Download - Sécurité des machines et des équipements de travail - INRS

Sécurité des machineset des équipements de travailCircuits de commande et de puissance.

Principes d’intégration des exigences de sécurité

L’Institut national de recherche et de sécuritéL’Institut national de recherche et de sécurité (INRS) est une association déclarée sans butlucratif (loi du 1er juillet 1901), constituée sous l’égide de la Caisse nationale de l’assurance maladie. Il est placé sous la tutelle des pouvoirs publics et le contrôle financier de l’État. Son conseil d’administration estcomposé en nombre égal de représentants du Mouvement des entreprises de Franceet des organisations syndicales de salariés.

L’INRS apporte son concours aux services ministériels, à la Caisse nationale de l’assurance maladie, aux Caisses régionales d’assurance maladie, aux comités d’hygiène, de sécurité et des conditions de travail, aux entreprises, enfin à toute personne, employeur ou salarié, qui s’intéresse à la prévention. L’INRS recueille,élabore et diffuse toute documentation intéressant l’hygiène et la sécurité du travail :brochures, dépliants, affiches, films,renseignements bibliographiques... Il forme des techniciens de la prévention et procède en son centre de recherche de Nancy aux études permettant d’améliorer les conditions de sécurité et l’hygiène de travail.

Les publications de l'INRS sont distribuées par les Caisses régionales d'assurance maladie. Pour les obtenir, adressez-vous au service prévention de la Caisse régionale de votre circonscription, dont vous trouverez l’adresse en fin de brochure.

Les Caisses régionales d’assurance maladieLes Caisses régionales d’assurance maladie disposent, pour diminuer les risques professionnels dans leur région,d’un service prévention composé d’ingénieurs-conseils et de contrôleurs de sécurité. Par les contacts fréquents que ces derniers ont avec les entreprises, ils sontà même non seulement de déceler les risques professionnels particuliers à chacune d’elles,mais également de préconiser les mesures préventives les mieux adaptées aux différents postes dangereux et d’apporter, par leurs conseils, par la diffusion de la documentation éditée par l’Institut national de recherche et de sécurité, une aide particulièrementefficace à l’action des comités d’hygiène,de sécurité et des conditions de travail.

Toute représentation ou reproduction intégrale ou partielle faite sans le consentement de l’INRS, de l’auteur ou de ses ayants droit ou ayants cause, est illicite.

Il en est de même pour la traduction, l’adaptation ou la transformation, l’arrangement ou la reproduction, par un art ou un procédé quelconque (article L. 122-4 du code de la propriété intellectuelle). La violation des droits d’auteur constitue une contrefaçon punie d’un emprisonnement de deux ans et d’une amende de 150 000 euros (article L. 335-2 et suivants du code de la propriété intellectuelle).

© INRS, 2003. Conception graphique et schémas Atelier F. Causse. Illustration de couverture Bernard Chadebec.

Sécurité des machineset des équipements de travailCircuits de commande et de puissance.

Principes d’intégration des exigences de sécurité

J. Marsot, R. KleinLaboratoire sûreté des machines et composants

Ingénierie des équipements de travail, INRS

D. Pagliero, D. Dei-SvaldiLaboratoire sûreté des systèmes électroniques

Ingénierie des équipements de travail, INRS

ED 913

Sommaire

2

Avant-propos ———————————————————————————————————————————————————————————————————————————————————————————— 5

Chapitre 1SYSTÈME DE COMMANDE1.1 Généralités———————————————————————————————————————————————————————————————————————————— 6

1.2 Circuits de commande et de puissance/stratégie

de réduction du risque ————————————————————————————————————————————————————————————————— 7

Chapitre 2INTÉGRATION DE LA SÉCURITÉ AU NIVEAU DU CIRCUIT DE COMMANDE2.1 Aspect réglementaire —————————————————————————————————————————————————————————————————— 9

2.2 Aspect normatif ——————————————————————————————————————————————————————————————————————— 9

2.3 Choix d’une catégorie ————————————————————————————————————————————————————————————————— 10

2.4 Catégorie 1——————————————————————————————————————————————————————————————————————————— 13

2.4.1 Circuit électromécanique —————————————————————————————————————————————————————— 13

2.4.2 Circuit hydraulique/pneumatique ——————————————————————————————————————————————— 14

2.5 Catégorie 2 —————————————————————————————————————————————————————————————————————————— 14


2.6 Catégorie 3——————————————————————————————————————————————————————————————————————————— 15


2.6.1.1 Circuit redondant sans détection de défaut —————————————————————————————— 15

2.6.1.2 Circuit redondant avec détection de défaut ————————————————————————————— 17


2.7 Catégorie 4 —————————————————————————————————————————————————————————————————————————— 18



2.8 Blocs logiques de sécurité ————————————————————————————————————————————————————————————— 20

3

Chapitre 3INTÉGRATION DE LA SÉCURITÉ AU NIVEAU DU CIRCUIT DE PUISSANCE3.1 Circuit de puissance électrique ————————————————————————————————————————————————————————— 22

3.2 Circuit de puissance pneumatique ————————————————————————————————————————————————————— 23

3.3 Circuit de puissance hydraulique ——————————————————————————————————————————————————————— 24

Chapitre 4EXEMPLE DE CONCEPTION D’UN AUTOMATISME 4.1 Partie relative à la sécurité ————————————————————————————————————————————————————————————— 27

4.1.1 Traitement de diverses fonctions ———————————————————————————————————————————————— 28

4.2.1 Principe de fonctionnement ———————————————————————————————————————————————————— 28

Chapitre 5ANNEXES5.1 Action mécanique positive (NF EN 609457-5-1)———————————————————————————————————————————— 30

5.2 Actionnement suivant le mode positif (NF EN 292-1)——————————————————————————————————————— 30

5.3 Relais à contacts liés ou guidés (NF EN 50205) ——————————————————————————————————————————— 30

5.4 Distributeur à recouvrement à l’arrêt positif——————————————————————————————————————————————— 31

5.5 Sorties statiques ——————————————————————————————————————————————————————————————————————— 31

Lexique—————————————————————————————————————————————————————————————————————————————————————————————————— 33

Bibliographie —————————————————————————————————————————————————————————————————————————————————————————— 35

5

Cette brochure traite des circuits de commande des

équipements de travail pour lesquels la mise en sécurité

du personnel est obtenue par l'immobilisation et le main-

tien à l'arrêt des éléments dangereux 1. Elle a pour but

d’aider les concepteurs et/ou les intégrateurs de ces

équipements, qu’ils soient neufs ou en cours de rénova-

tion, en attirant leur attention sur la nécessité de prévoir,

pour les parties «puissance» et «commande» d'un auto-

matisme, une architecture et des fonctions capables

d'intégrer des moyens de prévention (barrages immaté-

riels, arrêt d’urgence, dispositifs de verrouillage, etc.). Elle

est un complément de la brochure ED 807 [1] relative au

moyen de protection contre les risques mécaniques.

Il est bien entendu que d'autres mesures de prévention

peuvent être mises en œuvre pour améliorer la sécurité

des opérateurs sur machines. Il s'agit essentiellement :

■ des mesures d'organisation (aménagement des

postes de travail, adaptation des modes opéra-

toires, etc.),

■ de la formation et de l'information des opérateurs,

■ de l'emploi, en dernier recours, de protections indi-

viduelles.

Le premier chapitre de ce recueil présente de façon

générale les circuits de commande et les prescriptions

qui leur sont applicables dès lors qu’ils contribuent au

processus de réduction du risque.

Les chapitres suivants présentent l’impact de l’intégra-

tion de la sécurité au niveau des circuits de commande

et de puissance d’un automatisme. Ils sont illustrés par

des schémas de principe abondamment commentés

qui proviennent pour la plupart de la brochure 6/97 e du

BIA 2 [2]. La technologie «électronique» n’est pas présen-

tée dans ce document car elle fait l’objet de publica-

tions spécifiques [3] [4].

Ces schémas ne sont en aucun cas des schémas de

mise en œuvre. Ils donnent uniquement des idées de

réalisation dont il est possible de s’inspirer. Pour la réali-

sation et/ou la modification finale du circuit de com-

mande d’un équipement de travail, il est recommandé

de s’appuyer sur les références bibliographiques [5] [6]

[7] [8].

1 - Par conséquent, elle ne concerne pas les systèmes nécessitant lapoursuite de la mission même en mode dégradé (chimie, pétrochimie,nucléaire, avionique, etc.).2 - BIA : Berufsgenossenschaftliches Institut für Arbeitsschutz.

vant-propos

Ce document renvoie à des normes. Seuls font foi les

textes de ces normes éditées par l’Afnor dans leur ver-

sion originale. Le lecteur peut se procurer ces normes

auprès de l’Afnor (adresse dans la bibliographie).

Les normes citées dans cette brochure ne sont pas d’ap-

plication obligatoire et elles ont été élaborées en vue de

la conception d’équipements de travail neufs ou consi-

dérés comme neufs. Certaines de ces normes sont à

l’état de projet (Pr), elles sont donc susceptibles de modi-

fications. Nous estimons cependant que les informations

techniques qu’elles contiennent peuvent aider utilement

les personnes en charge de l’amélioration des

machines en service.

La validité des informations contenues dans ce docu-

ment s’entend à la date de son élaboration, soit sep-

tembre 2003.

Les chiffres entre crochets renvoient à la bibliographie

en fin d’ouvrage.

Avertissement

A

6

1 Système de commande

SYSTÈME DE COMMANDE

Interface opérateur / machine



SIGNALISATIONAFFICHAGE

AVERTISSEMENTS

ORGANES DE SERVICE

APPAREILDE COMMANDE

MÉMORISATION ET TRAITEMENTLOGIQUE OU ANALOGIQUE

DES INFORMATIONS

CAPTEURSDISPOSITIFS DE SÉCURITÉ

PARTIEOPÉRATIVE

SYSTÈMEDE

COMMANDE

PROTECTEURS

PRÉACTIONNEURS(contacteurs,

distributeurs, variateurs)

ACTIONNEURS(moteurs, vérins, etc)

ÉLÉMENTS DETRANSMISSION

Figure 1 ■ Représentation schématique générale d'une machine (NF EN 292-1 [9]).

1.1 Généralités

Le système de commande d’un équipement de travail

est constitué par les circuits qui élaborent les ordres des-

tinés au processus ou à la machine et à l'opérateur

(signalisation) à partir des informations de la partie opé-

rative, des entrées externes (consignes) et de l'état du

système (cf. figure 1).

Il comprend les dispositifs de signalisation, de com-

mande (écran, pupitre, etc.), le système traitant les infor-

mations logiques ou analogiques (automate program-

mable, micro-ordinateur, relais électromécanique, etc.),

les dispositifs de sécurité (barrage immatériel, tapis sen-

sible, scrutateur laser, dispositifs de verrouillage, etc.) et

les capteurs. Il peut être réalisé par une combinaison

des technologies suivantes :

■ électromécanique (relais, interrupteurs de position,

etc.),

■ pneumatique,

■ hydraulique,

SYSTÈME DE COMMANDE 7

■ électronique (circuits analogiques et numériques

programmables).

La partie opérative, constituée par le processus que l'on

souhaite piloter, agit directement sur la matière d'œuvre

à partir des ordres envoyés par le système de com-

mande et renvoie à cette dernière des informations sur

son état ou son environnement. Elle exécute les tâches

physiques ; ses principales fonctions sont :

■ transformer l'énergie,

■ adapter l'énergie,

■ transmettre les efforts,

■ agir sur la matière d'œuvre.

Elle comprend principalement les actionneurs (moteurs,

vérins, etc.) et les effecteurs (pinces, outils actifs).

Pendant la phase d'exploitation, la partie opérative

constitue la principale zone de dangers auxquels sont

exposés les opérateurs de la machine. De ce fait, la

mise en sécurité du personnel nécessite d’agir, via le cir-

cuit de commande, sur le(s) pré-actionneurs qui com-

mande(nt) les actionneurs susceptibles d'entraîner des

mouvements dangereux.

1.2 Circuits de commande et de puissance/stratégie de réduction du risque

En prévention technique des machines et systèmes de

production, on représente schématiquement la chaîne

des événements conduisant à l’accident par une suite

de conjonctions telle que représentée par la figure 2.

Un équipement de travail, de par les énergies en pré-

sence (de nature électrique, thermique, cinétique, etc.),

est considéré comme étant une entité dangereuse.

Associer à ce sous-système technique une présence

humaine implique la survenue de situations potentielle-

ment dangereuses. Toute situation potentiellement dan-

gereuse ne conduit pas pour autant au dommage ;

encore faut-il que l’enchaînement des différentes

étapes soit conditionné par d'autres facteurs : persis-

tance de phénomènes dangereux, apparition d'événe-

ments critiques, non-possibilité d'évitement.

Le risque «machine» est donc fonction de la gravité (G)

et de la probabilité d’occurrence de la blessure ou

dommage encouru. Cette probabilité dépend elle-

même de trois paramètres :

■ la fréquence et/ou la durée d’exposition (Fexpo),

■ la probabilité d’occurrence de l’événement dan-

gereux (Pocc). Cette probabilité d’occurrence peut

d’être d’origine humaine (manœuvre inappro-

priée, par exemple 3) ou technique (défaillance de

composant, erreur logicielle, etc.),

Evénement critique(défaillance du

circuit de

Accident(dommage)

Non évitement

Non annihilationdu phénomène

dangereux

et

et

Sous-systèmetechnique

(entité dangereuse)

Sous-systèmehumain (homme)

Situationdangereuse

et

et

Gravité

ou G

Pvit

Pocc

Fexpo

Situationpotentiellement

dangereuse

Figure 2 ■ Chaîne des événements conduisant à l’accident.

3 - Cette probabilité d’occurrence est également influencée par l’envi-ronnement du poste de travail et des aptitudes de(s) personne(s) expo-sée(s) à maîtriser les risques encourus. Ces deux aspects ne sont pasabordés dans ce document.

Les circuits de puissance et de commande d’une

machine contribuent très souvent à la réduction

du(des) risque(s) encouru(s) par les opérateurs. C’est

notamment le cas lorsqu’ils assurent des fonctions

d’autosurveillance, de tests périodiques, de mise

et/ou de maintien à l’arrêt des éléments dangereux,

etc.

Plus la contribution de ces circuits à la réduction

du(des) risque(s) est importante, plus leur aptitude à

résister aux défauts doit être élevée.

8

■ la possibilité d’éviter ou de limiter le dommage

(Pévit).

Le niveau de risque généré par un phénomène dange-

reux peut alors être évalué par un indice de risque «R»,

fonction de ces différents paramètres (cf. figure 3).

Indice de risque «R» = f (G, Fexpo, Pocc, Pévit)

SYSTÈME DE COMMANDE

est une fonction

deet de

LE RISQUE

relatif à un phénomène dangereux

LA GRAVITÉ

du dommage encouru du fait

de ce phénomène dangereux

LA PROBABILITÉ D'OCCURRENCE DE CE DOMMAGE

La fréquence et/ou durée d'exposition

Probabilité d'occurrence de l'événement dangereux

Possibilité d'éviter ou de limiter ce dommage

Figure 3 ■ Éléments de l'estimation du risque [10].

9

Intégration de la sécuritéau niveau du circuit

de commande 2

INTÉGRATION DE LA SÉCURITÉ AU NIVEAU DU CIRCUIT DE COMMANDE

Catégorie 2

Catégorie 3

Catégorie 4

Catégorie B

Présence de défaut

Analyse ducomportement

Catégorisation/comportementsous défaut

Catégorie 1

Figure 4 ■ Illustration dela notion de catégorie.

Comme rappelé au § 1.1, le circuit de commande a

pour mission la réalisation des fonctions requises de la

machine. Les parties de ce circuit affectées à la réali-

sation des fonctions de sécurité sont appelées les par-

ties relatives à la sécurité.

2.1 Aspect réglementaire

La conception et/ou la modification d’un circuit de

commande doivent être effectuées de manière à ce

qu’il soit sûr et fiable afin d’éviter toute situation dange-

reuse, et ce même en présence d’un défaut, d’une

défaillance et/ou d’une détérioration.

En effet, pour les machines neuves, le paragraphe 1.2.1

des exigences essentielles de la directive 98/37 CE dite

«Directive machines» [11] stipule que «les systèmes de

commande doivent être conçus et construits pour être

sûrs, fiables de manière à éviter toute situation dange-

reuse. Ils doivent être notamment conçus et construits de

manière :

■ à résister aux contraintes normales de service et

aux influences extérieures,

■ qu'il ne se produise pas de situations dangereuses

en cas d'erreur de logique dans les manœuvres».

De plus, le paragraphe 1.2.7 de cette directive 98/37 sti-

pule : «un défaut affectant la logique du circuit de com-

mande ou une défaillance ou une détérioration du cir-

cuit de commande ne doit pas créer de situations

dangereuses».

Par ailleurs, pour les machines en service, le para-

graphe 2.1 des prescriptions minimales applicables aux

équipements de travail de la directive 89/655/CEE [12]

énonce que «les systèmes de commande doivent être

sûrs et être choisis compte tenu des défaillances, des

perturbations et des contraintes prévisibles dans le

cadre de l’utilisation projetée».

2.2 Aspect normatif

La norme NF EN 954-1 [13] classe les parties de systèmes

de commande relatives à la sécurité en 5 catégories (B,

1, 2, 3, 4) en fonction de leur comportement en cas

d’apparition de défauts (cf. figure 4).

10

2.3 Choix d’une catégorie

Pour une partie de système de commande relative à la

sécurité, le choix d’une catégorie dépend de l’estima-

tion du niveau de sa contribution à la réduction d’un

risque donné (cf. figure 5). Cette estimation est fonction

des paramètres suivants :

■ la gravité du dommage effectivement protégé par

cette partie de système de commande (G),

■ la fréquence et/ou durée d’exposition de l’opéra-

teur dans la zone protégée par cette partie de sys-

tème de commande (F),

■ la possibilité d’éviter ou de limiter le dommage pro-

tégé par cette partie de système de commande

(P).

Pour illustrer ce propos, nous proposons l’analyse d’un

mécanisme «théorique» composé de deux rouleaux

présentant un risque d’écrasement (cf. figure 6).

Il ne faut pas confondre cette estimation avec l’es-

timation globale d’un risque selon la norme EN

1050. En effet, la probabilité d’occurrence de l’évé-

nement dangereux est dans ce cas égale à 1 car

la notion de catégorie repose sur un comporte-

ment en présence de défauts. De ce fait, elle n’ap-

paraît pas dans les paramètres de sélection.

On prendra comme hypothèse que le niveau de risque

global «R» de cette application est élevé du fait :

■ d’une gravité potentielle élevée (possibilité d’écra-

sement de la main),

■ d’une fréquence d’exposition des mains de l’opé-

rateur dans la zone dangereuse élevée,

■ d’une probabilité d’occurrence élevée, du fait des

risques d’erreur humaine et/ou technique,

■ d’une possibilité d’évitement faible du fait de la

vitesse de rotation élevée des rouleaux.

Afin de réduire ce niveau de risque, le concepteur choi-

sit comme seule mesure de protection l’utilisation d’un

protecteur mobile. Le niveau de contribution, de la par-

tie du circuit de commande relative à ce protecteur, à la

réduction du risque est donc élevé (cf. figure 7).


CATÉGORIESB 1 2 3 4

Pointde départ

G1

G2

F1

P1

P2

P1

P2

F2

Catégories possibles nécessitant des mesures complémentaires

Catégories ayant la préférence pour les points de référence

Mesures excessives pour le risque en question

G1 : Lésion légère (normalement réversible).

G2 : Lésion sérieuse (normalement irréversible), y compris le décès F1 : Rare à assez fréquent et/ou de courte durée d'exposition

F2 : Fréquent à continu et/ou de longue durée d'exposition

P1 : Possible sous certaines conditions

P2 : Rarement possible

Zonedangereuse

ÉLEVÉ

FAIBLE

Niveau de risque initial

Figure 5 ■ Exemple de grille de sélection [2].

Figure 6 ■ Illustration de l’application et du niveaude risque associé.

11

Dans ce cas, la norme EN 954-1 orientera le concepteur

vers une catégorie 4 pour cette partie de circuit de com-

mande (gravité, fréquence d’exposition élevée et possi-

bilité d’évitement faible).

Si maintenant le concepteur choisit d’utiliser comme

mesures de protection un protecteur mobile combiné

avec une butée mécanique - par hypothèse, on consi-

dère que l’écrasement suite à l’entraînement de la main

entre les rouleaux est empêché par cette butée méca-

nique. Dans ce cas, la contribution de la partie du circuit

de commande relative au protecteur est plus faible que

précédemment (cf. figure 8). En effet, le dommage

effectivement protégé par le protecteur est un pin-

cement des doigts. La norme EN 954-1 orientera le

concepteur vers une catégorie 1 pour cette partie de

circuit de commande (gravité faible et autres para-

mètres inchangés).

Par ailleurs, les catégories ne représentent pas un niveau

de risque et de ce fait elles ne sont pas destinées à être

utilisées selon une hiérarchie donnée. Cette hiérarchisa-

tion peut éventuellement avoir un sens si l’on compare

des systèmes de commande de même technologie

(électromécanique/électromécanique, électroni-

que/électronique, etc.). Elle n’a aucun sens dans tous les

autres cas (cf. figure 9). Comme rappelé au début de ce

chapitre, les catégories ne représentent qu’un compor-

tement en présence de défauts.

En conclusion, pour une application ayant un

niveau de risque global élevé, la catégorie selon EN

954-1 de la partie du système de commande rela-

tive au protecteur peut être différente en fonction de

sa contribution dans la réduction de ce risque glo-

bal.


Protecteurmobile + circuit de commandede catégorie 4

ÉLEVÉ

FAIBLE

Réduction du risquedu fait du protecteur et de la catégorie 4pour la partie de système de commande


G1

G2

F1

P1

P2

P1

P2

F2

Pointde départ

CHOIX DU(ES) MOYEN(S)DE PROTECTION

CHOIX DE LA CATÉGORIE ESTIMATION DU RISQUE

Figure 7 ■ Protection par un protecteur mobile.

Protecteurmobile + circuitde commandede catégorie 1

ÉLEVÉ

FAIBLE

Réduction du risquedu fait du protecteur et de la catégorie 1pour la partie de système de commandecorrespondante

Réduction du risquedu fait de la butée


G2

G1

F1

F2

P1

P1

P2

P2

Butée deprotection

Pointde départ

CHOIX DU(ES) MOYEN(S)DE PROTECTION

CHOIX DE LA CATÉGORIE ESTIMATION DU RISQUE

Figure 8 ■ Protection par un protecteur mobile associé à une butée de protection.

12

En conséquence, lorsqu’une fonction de sécurité est réa-

lisée par un circuit de commande faisant intervenir dif-

férentes technologies (cf. figure 10), il n’est générale-

ment pas possible de déterminer une catégorie pour

l’ensemble de cette fonction.

À partir des prescriptions applicables à ces catégories, il

est possible d’affirmer que [14] :

L’objectif est d’atteindre, pour chacune des sous-

parties relatives à une technologie donnée, un

niveau de confiance équivalent dans leur capa-

cité à assurer leur fonction de sécurité.


Détecteurélectroniquede catégorie

2, 3 ou 4

Détecteurmécanique

de catégorie 1

Prenons le cas d'un détecteur de positionmécanique satisfaisant à la catégorie 1selon EN 954-1.Le niveau de confiance que l'on peutaccorder à ce détecteur dans sa capacité à assurer sa fonction de sécurité peut êtreéquivalent, voire supérieur, à celui d'undétecteur électronique satisfaisant auxcatégories 2, 3 ou 4.

??

■ la catégorie B est à la base de toutes les autres. Elle

sous-entend entre autres qu’un composant ou une

partie de circuit de commande résiste aux pertur-

bations environnementales normalement prévi-

sibles (vibrations, chocs, rayonnement électroma-

gnétique, température, etc.),

■ les catégories 1, 2, 3 et 4 sont toutes meilleures que

la catégorie B,

■ la sécurité est principalement basée sur la fiabilité

des composants du circuit de commande pour les

catégories B et 1 et par la structure du circuit pour

les catégories 2, 3 et 4,

■ pour les catégories B, 1 et 2, un défaut unique peut

entraîner la perte de la fonction de sécurité,

■ la catégorie 4 présente une meilleure tolérance aux

Figure 9 ■ Illustration de la non hiérarchisation des catégories.

Figure 10 ■ Association de différentes technologies.

13

fautes que la catégorie 3 car elle prend en compte

l’accumulation de défauts.

Les chapitres suivants décrivent, pour chacune de ces

catégories, la réalisation d’une partie de système de

commande assurant le contrôle de position d’un pro-

tecteur.

2.4 Catégorie 1

La conception de parties du système de commande

relatives à la sécurité de catégorie 1 exige le respect de

la catégorie B et l’utilisation de composants et de prin-

cipes de sécurité éprouvés.

Un composant peut être considéré comme éprouvé

lorsque :

■ il a été largement utilisé dans le passé et avec suc-

cès dans des applications similaires relatives à la

sécurité,

■ il a été conçu et testé selon des méthodes qui per-

mettent de valider son aptitude à la fonction et sa

fiabilité.

En tout état de cause, la décision de qualifier un com-

posant particulier «d’éprouvé» peut dépendre de son

application.

Dans une partie de système de commande de catégorie

1, la sécurité est uniquement basée sur la sélection des

composants, de ce fait si un défaut se produit, il peut

entraîner la perte de la fonction de sécurité.

Remarque

À ce jour, il n’est pas admis de pouvoir réaliser un circuit de

commande électronique répondant à la catégorie 1 [13].

Les schémas présentés ci-après ont pour seul et

unique objectif d’illustrer l’impact technique des

différentes catégories sur une partie de système

de commande relative à la sécurité. De ce fait,

certaines parties de circuit ne sont pas représen-

tées (liaisons équipotentielles, protection élec-

trique, etc.) afin d’en faciliter leur compréhen-

sion.

2.4.1 Circuit électromécanique (cf. figure 11)

Caractéristiques constructives

■ Le contrôle de position est assuré par un détecteur

de position (S1) placé en série dans la chaîne d’ar-

rêt de l’actionneur (contacteur de puissance, par

exemple) des éléments potentiellement dange-

reux.

■ Il est fortement recommandé que ce détecteur de

position soit à manœuvre positive d’ouverture et

actionné suivant le mode positif (cf. annexes 5.2 et

5.3).

■ Le détecteur de position doit être monté de façon

à être protégé contre un changement de position

(cf. EN 1088).

■ La course, les efforts et la fréquence de com-

mande et la durée de vie de l'interrupteur de posi-

tion sont conformes aux indications du fabricant.

Description fonctionnelle

■ La mise en marche n’est possible que lorsque le

protecteur est en position fermée.

■ Lorsque le protecteur est ouvert, S1 interrompt ou

empêche les mouvements ou les états dangereux.

Comportement sur défaillances

■ La fonction de sécurité n’est pas préservée dans

tous les cas de défaillances et elle est fonction de

la fiabilité de S1. Du fait de l’utilisation de principes

de sécurité éprouvés tels que la manœuvre positive

d’ouverture et l’actionnement suivant le mode


Symbolisation de lamanœuvre positive d'ouverture (cf. § 5.2)

Chaîne d'arrêtde puissance

Ouvert

Fermé

S1

Figure 11 ■ Exemple de circuit électromécaniquede catégorie 1.

14

positif, ces défaillances peuvent être détectées

visuellement (rupture du galet de contact, démon-

tage du protecteur ou de l’interrupteur).

■ Aucune mesure de détection des défauts n'est pré-

vue.

2.4.2 Circuit hydraulique/pneumatique (cf. figure 12)


■ L’interrupteur de position EV est à action méca-

nique positive (vanne à levier à galet, par

exemple). Il est actionné par le protecteur suivant le

mode positif et il possède un recouvrement à l’arrêt

positif (cf. annexe 5.5).

■ La commutation de la vanne RV est obtenue par

suppression du signal de commande.

■ Les vannes de commande RV et EV sont sécurisées

contre un changement de position.

■ La course, les efforts, la fréquence de commande

et la durée de vie de RV et de EV sont conformes

aux indications du fabricant. Celui-ci confirme, le

cas échéant, que ces vannes sont des éléments

éprouvés (fiabilité suffisante).


■ L’interrupteur de position pneumatique (ou hydrau-

lique) EV surveille la position du protecteur mobile. Il

transmet une instruction de commande à la vanne

de verrouillage RV.

■ L'alimentation en énergie (hydraulique ou pneu-

matique) se fait uniquement lorsque le protecteur

est fermé. Lorsque le protecteur est ouvert, la vanne

RV coupe l’alimentation en énergie et de ce fait

interrompt ou empêche les mouvements ou les

états dangereux.


■ Une défaillance des vannes EV ou de RV peut


■ Aucune mesure de détection des défauts n'est pré-

vue.

2.5 Catégorie 2



la catégorie B et que leur(s) fonction(s) soi(en)t contrô-

lée(s) par le système de commande de la machine :

■ au démarrage de la machine et avant le déclen-

chement de toute situation dangereuse,

■ périodiquement pendant le fonctionnement si

nécessaire en fonction de l’appréciation du risque

et du type de fonctionnement de la machine.

Ce contrôle, qui peut être déclenché manuellement ou

automatiquement :

■ doit permettre le fonctionnement si aucun défaut

n’est détecté,

■ doit générer un signal de sortie conduisant à une

mise en sécurité de la machine 4,

■ ne doit pas lui-même conduire à une situation dan-

gereuse [13].

Dans une partie de circuit de commande de catégorie

2, la sécurité est basée sur la structure du circuit de com-

mande. L'apparition d'un défaut peut mener à la perte

de la fonction de sécurité entre les intervalles de

contrôle.


RV

EVOuvert

Fermé

Vers

l'é

qui

pem

ent

Figure 12 ■ Exemple de circuit hydraulique de catégorie 1. 4 - Exceptionnellement à un avertissement de danger si une mise en

sécurité de la machine n’est pas possible.

15



■ Le détecteur de position S1 est à double contact.

■ Les contacteurs auxiliaires K1 et K2 doivent être à

contacts liés ou guidés (cf. annexe 5.4).

■ Le détecteur de position S1 doit être monté de

façon à être protégé contre un changement de

position (cf. EN 1088).


et la durée de vie de S1 sont conformes aux indi-

cations du fabricant.

■ Les conditions d’utilisation (tension, courant, etc.) et

la durée de vie des contacteurs auxiliaires K1 et K2

sont respectées.


■ Le détecteur de position S1 surveille la position du

protecteur mobile. Il transmet une instruction de

commande par l’intermédiaire de K1 et de K2.

■ Lorsque le protecteur est ouvert, S1 interrompt ou

empêche les mouvements ou les états dangereux

via K1 et K2 (K1 alimenté et K2 au repos).

■ A la mise sous tension, la mise en marche n’est pas

possible même lorsque le protecteur est fermé (K1

et K2 au repos).


protecteur est ouvert puis refermé «test cyclique»

(K1 au repos et K2 alimenté).


■ La fonction de sécurité n’est pas maintenue en cas

de défaillance de S1.

■ Une défaillance de S1 sera détectée lors du test

cyclique d’ouverture/fermeture du protecteur (au

début de chaque prise de poste, par exemple).

2.6 Catégorie 3



la catégorie B et :

■ qu’un défaut unique du système de commande ne

mène pas à une perte de la fonction de sécurité,

■ que le défaut unique soit détecté si cela est raison-

nablement faisable.

Dans une partie de circuit de commande de catégorie

3, la sécurité est essentiellement basée sur la structure du

circuit de commande. L'accumulation de défauts non

détectés peut conduire à la perte de la fonction de

sécurité. En conséquence, les défaillances de mode

commun doivent être prises en compte [13].

L’expression «raisonnablement faisable» signifie que les

mesures requises pour cette détection et leurs mises en

œuvre dépendent de l’application, d’une part, et de la

technologie utilisée d’autre part. Cela peut conduire,

comme le montrent les exemples suivants, à des sché-

mas de commande très différents les uns des autres.

2.6.1 Circuit électromécanique

2.6.1.1 Circuit redondant sans détection dedéfaut (cf. figure 14)


■ S1 et S2 sont câblés séparément. De ce fait, le

risque de défaillance par court-circuit entre deux

fils n’est pas à prendre en compte.


mande des détecteurs de position S1 et S2 sont

conformes aux indications du fabricant. Ils sont

montés de façon à être protégés contre un chan-

gement de position (cf. EN 1088).


Chaîne d'arrêtOuvert

Fermé

S1K1

K1 K2

K1 K2

K2K1

K2

Figure 13 ■ Exemple de circuit électromécaniquede catégorie 2.

16

■ Les contacteurs auxiliaires K1 et K2 doivent être à

contacts liés ou guidés (cf. annexe 5.4). Leurs condi-

tions d’utilisation (tension, courant, etc.) et leur

durée de vie sont respectées.


■ Lorsque le protecteur est ouvert, une combinaison

de contacts «travail» et «repos» (S1 et S2) interrompt


Chaînes d'arrêt

Ouvert

Fermé

S1

K1

K1

K2

K2K2K3K3 K1

K3

K1

K2

K3

S2

K1

K2

K3

Figure 15 ■ Exemple de circuit électromécanique de catégorie 3.

Chaîne d'arrêtOuvert

Fermé

S1

K1 K2

K1

K2

S2

Figure 14 ■ Exemple de circuit électromécanique sans détection de défaut.

ou empêche les mouvements ou les états dange-

reux via K1 et K2.


protecteur est fermé (K1 et K2 alimentés).

Comportement sur défauts

■ Le démontage du protecteur est détecté par S2.

■ La fonction de sécurité est maintenue en cas de

défaillance de S1 ou S2 et de K1 ou K2.

■ Certaines défaillances de S1, de S2, de K1 ou de K2

ne sont pas détectées (collage de contacts, par

exemple).

■ L'accumulation de défauts entraîne la perte de la

fonction de sécurité.

Bien qu’un défaut unique ne mène pas à une

perte de la fonction de sécurité, on ne peut pas

considérer que ce schéma satisfasse à la catégo-

rie 3. En effet, l’état de la technique dans le

domaine de l’électromécanique montre qu’il est

raisonnablement faisable de détecter un défaut

unique sur S1, S2, K1 ou K2.

17

2.6.1.2 Circuit redondant avec détection dedéfaut (cf. figure 15)


■ Les détecteurs de position S1 et S2 sont à double

contact.

■ S1 et S2 sont câblés séparément. De ce fait, le

risque de défaillance par court-circuit entre deux

fils n’est pas à prendre en compte.

■ Les relais K1, K2 et K3 sont à contacts guidés. Le

relais K3 est temporisé à la retombée.








de contacts de «repos» et «travail» (S1 et S2) inter-

rompt ou empêche les mouvements ou les états

dangereux via K1, K2 et K3 (K1, K2 et K3 au repos).


protecteur est fermé (K1 et K2 alimentés, K3 au

repos).


■ Le démontage du protecteur est détecté du fait de

la discordance entre S1 et S2.


défaillance des interrupteurs S1 ou S2.


défaillance des relais K1, K2 ou K3.

■ Une défaillance sur S1, S2, K1, K2 ou K3 empêche la

remise en marche de la machine.

De façon pratique, de nombreux constructeurs

proposent sur le marché des blocs logiques qui

intègrent ce type de relayage (cf. § 2.8). De ce fait,

il est possible d’affirmer que ce type de schéma

reflète l’état de la technique dans le domaine des

circuits électromécaniques et, qu’en consé-

quence, il satisfait pleinement à la catégorie 3,

contrairement à l’exemple précédent.



■ Les distributeurs EV1, EV2, EV3 et EV4 sont des distri-

buteurs à recouvrement à l’arrêt positif (cf. annexe

5.5).

■ La commutation des vannes EV3 et EV4 est obtenue

par suppression du signal de commande.

■ Les vannes de commande EV1 et EV2 sont sécuri-

sées contre un changement de position.


et la durée de vie des différentes vannes sont

conformes aux indications du fabricant. Celui-ci

confirme, le cas échéant, que ces vannes sont des

éléments éprouvés (fiabilité suffisante).


■ Le verrouillage d'un protecteur mobile est assuré

par deux détecteurs de position pneumatiques (ou

hydrauliques) EV1 et EV2. Ils transmettent chacun

un signal de commande aux distributeurs EV3 et

EV4.

■ L'alimentation de l'énergie est uniquement assurée

lorsque le protecteur est fermé.


■ Aucune mesure de détection de défauts n'est pré-

vue.

■ La défaillance d'un des distributeurs n'entraîne pas

la perte de la fonction de sécurité.


EV1

EV2

Ouvert

Fermé

EV4

EV3

Vers l'équipement

Figure 16 ■ Exemple de circuit pneumatique de catégorie 3.

18

■ Certaines défaillances de EV1, EV2, EV3 ou EV4 ne

sont pas détectées.

■ L'accumulation de défauts non détectés peut


2.7 Catégorie 4

La conception de partie du système de commande

relative à la sécurité de catégorie 4 exige le respect de

la catégorie B et :

■ que le défaut unique sur l’une quelconque des par-

ties de ce circuit ne mène pas à une perte de la

fonction de sécurité,

■ que le défaut unique soit détecté dès ou avant la

prochaine sollicitation de la fonction de sécurité,

Ce type de schéma peut être considéré comme

satisfaisant aux prescriptions de la catégorie 3. En

effet, compte tenu de l’état actuel de la tech-

nique, il peut être admis qu’il n’est pas raisonna-

blement faisable de détecter un défaut unique

pour un circuit de commande hydraulique ou

pneumatique.

■ que si cette détection n’est pas possible, l’éventua-

lité de défauts supplémentaires doit être prise en

compte et leur accumulation ne doit pas mener à

la perte de la fonction de sécurité 5 [13].

Dans une partie de circuit de commande de catégorie 4,

la sécurité est essentiellement basée sur la structure du

circuit de commande. Lorsque les défauts se produisent,

la fonction de sécurité est toujours assurée. Les défauts

seront détectés à temps pour empêcher une perte de la

fonction de sécurité.



■ Tous les éléments de la commande influençant la

sécurité sont conçus de manière redondante.

■ Les détecteurs de position S1 et S2 sont câblés

séparément. De ce fait, le risque de défaillance par

court-circuit entre deux fils de ces contacts n’est

pas à prendre en compte.


Chaînes d'arrêt

Ouvert

Fermé

S1

K1

K1

K2

K2

K3

K4

K2

K3

K4

K3 K1

K3 K4

K2

K1

K3

K1

K2

K3

S2

K4

K1

K4 K4

K2

K3

Figure 17 ■ Exemple de circuit électromécanique de catégorie 4.

5 - Le nombre de défauts combinés à prendre en considérationdépend de la technologie, de la structure du circuit de commande etde l’application [13].

19






■ Les relais auxiliaires K1, K2, K3 et K4 sont à contacts

liés.



de contacts «repos» et «travail» (S1 et S2) interrompt

ou empêche les mouvements ou les états dange-

reux via K1, K2, K3 et K4 (K1, K2, K4 au repos et K3 ali-

mentés).


protecteur est fermé (K1, K2, K4 alimentés et K3 au

repos).


■ Le démontage du protecteur est détecté du fait de

la discordance entre S1 et S2.

■ La fonction de sécurité est également assurée en

cas de défaillance d'un élément. Tous les défauts

sont détectés par interruption de la chaîne de com-

mande en cours de fonctionnement ou lors de l'ac-

tionnement (ouverture et fermeture) du protecteur.

■ L'accumulation de défauts entre deux actionne-

ments consécutifs n’est pas pris en compte.

De façon pratique, de nombreux constructeurs propo-

sent sur le marché des blocs logiques qui intègrent ce

type de relayage (cf. § 2.8).

Remarque

Si plusieurs interrupteurs de position mécaniques de dif-

férents protecteurs sont montés en série, la catégorie 4

n’est plus satisfaite car aucune détection des défauts

des détecteurs de position n’est alors possible.



■ Les distributeurs EV1, EV2 et EV3 sont des distribu-

teurs à recouvrement à l’arrêt positif (cf. annexe

5.5).

■ EV3 est un distributeur redondant (pilotes mécani-

quement séparés) et autosurveillé de façon pneu-

matique (hydraulique) ou électromécanique [15].

■ La commutation de la vanne EV3 est obtenue par

suppression du signal de commande.

■ Les vannes de commande EV1 et EV2 sont sécu-

risées contre un changement de position.


et la durée de vie des différentes vannes sont

conformes aux indications du fabricant. Celui-ci

confirme, le cas échéant, que ces vannes sont des

éléments éprouvés (fiabilité suffisante).


■ Le protecteur mobile est verrouillé par deux détec-

teurs de position pneumatiques (hydrauliques) EV1

et EV2 et ils transmettent chacun une instruction de

commande à un distributeur autosurveillé EV3.

■ L'alimentation en énergie est uniquement assurée

lorsque le protecteur est fermé.

■ La commutation de la combinaison de distributeurs

EV3 est atteinte par suppression d'un ou des deux

signaux de commande.


■ La défaillance d'un distributeur n'entraîne pas la

perte de la fonction de sécurité.

■ La détection des défauts au sein de ce distributeur

respecte les spécifications de la catégorie 4.

■ Le déclenchement du mouvement dangereux est

neutralisé après une détection de défaut.


EV2

EV1

Ouvert

Fermé

EV3

Vers l'équipement

Figure 18 ■ Exemple de circuit pneumatiquede catégorie 4.

20

2.8 Blocs logiques de sécurité

De nombreux fabricants ont développé des blocs

logiques de sécurité pour réaliser de façon pratique et

sûre les circuits de relayage tels que décrits dans les

paragraphes 2.4 à 2.7 (cf. figure 19).

Ces blocs logiques se présentent sous la forme de boî-

tier intégrable dans les circuits de commande de

machine et permettent d’assurer diverses fonctions de

sécurité :

■ arrêt d’urgence,

■ contrôle de protecteur mobile (cf. figures 19 et 20),

■ commande bimanuelle,

■ relais de contrôle (vitesse, tension, temporisation,

arrêt, etc.),

■ commande muting (inhibition temporaire sécurisée

d'un dispositif de détection électrosensible),

■ tapis sensible,

■ extension de contacts, etc.

Ces modules peuvent être réalisés en technologie élec-

tromécanique ou électronique. Leur mise en œuvre

nécessite de se conformer aux prescriptions du

constructeur, en particulier en ce qui concerne le

câblage et les limites d'utilisation.

Ils disposent tous des fonctionnalités suivantes (cf. figure 20) :

■ des sorties de sécurité constituées soit de plusieurs

contacts en série appartenant aux relais internes à

contacts guidés (cf. annexe 5.4), soit de sorties sta-

tiques (cf. annexe 5.6),


Entrée 1

Arrêtd'urgence

Barrage immatériel

Contrôle deprotecteur

Bouclede

retour

Bloc logique de sécurité(catégorie 3 ou 4)

Entrée 2

K2

K2

K2

K1

K1

A1

A2

K1

Chaînes d'arrêtde la puissance

Figure 20 ■ Exemple de traitement de fonctions de sécurité de catégorie 3 ou 4.

Figure 19 ■ Exemple de bloc logique de sécurité.

tifs de sécurité dont l'information de sortie est délivrée

par deux contacts.

La figure 21 ci-après illustre un exemple d'utilisation de

différents blocs logiques pour la commande et le

contrôle des dispositifs de sécurité au travers d'une

représentation de machine selon la norme EN 292-1

(cf. § 1.1).

La figure 28 (cf. § 4.1.2) montre que l'on peut réaliser une

logique entièrement câblée respectant le concept de

sécurité positive en utilisant des bloc logiques de sécu-

rité.

■ Le mouvement dangereux est commandé par la

commande bimanuelle.

■ La protection de l'opérateur est assurée par un bar-

rage immatériel et un protecteur mobile.

■ La machine comporte un arrêt d'urgence.

21INTÉGRATION DE LA SÉCURITÉ AU NIVEAU DU CIRCUIT DE COMMANDE

Arrêtd'urgence

Bloclogiquecf. § 2.8

Commande bimanuelle

� Le mouvement dangereux est commandé par la commande bimanuelle.� La protection de l'opérateur est assurée par un barrage immatériel et un protecteur mobile.� La machine comporte un arrêt d'urgence.

Barrage immatériel

Protecteurmobile


Circuitélectromécanique

ouélectronique(ex. APIdS [4])



Capteursdispositifs de sécurité

(cf. ED 807)

Signalisation Actionneurs

Circuit de puissance(cf. § 3.3)

Circuit decommande

Organes de commande

Vérinhydraulique

Mouvementdangereux

Circuithydraulique

Figure 21 ■ Illustration de l’utilisation de blocs logiques de sécurité.

■ un contrôle de la concordance des informations

d'entrée,

■ un contrôle de leurs liaisons avec les dispositifs de

sécurité,

■ une boucle de retour permettant de contrôler l'état

des contacts de recopie associés aux relais ou

contacteurs commandés par les sorties du module.

Cette fonction permet de surveiller l'état des relais

ou contacteurs de commande externes à chaque

sollicitation. Dans certaines configurations de

câblage, cette boucle est utilisée pour créer une

fonction de réarmement automatique ou manuel.

Remarques

Il convient, lors de l'utilisation de ces blocs logiques pour

traiter des fonctions de sécurité de catégorie 3 ou 4, de

doubler les informations d'entrée en utilisant des disposi-

22

3

INTÉGRATION DE LA SÉCURITÉ AU NIVEAU DU CIRCUIT DE PUISSANCE

Intégration de la sécuritéau niveau du circuit de puissance

Si l'on souhaite assurer la sécurité par arrêt d’un mouve-

ment potentiellement dangereux, il faut arrêter ce mou-

vement de manière certaine, optimiser le temps de

mise à l'arrêt et maintenir cet arrêt. Ces exigences ont

une retombée sur la conception du circuit de puis-

sance.

3.1 Circuit de puissance électrique

Selon l’exemple de la figure 22, il est possible de com-

mander l'arrêt de l'actionneur par les contacteurs (KP et

KC) ou par le variateur de fréquence. Dans la pratique,

on pourra se contenter soit :

■ d’un contacteur (KP ou KC),

■ d’un contacteur et d’un variateur,

■ de deux contacteurs (KP et KC).

Le choix de la structure (redondante ou non) sera fonc-

tion des résultats d'une évaluation du niveau de contri-

bution de cette partie de circuit de puissance à la réduc-

tion de risque engendré par l’actionneur en question.

À titre indicatif, on peut envisager les cas de figure sui-

vants.

Temps d'obtention de l'arrêt minimisé tenant compte

d'un mécanisme à inertie importante

Dans ce cas, il faut non seulement interrompre l'arrivée

d'énergie sur l'actionneur M (contacteur) mais aussi

enclencher le frein électromécanique. De ce fait, la

solution «contacteur + frein» s'impose.

Temps d'obtention de l'arrêt minimisé avec prise en

compte du risque de déstabilisation de la charge

Pour certaines applications, un freinage brutal peut

entraîner un transfert de risque (chute du produit trans-

porté, par exemple). Ainsi le freinage le mieux adapté

Choix d'un oudeux contacteursen fonction d'uneestimation du risque

Pilotage du variateur

KP

KC

M

VARIATEUR DEVITESSE

Figure 22 ■ Exemple de circuit de puissance électrique.

23

devra suivre une rampe de décélération résultant du

meilleur compromis temps d'obtention de l'arrêt par rap-

port à la stabilité de la charge. Dans ce cas de figure, la

solution optimale sera «variateur de fréquence + contac-

teur à commande différée».

Temps d'obtention de l'arrêt avec un mécanisme pré-

sentant peu d'inertie

C'est le cas des mouvements lents mettant en œuvre des

transmissions à crémaillère, vis sans fin, etc.

On peut alors simplement utiliser la solution «un ou deux

contacteurs montés en série».

3.2 Circuit de puissance pneumatique


mander l'arrêt du vérin pneumatique par les distributeurs

EV1 et EV2 (avec ou sans autocontrôle).

Dans la pratique, on pourra se contenter soit :

■ d’un distributeur (EV2) simple ou redondant et auto-

surveillé (EV’2),

■ des deux distributeurs EV1 et EV2 (ou EV’2).

Le choix de la structure redondante et des autocontrôles

sera fonction des résultats d'une évaluation du niveau

de contribution de cette partie de circuit de puissance

à la réduction de risque engendré par le vérin.

À titre indicatif, on peut envisager les cas de figure sui-

vants pour l’obtention de l’arrêt d’un vérin.

Inversion du sens de mouvement pour faire revenir puis

maintenir à l’arrêt l’équipage mobile au point de

départ

Cette solution n’est acceptable que si le mouvement de

retour ne génère pas de nouveaux risques.

Arrêt de l’équipage mobile au cours

de son déplacement par :

■ mise à l’air libre du circuit d’alimentation du vérin.

Le temps d’obtention de l’arrêt dépend dans ce

cas de la rapidité de la purge du circuit, de l’iner-

tie de l’équipage mobile et des frottements aux-

quels il est soumis ;

■ mise à l’air libre du circuit d’alimentation du vérin

associé à un freinage mécanique de l’équipage

mobile. Du fait de la compressibilité de l’air, cette

solution est la seule qui permet un arrêt immé-

diat ;

■ blocage sur air des vérins : cette solution ne

garantit pas un arrêt précis et peut conduire à un

coincement de l’opérateur du fait des efforts qui

sont maintenus.

En conclusion, l’arrêt par coupure d’énergie avec mise à

l’air libre du circuit d’alimentation doit être privilégié

chaque fois que la disparition de la pression d’alimenta-

tion n’engendre pas de mouvement intempestif. Si l’ap-

plication comporte des vérins de bridage ou effectuant

un travail contre la pesanteur, des dispositions particu-

lières doivent alors être prises (clapets antiretour pilotés,

par exemple).

Des informations détaillées relatives à la sécurité

sur ces dispositions particulières et sur le choix des

distributeurs sont données dans la brochure INRS

ED 736 [6].


Distributeurde commande

Mouvementsdangereux

EV'2EV2

EV1

Pressostat

Filtre

Détendeur

Figure 23 ■ Exemple de circuit de puissance pneumatique.

24

Pour information, le tableau ci-dessus donne, pour la

commande d’un vérin double effet, quelques critères

relatifs à la sécurité pour le choix du distributeur.

3.3 Circuit de puissance hydraulique


mander l'arrêt du vérin par les distributeurs EV1 et EV2 et

par la coupure de la pompe hydraulique.

Dans la pratique, on pourra se contenter soit :

■ d’un distributeur EV1 avec ou sans contrôle de posi-

tion,

■ d’un distributeur EV1 et la commande du moteur

de la pompe hydraulique,

■ des deux distributeurs EV1 et EV2 avec ou sans

autocontrôles de leur position.

Le choix de la structure redondante et des autocontrôles

sera fonction des résultats d'une évaluation du niveau

de contribution de cette partie de circuit de puissance

à la réduction de risque engendré par le vérin.

Remarque

Dans le cas d’utilisation d’un seul distributeur à com-

mande proportionnelle (EV’1), la position d’arrêt doit être

obtenue par sa mise hors tension et non seulement par

l’application de la valeur de consigne adéquate (cf.

figure 25).

Pour des informations plus détaillées sur la

conception des circuits de puissance hydrau-

liques, nous recommandons aux lecteurs de se

référer aux références bibliographiques [16] [17]

[18].


Mise hors énergie du circuit

Permet facilement une mise à l'air libre de toutes les chambres du vérin quand on l'associe à un distributeur 3/2 ou à un robinet de purge 3/2.

Permet de façon automatique une mise à l'air libre de toutes les chambres du vérin.

Ne permet pas de façon simple une mise à l'air libre de toutes les chambres du vérin.Nécessite généralement un dispositif spécifique sur chaque liaison distributeur/vérin.

Possible à l'aide :• d'un distributeur purgeur 3/2 couplé si nécessaire à un freinage mécanique,• par blocage sur air à l'aide de distributeurs-bloqueurs 2/2.

Possible par mise à l'air libre couplé si nécessaire à un freinage mécanique.

Possible par blocage sur air à l'aide de distributeurs-bloqueurs 2/2.

Poursuite du mouvement en cours jusqu'en butée. Un vérin à l'arrêt reste à l'arrêt, effort maintenu.

Inversion ou poursuite du mouvement en cours. Risque de mouvement intempestif pour un vérin à l'arrêt.

Arrêt du mouvement en cours par mise à l'air libre. Un vérin à l'arrêt reste à l'arrêt, effort non maintenu.

Arrêt du mouvement en cours par blocage sur air. Un vérin à l'arrêt reste à l'arrêt, effort maintenu.

Distributeur 5/2 bistable

Distributeur 5/2 monostable

Distributeur 5/3 Centre ouvert

Distributeur 5/3 Centre fermé

Obtention de l'arrêt du vérin en cours de mouvement

Comportement du vérin en cas de coupure intempestive des signaux de commande

Résumé des critères de sécurité pour le choix d'un distributeur.

25INTÉGRATION DE LA SÉCURITÉ AU NIVEAU DU CIRCUIT DE PUISSANCE

Mouvementsdangereux

Arrêt d'urgence

Contact de miseà l'arrêt

Carte électronique

Mouvementsdangereux

Moteur de la pompehydraulique

Clapet anti-retour Filtre

Détendeur

Distributeurà commandeproportionnelle

Détecteurs de positiondes distributeurs

EV1 EV'1

EV2

M

Figure 24 ■ Exemple de circuit de puissance hydraulique.

Figure 25 ■ Dispositif à commande proportionnelle.

26

4 Exemple de conceptiond’un automatisme [19]

EXEMPLE DE CONCEPTION D’UN AUTOMATISME

P1

P2

KP1

KC1 KC2 KC3

S3

SV3SV2SV1

S2

SV2

S3

S3+ S2+ S1+

C1C2C3

C1C2C3

SV3

S2S1

KP2

Vers entrées

API(*)

Variateur Variateur

Frein

M1 M2 M3Sorties

Entré

es

API

UC

Frein Frein

Variateur

Vers entrées API(*)

Ordre d'arrêtd'urgence

(AU1, AU2…)

Autres ordresd'arrêt relatifs à la sécurité

(cf. fig. 25)

(*)(*) (*) (*)

Signaux fonctionnels/informations

Logiquecâblée

Informationsde sécurité

Figure 26 ■ Exemple de schéma répondant aux exigences de sécurité.

27

La figure 26 ci-contre représente un exemple de schéma

électrique pour lequel a été prise la précaution de sépa-

rer la partie purement fonctionnelle gérée par automate

programmable de la partie relative à la sécurité qui est

ici gérée par une logique câblée.

■ La logique câblée agit, selon la priorité affichée,

soit directement sur la puissance (relais et contact

P), soit sur l'automate programmable en coupant

l'alimentation des cartes de sortie (relais et contacts

C).

■ L'automate programmable agit soit sur le variateur

de vitesse (SV), soit sur les contacteurs KC (contacts

S), soit enfin sur le relais P de la logique câblée.

Cette façon de faire, qui est la plus fréquemment rencon-

trée dans le domaine des «machines», met en œuvre une

technique de redondance particulière que l'on peut

décomposer de la manière suivante :

■ redondance hétérogène du traitement des événe-

ments de sécurité,

■ redondance de la coupure en énergie car, pour

chaque actionneur pouvant engendrer un mouve-

ment dangereux, l'arrêt pourra être provoqué soit

par le dispositif d'arrêt d'urgence, soit par le disposi-

tif de protection qui lui est associé.

De ce fait, un actionneur peut être immobilisé par cha-

cune des trois actions suivantes :

■ désexcitation du/des contacteur(s) KP par l'inter-

médiaire du contact P, directement et unique-

ment commandé par la logique câblée,

■ désexcitation du/des contacteurs KC, soit par l'inter-

médiaire du contact P ou des contacts C pilotés

par la logique câblée, soit directement par l'auto-

mate programmable (contacts S),

■ action sur le variateur de vitesse par l'intermédiaire

soit du contact P, soit des contacts C pilotés par la

logique câblée, soit directement par l'automate

programmable (contact SV).

4.1 Partie relative à la sécurité

Comme rappelé dans le § 1.1, cette partie du système

de commande a pour objet unique l'exploitation des

signaux provenant directement des dispositifs de pro-

tection (barrages immatériels, tapis sensibles, dispositifs

de verrouillage, arrêt d'urgence, etc.). Ses ordres de sor-

tie actionnent les contacteurs KP et KC par l'intermé-

diaire des contacts P et C (cf. figure 27). Comme on

peut le constater sur ce schéma, cette partie du sys-

tème de commande va hiérarchiser les ordres d'arrêt et

les orienter vers les actionneurs concernés. Pour illustrer

notre propos, nous allons voir sur ce schéma comment

les ordres d'arrêt sont engendrés et traités dans diffé-

rents cas.


AU1

AU2

AU3Armement

Contacts de contrôleappartenant à l'API

BarrageCelluleÉcranTapis…

Contacts de sécurité

C1 C2 C3P

P

KAU

KAU

Figure 27 ■ Logique câblée relative à la sécurité.

28

4.1.1 Traitement de diverses fonctions

Traitement de l'ordre d'arrêt d'urgenceSur une machine équipée de plusieurs actionneurs, l'arrêt

d'urgence doit non seulement agir sur l'ensemble des

actionneurs (cela dans le but évident de diminuer le

temps de réaction homme-machine), mais aussi avoir

priorité absolue sur tous les autres ordres. Ainsi, la logique

câblée traitera de manière prioritaire l'ordre d'arrêt d'ur-

gence qui, en agissant sur le contacteur KP, supprimera

l'arrivée d'énergie sur l'ensemble des actionneurs M1, M2,

et M3.

Bien entendu, l’arrêt d'urgence sera également traité en

parallèle par la partie relative à la commande du pro-

cessus, par désexcitation de KC1, KC2, KC3 et par l'envoi

d'une consigne d'arrêt rapide sur les variateurs.

Traitement d'un ordre issu d'un dispositif deprotectionIci, contrairement à ce qui se passe dans le cas précé-

dent, l'ordre d'arrêt généré par la logique câblée sera

destiné à agir uniquement sur l'axe concerné. Pour cela,

elle interviendra, par l'intermédiaire de l'un des contacts

C, sur le contacteur KC relatif à l'actionneur en question.

Bien entendu, l'événement de sécurité sera aussi ana-

lysé en redondance par la partie fonctionnelle en agis-

sant sur la carte de sortie de l'automate programmable

correspondant à cet actionneur.

Traitement différé d'un ordre d'arrêtPour éviter un transfert de risque dû à un arrêt brutal, il

est parfois conseillé d'appliquer d'abord un freinage

commandé par le variateur de vitesse via l'automate ; la

coupure de la puissance par le circuit de sécurité étant

différée d'un temps suffisant pour permettre un arrêt

«sans casse». Bien entendu, si l'automate ne remplit pas

sa fonction, l'arrêt se fera néanmoins mais avec un léger

retard et de manière brutale.

Traitement d'un autocontrôleCe traitement peut être directement pris en compte par

la partie fonctionnelle, à condition d'utiliser un automate

programmable industriel. Néanmoins, cela ne saurait

être une règle générale et doit s'apprécier en fonction

de l'importance du risque.

4.2.1 Principe de fonctionnement 6

La première ligne, affectée aux arrêts d'urgence, ali-

mente le relais KAU si aucun arrêt n'est sollicité (cf. figure

27).

Le relais P de la deuxième ligne est lui-même alimenté

si :

■ le contact de contrôle des arrêts d'urgence (KAU)

est fermé (aucun arrêt d'urgence actionné),

■ le contact de contrôle des sécurités appartenant à

l'automate est fermé (contrôle positif),

■ les fonctions de sécurité correspondant aux relais

C1, C2, C3 sont activées mais non sollicitées,

■ le contact «armement» est fermé.

Ces conditions remplies, le relais P s'autoalimente. Sa

mise hors tension se produira uniquement par KAU ou

par le contact appartenant à l'automate.

Les relais C1, C2, C3 sont alimentés par les contacts des

dispositifs de sécurité ainsi que par les contacts de

contrôle appartenant à l'automate (cf. figure 28) et le

contact (KAU) vérifiant les arrêts d'urgence.

La figure 29 montre qu'on peut réaliser une logique

entièrement câblée respectant le concept de sécurité

positive en utilisant des blocs logiques de sécurité (cf. §

2.8).

La première ligne met en œuvre un bloc logique d'arrêt

d'urgence dont la mission est de contrôler la coïnci-

dence d'informations provenant des dispositifs d'arrêt

d'urgence.

La deuxième ligne réalise la fonction d'arrêt d'urgence

en tenant compte de certaines conditions indispen-

sables telles que l'armement et la vérification des sécuri-

tés à chaque mise en route. Là aussi le relais P de la

figure 27, dont la mission est capitale pour la sécurité, est

remplacé par un bloc logique de sécurité à sorties auto-

contrôlées. La même technique est utilisée pour les

entrées de sécurité provenant des barrages immatériels,


6 - Ces schémas (figures 27 et 28) donnés en exemple ne peuvent êtreutilisés qu'avec une structure telle que celle présentée figure 26 car,dans ce cas, les relais KAU, P, C1, C2, C3 sont contrôlés par l'automateprogrammable industriel. En revanche, si l'on substitue à l'automate pro-grammable industriel une logique câblée, il sera nécessaire, pour res-pecter le concept de sécurité positive, d'utiliser une technique d'auto-contrôle faisant appel à des modules de sécurité conçus de façon àdétecter leurs propres défaillances.

29EXEMPLE DE CONCEPTION D’UN AUTOMATISME

UNITÉ CENTRALE

MODULES D'ENTRÉES

MODULES DE SORTIES

1 2 3 Sortiesfonctionnelles

Informationsde sécurité

Informationsfonctionnelles

KAU Armement Barrage Écran … Arrêt Marche Tempo Capteur

Alimentation des modulesde sortie

…AU1 AU2 AU3 P

P

C3C2C1

S1 S2 S3

Figure 28 ■ Actions des informations de sécurité sur l'automate.

AU1

AU2

AU3

Armement

Sortie bloclogique C1

Sortie bloclogique C2

Sortie bloclogique P

Sortie bloclogique KAU

Sécurité 1 Sécurité 2

Bloc logiqueKAU

Bloc logiqueC1

Bloc logiqueC2

Bloc logiqueP

Figure 29 ■ Logique câblée réalisée à partir de blocs logiques de sécurité.

des dispositifs de verrouillage associés aux protecteurs,

etc. Les raccordements dénommés «sortie bloc logique

C1» et «sortie bloc logique C2» situés dans la ligne de

commande du bloc logique P sont constitués de plu-

sieurs contacts disposés en série qui appartiennent aux

relais internes des modules.

5 Annexes

30

5.1 Action mécanique positive (NF EN 609457-5-1)

Pour qu’un détecteur de position soit considéré à

manœuvre positive d’ouverture, il faut que la séparation

des contacts résulte d’un déplacement défini de l’or-

gane de commande de l’interrupteur transmis par des

pièces non élastiques (par exemple, sans ressort inter-

médiaire) [20].

Les détecteurs satisfaisant à cette prescription portent le

marquage

5.2 Actionnement suivant le mode positif (NF EN 292-1)

L’ouverture du protecteur entraîne directement l’ouver-

ture des contacts. À la fermeture du protecteur, les

contacts sont fermés par l’effort d’un ressort (cf. figure

31).

5.3 Relais à contacts liés ou guidés (NF EN 50205)

Un relais tout ou rien est à contacts guidés lorsqu’un

moyen mécanique empêche qu’au moins un contact

«repos» et un contact «travail» ne puissent être simulta-

nément en position fermée (cf. figure 32).

En conséquence :

■ si l’un des contacts «travail» du relais est fermé,

aucun des contacts repos ne doit être fermé,

■ si l’un des contacts «repos» reste fermé, aucun des

contacts «travail» ne doit se fermer.

D’autres appellations telles que relais à contacts liés, à

contacts solidaires ou encore à contacts non chevau-

chants de sécurité sont quelquefois utilisés [21].

ANNEXES

Contactfermé

Contactouvert

Capot fermé Capot ouvert

Figure 30 ■ Manœuvre positive d'ouverture.

Figure 31 ■ Actionnement suivant le mode positif.

31ANNEXES

Contact travail

Contact repos

Contact travail

Contact repos

Contact collé

Contact complémentairereste ouvert avec unedistance > 0,5 mmContact

travail

Contact repos

Contacteur en position repos

Contacteur en position travail

Contacteur défaillant

Figure 32 ■ Relais à contacts liés ou guidés.

Remarque

Dans le cas de sorties à relais électromécaniques, ces

derniers doivent être considérés comme des pièces

d’usure. En conséquence, ils doivent faire l’objet d’une

maintenance préventive et/ou curative :

■ maintenance préventive : changement de ces

relais en cas de dépassement de leur durée de vie.

Le nombre de manœuvres du relais peut être

estimé à partir d’informations telles que le nombre

d’heures et/ou de cycles de la machine sur

laquelle est installé le composant ;

■ maintenance curative : changement systématique

de ces relais dès le premier dysfonctionnement

signalé par leur dispositif de surveillance intégré au

composant de sécurité.

5.4 Distributeur à recouvrement à l’arrêt positif

Un distributeur est à recouvrement à l’arrêt positif lorsque

dans cette position d’arrêt, tous les orifices du distributeur

sont isolés entre eux (cf. figure 33).

5.5 Sorties statiques

Les sorties statiques (cf. figure 34) présentent l’avantage

de ne plus posséder d’éléments mécaniques et de ce

fait elles apparaissent plus fiables que les sorties à relais.

Recouvrement positif

X1 X2

X2 X2X1 X1

Figure 33 ■ Distributeur à recouvrement à l'arrêt positif [16].

Charge

Sortiestatique

Bloc logiquede sécurité

Alimentationélectrique

Figure 34 ■ Schéma de principe d'une sortie statique.

Elles peuvent néanmoins présenter des défaillances

potentiellement dangereuses dans les cas suivants :

■ non respect de la charge préconisée (impédance,

tension de commande, etc.), dans ce cas, le seul

courant de fuite inhérent à ce type de sortie peut

générer aux bornes de la charge de sortie, une ten-

sion équivalente à une sortie active alors qu'elle est

commandée pour être inactive ;

■ défaillance interne ou externe (rupture de masse,

coupure de circuit interne, non respect du câblage

préconisé, etc.) entraînant une polarisation suffi-

sante de ces sorties pour générer aux bornes de la

charge de sortie une tension équivalente à une sor-

tie active alors qu'elle est commandée pour être

inactive ;

■ destruction des protections contre les perturbations

conduites et/ou surtensions (diodes transil, varistances,

etc.) : ces protections sont nécessaires du fait de l’ab-

sence d’isolation galvanique entre l'électronique du

composant de sécurité et la charge commandée. La

commutation de charges trop selfiques, de courants

trop importants, ou de tensions insuffisamment régu-

lées peut détruire ces protections et ainsi exposer, si

ces destructions ne sont pas détectées, les commuta-

teurs statiques à des défaillances de mode commun

en cas de nouvelles perturbations.

En conséquence, dans le cas des blocs logiques àsorties statiques, une attention toute particulièredoit être portée sur la qualité de son alimentationélectrique, sur la nature de la charge raccordée etsur l'environnement électromagnétique. Lesconsignes de câblage préconisées dans lesnotices d’installation de ces produits doivent êtrescrupuleusement respectées.

32 ANNEXE

LEXIQUE 33

Note 1 : après défaillance d’une entité, cette entité a un

défaut.

Note 2 : une défaillance est un passage d’un état à un

autre, par opposition à un défaut qui est un état.

– Défaut (EN 954-1)

État d’une entité inapte à accomplir une fonction

requise, non comprise l’inaptitude due à la mainte-

nance préventive ou à d’autres actions programmées

ou due à un manque de moyens extérieurs.

Note : un défaut est souvent la conséquence d’une

défaillance de l’entité elle-même, mais peut exister sans

défaillance préalable.

– Dispositif de verrouillage (NF EN 292-1)

Dispositif de protection mécanique, électrique ou d’une

autre technologie, destiné à empêcher certains éléments

de la machine de fonctionner dans certaines conditions

(généralement tant qu’un protecteur n’est pas fermé).

– Dommage (EN 1050)

Lésion physique et/ou atteinte à la santé ou aux biens.

– Estimation du risque (EN 292-1)

Estimation globale de la probabilité et de la gravité

d’une lésion ou d’une atteinte à la santé pouvant surve-

nir dans une situation dangereuse, en vue de sélection-

ner des mesures de sécurité appropriées.

– Fiabilité (EN 292-1)

Aptitude d’une machine, ou de composants, ou d’équi-

pements, à accomplir sans défaillance une fonction

requise dans des conditions données et pendant un

laps de temps donné. ■ ■ ■

Les définitions listées ci-après sont issues prioritairement de

la réglementation des normes couramment utilisées dans

le domaine de la sécurité des machines. En l'absence de

définitions dans ce domaine, la recherche a été élargie à

d’autres domaines (process, automatisme, etc.).

– Autosurveillance (NF EN 292-1)

Fonction de sécurité indirecte grâce à laquelle une

action de sécurité est déclenchée si l’aptitude d’un

composant ou d’un constituant à assurer sa fonction

diminue, ou si les conditions de fonctionnement sont

modifiées de telle façon qu’il en résulte un risque. Il existe

deux catégories d’autosurveillance :

■ autosurveillance «continue», par laquelle une

mesure de sécurité est immédiatement déclen-

chée lorsque se produit une défaillance,

■ autosurveillance «discontinue», par laquelle une

mesure de sécurité est déclenchée pendant un

cycle ultérieur du fonctionnement de la machine si

une défaillance s’est produite.

– Catégorie (EN 954-1)

Classification des parties d'un système de commande

relatives à la sécurité liée à leur résistance aux défauts et

à leur comportement subséquent sous défauts et qui est

obtenu par la structure des parties et/ou leur fiabilité.

– Circuit de commande (EN 60204)

Circuit servant à commander le fonctionnement de la

machine et à la protection des circuits de puissance.

– Défaillance (EN 954-1)

Cessation de l’aptitude d’une entité à accomplir une

fonction requise.

Lexique

34 LEXIQUE

– Fonction de sécurité (EN 292-1)

Fonction d'une machine dont la défaillance peut

accroître la probabilité de blessure ou d'atteinte à la

santé.

– Machine (directive 98-37)

Ensemble de pièces ou d’organes liés entre eux, dont au

moins un est mobile et, le cas échéant, d’actionneurs,

de circuits de commande et de puissance, etc., réunis

de façon solidaire en vue d’une application définie,

notamment pour la transformation, le traitement, le

déplacement et le conditionnement d’un matériau.

Est également considéré comme «machine» un

ensemble de machines qui, afin de concourir à un seul

et même résultat, sont disposées et commandées de

manière à être solidaires dans leur fonctionnement.

– Partie de système de commande relative à la sécu-

rité (EN 954-1)

Partie ou sous-partie(s) d’un système de commande qui

répond à des signaux d’entrée et génère des signaux de

sorties relatifs à la sécurité. Les parties combinées d’un

système de commande relatives à la sécurité commen-

cent aux points où les signaux relatifs à la sécurité sont

générés et se terminent à la sortie des éléments de com-

mande de puissance. Cela inclut également des sys-

tèmes de surveillance.

– Phénomènes dangereux (EN 292-1)

Causes capables de provoquer une lésion ou une

atteinte à la santé.

– Prévention intrinsèque (NF EN 292-1)

Mesures de sécurité qui consistent à :

■ éviter ou réduire autant de phénomènes dange-

reux dès que possible en choisissant convenable-

ment certaines caractéristiques de conception,

■ limiter l’exposition des personnes aux phénomènes

dangereux inévitables ou qui ne peuvent être suffi-

samment réduits ; ceci s’obtient en réduisant le

besoin, pour l’opérateur, d’intervenir dans des

zones dangereuses.

– Risques (EN 292-1)

Combinaison de la probabilité et de la gravité d’une

lésion ou d’une atteinte à la santé pouvant survenir dans

une situation dangereuse.

– Sécurité positive (NF EN 292-1)

Situation théorique qui serait réalisée si une fonction de

sécurité restait assurée en cas de défaillance du système

d’alimentation en énergie ou de tout composant contri-

buant à la réalisation de cette situation.

Dans la pratique, on se rapproche d’autant plus de la réali-

sation de cette situation que l’effet des défaillances sur la

fonction de sécurité considérée est plus réduit.

– Système automatisé (NF CEI 61131-1)

Système de commande dans lequel des configurations

d'automate programmable sont incorporées par ou

pour l'utilisateur, mais qui contient également d'autres

éléments constitutifs y compris leurs programmes d'ap-

plication.

BIBLIOGRAPHIE 35

Bibliographie

[12] Directive 89/655/CEE du 30 novembre 1989Prescriptions minimales de sécurité et de santé pourl’utilisation par les travailleurs au travail d’équipe-ments de travail (JO-CE n° L 393 du 30/12/89, pp. 13-17)modifiée par la directive 95/62/CE du 5 décembre 1995(JO-CE n° L 335 du 30/12/95, pp. 28-36).

[13] NF EN 954-1 Sécurité des machines. Parties dessystèmes de commande relatives à la sécurité.Partie I : principes généraux de conception. Afnor,décembre 1996.

[14] CR 954-100 Sécurité des machines. Parties dessystèmes de commande relatives à la sécurité.Partie 100 : guide d’utilisation et d’application del’EN 954-1 : 1996. Afnor, décembre 1999.

[15] Electrovannes double corps. Analyse fonction-nelle et résultats d'essais. J. Marsot, J.-L. Lannier.ND 2129-179-00, INRS, 2000.

[16] Hydraulique industrielle appliquée. B. Reminiac.ISF, Division hydraulique, 1986.

[17] Le cours d'hydraulique. Tome I à IV.Mannesmann Rexroth. Mannesmann Rexroth GmbH,1986.

[18] Commande et asservissements hydrauliques etélectrohydrauliques. M. Guillon. Techniques et docu-mentation, Lavoisier, 1992.

[19] L’intégration de la sécurité. Conception d’unautomatisme. M. Kneppert. Travail & Sécurité, n° 5, INRS,1995, pp. 309-316.

[20] NF EN 60947-5-1 Appareillage basse tension.Partie V. 1. Appareils et éléments de commutationpour circuits de commande. Appareils électromé-caniques. Afnor, mai 1998.

[21] NF EN 50205 Relais à contacts guidés (liés).Afnor, janvier 1998.

[1] Sécurité des machines et des équipements detravail. Moyens de protection contre les risquesmécaniques. H. Lupin, J. Marsot. INRS, ED 807, 2000.

[2] Catégories for Safety-related control Systems inAccordance with EN 954-1. W. Kleinbreur,F. Kreutzkampf, K. Meffert, D. Reinert. BIA Report 6/97e,HVBG Sankt Augustin, 09/99.

[3] Câblage des entrées et des sorties des APIdS.J. Gillot, D. Le Page. INRS, ED 905, 2003.

[4] Gestion des fonctions de sécurité par auto-mate programmable dédié à la sécurité (APIdS).D. Dei-Svaldi, M. Kneppert. INRS, NST 224, 2002.

[5] NF EN 60204-1 Sécurité des machines. Équipe-ment électrique des machines. Partie I : règlesgénérales. Afnor, février 1993.

[6] Conception des automatismes pneumatiques.INRS, ED 736, 2001.

[7] NF EN 982 Sécurité des machines. Prescriptionsde sécurité pour les systèmes de transmissionshydrauliques et leurs composants. Afnor, avril 1994.

[8] NF EN 983 Sécurité des machines. Prescriptionsde sécurité pour les systèmes de transmissionspneumatiques et leurs composants. Afnor, avril 1994.

[9] NF EN 292-1 Sécurité des machines. Notions fon-damentales. Principes généraux de conception.Partie I : Terminologie de base, méthodologie. Afnor,1991.

[10] NF EN 1050 Sécurité des machines. Principespour l’appréciation du risque. Afnor.

[11] Directive 98/37/CE du 22 juin 1998Rapprochement des législations des étatsmembres relatives aux machines. JO-CE n° L 207 du23/07/98.

■ Pour se procurer les normes,AFNOR 11 avenue Francis de Pressensé - 93571 Saint-Denis La Plaine cedexTél : 01 41 62 80 00 - www.afnor.fr

ALSACE-MOSELLE(67 Bas-Rhin)14 rue Adolphe-Seyboth BP 39267010 Strasbourg cedex tél. 03 88 14 33 00fax 03 88 23 54 13

(57 Moselle)3 place du Roi-GeorgeBP 3106257036 Metz cedex 1 tél. 03 87 66 86 22fax 03 87 55 98 65

(68 Haut-Rhin)11 avenue De-Lattre-de-Tassigny BP 48868020 Colmar cedex tél. 03 89 21 62 20fax 03 89 21 62 21

AQUITAINE(24 Dordogne, 33 Gironde,40 Landes, 47 Lot-et-Garonne,64 Pyrénées-Atlantiques)80 avenue de la Jallère33053 Bordeaux cedex tél. 05 56 11 64 00fax 05 56 39 55 93

AUVERGNE(03 Allier, 15 Cantal, 43 Haute-Loire,63 Puy-de-Dôme)48-50 boulevard Lafayette63058 Clermont-Ferrand cedex 1tél. 04 73 42 70 22 fax 04 73 42 70 15

BOURGOGNE et FRANCHE-COMTÉ(21 Côte-d’Or, 25 Doubs, 39 Jura,58 Nièvre, 70 Haute-Saône,71 Saône-et-Loire, 89 Yonne,90 Territoire de Belfort)ZAE Cap-Nord38 rue de Cracovie21044 Dijon cedex tél. 03 80 70 51 22 fax 03 80 70 51 73

BRETAGNE(22 Côtes-d’Armor, 29 Finistère,35 Ille-et-Vilaine, 56 Morbihan)236 rue de Châteaugiron35030 Rennes cedex tél. 02 99 26 74 63fax 02 99 26 70 48

CENTRE(18 Cher, 28 Eure-et-Loir, 36 Indre,37 Indre-et-Loire, 41 Loir-et-Cher, 45 Loiret)36 rue Xaintrailles45033 Orléans cedex 1tél. 02 38 79 70 00fax 02 38 79 70 30

CENTRE-OUEST(16 Charente, 17 Charente-Maritime,19 Corrèze, 23 Creuse, 79 Deux-Sèvres,86 Vienne, 87 Haute-Vienne)4 rue de la Reynie87048 Limoges cedex tél. 05 55 45 39 04fax 05 55 79 00 64

ÎLE-DE-FRANCE(75 Paris, 77 Seine-et-Marne,78 Yvelines, 91 Essonne,92 Hauts-de-Seine, 93 Seine-Saint-Denis,94 Val-de-Marne, 95 Val-d’Oise)17-19 place de l’Argonne75019 Paristél. 01 40 05 32 64fax 01 40 05 38 84

LANGUEDOC-ROUSSILLON(11 Aude, 30 Gard, 34 Hérault,48 Lozère, 66 Pyrénées-Orientales)29 cours Gambetta34068 Montpellier cedex 2tél. 04 67 12 95 55fax 04 67 12 95 56

MIDI-PYRÉNÉES(09 Ariège, 12 Aveyron, 31 Haute-Garonne,32 Gers, 46 Lot, 65 Hautes-Pyrénées,81 Tarn, 82 Tarn-et-Garonne)2 rue Georges-Vivent31065 Toulouse cedex 9tél. 05 62 14 29 30fax 05 62 14 26 92

NORD-EST(08 Ardennes, 10 Aube, 51 Marne,52 Haute-Marne, 54 Meurthe-et-Moselle,55 Meuse, 88 Vosges)81 à 85 rue de Metz54073 Nancy cedex tél. 03 83 34 49 02fax 03 83 34 48 70

NORD-PICARDIE(02 Aisne, 59 Nord, 60 Oise,62 Pas-de-Calais, 80 Somme)11 allée Vauban59662 Villeneuve-d’Ascq cedex tél. 03 20 05 60 28fax 03 20 05 63 40

NORMANDIE(14 Calvados, 27 Eure, 50 Manche,61 Orne, 76 Seine-Maritime)Avenue du Grand-Cours, 2022 X76028 Rouen cedex tél. 02 35 03 58 21fax 02 35 03 58 29

PAYS DE LA LOIRE(44 Loire-Atlantique, 49 Maine-et-Loire,53 Mayenne, 72 Sarthe, 85 Vendée)2 place de BretagneBP 93405, 44034 Nantes cedex 1tél. 02 51 72 84 00fax 02 51 82 31 62

RHÔNE-ALPES(01 Ain, 07 Ardèche, 26 Drôme,38 Isère, 42 Loire, 69 Rhône,73 Savoie, 74 Haute-Savoie)26 rue d’Aubigny69436 Lyon cedex 3tél. 04 72 91 96 96fax 04 72 91 97 09

SUD-EST(04 Alpes-de-Haute-Provence,05 Hautes-Alpes, 06 Alpes-Maritimes,13 Bouches-du-Rhône, 2A Corse Sud,2B Haute-Corse, 83 Var, 84 Vaucluse)35 rue George13386 Marseille cedex 5tél. 04 91 85 85 36fax 04 91 85 79 01

Pour commander les films (en prêt), les brochures et les affiches de l’INRS,adressez-vous au service prévention de votre CRAM ou CGSS.

Services prévention des CRAM

GUADELOUPEImmeuble CGRRRue Paul-Lacavé97110 Pointe-à-Pitretél. 05 90 21 46 00fax 05 90 21 46 13

GUYANEEspace Turenne RadamontheRoute de Raban, BP 701597307 Cayenne cedex tél. 05 94 29 83 04fax 05 94 29 83 01

LA RÉUNION4 boulevard Doret97405 Saint-Denis cedex tél. 02 62 90 47 00fax 02 62 90 47 01

MARTINIQUEQuartier Place-d’Armes97210 Le Lamentin cedex 2tél. 05 96 66 51 31

05 96 66 51 33fax 05 96 51 81 54

Services prévention des CGSS

Ce document traite des circuits de commande

des équipements de travail pour lesquels la

mise en sécurité du personnel est obtenue par

l'immobilisation et le maintien à l'arrêt des

éléments dangereux. Il a pour but d’aider les

concepteurs et/ou les intégrateurs de ces

équipements en attirant leur attention

sur la nécessité de prévoir, pour les parties

« puissance » et « commande » d'un

automatisme, une architecture et des fonctions

capables d'intégrer des moyens de prévention

(barrages immatériels, arrêt d’urgence,

dispositifs de verrouillage, etc.).

Le premier chapitre de ce recueil présente

de façon générale les circuits de commande

et les prescriptions qui leur sont applicables

dès lors qu’ils contribuent au processus

de réduction du risque.

Les chapitres suivants présentent l’impact de

l’intégration de la sécurité au niveau des

circuits de commande et de puissance d’un

automatisme. Ils sont illustrés par des schémas

de principe et présentent pour chacun d'eux

une description fonctionnelle, les principales

caractéristiques constructives, et leur

comportement sur défauts.

Ce document est complémentaire de la

brochure ED 807 relative aux moyens de

protection contre les risques mécaniques.

Institut national de recherche et de sécurité pour la prévention des accidents du travail et des maladies professionnelles30, rue Olivier-Noyer 75680 Paris cedex 14 • Tél. 01 40 44 30 00Fax 01 40 44 30 99 • Internet : www.inrs.fr • e-mail : [email protected]

Édition INRS ED 913

1re édition • novembre 2003 • 5 000 ex. • ISBN 2-7389-0411-4