Sécurité fonctionnelle aux États-Unis et au Canada : le concept de "Control reliable" ( Fiabilité du contrôle )

En Europe, dans les années 90, la norme de référence pour la sécurité fonctionnelle des machines était la norme EN 954-1. À l’époque, les systèmes de contrôle liés à la sécurité étaient classés en 5 catégories : de la catégorie B à la catégorie 4. En voici une brève description

• La catégorie B est la catégorie de base. L’apparition d’un défaut peut entraîner la perte de la fonction de sécurité.
• Dans la catégorie 1, l’amélioration de la résistance aux défaillances est obtenue principalement par la sélection et l’application de systèmes de sécurité.
• Dans les catégories 2, 3 et 4, l’amélioration de la performance en ce qui concerne une fonction de sécurité spécifique est obtenue principalement par l’amélioration de la structure de la partie du système de commande relative à la sécurité.
• Dans la catégorie 2, cette amélioration est obtenue par un contrôle périodique de l’exécution de la fonction de sécurité spécifiée.
• Dans les catégories 3 et 4, cette fonction est assurée en garantissant qu’une défaillance unique n’entraînera pas la perte de la fonction de sécurité.
• Dans la catégorie 4, et chaque fois que cela est raisonnablement possible dans la catégorie 3, ces défaillances seront détectées. Dans la catégorie 4, la résistance à l’accumulation de défauts sera spécifiée.

Il n’existait pas de normes techniques de ce type aux États-Unis. Toutefois, en 1975, l’OSHA a introduit le concept de « Control Reliable » dans la norme relative aux presses mécaniques.

[OSHA 1910.217 : Presses mécaniques]. 1910.217(b)(13) : Fiabilité des commandes.

Lorsque le paragraphe (c)(5) de la présente section l’exige, le système de commande doit être conçu de manière à ce qu’une défaillance du système n’empêche pas l’action d’arrêt normale d’être appliquée à la presse lorsque cela est nécessaire, mais empêche l’initiation d’une course successive jusqu’à ce que la défaillance soit corrigée. La défaillance doit pouvoir être détectée par un simple essai ou indiquée par le système de commande. Cette exigence ne s’applique pas aux éléments du système de commande qui n’ont pas d’effet sur la protection contre les blessures au point de fonctionnement

En d’autres termes, en cas de défaillance du système de commande de sécurité, celui-ci doit être « Fail Safe » : il doit ramener la machine à un état sûr. Là encore, aucune norme technique ne définissait la manière de mettre en œuvre un système de contrôle Control Reliable.

Ce concept a été adopté plus tard par l’ANSI RIA R15.06 : 1999 et développé, en suivant un peu l’approche de l’EN 954-1, tout en déclarant ce qui suit dans une note :

[ANSI RIA R15.06 : 1999] 4.5 Performance du circuit de sécurité.

Note 2 : Ces critères de performance ne doivent pas être confondus avec les catégories européennes B à 3 décrites dans la norme ISO/IEC DIS 13849-1, Sécurité des machines – Parties des systèmes de commande relatives à la sécurité – Partie 1 : Principes généraux de conception (en corrélation avec la norme EN 954-1). La commission estime que les critères des points 4.5.1 à 4.5.4 dépassent les critères des catégories B à 3 respectivement, et que l’inverse n’est pas vrai.

Les 4 critères de performance des circuits de sécurité décrits dans la norme ANSI RIA R15.06 sont les suivants :

• Circuit de sécurité simple (Simple Safety Circuit) :

Les circuits de sécurité simples sont conçus et construits à l’aide d’un circuit accepté à canal unique et peuvent être programmés. Il ressemble à un circuit de catégorie B.

• Circuit à canal unique (Single channel Circuit) :

Les circuits de sécurité à canal unique comprennent des composants qui doivent être conformes aux normes de sécurité, être utilisés conformément aux recommandations des fabricants et avoir une conception de circuit éprouvée (par exemple, un dispositif de coupure positive électromécanique à canal unique qui signale un arrêt à l’état hors tension). Il ressemble à un circuit de catégorie 1.

• Circuit à une voie avec surveillance (Single channel with monitoring Circuit) :

Les circuits de sécurité à une voie avec surveillance sont conformes aux exigences applicables aux circuits à une voie, ils sont sécurisés et doivent être vérifiés (de préférence automatiquement) à des intervalles appropriés.

1. La vérification de la (des) fonction(s) de sécurité doit être effectuée
   1. au démarrage de la machine, et
   2. périodiquement en cours de fonctionnement ;
2. Le contrôle doit soit
   1. autoriser le fonctionnement si aucune anomalie n’a été détectée, ou
   2. soit générer un signal d’arrêt si une anomalie est détectée. Un avertissement doit être émis si un danger subsiste après l’arrêt du mouvement ;
3. Le contrôle lui-même ne doit pas provoquer de situation dangereuse ;
4. Après la détection d’un défaut, un état de sécurité doit être maintenu jusqu’à ce que le défaut soit éliminé.

Il ressemble à un circuit de catégorie 2, mais avec un niveau PL d puisque, en cas de défaillance, un état de sécurité doit être atteint.

• Circuit fiable de contrôle (Control Reliable Circuit) :

Les circuits de sécurité fiables sont conçus de manière à ce que la défaillance d’un seul composant n’empêche pas l’arrêt de la machine.

1. La surveillance doit générer un signal d’arrêt si un défaut est détecté. Un avertissement doit être émis si un danger subsiste après l’arrêt du mouvement ;
2. Après la détection d’un défaut, un état de sécurité doit être maintenu jusqu’à ce que le défaut soit éliminé.
3. Les défaillances de mode commun doivent être prises en compte lorsque la probabilité qu’une telle défaillance se produise est significative.
4. La défaillance unique doit être détectée au moment de la défaillance. Si cela n’est pas possible, la défaillance doit être détectée lors de la prochaine sollicitation de la fonction de sécurité.

Cela équivaut aux niveaux de fiabilité suivants :

• Catégorie 2, PL d selon ISO 13849-1 ou Architecture C SIL 2, selon IEC 62061
• Catégorie 3, PL d ou PL e ou Catégorie 4 PL e ou Architecture D SIL 2 ou SIL 3, selon la IEC 62061.

Bien qu’au départ il n’ait pas été possible d’établir une équivalence correcte entre les circuits de sécurité ANSI RIA et l’EN 954-1, nous pensons que c’est désormais possible.