Qu'est-ce qui fait partie d'un système de contrôle de la sécurité?

LE DOUTE: Quels composants font partie d’un système de commande relatives à la sécurité ?

Pour être inclus dans un Système de Commande de Sécurité (SCS – IEC 62061) ou dans la partie d’un système de commande relative à la sécurité (SRP/CS – ISO 13849-1), les composants doivent disposer de données de fiabilité appropriées. Étant donné que tous les composants ne sont pas caractérisés par de telles données, une question importante se pose : quels composants sont réellement considérés comme faisant partie du SCS ou du SRP/CS ?

Le schéma ci-dessous, extrait de l’ISO 12100, Annexe A, montre que les éléments suivants font partie d’un système de commande de sécurité :

• Capteurs (par exemple dispositifs d’interverrouillage),
• Systèmes logiques (par exemple automates de sécurité),
• Éléments de commande de puissance (par exemple contacteurs, vannes).

En revanche, les actionneurs de la machine tels que les moteurs ou les vérins, ne sont pas considérés comme faisant partie du SCS. Pourquoi ?

Ce schéma est valable, par exemple, dans le cas des fonctions d’arrêt d’urgence, c’est-à-dire des fonctions de sécurité qui amènent le système dans un état sûr par suppression de l’énergie. On parle alors de fonction d’arrêt liée à la sécurité. Une fonction d’arrêt liée à la sécurité (par exemple déclenchée par un dispositif de protection) doit, dès que nécessaire après l’actionnement, amener la machine dans un état sûr.

La situation est différente dans le cas d’une fonction de démarrage d’urgence. Les définitions pertinentes sont données dans l’IEC 60204-1, Annexe E :

[IEC 60204-1] Annex E: Explication sur les fonctions de manoeuvre d’urgence

Arrêt d’urgence: Manoeuvre d’urgence destinée à arrêter un processus ou un mouvement devenu dangereux.

Démarrage d’urgence: Manoeuvre d’urgence destinée à démarrer un processus ou un mouvement pour éliminer ou éviter une situation dangereuse.

Il existe deux philosophies de conception des systèmes de sécurité :

1. Une perte d’énergie provoque l’action de sécurité (« de-energize to trip ») ;
2. Une alimentation en énergie provoque l’action de sécurité (« energize to trip »).

Ces définitions montrent que, selon la nature de la fonction de sécurité, les limites du système — et par conséquent les composants à considérer dans le SCS — peuvent devoir être évaluées différemment.

En ce qui concerne l’action de sécurité, la première philosophie est généralement plus fiable que la seconde, car l’action de sécurité se produit chaque fois que l’énergie est perdue quelque part dans le système de sécurité. Toutes les défaillances liées à une perte d’énergie ou de signal sont intrinsèquement sûres et ne doivent pas être prises en compte dans l’évaluation de la probabilité de défaillances dangereuses. Cela simplifie considérablement l’analyse à réaliser ainsi que la modélisation du système de sécurité.

Cette philosophie semble idéale et constitue effectivement la solution la plus largement mise en œuvre dans l’industrie. Toutefois, son inconvénient principal est l’augmentation de la probabilité de déclenchements intempestifs (actions de sécurité non désirées).

Dans certaines applications, ces déclenchements intempestifs peuvent avoir des conséquences néfastes sur l’installation, telles que des pertes de production, une instabilité du procédé ou des risques secondaires. Dans ces cas, il est nécessaire de limiter les activations intempestives. Pour cette raison, la philosophie « energize to trip » peut être privilégiée, malgré une évaluation de fiabilité plus exigeante.

Les actionneurs de la machine (par exemple moteurs, vérins) ne font généralement pas partie d’un SIS (IEC 61511-1), ni d’un SCS (IEC 62061), ni d’un SRP/CS (ISO 13849-1) lorsque la fonction de sécurité est une fonction d’arrêt liée à la sécurité, par exemple un arrêt d’urgence. Dans ces cas, l’état sûr est atteint par suppression de l’énergie et la limite du système de sécurité s’arrête à l’élément de commande de puissance.

En revanche, la situation est différente pour les fonctions de démarrage d’urgence (IEC 60204-1, Annexe E), où le démarrage d’un mouvement peut être nécessaire pour supprimer un danger. Dans ces cas, les actionneurs de la machine (par exemple freins ou vérins) font partie du système de sécurité, puisque l’énergie doit être appliquée pour atteindre l’état sûr.