Normes de sécurité du groupe / ISO13849-1 | EMEA
Sommaire
1. Statut de la norme ISO 13849-1 dans les procédures d'évaluation des risques
2. Que sont les parties des systèmes de commande liées à la sécurité (SRP/CS) ?
3. Qu'est-ce que le niveau de performance (PL) ?
4. Procédures de conception des parties des systèmes de commande liées à la sécurité conformément à la norme ISO 13849-1
5. Procédures d'évaluation du niveau de performance
6. Exemples de calcul du niveau de performance dans la norme ISO 13849-1
7. Exemples de calcul du niveau de performance dans la norme ISO/TR 23849
La norme ISO 13849-1 est l'une des normes les plus importantes du groupe de normes de sécurité (normes de type B), qui sont des normes internationales en matière de sécurité, et définit les exigences relatives aux composants de sécurité des systèmes de commande. Cette norme spécifie la probabilité de défaillance dangereuse par heure (niveau de performance) d'un système, qui est requise lorsque le système de commande est utilisé comme mesure de réduction des risques.
Cette norme s'applique non seulement aux systèmes électriques/électroniques, mais aussi aux systèmes hydrauliques/pneumatiques. Elle est donc largement utilisée, par exemple, par les fabricants de machines, les utilisateurs de machines et les prestataires de services, ainsi que par les organismes liés à la santé et à la sécurité, et est considérée comme une norme importante pour la conception et l'évaluation des composants liés à la sécurité des systèmes de commande.
1. Statut de la norme ISO 13849-1 dans le processus d'évaluation des risques
Les procédures visant à améliorer la sécurité des machines commencent par une évaluation des risques conformément à la norme ISO 12100, dont les résultats sont ensuite utilisés pour mettre en œuvre un processus de réduction des risques appelé « méthode en trois étapes », qui comprend des « mesures de conception intrinsèquement sûres », des « mesures de protection et mesures complémentaires » et la fourniture d'« informations d'utilisation ». Si un système de commande est utilisé pour réduire les risques dans ce processus, cette norme s'applique à la conception et à la validation des parties du système de commande liées à la sécurité (voir figure 1). Étant donné que la norme ISO 13849-1 ne couvre que les parties des systèmes de commande liées à la sécurité, les autres mesures de protection, y compris la conception et l'installation de dispositifs de protection, doivent être conçues sur la base d'autres normes. Il convient de noter que cette norme ne couvre pas à elle seule tous les aspects de la réduction des risques.
2. Qu'est-ce que les parties des systèmes de commande liées à la sécurité ?
Les systèmes de commande des machines peuvent être divisés en « parties liées à la sécurité » et « parties non liées à la sécurité ».
La « partie d'un système de commande liée à la sécurité » est définie comme « une partie d'un système de commande qui répond à des signaux d'entrée liés à la sécurité et génère des signaux de sortie liés à la sécurité ». Par exemple, dans le cas d'un système de robot industriel illustré aux figures 2 et 3, les parties du système de commande liées à la sécurité sont les suivantes :
La partie signal d'entrée liée à la sécurité qui transmet le fait que des personnes se trouvent à l'extérieur de la protection, que la porte est fermée et verrouillée par l'interrupteur de verrouillage
La partie signal d'entrée liée à la sécurité qui transmet le fait que l'interrupteur d'arrêt d'urgence n'est pas enfoncé (il n'y a pas de problème)
La partie logique liée à la sécurité qui confirme le signal d'entrée susmentionné et l'état de sécurité dans le module de relais de sécurité (contrôleur de sécurité) et détermine que le robot peut être autorisé à démarrer
La partie signal de sortie liée à la sécurité qui, en réponse à la détermination de la partie logique liée à la sécurité, démarre/arrête le robot en activant/désactivant le contacteur de sécurité
Les « parties non liées à la sécurité » sont des parties qui contrôlent, par exemple, la vitesse de déplacement et le positionnement d'un bras robotisé, et qui ne peuvent être actionnées que lorsqu'il est confirmé que les parties liées à la sécurité peuvent démarrer le robot sans problème. La norme (ISO13849-1) spécifie les questions relatives aux « parties liées à la sécurité » des systèmes de commande (voir figure 3).
Les composants liés à la sécurité d'un système de commande sont également désignés par l'abréviation SRP/CS. SRP/CS, abréviation de « composant lié à la sécurité d'un système de commande », désigne non seulement les composants liés à la sécurité d'un système de commande dans son ensemble, mais également les composants d'entrée, de logique ou de sortie pris individuellement (voir figure 4).
3. Quel est le niveau de performance (PL) ?
Le niveau de performance est défini comme « un niveau discret utilisé pour spécifier la capacité des composants liés à la sécurité des systèmes de contrôle (SRP/CS) à remplir une fonction de sécurité (*) dans des conditions prévisibles » et classé en fonction de « la probabilité moyenne de défaillance dangereuse par unité de temps » exprimée en PFHD.
Comme le montre le tableau 1, il est classé en cinq niveaux, de PL = a à PL = e, PL = e indiquant la probabilité de défaillance la plus faible. Par exemple, PL = a indique qu'une défaillance dangereuse peut se produire à une fréquence de 1 sur 100 000 ou plus et de moins de 1 sur 10 000 lorsque la machine fonctionne pendant une heure. Le PL est un indicateur d'une fonction de sécurité qui permet de réduire les risques liés à la machine grâce au système de commande.
* Fonction de sécurité : fonction de la machine dont la défaillance peut entraîner une augmentation immédiate du ou des risques (ISO13849-1).
Qu'est-ce que le niveau de performance (PL) ?
Niveau de performance (PL) | Probabilité moyenne de défaillance dangereuse par unité de temps, PFHD (1/h) |
a | ≥10-5 et <10-4 |
b | ≥3 × 10-6 et <10-5 |
c | ≥10-6 et <3 × 10-6 |
d | ≥10-7 et <10-6 |
e | ≥10-8 et <10-7 |
Le niveau de performance (PL) repose sur une structure de circuit SRP/CS basée sur la catégorie (Cat), mais il tient également compte d'autres facteurs qui indiquent la fiabilité du dispositif utilisé, à savoir le MTTFD (temps moyen avant défaillance dangereuse), le DC (couverture diagnostique), qui est un ratio des défaillances dangereuses dans le système détectées par le SRP/CS, et le CCF (défaillance de cause commune), qui représente plusieurs défaillances indépendantes résultant d'une seule cause de défaillance ; il est donc déterminé par ces quatre facteurs. À partir de là, le PL peut être décrit comme dans la figure 5.
4. Processus de conception des composants liés à la sécurité des systèmes de commande (SRP/CS) dans la norme ISO 13849-1
Lors de la conception d'une machine sûre, l'évaluation et la réduction des risques sont effectuées conformément à la norme ISO 12100.
Lorsqu'un système de commande est utilisé dans le processus de réduction des risques, sa validité est évaluée en appliquant la norme ISO 13849-1 et en suivant la procédure décrite à la figure 6.
La section suivante décrit cette procédure en détail.
5. Procédures d'évaluation du niveau de performance
La figure 7 illustre la méthode permettant de déterminer le niveau de performance (PL) auquel la réduction des risques est recherchée à l'aide d'un système de contrôle.
5.1. Détermination du niveau de performance requis (PLr)
Estimer le PLr * à l'aide de la méthode du graphique des risques illustrée à la figure 8.
Niveau de performance requis (PLr) « Niveau de performance appliqué afin d'obtenir la réduction de risque requise pour chaque fonction de sécurité ».
La norme ISO 13849-1 traite uniquement des principes généraux de conception des SRP/CS et part donc du principe que les mesures de protection autres que les systèmes de commande, y compris les protecteurs, sont correctement mises en œuvre conformément à la norme ISO 12100. Sur cette base, le point de départ de l'estimation des risques suppose un cas où une défaillance dangereuse se produit dans l'un des systèmes de contrôle à construire. Prenons par exemple le cas où l'ouverture de la porte d'un dispositif de protection n'empêche pas un danger à l'intérieur. Dans ce cas ・Pour S, si un opérateur ou toute autre personne subit des blessures en raison de la défaillance dangereuse, choisissez soit « S1 (blessure légère) », soit « S2 (blessure grave) ». ・Pour F, choisissez entre « Rare » et « Fréquent » en ce qui concerne la fréquence des dommages subis dans S. ・Pour P, choisissez entre « Possible » ou « Impossible » en ce qui concerne la possibilité d'éviter le danger.
En conséquence, l'un des niveaux a à e sélectionnés représente le niveau de performance requis (PLr). Comme le montre la figure 6, PLr = a signifie que le circuit de commande à construire ne doit assumer qu'un faible niveau de réduction des risques. En revanche, lorsque PLr = e est sélectionné, le circuit de commande à construire doit assumer un niveau plus élevé de réduction des risques. Il convient de noter que le PLr ainsi déterminé est comparé au résultat du PL réellement calculé, afin de déterminer s'il est approprié pour le risque lié aux dangers qui doivent être traités par le SRP/CS.
5.2. Détermination de la catégorie
La catégorie est définie comme « la classification des parties liées à la sécurité d'un système de contrôle en fonction de leur résistance aux défaillances (résistance aux défaillances) et de leur comportement ultérieur dans des conditions de défaillance, et qui est obtenue par la disposition structurelle des parties, la détection des défaillances et/ou leur fiabilité ». En d'autres termes, la catégorie correspond aux exigences en matière de fonctions de sécurité utilisées pour déterminer la structure du circuit d'une partie d'un système de commande liée à la sécurité. La catégorie est spécifiée comme « architecture désignée » et, comme indiqué plus loin, classée en cinq types : catégories B, 1, 2, 3 et 4.
La figure 9 montre la relation entre le PL atteint et la catégorie, DCavg et MTTFD. Cette figure 9 est utilisée pour déterminer la catégorie permettant de construire un système de contrôle avec un PL équivalent ou supérieur au PLr requis.
Par exemple, lorsqu'un système avec PL = c est conçu comme le montre la figure 10, l'une des catégories 1 à 3 peut être sélectionnée pour la structure (architecture).
5.2.1. Exigences pour chaque catégorie
1) Catégories B et 1
L'architecture désignée pour les catégories B et 1 est illustrée à la figure 11. Les deux catégories ont la même architecture. Dans les deux cas, il n'y a pas de fonction de diagnostic des défauts et les signaux passent dans un seul sens, de I (entrée) à O (sortie). Il convient de noter que le MTTFD de la catégorie 1 doit être plus long que celui de la catégorie B. Cela signifie que la catégorie 1 présente une probabilité plus faible de défaillance dangereuse et de perte d'une fonction de sécurité. Étant donné que les catégories B et 1 ne disposent pas d'une fonction de diagnostic des défauts, il n'est pas nécessaire de prendre en compte le DCavg (couverture diagnostique) et le CCF (défaillance de cause commune) pour calculer le PL.
2) Catégorie 2
L'architecture désignée pour la catégorie 2 est illustrée à la figure 12.
Cette architecture dispose d'une fonction de diagnostic des défauts en tant que fonctionnalité supplémentaire. Elle est exprimée sous la forme TE (équipement de test). La sortie de cet équipement de test est exprimée sous la forme OTE (sortie de TE). TE diagnostique I, L et O, et tout défaut est transmis à OTE. Dans certains cas, TE est contenu dans L.
Étant donné que la catégorie 2 dispose d'une fonction de diagnostic des défauts, il convient de prendre en compte la DCavg (couverture diagnostique) et la CCF (défaillance de cause commune).
3) Catégorie 3
L'architecture désignée pour la catégorie 3 est illustrée à la figure 13.
Cette architecture comporte des chemins de signaux redondants, les signaux d'entrée se surveillant mutuellement pour détecter les anomalies (défauts) grâce à la surveillance croisée de L1 et L2 (logique). O1 et O2 (sortie) sont surveillés par L1 et L2 (logique), qui effectuent une vérification en comparant les signaux de sortie avec les conditions de sortie, et procèdent à un autodiagnostic.
L'architecture désignée pour la catégorie 3 est illustrée à la figure 13.
4) Catégorie 4
L'architecture désignée pour la catégorie 4 est illustrée à la figure 14.
La structure de cette architecture est identique à celle de la catégorie 3, mais les performances de la fonction d'autodiagnostic pour C (surveillance croisée) et m (surveillance) sont supérieures dans la catégorie 4. Pour souligner cela, des lignes pleines sont utilisées à la place des lignes pointillées.
5.3. Calcul du MTTFD
Le MTTFD, qui signifie « temps moyen avant défaillance dangereuse », représente le temps moyen prévu avant qu'une partie du dispositif ou du système de contrôle concerné liée à la sécurité ne tombe en panne de manière dangereuse, et est exprimé en nombre d'années. Ce paramètre est nécessaire du point de vue de la fiabilité du système.
Afin de déterminer le PL, le MTTFD de l'ensemble du système est calculé. Tout d'abord, le MTTFD de chaque composant concerné est déterminé, puis le MTTFD de chaque canal est déterminé, sur la base duquel le MTTFD de l'ensemble du système est calculé (dans le cas de systèmes à canaux multiples). La valeur MTTFD de chaque canal est divisée en trois avec leurs limites supérieure et inférieure respectives, comme indiqué dans le tableau 3.
Si le résultat du calcul du MTTFD pour le canal est inférieur à trois ans, il ne répond pas à l'exigence relative à la plage du MTTFD. La valeur MTTFD de chaque composant peut dépasser 100 ans. Par ailleurs, la valeur MTTFD pour chaque canal est soumise à une limite supérieure de 100 ans, même si le résultat du calcul dépasse 100 ans. Néanmoins, une structure de catégorie 4 peut avoir un MTTFD maximal de 2 500 ans pour chaque canal en raison de sa structure de circuit (redondance) et d'une valeur CC élevée.
5.3.1. MTTFD pour chaque dispositif
La valeur MTTFD pour chaque composant est déterminée selon l'ordre de priorité suivant : la première priorité est donnée à la valeur MTTFD fournie par le fabricant, la deuxième priorité à la valeur fournie dans l'annexe C ou D de la présente norme, et la troisième priorité à MTTFD = 10 ans si aucune valeur n'est fournie dans l'annexe C.
5.3.1.1. Calculer le MTTFD à partir du B10D du composant
Tous les composants des pièces liées à la sécurité n'ont pas une valeur MTTFD. Pour les composants tels que ceux avec un contact mécanique (c'est-à-dire un contacteur, un interrupteur de verrouillage), dont la durée de vie est affectée par la fréquence (nombre de fois) de fonctionnement, la valeur du B10D (Note 1) est fournie à la place de celle du MTTFD. La valeur MTTFD du composant est calculée sur la base de cette valeur B10D en tenant compte d'un paramètre appelé nop (Remarque 2) (voir équations (1) et (2)).
Remarque 1 B10D : nombre de cycles (nombre de fois où le composant a fonctionné) jusqu'à ce que 10 % des composants tombent en panne de manière dangereuse. Remarque 2 nop : nombre moyen de cycles de fonctionnement annuels (nombre de fois où le composant a fonctionné), dont le calcul nécessite les informations suivantes : hop : est le fonctionnement moyen, en heures par jour dop : est le fonctionnement moyen, en jours par an t cycle : est le temps de fonctionnement moyen entre le début de deux cycles successifs du composant, en secondes par cycle Les concepteurs des composants de sécurité des systèmes de contrôle estiment la fréquence (nombre de fois) de fonctionnement du système et de ses composants, et sur cette base, calculent nop et prennent en compte B10D pour déterminer MTTFD. Comme dans le cas du MTTFD, la priorité est donnée à l'utilisation de la valeur B10D fournie par le fabricant si elle est disponible.
5.3.2. Méthode de calcul du MTTFD pour l'ensemble du canal : méthode du comptage des pièces
Une fois la valeur MTTFD déterminée pour chaque dispositif, elle est utilisée pour calculer le MTTFD pour chaque canal (voir (3)).
Par exemple, si MTTFD1 = 30 ans, MTTFD2 = 30 ans et MTTFD3 = 30 ans, alors 1/ MTTFD = 1/30 + 1/30 + 1/30, ce qui indique que le MTTFD pour ce canal est de 10 ans.
5.3.3 Méthode de détermination du MTTFD dans les cas où différents canaux ont des MTTFD différents
Pour une structure à 2 canaux comme les catégories 3 ou 4, le MTTFD global est calculé à l'aide de l'une des méthodes suivantes :
Pour envisager le pire scénario, la valeur MTTFD du canal ayant la valeur la plus faible est utilisée comme valeur globale.
Utiliser l'équation (4) pour calculer la valeur globale.
Lorsque l'équation (4) est utilisée, si MTTFD1 = 3 ans et MTTFD2 = 100 ans, alors MTTFD dans son ensemble est de 66 ans. Cela revient à supposer que les deux canaux ont chacun un MTTFD = 66 ans.
5.4. Calcul de la DC (couverture diagnostique) et de la DCavg
Pour estimer le niveau de performance, il est nécessaire de calculer la DCavg (couverture diagnostique moyenne) pour l'ensemble du système. Pour ce calcul, il faut déterminer la DC (couverture diagnostique) de chaque composant. La DC (couverture diagnostique) est le niveau de défaillances dangereuses pouvant être détectées, exprimé en pourcentage. Plus précisément, elle est exprimée sous forme de rapport entre le taux de défaillance des défaillances dangereuses détectées (λDD) et le taux de défaillance des défaillances dangereuses totales (λtotal) (voir (5)).
La couverture diagnostique (DC) ne tient pas compte des défaillances sans danger des composants ou du système. Elle ne prend en considération que les défaillances dangereuses. La DC est divisée en quatre catégories (voir tableau 4).
Les dispositifs logiques (par exemple, les contrôleurs de sécurité) et les dispositifs électriques/électroniques, tels que les barrières immatérielles de sécurité, sont dotés d'une fonction d'autodiagnostic intégrée, mais les composants mécaniques, notamment les interrupteurs de verrouillage et les interrupteurs d'arrêt d'urgence, ne disposent généralement pas d'une telle fonction. Cependant, en rendant la connexion avec le dispositif logique redondante et en surveillant les divergences dans les signaux, par exemple au niveau de la partie logique (par exemple, un contrôleur de sécurité), on obtiendra un DC élevé pour les parties liées à la sécurité du système de contrôle dans son ensemble.
Lors de la sélection du DC pour chaque composant, on choisit dans l'annexe E de la norme ISO 13849-1 celui qui convient à la technique de diagnostic décrite pour le dispositif d'entrée, le dispositif logique et le dispositif de sortie.
Une fois le DC déterminé pour le composant, la valeur est utilisée pour calculer le DCavg pour l'ensemble du système (voir équation (6)).
Notez que pour les composants sans défaillance détectée (pièces non diagnostiquées), DC = 0.
5.5. Estimation du CCF (défaillance de cause commune)
Le CCF (défaillance de cause commune) est défini comme « les défaillances de différents éléments, résultant d'un seul événement, où ces défaillances ne sont pas les conséquences les unes des autres ». Cela signifie que la conséquence d'une défaillance résultant d'une cause unique ne déclenche pas une défaillance suivante entraînant plusieurs défaillances, mais qu'une cause unique entraîne plusieurs défaillances indépendantes. Par exemple, cela fait référence aux défaillances de (plusieurs) pièces de circuits indépendantes les unes des autres, résultant d'une surtension / température ambiante anormale. Le CCF est un indicateur qui montre quels types de mesures sont prises dans le système pour répondre aux événements susceptibles de provoquer de telles défaillances. Les exigences relatives au CCF sont considérées comme satisfaites si certaines mesures sont prises, ce qui est démontré par l'obtention d'au moins 65 points sur 100 en répondant par oui ou par non à plusieurs questions figurant dans l'annexe F, tableau F.1, de la norme ISO 13849-1 (voir tableau 5). Il convient de noter que pour chaque mesure relative au CCF figurant dans le tableau 5, une réponse partielle ne donnera pas lieu à l'attribution d'un crédit partiel, mais à l'attribution d'un score de 0 (zéro) pour la mesure concernée. En général, ces questions sont répondues par une personne qui conçoit les parties des systèmes de contrôle liées à la sécurité.
5.6. Évaluation du niveau de performance (PL)
Le PLr requis pour la partie sécurité d'un système de commande est comparé au PL du système, qui est calculé à partir de la norme ISO 13849-1, annexe K, tableau K.1, sur la base des résultats de l'évaluation de la catégorie, du MTTFD, du DCavg et du CCF du circuit réellement conçu, afin de confirmer que le niveau de PL est équivalent ou supérieur à celui du PLr. Si PLr ≤ PL est confirmé (c'est-à-dire si la probabilité moyenne de défaillance dangereuse est équivalente ou inférieure), l'objectif de réduction des risques est considéré comme atteint.
6. Exemples de calculs du niveau de performance selon la norme ISO 13849-1: 2015
Dans le cas d'un interrupteur d'arrêt d'urgence + un module de relais de sécurité + un contacteur de sécurité
Des exemples de produits de composants liés à la sécurité d'un système de commande sont présentés à la figure 15, et le schéma du circuit à la figure 16.
1. Ordre des actions et principes de sécurité
1) Appuyez sur le bouton d'arrêt d'urgence. La sortie du module de relais de sécurité passe à OFF, libérant l'excitation des contacteurs (K3, K4), désactivant les contacts principaux (contacts NO) des contacteurs et arrêtant le moteur (danger).
2) L'interrupteur d'arrêt d'urgence reste en position enfoncée (fonction de verrouillage). Les contacts principaux des contacteurs restent désactivés, empêchant ainsi tout démarrage inopiné du moteur.
3) Réinitialisez l'interrupteur d'arrêt d'urgence. La réinitialisation ne provoque pas le démarrage du moteur.
4) Appuyez sur l'interrupteur de démarrage. Le moteur démarre.
2. Principes et conditions de sécurité
(1) Utilisez un interrupteur d'arrêt d'urgence conforme aux normes IEC60947-5-5 et IEC60947-5-1 (annexe K). (2) Utilisez un module de relais de sécurité conforme à PL = e et à la catégorie 4 prévue dans la norme ISO13849-1. (3) Utilisez des contacteurs conformes à la norme CEI 60947-1 (avec contacts miroirs) et disposez deux contacteurs individuellement. (4) Connectez les contacts miroirs (contacts NC) des contacteurs aux circuits de contrôle arrière du module de relais de sécurité.
3. Conditions de fonctionnement du système
(1) Heures/jours de fonctionnement et fréquence ・Nombre moyen de jours de fonctionnement par an : 365 jours. ・Nombre moyen d'heures de fonctionnement par jour : 24 heures. ・Fréquence moyenne d'utilisation de l'arrêt d'urgence : une fois par jour (t = 86 400 s/cycle).
(2) B10D, DC, etc. pour les composants ・Interrupteur d'arrêt d'urgence B10D (contacts NC respectifs) : 100 000 cycles (conformément à l'annexe C, tableau C.1) DC : 99 % (conformément à l'annexe E, tableau E.1)
・Contacteur B10D : 2 000 000 cycles (conformément à l'annexe C, tableau C.1) DC : 99 % (conformément à l'annexe E, tableau E.1)
・Module relais de sécurité MTTFD : 243 ans (valeur fournie par le fabricant) CC : 99 % (valeur fournie par le fabricant)
4. Schéma fonctionnel
Un schéma fonctionnel est utilisé pour exprimer, par exemple, les connexions logiques entre différentes sections dans SRP/CS (sur la base du concept de schéma fonctionnel de fiabilité). Le schéma fonctionnel peut être représenté comme dans la figure 17. Comme le montre la figure, ce schéma est identique à l'architecture de catégorie 4 (figure 18). Il convient de noter que dans ce circuit, le nombre maximal de fois où l'interrupteur d'arrêt d'urgence peut être actionné est limité, et que l'exclusion des défauts mécaniques prévue dans la norme ISO 13849-2: 2012, tableau D.8, est appliquée.
5. Résultats des calculs, PL et probabilité de défaillance dangereuse par unité de temps
Dans le tableau 6, le MTTFD, le DC et d'autres paramètres pour l'interrupteur d'arrêt d'urgence, le module de relais de sécurité et les contacteurs de sécurité sont indiqués à gauche, tandis que le MTTFD↓, la catégorie, le DCavg et d'autres paramètres pour le système sont indiqués à droite.
7. Exemples de calculs du niveau de performance selon la norme ISO/TR 23849
Dans la norme ISO 13849-1, le calcul du MTTFD a été effectué pour chaque canal du système, suivi des calculs du DCavg et d'autres paramètres. La norme ISO/TR 23849, quant à elle, adopte une méthode dans laquelle l'ensemble du système est divisé en sous-systèmes, le PL (et le PFHD) sont calculés pour chaque sous-système, et les valeurs respectives sont additionnées pour déterminer le PL et le PFHD dans leur ensemble. Vous trouverez ci-dessous des exemples de calculs basés sur la norme ISO/TR23849.
Dans le cas de 2 interrupteurs de fin de course (contact NF + contact NO) + un module relais de sécurité + des contacteurs de sécurité (2 unités)
Veuillez vous reporter à la figure 19 pour le schéma du circuit.
1. Ordre des actions et principes de sécurité
1) Ouvrez le capot mobile. La sortie du module de relais de sécurité passe à OFF, libérant l'excitation des contacteurs (K3, K4), mettant les contacts principaux (contacts NO) des contacteurs à OFF et arrêtant le moteur (danger). 2) Maintenez le capot mobile ouvert. Les contacts principaux des contacteurs restent à l'état OFF, empêchant ainsi le démarrage inopiné du moteur. 3) Fermez le capot mobile. La simple fermeture du capot mobile ne démarre pas le moteur. 4) Appuyez sur le bouton de démarrage. Le moteur démarre.
2. Principes et conditions de sécurité
(1) Le commutateur de position S1 est un commutateur de fin de course avec un mécanisme d'ouverture directe à contacts NC, et répond aux exigences prévues dans l'annexe K de la norme CEI 60947-5-1. (2) Pour le commutateur de position S2, utilisez un commutateur de fin de course à contacts NO. (3) Utilisez un module de relais de sécurité conforme à PL = e et à la catégorie 4 prévue dans la norme ISO 13849-1. (4) Pour K3 et K4, utilisez des produits conformes à la norme CEI 60947-1 (avec contacts miroirs) et disposez deux unités individuellement. (5) Connectez les contacts miroirs (contacts NC) des contacteurs aux circuits de contrôle arrière du module de relais de sécurité.
3. Conditions de fonctionnement du système
(1) Heures/jours de fonctionnement et fréquence ・Nombre moyen de jours de fonctionnement par an : 365 jours. ・Nombre moyen d'heures de fonctionnement par jour : 24 heures. ・Fréquence d'ouverture et de fermeture du dispositif de protection mobile : une fois toutes les 15 minutes (t = 900 s/cycle) (2) B10D, DC, etc. pour les composants ・Interrupteur de fin de course S1 B10D : 1 000 000 cycles (valeur fournie par le fabricant), DC : 99 % (Annexe E, tableau E.1) ・Interrupteur de fin de course S2 B10D : 500 000 cycles (valeur fournie par le fabricant), DC : 99 % (Annexe E, tableau E.1) ・Contacteur K3 B10D : 2 000 000 cycles (valeur fournie par le fabricant), DC : 99 % (Annexe E, tableau E.1) ・Contacteur K4 B10D : 2 000 000 cycles (valeur fournie par le fabricant), CC : 99 % (annexe E, tableau E.1)
4. Schéma fonctionnel
Comme le montre la figure 20, le schéma fonctionnel est représenté en divisant le système en sous-systèmes : entrée, logique et sortie. Comme la norme ISO/TR23849 autorise l'intégration de sous-systèmes de même structure, le nombre de sous-systèmes peut être réduit à deux, comme le montre la figure 21. Le sous-système 1 est divisé en canaux 1 et 2 afin de calculer leurs paramètres respectifs, tels que MTTFD, DCavg, tandis que PL (PFHD) est déterminé à partir de l'annexe K, qui est finalement ajouté à PL (PFHD) fourni dans K1.
5. Résultats des calculs, PL et probabilité de défaillance dangereuse par unité de temps
Dans le tableau 7, le MTTFD, le DC et d'autres paramètres pour l'interrupteur de fin de course, le module de relais de sécurité et les contacteurs de sécurité sont indiqués à gauche, tandis que le PFHD pour chaque sous-système ainsi que le PFHD et le PL dans leur ensemble sont indiqués à droite en référence à l'annexe K.
(Référence)
1. Méthode d'évaluation du PL dans le cas où une combinaison de SRP/CS atteint un PL global
Lorsque plusieurs composants liés à la sécurité du système de commande (SRP/CS), chacun ayant son propre PL, sont connectés en série comme illustré à la figure 22, les méthodes ci-dessous sont utilisées pour déterminer le PL global.
Méthode 1)
Le PFHD global d'un système dans lequel des SRP/CSn individuels sont connectés en série, comme illustré à la figure 23, peut être obtenu en additionnant les PFHDn respectifs.
Méthode 2)
Dans les cas où le PFHDn pour SRP/CSn est inconnu, il existe une méthode simplifiée qui utilise le tableau 9 pour le déterminer. Les étapes suivantes doivent être suivies : 1) Identifiez le SRP/CS qui a le PL le plus bas dans l'ensemble du système et exprimez-le sous la forme « PLlow ». 2) Identifiez le nombre (N) de PLlow et exprimez ce nombre sous la forme « Nlow ». 3) Déterminez le PL global à l'aide du tableau 8. Par exemple, le PL pour le système illustré à la figure 24 est déterminé comme suit
Dans cet exemple, . PLlow est la partie SRP/CS de PL=c. Le nombre de PLlow est deux (Nlow = 2). À partir du tableau 8, le PL global est déterminé comme étant PL = c. Ce système comporte des pièces de catégorie 1 ou 2 et peut donc perdre ses fonctions de sécurité en cas de défaillance unique.
Dans cet exemple, . PLlow correspond à la partie SRP/CS de PL=c. Le nombre de PLlow est deux (Nlow = 2).
D'après le tableau 8, le PL global est déterminé comme étant PL = c.
Ce système comporte des parties de catégorie 1 ou 2 et peut donc perdre ses fonctions de sécurité en cas de défaillance unique.
2. Exclusion des défauts et des défaillances
1. Défauts et défaillances
Dans la présente norme, les termes « défaut » et « défaillance » sont définis comme suit :
Défaut Il s'agit de l'« état » d'un dispositif ou d'un système caractérisé par l'incapacité à remplir une fonction requise. Dans la présente norme, il désigne principalement un défaut matériel aléatoire.
Défaillance Il s'agit de la perte de la capacité d'un dispositif ou d'un système à remplir une fonction requise. Après une défaillance, le dispositif ou le système se trouve dans un état de défaut. Les SRP/CS qui répondent à certaines exigences PL doivent vérifier leur résistance aux défaillances. Lors de cette vérification, les points suivants doivent être pris en considération :
Défaut unique Si un défaut d'un certain composant (pièce) se produit et qu'en conséquence, un autre composant tombe en panne, le premier défaut et tous les défauts suivants sont considérés comme un seul et même défaut.
Évaluation du CCF (défaut de cause commune) Deux ou plusieurs défauts individuels ayant une cause commune doivent être considérés comme un seul défaut. Il convient de noter que la concomitance de deux ou plusieurs défauts résultant de causes différentes peut être considérée comme pratiquement impossible et n'a donc pas besoin d'être prise en compte.
2. Exclusion des défaillances
Veuillez consulter la norme ISO 13849-2 pour plus d'informations sur l'exclusion des défaillances. Par exemple, le tableau D. 8 de la norme ISO 13849-2 stipule que si le contact est équipé d'un mécanisme d'ouverture directe (contact NC) conforme à l'annexe K de la norme CEI 60947-5-1 dans des éléments tels que les interrupteurs de position et les interrupteurs d'arrêt d'urgence, la possibilité d'une défaillance dans laquelle le contact reste bloqué en position fermée en raison d'une soudure peut être éliminée.
3. Niveau de performance (PL) requis dans la norme de type C
Pour les machines couvertes par le champ d'application d'une norme de type C, les dispositions de la norme de type C prévalent sur celles des autres normes. Si la norme spécifie des exigences pour le PL ou la catégorie des systèmes liés à la sécurité, ce PL ou cette catégorie prévaut. Étant donné que certaines normes de type C permettent de déterminer le PLr en fonction du résultat de l'évaluation des risques, veuillez vous reporter à la norme correspondante.
4. Relation entre le PL et le SIL
Les catégories de l'édition 999 de la norme ISO 13849-1 et le niveau d'intégrité de sécurité (SIL)* selon la norme CEI 61508 ne pouvaient pas être corrélés entre eux. Cependant, dans la dernière version de la norme ISO 13849-1, qui a commencé à évaluer les fonctions de sécurité en termes de probabilité moyenne de défaillance dangereuse à l'aide du niveau de performance (PL), il est désormais possible d'associer le PL au niveau d'intégrité de sécurité (SIL) (voir tableau 2). Il convient de noter que le niveau de classification PL = a n'existe pas dans le SIL. De plus, alors que le SIL comporte des niveaux allant de 1 à 4, le SIL4 est destiné aux risques majeurs dans des domaines tels que les usines chimiques et la production d'énergie nucléaire/les chemins de fer, et est donc interprété comme le niveau qui ne relève pas du champ d'application dans le domaine de la sécurité des machines. Par conséquent, c'est le SIL3 qui correspond au PL = e, qui représente la probabilité la plus faible de défaillance dangereuse. Veuillez consulter le tableau 9 pour connaître la probabilité de défaillance dans le SIL.
Tableau 9. Comparaison entre le niveau de performance et le SIL
Le niveau de performance (PL) | Niveau d'intégrité de sécurité (SIL) Demande de fonctionnement fréquent ou mode continu |
a | - |
b | 1 |
c | 1 |
d | 2 |
e | 3 |
* Niveau d'intégrité de sécurité (SIL) Le SIL est un indicateur des niveaux de sécurité spécifié dans la norme de sécurité fonctionnelle (IEC61508), qui est utilisé pour garantir la sécurité non seulement des machines industrielles, mais aussi des usines chimiques et des systèmes ferroviaires utilisant un contrôleur programmable ou un logiciel. Il est divisé en quatre niveaux, de SIL1 à SIL4, et comprend le mode de fonctionnement à faible exigence et le mode de fonctionnement à exigence élevée (mode de fonctionnement continu). Le tableau 10 présente la catégorie SIL pour le mode de fonctionnement à haute exigence (mode de fonctionnement continu), qui peut être consultée en association avec le PL.
Tableau 10 SIL et limite des valeurs PFHD
Niveau d'intégrité de sécurité (SIL) | Frequent operation request or continuous mode (average probability of dangerous failure per hour, PFHD) |
1 | ≥ 10-6 and < 10-5 |
2 | ≥ 10-7 and < 10-6 |
3 | ≥ 10-8 and < 10-7 |
4 | ≥ 10-9 and < 10-8 |
5. la catégorie au niveau de performance (comparaison entre la dernière édition et la 1ère édition)
1) Estimation des risques et catégories spécifiées dans la 1ère édition de la norme ISO13849-1: 1999 (EN954-1)
La figure 25 illustre le processus d'estimation des risques et de détermination des catégories pour les composants liés à la sécurité spécifiés dans la 1ère édition. Dans l'estimation des risques, la méthode du graphique des risques est utilisée et un choix est fait entre les deux pour les éléments suivants : « Gravité du dommage (S) », « Fréquence d'exposition (F) » et « Possibilité d'éviter le dommage (P) » pour une classification à cinq niveaux. Toutefois, dans le cas de S1 (léger), la catégorie 1 est sélectionnée indépendamment de la fréquence d'exposition et de la possibilité d'éviter le dommage. Pour S2 (grave), F2 (fréquent) et P2 (faible), la catégorie 4 est sélectionnée. Dans la plupart des autres cas, l'une des deux catégories est sélectionnée.
De plus, l'ancienne version fournit des exigences de performance (résistance des fonctions de sécurité aux défaillances) pour chaque catégorie à l'aide de phrases explicatives, comme indiqué dans le tableau 11, et les catégories B à 4 représentent elles-mêmes des niveaux de sécurité. Les niveaux de risque sont B < 1 < 2 < 3, 4 représentant le risque le plus élevé.
Les catégories B et 1 ne disposent pas d'une fonction d'autodiagnostic. Les catégories 3 et 4 sont tenues de maintenir les fonctions de sécurité en cas de défaillance unique.
Obtenez rapidement l’aide et les ressources dont vous avez besoin avec IDEC
Nous répondons à vos questions.
Nous sommes là pour vous aider et vous guider.
Trouvez rapidement ce dont vous avez beoin.