Sécurité des machines

Transcription

1 Sécurité des machines Sécurité fonctionnelle et mise en œuvre de la nouvelle directive relative aux machines Sécurité fonctionnelle et mise en œuvre de la nouvelle directive relative aux machines 1

2 2 Sécurité fonctionnelle et mise en œuvre de la nouvelle directive relative aux machines

3 Table des matières 1. Directive européenne relative aux machines p 4 La directive européenne relative aux machines 2006/42/CE, remplace la directive relative aux machines 98/37/CE. Parallèlement, les normes disponibles pour la conception de systèmes de contrôle commande liés à la sécurité ont changé. 2. Approche de la sécurité fonctionnelle p 6 Les nouvelles normes relatives à la sécurité fonctionnelle sont conçues pour encourager les concepteurs à se consacrer davantage aux fonctions nécessaires pour réduire chaque risque et aux performances requises pour chaque fonction, plutôt que de s'appuyer uniquement sur des composants particuliers. Ces normes permettent d'atteindre des niveaux de sécurité plus élevés tout au long du cycle de vie de la machine. 3. Quelle norme? p 10 Les normes EN et EN ISO ont toutes deux traits à la sécurité fonctionnelle des systèmes de contrôle commande de machines, mais utilisent des termes et des techniques légèrement différents pour déterminer les niveaux de sécurité. De nombreux utilisateurs sont désorientés par les conseils contradictoires des fournisseurs qui privilégient une norme par rapport à une autre. 4. Mise en contexte de la sécurité fonctionnelle p 12 La sécurité fonctionnelle fait partie intégrante de la conception de systèmes de commande sûrs. Il convient cependant de prendre en compte d'autres facteurs lors de la conception de systèmes de commande. Sécurité fonctionnelle et mise en œuvre de la nouvelle directive relative aux machines 3

4 1Nouvelle directive européenne relative aux machines La directive européenne relative aux machines 2006/42/CE, remplace la directive 98/37/CE. Les utilisateurs de la forme EN reconnaîtront l'ancien «graphe des risques» servant à l évaluation des architectures de sécurité des circuits de commande électriques dans les catégories B, 1, 2, 3 ou 4. Ils devaient, et doivent encore, évaluer la gravité des blessures, la fréquence d'exposition et la possibilité d'évitement pour déterminer la catégorie requise pour chaque fonction de sécurité. Cette catégorie spécifiait le comportement du circuit de sécurité en cas de défaillance mais ne traitait pas de la probabilité d'une défaillance dangereuse. Face à l'utilisation accrue de circuits électroniques programmables et non programmables dans ces systèmes, il n'est plus possible d'évaluer la sécurité simplement en termes de catégories. De plus, la norme précédente ne fournit aucune information sur la probabilité d'une défaillance. Ces dernières années, le concept de sécurité fonctionnelle est apparu : il fait référence à la sécurité globale de l'équipement sous contrôle (EUC) et au système de commande associé. La sécurité fonctionnelle dépend du fonctionnement correct des systèmes électriques, électroniques, électroniques programmables et autres systèmes liés à la sécurité de la technologie, ainsi qu'aux méthodes de réduction des risques externes. Il ne s'agit pas d'un attribut d'un composant particulier ou d'un type de dispositif spécifique. Cela concerne plutôt l'ensemble de l'équipement sous contrôle et son système de commande. La sécurité fonctionnelle s'applique à tous les éléments qui contribuent aux performances d'une fonction de sécurité, par exemple les commutateurs d'entrée, les solutions logiques comme les relais de sécurité, les contrôleurs de sécurité et les PLC de sécurité (y compris les logiciels et micrologiciels associés), ainsi que les dispositifs de sortie tels que les contacteurs et les variateurs de vitesse. L'expression fonctionnement correct désigne un fonctionnement approprié, et pas seulement conforme aux prévisions. Il est donc essentiel d'effectuer une sélection adéquate des fonctions. Auparavant, les concepteurs tendaient à choisir des composants dans la catégorie de plus haut niveau de la norme EN (catégorie 4), plutôt que de sélectionner des composants d'une catégorie inférieure susceptibles de fournir des fonctions suffisamment adaptées. Cela était souvent dû à l'opinion erronée selon laquelle les catégories de la norme EN sont hiérarchiques (la catégorie 3 est, par exemple, «supérieure» à la catégorie 2.) 4 Sécurité fonctionnelle et mise en œuvre de la nouvelle directive relative aux machines

5 Les nouvelles normes EN ISO et EN permettent de palier les carences de la norme EN Elles nécessitent la prise en compte de l'architecture des circuits comme dans la norme EN 954-1, mais également de la fiabilité des composants du circuit de sécurité et de la capacité de celuici à détecter/diagnostiquer les défaillances et la probabilité d'une défaillance de cause commune. Les performances de chaque fonction de sécurité sont spécifiées sous la forme SIL (niveau d'intégrité de sécurité 1, 2 ou 3) au titre de la norme ou PL (niveau de performances a, b, c, d ou e) au titre la norme EN ISO Présentation des directives et normes de sécurité européennes selon le secteur d'activité Droits fondamentaux de l'ue Libre circulation (marquage CE) Protection des travailleurs Protection de l'environnement Directive de l'union européenne Machines 2006/42/CE Utilisation de l'équipement de travail 89/391/CE Seveso II 2008/99/CE 96/82/CE Secteur d'activité Constructeur de machines Utilisateur final Intégrateur de système Utilisateur final Intégrateur de système Normes harmonisées EN ISO EN EN ISO EN EN EN Normes de sécurité Norme générique EN Sécurité fonctionnelle et mise en œuvre de la nouvelle directive relative aux machines 5

6 2 Approche de la sécurité fonctionnelle Les nouvelles normes relatives à la sécurité fonctionnelle sont conçues pour encourager les concepteurs à se consacrer davantage aux fonctions nécessaires pour réduire chaque risque et aux performances requises pour chaque fonction, plutôt que de s'appuyer sur des composants particuliers. Ces normes permettent d'atteindre des niveaux de sécurité plus élevés durant le cycle de vie de la machine. Selon l'ancienne norme EN 954-1, les catégories (B, 1, 2, 3 et 4) indiquaient le comportement requis d'un circuit de contrôle commande électrique en cas de défaillance. Les concepteurs peuvent dorénavant suivre les normes EN ISO ou EN pour démontrer la conformité de leurs machines par rapport à la directive 2006/42/CE relative aux machines. Ces deux nouvelles normes tiennent compte de l'occurrence éventuelle d'une défaillance, mais aussi de sa probabilité. Cela indique l'existence d'un élément aléatoire quantifiable dans le cadre de la conformité : les constructeurs de machines doivent être en mesure de déterminer si leur circuit de sécurité est conforme au niveau d'intégrité de sécurité ou au niveau de performances. Les constructeurs et les concepteurs de panneaux doivent savoir que les fabricants des composants utilisés dans les circuits de sécurité (par exemple les composants de détection, les solutions logiques et les dispositifs de sortie comme les contacteurs) doivent fournir des données détaillées concernant leurs produits. Machines Sécurité des systèmes et des équipements EN Sécurité fonctionnelle des systèmes électriques, électroniques et électroniques programmables liés à la sécurité EN ISO Éléments des systèmes de commande liés à la sécurité EN Sécurité des machines Sécurité fonctionnelle des systèmes de contrôle commande de sécurité électriques, électroniques et électroniques programmables Ces données peuvent cependant être complexes. Les nouvelles normes ont des exigences différentes et il peut être difficile de comprendre la signification de tous les chiffres et acronymes. 6 Sécurité fonctionnelle et mise en œuvre de la nouvelle directive relative aux machines

7 Voici les principaux points dont les constructeurs de machines doivent tenir compte s'agissant de la norme EN ISO : Le niveau de performance est déterminé par l'architecture du circuit (similaire aux catégories B, 1, 2, 3 et 4 de la norme EN 954-1) et par le MTTFd et la DC. La norme ISO définit cinq niveaux de performance allant de PL a (la probabilité de défaillance la plus élevée) à PL e (la plus faible). Si un fabricant spécifie un PL particulier pour un composant (par exemple un relais de sécurité), cela indique qu'il s'agit du PL le plus élevé qu'un circuit intégrant le composant peut atteindre. Le temps moyen avant une défaillance dangereuse (MTTFd) est le délai moyen avant que la défaillance d'un composant ne provoque la défaillance d'une fonction de sécurité. Le MTTFd peut être élevé (30 à 100 ans), moyen (10 à 30 ans) ou faible (3 à 10 ans). Remarque : si le MTTFd du composant est de 100 ans, cela ne garantit pas qu'il n'aura pas une défaillance avant. La couverture de diagnostic (DC) est la possibilité pour un composant ou un circuit de détecter / diagnostiquer une défaillance le concernant (un court-circuit, par exemple). Plus la DC est élevée, plus la probabilité de défaillances dangereuses du matériel est faible. Les défaillances d'origine commune (CCF) sont des défaillances dues à un problème commun (par exemple un court-circuit) ou à un événement unique n'ayant aucun rapport. Principaux aspects de la norme EN 6206 : Le niveau d'intégrité de sécurité (SIL) est le niveau discret permettant de déterminer les exigences en matière d'intégrité de sécurité du système de contrôle commande lié à la sécurité. La norme définit trois niveaux, de un (faible) à trois (élevé). Si un fabricant indique un SIL spécifique pour un composant (par exemple un PLC de sécurité), il s'agit du SIL maximal qu'il peut indiquer pour un système utilisant ce composant comme sous-système. La limite de revendication du SIL (SILCL) s'applique aux sous-systèmes d'un système de sécurité. Un sous-système est défini comme une partie d'un système / circuit de sécurité dont la défaillance provoquerait l'arrêt de la fonction de sécurité. Le SILCL est le SIL le plus élevé pouvant être indiqué concernant les contraintes architecturales et l'intégrité de sécurité systématique. La probabilité moyenne de défaillance dangereuse par heure (PFH) est une mesure de la fiabilité d'un composant, d'un sous-système ou de l'ensemble d'un système / circuit de sécurité. Elle correspond au MTTFd dans la norme EN ISO Le taux de défaillances non dangereuses (SFF) d'un sous-système est le rapport entre la moyenne des défaillances non dangereuses et dangereuses détectées et la moyenne totale des défaillances. Sécurité fonctionnelle et mise en œuvre de la nouvelle directive relative aux machines 7

8 B10 et B10d, qui sont utilisés pour la conformité avec les deux normes, sont des paramètres de fiabilité pour les composants électromécaniques. B10 est le nombre d'opérations à la suite desquelles 10 % de la population auraient connu une défaillance et B10d est le nombre de cycles après lequel 10 % de la population ont connu une défaillance suite à un état dangereux. Il n'existe pas de chiffres de MTTFd ou de PFHd publiés pour les composants électromécaniques, car les taux de défaillance dépendent de la vitesse de fonctionnement horaire, qui est spécifique de l'application. Toutefois, les concepteurs peuvent utiliser B10 ou B10d avec des données de machine connues (par exemple, des commutateurs de sécurité peuvent s'activer un nombre connu de fois par heure lors du chargement d'une machine) afin de calculer le MTTFd ou la PFHd des sous-systèmes contenant ces composants. Détermination du PL atteint par les éléments des systèmes de commande liés à la sécurité (SRP/CS) Niveau de performances EN ISO a b c d e Cat. B Moy. DC = 0 Cat. 1 Cat. 2 Cat. 2 Cat. 3 Cat. 3 Cat. 4 Moy. DC = Moy. DC = Moy. DC = Moy. DC = Moy. DC = Moy. DC = 0 bas moyen bas moyen haut Niveau de catégorie de sécurité selon la norme EN ISO MTFF d de chaque canal = bas MTFF d de chaque canal = moyen MTFF d de chaque canal = haut 8 Sécurité fonctionnelle et mise en œuvre de la nouvelle directive relative aux machines

9 Sécurité fonctionnelle et mise en œuvre de la nouvelle directive relative aux machines 9

10 3 Quelle norme? Les normes EN et EN ISO ont toutes deux traits à la sécurité fonctionnelle des systèmes de contrôle commande de machines, mais utilisent des termes et des techniques légèrement différents pour déterminer les performances. De nombreux utilisateurs sont désorientés par les conseils contradictoires des fournisseurs qui privilégient une norme par rapport à une autre. Le fait de devoir choisir entre deux normes n'est pas une situation idéale pour les concepteurs. Cela peut entraîner des problèmes d'intégration entre les composants et affecter les relations entre les fabricants, les constructeurs de machines et les utilisateurs finaux. Cependant, le Comité européen de normalisation électrotechnique (CENELEC) et le Comité européen de normalisation (CEN) savent pertinemment comment réglementer la sécurité fonctionnelle lors de la construction des machines. À ce titre, ils ont tous deux établi des normes qui peuvent fournir une présomption de conformité avec les exigences de la directive machine. Les normes EN (publiée par le CENELEC) et EN ISO (publiée par le CEN) ont le même objectif : mettre l'accent sur la sécurité fonctionnelle de l'ensemble de la machine et non plus sur le comportement des composants individuels. Les deux normes sont conçues pour réduire les risques de blessures ; utilisées correctement, elles diminuent souvent la probabilité de défaillances des machines. Bien que ces normes puissent fournir des niveaux similaires de réduction des risques, elles réalisent cet objectif différemment. Les normes utilisent des termes différents pour les niveaux de sécurité fonctionnelle des circuits : La norme EN définit trois niveaux d'intégrité de sécurité, alors que la norme EN ISO spécifie cinq niveaux de performance. Malgré ces différences de terminologie, certaines exigences (par exemple la probabilité de défaillance dangereuse par heure) sont simples à comparer. Les normes adoptent cependant des approches différentes. Les normes EN et EN ISO présentent des points forts et des points faibles, et il existe un débat concernant leurs avantages et inconvénients respectifs, selon l'application et les préférences du fabricant. À moins qu'une norme de type C spécifique ne mentionne un niveau d'intégrité de sécurité ou un niveau de performance, les concepteurs sont libres de choisir la norme à utiliser. Quelle que soit la norme choisie, elle doit être cependant utilisée dans son ensemble. Il est en outre impossible de combiner les deux normes dans un seul système. 10 Sécurité fonctionnelle et mise en œuvre de la nouvelle directive relative aux machines

11 Les concepteurs connaissant bien les anciennes catégories de la norme EN peuvent trouver la norme EN ISO plus simple à utiliser que la norme EN Comme la norme EN 954-1, la norme EN utilise un graphique de risques simple pour déterminer le niveau de performance requis pour chaque fonction de sécurité, après une évaluation des risques conformément à la norme EN ISO Le niveau de performance n'est pas déterminé par l architecture du système. Il est également basé sur le temps moyen avant une défaillance dangereuse (MTTFd) et la couverture de diagnostic (DC). L'un des avantages majeurs de cette approche est que les concepteurs peuvent utiliser des circuits plus simples tant qu'ils choisissent des composants à fiabilité élevée ou des composants ayant des bonnes caractéristiques de diagnostic (auto-tests, relecture de contacts auxiliaires...). En effet, les cinq niveaux de performances définis dans la norme EN ISO correspondent à des données quantifiées plutôt qu à des catégories discrètes. L'avantage de la norme EN ISO par rapport à l'ancienne norme EN est qu'elle permet de concevoir des circuits de sécurité plus simples au moyen de composants moins nombreux et donc plus fiables. Par exemple, la nouvelle norme permet d'atteindre un niveau de performance au moyen d'une conception simple canal de catégorie 2 avec des composants plus fiables ou une architecture à deux canaux de catégorie 3 avec des composants de fiabilité moindre. Le concepteur dispose ainsi de plusieurs solutions techniques. Graphique des risques pour atteindre le niveau de performances requis conformément à la norme EN ISO S1 F1 F2 F1 S2 Point de départ F2 pour l'évaluation de la contribution à la réduction des risques d'une fonction de sécurité P1 P2 P1 P2 P1 P2 P1 P2 Niveau de performances requis (PLr) L = Faible contribution à la réduction des risques H = Contribution élevée à la réduction des risques a b c d e L H Il existe des outils tel que SISTEMA, pour aider les développeurs et les testeurs à évaluer le niveau des fonctions de sécurité de leurs machines conformément à la norme EN ISO Pour les applications ayant des exigences plus complexes en matière de gestion de sécurité, il se peut que la norme EN convienne mieux. Elle fournit davantage de conseils sur les exigences organisationnelles. En outre, cette norme convient mieux pour évaluer les effets des modifications éventuelles lors de la mise en service d'un nouvel équipement ou durant tout le cycle de vie de la machine. Par exemple, les ingénieurs chargés de la mise en service doivent prendre en compte les effets éventuels des modifications proposées et le degré de modification possible du système de contrôle commande avant qu'une nouvelle validation ne soit nécessaire. Un groupe de travail commun IEC-ISO a mis au point une comparaison des deux normes. Ce document a été publié par les deux organismes sous forme de rapport technique. Celui-ci n'a pas le même statut qu'une norme mais sa publication est plus rapide. L'objectif final de ce travail commun est d'élaborer une seule norme, mais cela prendra plusieurs années. Sécurité fonctionnelle et mise en œuvre de la nouvelle directive relative aux machines 11

12 4 Mise en contexte de la sécurité fonctionnelle La sécurité fonctionnelle fait partie intégrante de la conception de systèmes de contrôle commande sûrs. Il convient cependant de prendre en compte d'autres facteurs lors de la conception de systèmes de contrôle commande. Bien que la sécurité fonctionnelle soit importante, elle n'est pertinente que lorsque d'autres facteurs ont été pris en compte avant sa mise en oeuvre. Cela implique d'examiner d'autres aspects comme la conception de base de la machine, ses systèmes électriques, ainsi que ses équipements pneumatiques et hydrauliques. De plus, les normes de sécurité fonctionnelle doivent être utilisées dans le contexte de normes plus fondamentales comme la norme EN ISO (Sécurité des machines Principes généraux de conception Appréciation du risque et réduction du risque) et EN (Sécurité des machines Équipement électrique des machines). Bien que les normes EN ISO et EN soient les normes de sécurité fonctionnelle privilégiées pour les systèmes de contrôle commande, elles ne remplacent pas la nécessité d'une évaluation et de réduction des risques avant la conception des systèmes de contrôle commande liés à la sécurité. En outre, elles ne remplacent pas les bonnes pratiques en matière d'ingénierie. Les niveaux de performances (PL) et les niveaux d'intégrité de sécurité (SIL) ne constituent pas une science exacte mais plutôt des facteurs de qualité qui ne doivent être utilisés qu'à titre indicatif. Risque lié au risque potentiel Gravité = du x dommage potentiel Probabilité de l'occurrence Fréquence et durée de l'exposition Possibilité d'éviter ou de limiter la probabilité d'un événement potentiellement dommageable 12 Sécurité fonctionnelle et mise en œuvre de la nouvelle directive relative aux machines

13 L'évaluation et la réduction des risques doivent être effectuées conformément à la norme EN ISO L'objectif principal est de réduire les risques dans la mesure du possible. La méthodologie de réduction des risques peut être décrite en trois étapes. Processus itératif d'évaluation des risques conformément à la norme EN ISO Étape 1 : éliminer les risques dans la mesure du possible (conception intrinsèquement sûre) conformément à la norme EN ISO Exemple : utiliser un solvant ininflammable pour les tâches de nettoyage afin d'éliminer le risque d'incendie lié aux solvants inflammables. Étape 2 : se protéger contre les risques lorsqu'une conception intrinsèquement sûre n'est pas possible. Exemple : appliquer des mesures de protection via des systèmes de contrôle commande liés à la sécurité comme des protections basées sur des protecteurs mobiles. Étape 3 : appliquer des mesures de protection supplémentaires. Exemple : former le personnel, installer des panneaux d'avertissement, guider les utilisateurs et fournir un équipement de protection individuel. Les utilisateurs doivent réitérer ce cycle d'évaluation des risques, suivi de la réduction des risques afin de réduire les risques jusqu'à un niveau acceptable et de garantir l'absence de risques supplémentaires. Le processus de réduction des risques peut nécessiter l'utilisation de systèmes de contrôle commande liés à la sécurité conçus selon les normes EN ISO et EN Toutefois, la sécurité globale d'une machine dépend également de la conformité avec d'autres normes comme la norme EN pour les équipements électriques des machines. Début Détermination des limites de la machine Identification des risques potentiels Estimation des risques Évaluation des risques La machine est-elle fiable? Non Réduction des risques Oui Analyse des risques Fin Évaluation des risques Réduction des risques conformément aux normes EN et EN ISO Risque résiduel Risque acceptable Équipement sous contrôle des risques Réduction nécessaire des risques Réduction réelle des risques Risque pratique couvert par d'autres systèmes liés à la sécurité de la technologie Risque pratique couvert par les systèmes de sécurité électriques, électroniques et électroniques programmables Risque pratique couvert par les installations de réduction des risques externes Réduction des risques réalisée via tous les systèmes liés à la sécurité et les installations de réduction des risques externes Pour plus d'informations, consultez le site : Sécurité fonctionnelle et mise en œuvre de la nouvelle directive relative aux machines 13

14 Schneider Electric Industries SAS Siège social 35 rue Joseph Monier Rueil-Malmaison Cedex - France Tél. : +33 (0) Schneider Electric, tous droits réservés. WPB FR 02/2012