XPSMP : Contrôleurs de sécurité à fonctions prédéfinies Preventa

La gamme Preventa de Schneider Electric permet d’assurer la sécurité des machines.
La Directive Machines 98/37/CE est destinée à contraindre les constructeurs à garantir un niveau de sécurité minimum pour les machines et équipements vendus au sein de l’Union européenne.
La nouvelle Directive Machines Européenne 2006/42/CE est entrée en vigueur le 29 décembre 2009.
Les machines doivent se conformer aux exigences essentielles de santé et de sécurité énoncées dans l’annexe I de la Directive établissant ainsi un niveau minimum commun de protection dans tout l’EEE (Espace économique européen).
Les constructeurs de machines ou leurs représentants agréés au sein de l’UE doivent garantir que la machine est conforme, que le Dossier Technique est accessible aux services d’inspection technique sur demande, que la marque CE est apposée et qu’une déclaration de conformité a été signée avant que la machine ne soit mise sur le marché dans l’UE.

Sécurité Fonctionnelle :
Niveau d’Intégrité de Sécurité (SIL), Niveau de Performace (PL)

Réduction du risque selon EN IEC 61508
– La Sécurité est obtenue par réduction du risque (pour phénomènes dangereux impossibles à éliminer en modifiant la conception).
– Le Risque Résiduel est le risque qui subsiste après la mise en place de mesures de prévention.
– Les Mesures de prévention assurées par les systèmes E/E/EP* relatifs à la sécurité contribuent à la réduction du risque.

* Électrique / Électronique / Électronique programmable.

Estimation du risque et attribution du niveau de SIL

Détermination du niveau de SIL requis
Cette détermination est faite par évaluation des différents facteurs ci-dessous mentionnés

Dans cet exemple on obtient un SIL requit de « 3 » qui est attribué à la fonction de commande relative à la sécurité, destinée à réduire le phénomène dangereux identifié.

Détermination du niveau de SIL atteint par la fonction de commande relative à la sécurité (SRCF)
Au regard de la norme EN IEC 62061, pour chaque fonction de commande relative à la sécurité (SRCF) le SIL est associé :
– A une valeur cible de probabilité de défaillance dangereuse par heure: PFHD.

– A des contraintes architecturales (Tolérances aux défaillances, diagnostic).

– A une ensemble d’exigences relatives au cycle de vie du système de commande relatif à la sécurité.

– Le taux de défaillance λ s’exprime ainsi : λ = λs + λdd + λdu.

– Le calcul du PFHD d’un système ou d’un sous-système est fonction de plusieurs paramètres :
> Le taux de défaillance dangereuse (λd) des éléments du sous-système.
> La tolérance de défaillance (ex : redondance) du système.
> La périodicité du test diagnostic (T2).
> La périodicité du test d’épreuve (T1) ou la durée de vie (la plus courte des deux).
> Le facteur de mode commun (β).

– Pour chacune des architectures logiques A à D il existe une formule différente pour calculer le PFHD (voir EN IEC 62061).

– Pour un système simple sans redondance ni diagnostic : PFHD = λd x 1/h.

λs = taux de défaillance en sécurité.
λdd = taux de défaillance dangereuse détectée.
λdu = taux de défaillance dangereuse non détectée.
λd = λdd + λdu.

En pratique, les défaillances dangereuses détectées sont prises en charge par des fonctions de réaction aux défaillances.

Détermination du niveau PL requis (PLr)
Faite à l’aide du graphique de risque ci-dessous :
– S = Sévérité des lésions.
– S1 = Lésions légères (normalement réversibles).
– S2 = Lésions sérieuses (normalement irréversibles) ou mort d’une personne.
– F = Fréquence et/ou durée d’exposition.
– F1 = Rare à peu fréquente et/ou durée d’exposition courte.
– F2 = Fréquente à continue et/ou durée d’exposition longue.
– P = Possibilité d’évitement du phénomène dangereux ou de limitation d’un dommage.
– P1 = Possible dans certaines circonstances.
– P2 = Presque impossible.
– L = Faible contribution à la réduction des risques.
– H = Contribution importante à la réduction des risques.

Détermination du niveau PL de la partie du système de commande relative à la sécurité (SRP/CS)
Au regard de la norme EN ISO 13849-1, le niveau de performance (PL) est associé à une valeur cible de probabilité de défaillance dangereuse par heure pour chaque fonction de commande relative à la sécurité.

Pour une SRP/CS (ou une combinaison de SRP/CS) conçue selon les exigences de l’article 6, le PL peut être estimé au moyen de la figure ci-dessous après estimation de plusieurs facteurs tels que structure matérielle et logicielle du système (catégories), étendue des mécanismes de détection des défauts [couverture de diagnostique (DC)], fiabilité des composants [temps moyens avant défaillance dangereuse (MTTF d), défaillance de cause commune (CCF)]…

La gamme Preventa

La gamme Preventa propose les composants suivants :

Acquisition de l’information
– Dispositifs de surveillance utilisés dans les systèmes de protection pour contrôler l’accès aux zones dangereuses.
– Barrières immatérielles et tapis de sécurité pour détecter les intrusions dans les zones dangereuses.
– Postes de commande bimanuelle et dispositifs de validation pour déclencher et valider les mouvements dangereux.
– Mesures de protection génériques : bouton d’Arrêt d’urgence.

Surveillance et traitement
– Modules de sécurité pour contrôler les signaux d’entrée venant des dispositifs de surveillance et servir d’interface avec les contacteurs et variateurs de vitesse, permettant l’arrêt de la machine.
– Contrôleur de sécurité : dispositif de sécurité configurable capable de centraliser plusieurs fonctions de sécurité.
– Automates de sécurité : systèmes électroniques programmables, exécutant des tâches relatives à la sécurité ou autres pour les machines et équipements.
– « AS-Interface safety at work » : réseau bus de terrain certifié pour fonctionner avec les dispositifs de surveillance afin d’assurer des fonctions de sécurité.

Preventa XPSMP

Les modules contrôleurs de sécurité Preventa XPSMP sont conçus pour un niveau de performance jusqu’ à PL e/Catégorie 4 selon la norme EN/ISO 13849-1.
Ils permettent d’assurer avec un seul produit deux fonctions de sécurité indépendantes l’une de l’autre, sélectionnées parmi un choix de 15 configurations prédéfinies (sélection réalisable aisément à partir de 3 touches en face avant du produit).

Ces 15 fonctions de sécurité pré-programmées permettent de solutionner la plupart des applications de sécurité comme par exemple la surveillance d’Arrêt d’urgence, d’interrupteurs de position, de tapis ou bords sensibles, de commande de validation, d’interrupteurs magnétiques codés, de barrières immatérielles de sécurité type 4 selon EN 61496-1.
Les contrôleurs XPSMP sont équipés de six sorties de sécurité (trois par fonction) et de trois sorties de signalisation statiques pour message vers l’automate de process.
Pour l’aide au diagnostic les modules sont équipés en face avant de voyants LED permettant d’informer sur l’état des circuits de surveillance. Ces voyants aident également à l’indication et à la sélection des 2 configurations souhaitées.

Niveau maximal de sécurité atteint
– PL e/Catégorie 4 selon EN/ISO 13849-1
– SILCL3 selon EN/IEC 61508 et EN/IEC 62061

Fonction
Chaque fonction (F1, F2) du XPSMP dispose de deux relais avec des contacts associés et une électronique de commande correspondante pour le pilotage et la surveillance.

Les fonctions F1 et F2 sont indépendantes l’une de l’autre et disposent respectivement de trois entrées de sécurité et de trois sorties de sécurité libres de potentiel, avec contacts de relais redondants.
Le module dispose ainsi, au total, de 6 entrées qui sont toutes surveillées au niveau du circuit électrique:
> Détection de court-circuit avec une autre entrée, avec une tension extérieure ou court-circuit avec la masse.
> Chaque élément de commande est alimenté par une des entrées de sécurité 1 … 6 et est connecté à la sortie de contrôle correspondante C1 … C6.
> Le module teste constamment les six entrées ainsi que le circuit de commande connecté à ces entrées. Si une erreur est constatée, la logique de commande coupe immédiatement les quatre relais, et les sorties de sécurité sont ouvertes.

L’appareil peut être configuré via les touches sensitives situées en face avant.
L’utilisateur détermine à l‘aide de ces touches la manière dont les deux fonctions F1 et F2 du module doivent être configurées.

Démarrage surveillé : L’entrée de démarrage est surveillée de telle sorte qu’il n’y ait pas de démarrage en cas de contact de démarrage shunté ou circuit de démarrage fermé plus de 10 secondes, les LED de l’entrée correspondante clignotent tant que le shuntage dure. Le démarrage est déclenché après actionnement, lors de l’ouverture du contact.

Démarrage non surveillé : Lors de la fermeture du contact de démarrage, la sortie est activée (si le circuit de démarrage reste constamment fermé, un démarrage automatique est exécuté).

Démarrage automatique : Il n’y a pas de contact de démarrage ou il est remplacé par un shunt de fermeture de circuit. Le démarrage a lieu directement lorsque les conditions d’entrées sont remplies.

Temps de synchronisation : Deux signaux d’entrées (ou plus) doivent être produits simultanément à l’intérieur de ce temps afin que le démarrage puisse avoir lieu.

Verrouillage du démarrage : Après la mise sous tension du circuit d’alimentation, le verrouillage du démarrage empêche un démarrage jusqu’à ce que les signaux d’entrées existants soient ouverts, puis fermés (par ex. ouverture puis fermeture d’un protecteur).

A la mise sous tension (bornes A1-A2), le XPSMP réalise un auto-test :
> Les 12 LED de la face avant s’allument pendant 2 secondes.
> Puis, la LED verte «Power A1/A2» reste allumée et les autres LED s’éteignent dans la mesure où l’entrée ou la sortie correspondante est ouverte.

Commande
Quatre LED vertes dans les deux colonnes de gauche ANZ.1 et ANZ.2 affichent, en mode normal, l’état des entrées et sorties de chaque fonction.
Les deux LED jaunes «Config. Function 1» et «Config. Function 2» sont alors éteintes.

Affichage de la configuration
Pour lire la configuration de la fonction F1, on actionne la touche «F1». La LED jaune «Config. Function 1» s’allume, et les quatre LED de la colonne ANZ.2 affichent la configuration de la fonction F1 en code binaire jusqu’à ce que la touche soit relâchée. Il en est de même si l‘on actionne la touche «F2».

Sélection de la configuration
> Pour entrer en mode configuration, les deux sorties de sécurité du module doivent être désactivées, en actionnant la touche de fonction désirée «F1» ou «F2» conjointement avec la touche «OK» pendant au moins 1 seconde.
> La LED jaune «Config. Function 1» (ou «Config. Function 2» ) commence à clignoter, le mode configuration est activé.
> Les colonnes ANZ.1 et ANZ.2 affichent alors la configuration mémorisée de la fonction sélectionnée en code binaire.
> A chaque nouvelle pression sur la touche de fonction, l’affichage de la colonne ANZ.2 affiche le prochain code binaire possible.
> ANZ.1 continue d‘afficher la configuration mémorisée.
> Si ANZ.2 affiche le code désiré, on mémorise la nouvelle configuration en appuyant sur la touche «OK». De ce fait, les zones ANZ.1 et ANZ.2 affichent la nouvelle configuration et la LED jaune concernant la fonction est allumée en continu.
Les sorties du module restent cependant verrouillées jusqu’à ce que, par la mise hors tension, puis sous tension du circuit d’alimentation, la nouvelle configuration soit prise en compte.

Schémas :

Schéma de connexions pour la configuration 1 et 2 – Arrêt-d’urgence, à un canal

Diagramme fonctionnel

Schéma de connexions pour la configuration 3 et 4 – Verrouillage de protecteur avec test de démarrage

Diagramme fonctionnel

Schéma de connexions pour la configuration 5 et 6 – Verrouillage de protecteur avec test de démarrage et temps de synchronisme

Diagramme fonctionnel

Schéma de connexions pour la configuration 7 et 8 – Arrêt d’urgence, à deux canaux

Diagramme fonctionnel

Schéma de connexions pour la configuration 9 – Presse à injecter ou machine à souffler

Diagramme fonctionnel

Schéma de connexions pour la configuration 10 et 11 – Commande d’assentiment avec poignée et tapis sensible

Diagramme fonctionnel

Schéma de connexions pour la configuration 12 et 13 – Tapis sensible et barrière immatérielle

Diagramme fonctionnel

Schéma de connexions pour la configuration 14 et 15 – Interrupteur magnétique

Diagramme fonctionnel