Dernière modification: 01/09/2023
Parmi les commandes d’une machine, l’arrêt d’urgence est probablement la plus visible, mais ce n’est pas la plus facile à comprendre.
La norme de référence est l’ISO 13850, dont la dernière édition a été publiée en novembre 2015 : « Sécurité des machines – Fonction d’arrêt d’urgence – Principes de conception ».
La définition est la suivante (§3.1) : « fonction destinée à éviter ou à réduire un risque existant pour la personne, un dommage à la machine ou au travail en cours ; et qui est déclenchée par une action humaine unique ».
Cet article aborde certains aspects importants ; veuillez vous référer à la norme pour comprendre toutes les exigences et pour une mise en œuvre correcte de la fonction.
1. La fonction d’arrêt d’urgence ne permet pas de réduire les risques.
En d’autres termes, supposons que nous procédions à l’évaluation des risques d’un convoyeur à bande dont les pièces mobiles ne sont pas correctement protégées. Il n’est pas possible de décider que, grâce à la présence d’un câble d’arrêt d’urgence, le risque est acceptable.
La directive « Machines » est claire [RESS 1.2.4.3] : « Les dispositifs d’arrêt d’urgence doivent venir en renfort des autres mesures de protection et non les remplacer. «
La norme ISO 13850 énonce ce principe au paragraphe 4.1.1.3 : « La fonction d’arrêt d’urgence est une mesure de protection complémentaire et ne doit pas se substituer aux mesures de sauvegarde et aux autres fonctions ou fonctions de sécurité ».
Une autre façon de présenter le même concept est de dire que l’arrêt d’urgence n’est pas une fonction de sécurité, même s’il est mis en œuvre dans un système de sécurité. La définition d’une fonction de sécurité est la suivante (§3.5) : « Fonction d’une machine dont la défaillance peut entraîner une augmentation immédiate du (des) risque(s) ».
Cela peut être défini comme la position de l’ISO TC 199.
Selon une version légèrement différente, l’arrêt d’urgence est une fonction de sécurité puisqu’il doit présenter un niveau de fiabilité minimal (SIL 1 ou PL c), mais il ne peut pas être utilisé comme dispositif de protection.
Une position encore plus extrême est soutenue par une minorité de techniciens au sein de l’ISO TC 199, mais par une majorité aux États-Unis. C’est la raison pour laquelle la norme B11.19 reconnaît la possibilité, dans les cas extrêmes où il n’y a pas d’autre solution, de réduire le risque grâce à une fonction d’arrêt d’urgence telle qu’une corde ou un bouton. Voici le langage utilisé :
[B11.19 : 2019] 10.12 Dispositifs d’arrêt d’urgence (E-stop)
10.12.1 Exigences générales pour les dispositifs d’arrêt d’urgence
10.12.1.1 Les dispositifs d’arrêt d’urgence utilisés pour réduire les risques pour les personnes doivent être conformes à toutes les exigences applicables de la clause 9 et du paragraphe 10.1.
Le sujet est régulièrement discuté lors des tables techniques. GT Enginering estime que la fonction d’arrêt d’urgence ne doit jamais être utilisée pour réduire les risques, étant donné qu’une mesure correcte de réduction des risques peut toujours être trouvée.
2. La fonction d’arrêt d’urgence ne doit pas nécessairement supprimer toutes les énergies.
« La fonction d’arrêt d’urgence a pour but d’éviter les situations d’urgence réelles ou imminentes résultant du comportement des personnes ou d’un événement dangereux inattendu« , §4.1.1.1.
Prenons l’exemple d’un robot qui déplace une plaque de verre à l’aide de ventouses. La sécurité du déplacement de la charge est garantie par la présence d’une aspiration dans les ventouses. Supposons que l’activation de la fonction d’arrêt d’urgence arrête également la pompe à vide. Si l’activation de la fonction se produit pendant un déplacement de la charge, cela entraînerait le détachement des feuilles de verre et leur projection contre la protection périmétrique. Dans ce cas, il est préférable de ne pas relier la pompe à vide à l’arrêt d’urgence et de gérer le risque de présence d’énergie pneumatique à l’aide des informations d’utilisation (manuel d’instructions et panneaux et étiquettes).
3. La fonction d’arrêt d’urgence ne doit pas nécessairement arrêter toutes les machines d’une ligne de production.
Sur une ligne de production, ou dans un système composé de plusieurs machines, il est naturel d’arrêter toutes les machines de la ligne ou de l’usine lorsqu’un arrêt d’urgence est activé. Il est clair que c’est la première condition à prendre en compte. Imaginez une ligne de convoyeurs traversant différentes zones d’une grande usine ; l’arrêt d’un convoyeur de la ligne entraînerait l’arrêt de tous les convoyeurs en amont, mais pas nécessairement de ceux en aval.
La norme EN ISO 13850 décrit cette situation en détail au point 4.1.2.
[ISO 13850:2015] 4.1.2 Portée de contrôle du ou des dispositifs d’arrêt d’urgence
La portée de commande de chaque dispositif d’arrêt d’urgence doit couvrir l’ensemble de la machine. Exceptionnellement, une portée de commande unique peut ne pas être appropriée lorsque, par exemple, l’arrêt de toutes les machines liées pourrait créer des risques supplémentaires ou affecter inutilement la production. Chaque plage de contrôle peut couvrir une ou plusieurs sections d’une machine, une machine entière ou un groupe de machines ».
La directive sur les machines comporte un R.S.E.H. qui clarifie cet aspect :
[2006/42/CE] 1.2.4.4. Assemblage de machines
Dans le cas de machines ou d’éléments de machines conçus pour travailler ensemble, la machine doit être conçue et construite de manière à ce que les commandes d’arrêt, y compris les dispositifs d’arrêt d’urgence, puissent arrêter non seulement la machine elle-même mais aussi tous les équipements connexes, si leur maintien en fonctionnement peut être dangereux.
Bien entendu, il est nécessaire d’indiquer, de manière intuitive pour l’utilisateur, quelle partie de l’installation est arrêtée par l’actionneur d’urgence spécifique : c’est ce que l’on appelle la « portée du contrôle ».
4. Il est interdit d’utiliser la fonction d’arrêt d’urgence pour effectuer l’entretien de la machine.
Souvent, le bouton d’arrêt d’urgence est muni d’une clé. En effet, lorsque la clé est retirée, si l’actionneur est activé, il ne peut être réinitialisé sans que la clé soit réinsérée. Cela donne de l’importance à l’activation de la fonction d’urgence et à sa réinitialisation.
Cependant, la clé est parfois utilisée par la maintenance pour s’assurer que personne ne réinitialise la fonction et ne démarre la machine : il s’agit d’une sorte de verrouillage-étiquetage ou, comme l’indique la norme, d’une « prévention de démarrage inopiné ». Ce comportement n’est pas correct. C’est ce qui est écrit dans la norme EN ISO 13850, note §4.1.1.2. « La fonction d’arrêt d’urgence ne peut être considérée comme une mesure de prévention du démarrage inopiné telle que décrite dans la norme ISO 12100 ». La norme EN ISO 14118, publiée en mai 2018, contient une question similaire dans la note du §6.3.2.
5. Le fond du bouton d’arrêt d’urgence doit être jaune.
Voici la langue normative, §4.3.6 : « L’actionneur du dispositif d’arrêt d’urgence doit être de couleur ROUGE. Dans la mesure où il existe un arrière-plan derrière l’actionneur et où cela est praticable, l’arrière-plan doit être JAUNE ».
L’apparente « exception » que constitue la phrase « Pour autant qu’un fond existe derrière l’actionneur et qu’il soit praticable » ne se réfère pas au champignon d’arrêt d’urgence classique, qui doit être rouge sur fond jaune.
6. Bien que la fonction d’arrêt d’urgence ne réduise pas le risque, elle doit présenter un niveau minimum de fiabilité : SIL 1 ou PLr = c.
La nouvelle édition de la norme le précise dans le §4.1.5.1 « Détermination du niveau de performance (PL) ou PLr = c.
§4.1.5.1 « La détermination du niveau de performance (PL) ou SIL requis doit tenir compte de l’objectif de la fonction d’arrêt d’urgence, mais le niveau minimum requis est PLr c ou SIL 1 ».
7. En règle générale, le bouton d’arrêt d’urgence ne doit pas présenter d’obstacles qui limitent la possibilité de son activation.
Toutefois, la norme reconnaît que le bouton d’arrêt d’urgence peut être activé accidentellement et créer un problème pour le processus de production. Afin d’éviter l’activation accidentelle de la fonction, les comportements incorrects, tels que ceux présentés dans les images, sont détectés. Il est permis, à titre exceptionnel, de protéger le champignon à l’aide d’une housse ou d’autres méthodes de protection. Ci-après le texte de la norme,
§4.5 : « L’utilisation d’une enveloppe protectrice autour du dispositif d’arrêt d’urgence doit être évitée, sauf lorsque cela est nécessaire pour empêcher un déclenchement involontaire et que d’autres mesures ne sont pas réalisables ».
La norme poursuit en prescrivant qu’une telle enveloppe « ne doit pas empêcher ou gêner l’actionnement avec la paume de la main ». En résumé, une protection est autorisée à condition qu’il soit possible d’activer la fonction avec la paume de la main.
8. Il n’est pas obligatoire d’installer un bouton d’urgence sur chaque poste de contrôle.
La norme a toujours établi le fait que, bien qu’il soit correct, il n’est pas nécessaire d’avoir un bouton d’urgence sur chaque poste de commande. Cette décision doit être prise à la suite d’une analyse de risque, comme prescrit au §4.3.2. L’obligation découle de l’édition actuelle de la norme EN 60204-1. Toutefois, la nouvelle édition de cette norme (2016) est alignée sur la norme EN ISO 13850 ; veuillez vous référer à la nouvelle formulation du §10.7.1.
9. La fonction d’arrêt d’urgence peut activer des mouvements, si ceux-ci sont nécessaires pour arrêter des mouvements dangereux.
Prenons l’exemple de l’arrêt en toute sécurité d’une ligne de coulée continue d’acier. Cela ne se produit qu’en fermant le flux d’acier provenant de la ligne de moulage du répartiteur et en empêchant ainsi l’acier de continuer à s’écouler dans le moule et la chambre de refroidissement. Pour ce faire, on ferme le « trou du répartiteur » à l’aide, par exemple, d’une petite coupelle.
Il est clair que l’analyse des risques doit déboucher sur des précautions visant à garantir que la fermeture de la ligne, provoquée par l’activation de la fonction d’arrêt d’urgence, n’entraîne pas de risques pour l’opérateur. Veuillez lire la formulation du §4.1.1.5 de la norme.
10. Les dispositifs d’arrêt couvrant le contact de démarrage et d’arrêt ne peuvent pas assurer la fonction d’arrêt d’urgence.
Les dispositifs d’arrêt couvrant le contact de démarrage et d’arrêt, tels que l’arrêt à clapet (Fig. 4), sont un type spécial de « dispositif d’arrêt » produit normalement en dehors de l’UE et utilisé comme arrêt d’urgence normal pour différentes machines, en particulier pour les petites machines, telles que les perceuses d’établi.
L’arrêt à clapet est un contact de démarrage et d’arrêt équipé d’un clapet jaune et d’un bouton-poussoir rouge en forme de champignon (figure 4), qui couvre à la fois les contacts de démarrage et d’arrêt.
Lorsque le bouton-poussoir champignon est activé, le clapet pousse le bouton d’arrêt en position de commande d’arrêt. Le volet peut être maintenu en position ouverte, ce qui ne permet pas d’assurer la disponibilité à tout moment.
L’arrêt du clapet ne peut donc pas assurer la fonction d’arrêt d’urgence requise à l’annexe I, section 1.2.4.3 de la directive Machines 2006/42/CE.
11. La fonction d’arrêt d’urgence ne nécessite pas de fonction RESET (Réarmement).
La fonction RESET (Réarmement) est nécessaire, par exemple, lorsque l’on veut réduire le risque d’accès au corps entier (Whole Body access). Dans ce cas, il s’agit d’une fonction de sécurité.
Le bouton ou la corde (câbles) d’arrêt d’urgence n’est associé à aucun espace protégé et n’a donc pas besoin d’être Réarmé. Cependant, la fonction d’arrêt d’urgence doit être désengagée. Voici le langage normatif :
[ISO 13850 : 2015] 4.1.4 Désengagement (par exemple déverrouillage) du dispositif d’arrêt d’urgence.
L’effet d’un dispositif d’arrêt d’urgence activé doit être maintenu jusqu’à ce que l’actionneur de ce dispositif ait été désactivé. Le désengagement ne doit être possible que par action humaine sur le dispositif lorsque l’ordre a été donné. Le désengagement du dispositif ne doit pas redémarrer la machine mais seulement autoriser le redémarrage.
Cela signifie, par exemple, qu’un pare-chocs de sécurité ne peut pas être utilisé comme arrêt d’urgence, puisqu’il n’a pas la possibilité d’être désengagé mécaniquement.
12 Un SECTIONNEUR peut être utilisé comme fonction d’arrêt d’urgence.
Ci-dessous ce que le Guide à la DIRECTIVE MACHINES affirme:
[Guide à la Directive Machines : 2019] Dispositif de sectionnement comme arrêt d’urgence
Selon les observations du marché, le dispositif de sectionnement représenté dans la figure à cotè est également utilisé comme dispositif d’arrêt d’urgence. Le dispositif de sectionnement d’alimentation est parfois actionné localement pour remplir la fonction d’arrêt d’urgence conformément à la norme EN 60204-1 Sécurité des machines – Équipement électrique des machines – Partie 1 : Exigences générales dans laquelle il est indiqué au paragraphe 10.7.4 « Fonctionnement local ». du dispositif de coupure d’alimentation pour effectuer l’arrêt d’urgence »
Le Guide précise donc qu’il est possible d’utiliser un dispositif de sectionnement comme dispositif d’arrêt d’urgence. Le dispositif de sectionnement de l’alimentation peut être actionné localement pour réaliser la fonction d’arrêt d’urgence conformément à ce qui est présent dans la norme EN 60204-1 Sécurité des machines – Équipement électrique des machines – Partie 1 : Exigences générales » où il est indiqué au point 10.7. .4 « Fonctionnement du dispositif de coupure d’alimentation pour effectuer un arrêt d’urgence ».
Cependant, lorsque le sectionneur est utilisé comme dispositif d’arrêt d’urgence, on ne peut pas parler de niveau de fiabilité selon la norme ISO 13849-1 ou IEC 62061. La raison en est que ce composant ne fait pas partie du système de commande de la machine, puisqu’il n’agit que dans la partie de puissance de la machine.