduire la probabilité que le verrouillage de redémarrage soit réinitialisé par une condition de défaut transitoire ou permanente.
De telles mesures peuvent inclure, par exemple, l’exigence d’un signal de front montant et de front descendant dans un intervalle de temps défini (par exemple entre 150 ms et 4 s) provenant d’un dispositif de réinitialisation actionné manuellement.

En conclusion, la fonction de réinitialisation des dispositifs de protection doit être traitée avec une attention particulière lorsqu’elle fait partie d’un système de commande lié à la sécurité. Les opérateurs doivent toujours vérifier qu’aucune personne ne se trouve dans l’espace protégé avant d’activer la fonction de réinitialisation, car le non-respect de cette règle peut entraîner des situations dangereuses et des accidents potentiels. Des instructions claires dans le manuel d’utilisation ainsi que des étiquettes d’avertissement bien visibles à proximité des boutons de réinitialisation sont donc essentielles pour sensibiliser les opérateurs à ce risque.

En même temps, la mise en œuvre technique de la fonction de réinitialisation doit garantir un niveau de fiabilité adéquat. Étant donné que les boutons de réinitialisation ne disposent généralement pas de données de fiabilité, le système de sécurité doit détecter un changement d’état du dispositif de réinitialisation afin d’éviter les défauts ou les activations involontaires.

Par conséquent, lors de la conception ou de l’assemblage d’un tableau de commande pour le compte d’un constructeur de machines, il est essentiel de consulter la personne responsable de l’analyse des risques afin de vérifier si les boutons de réinitialisation doivent être connectés à un automate de sécurité (Safety PLC). Cette exigence ne doit jamais être considérée comme inutile sans une vérification appropriée.