You are on page 1of 9

G

uide d’achat

SÛRETÉ INDUSTRIELLE

Automates de sécurité

Les automates de sécurité remplacent avantageusement les fonctions de sécurité à base de logique câblée. Ils réduisent les coûts de câblage, apportent des fonctions de diagnostic, facilitent la maintenance et la modification des installations. Mais attention à bien faire la distinction entre les produits prévus pour la sécurité des machines et ceux prévus pour la sécurité des process (continus ou batch). En cas de défaut, les premiers visent l’arrêt de la machine à tout prix, tandis que les seconds doivent laisser la possibilité d’agir sur le process pour le recadrer.

L orsque l’on évoque les automates

de sécurité, il faut faire dès le

départ la distinction entre deux

grandes familles d’applications.

On trouve d’un côté les produits utilisés pour assurer la sécurité des machines (et des chaînes de fabrication en général) et, de l’autre, les produits spécialisés dans la sécu- rité des process continus. Les différences entre les deux sont nombreuses, tant du point de vue des performances, de la tolé-

rance aux pannes que de la logique de pro- grammation. Les normes, surtout, sont dif-

     
 

L’essentiel

 

On distingue deux grandes familles d’automates de sécurité, selon qu’ils s’adressent à des applications “machines” ou “process”.

Les normes sont différentes entre les deux secteurs. Les produits diffèrent aussi par leurs performances, leur niveau de redondance, leur modularité et leurs fonctions de diagnostic.

Remplaçants d’une approche à base de logique câblée, les automates de sécurité apportent davantage d’ouverture, réduisent les coûts de câblage et facilitent la maintenance.

férentes d’un secteur à

l’autre (même s’il est

souvent possible d’ef- fectuer quelques paral- lèles). Seul point com- mun entre ces solutions : leur finalité. Dès qu’il s’agit de sé- curité, on pense tou- jours en premier lieu à protéger les hommes. Viennent ensuite la protection des installa- tions, puis celle de l’environnement. S’il existe une telle dif- férence entre les solu- tions machines et pro- cess, c’est que le concept même de sécurité est envisagé de manière

totalement opposée.

Afin de protéger l’opérateur qui pilote une machine, celle-ci doit pouvoir être arrêtée à la moindre détection de panne ou de danger. A l’inverse, sur un processus continu, assurer la sécurité des opérateurs et des installations consiste justement à ne pas arrêter le pro- cédé à la moindre déviation. On s’attache plutôt à respecter une succession d’étapes coordonnées pour effectuer l’arrêt dans des conditions sûres. C’est pourquoi l’on appli- que un principe de “tolérance aux fautes” (fonctionnement malgré la présence d’un défaut), tandis que l’on parle uniquement

de “gestion des modes d’arrêt” pour les ap-

plications machines.

La sécurité des machines

Pour assurer la sécurité des opérateurs (et dans une moindre mesure protéger les ins- tallations), les considérations de disponibi- lité sont mises à l’écart. Au moindre doute, la production est interrompue pour éviter tout risque de blessure. Pour cela, les instal- lations sont équipées de nombreux disposi- tifs de détection. C’est ce que l’on appelle les “fonctions de sécurité”. Il peut s’agir de cap- teurs situés dans la machine (des boutons d’arrêt d’urgence ou des capteurs de fin de course, par exemple), ou de dispositifs qui repèrent la présence d’un opérateur dans une zone dangereuse : interrupteurs placés sur les portes, barrières immatérielles et tapis de détection. On inclut également tous les équipements de forçage (ou “bypass”) : les

pédales et les commandes bimanuelles, qui

assurent que l’opérateur est à son poste avant de pouvoir démarrer une opération, ainsi que les poignées “homme mort”, qui acti- vent des modes particuliers pour la mainte- nance ou le dépannage d’une machine dan- gereuse (en limitant la vitesse du bras d’un robot, par exemple). Dès que l’un de ces capteurs de sécurité remonte un défaut, l’alimentation de la ma- chine doit être coupée le plus rapidement possible. Une machine doit d’ailleurs être conçue de telle manière que les pièces tour- nantes soient freinées ou bloquées en l’ab- sence de courant. Mais il faut être sûr que l’information de la détection du défaut par- vienne à remonter jusqu’à la machine. Pour cela, c’est toute la chaîne de sécurité qui doit être attentivement étudiée. Les capteurs de sécurité sont conçus pour être moins sujets aux pannes que des capteurs classiques. Ils utilisent des composants spéciaux qui pré- sentent une meilleure résistance mécanique (en étant moins sujets au vieillissement) et une conception électrique particulière (l’in- formation est systématiquement doublée). Mais pour le reste de la chaîne de sécurité, c’est à l’industriel qu’il revient de faire des choix en fonction de la dangerosité et de la taille de l’application.

Dans le domaine de la sécurité machines, plusieurs formats sont disponibles, depuis les automates compacts jusqu’aux
Dans le domaine
de la sécurité
machines, plusieurs
formats sont
disponibles, depuis
les automates
compacts jusqu’aux
systèmes modulaires
(comme ici au
centre de la photo).
Hima
Siemens
Siemens

Logique programmable ou simple relais de sécurité ?

Première question à se poser : l’application est-elle suffisamment complexe pour justi- fier l’emploi d’un automate de sécurité ? Si non, elle peut peut-être se satisfaire d’une solution à base de relais de sécurité. Il s’agit de relier chaque capteur à un relais, ce dernier étant relié aux autres de manière à assurer le déclenchement de l’arrêt de la machine sous certaines conditions. On parle de “logique à relais” ou encore de “logique câblée”. Cette solution présente l’inconvénient d’un coût de câblage important. D’autant plus impor- tant lorsque les capteurs sont éloignés de l’armoire où sont intégrés les relais. « Les coûts de câblage sont souvent négligés, or il s’agit toujours d’un des principaux postes de dépense pour

la sécurité machines », commente Francis Bossu, responsable marketing France pour l’offre sécurité machines et relais chez Schneider Electric. Avec un automate de sécu- rité, le câblage est réduit car les informations passent dans la plupart des cas par un bus de données. De plus, le branchement des entrées se fait sans contrainte particulière puisque la configuration s’effectue entièrement de ma- nière logicielle. Pour faire son choix entre logique câblée et système à base d’automate, on étudiera donc d’abord la taille de l’application, en portant

une attention particulière au nombre de zones à surveiller. En effet, on préférera opter pour une solution à base d’automates dès lors qu’une application fait intervenir plu- sieurs zones de sécurité distinctes. En gardant à l’esprit que toute fonction même com- plexe peut être réalisée par de la logique câblée (c’est d’ailleurs cette logique que l’on reproduit lorsque l’on programme un auto- mate). Il sera tout à fait possible, par exem- ple, de concevoir des applications complexes telles que le “muting” d’une barrière imma- térielle de sécurité (cette fonction distingue une pièce en transit sur un tapis roulant et d’un opérateur). Et cela d’autant plus aisé- ment que la plupart des fabricants d’équipe- ments de sécurité proposent des modules spécialement conçus pour leurs produits, et qui simplifient le câblage. Il est également possible de monter un certain nombre de relais en série, de telle sorte que le déclen- chement de n’importe laquelle des fonctions de sécurité entraîne l’arrêt de la machine. Mais encore une fois, dès lors qu’une instal- lation comporte plusieurs zones intercon- nectées, l’architecture se complique et devient vite difficile à réaliser et à maintenir en logi- que câblée. Il faut notamment que certaines machines continuent de fonctionner même si un interrupteur a été déclenché ailleurs. Dans le cas d’une chaîne de production, par exemple, il faut pouvoir libérer et sécuriser

Depuis le début des années 2000, les automates de sécurité s’intègrent aux plates-formes des systèmes de contrôle. Des architectures centralisées qui peuvent atteindre les mêmes niveaux de sécurité que les systèmes séparés, mais qui diminuent le nombre de câbles parcourant l’usine.

des zones les unes après les autres, au fur et à mesure de la progression du produit sur la chaîne. Et dans le cas d’opérations de main- tenance, il peut être utile de mêler le muting des barrières immatérielles avec la gestion d’une poignée homme mort, tout en con- trôlant des gâches temporisées (pour inter- dire l’accès à une machine tant que les par- ties tournantes ne sont pas totalement arrêtées).

L’importance du diagnostic

Le principal point faible de la logique câblée, outre son coût, est qu’elle n’apporte aucune fonction de diagnostic. En effet, avec plu- sieurs boutons d’arrêt d’urgence reliés en série à un seul module (ou relais) de sécu- rité, il est impossible de savoir lequel a été déclenché (et quand il a été déclenché). Le redémarrage de la machine peut être forte- ment retardé, surtout si ces boutons d’arrêt d’urgence sont répartis sur de grandes dis- tances, et on perd en productivité. A l’in- verse, en optant pour un automate de sécu- rité qui centralise toutes les fonctions en une application unique, on accède à des possibi- lités de gestion beaucoup plus avancées. Un automate de sécurité connecté au système de supervision affichera l’état du système en temps réel, avec des informations sur le bou- ton ou l’interrupteur qui vient d’être déclen- ché. Mais il sera aussi utile à la traçabilité :

relié à un serveur de stockage des données, il établira un historique de tous les change- ments d’états et de toutes les alarmes, mais aussi gardera en mémoire le nom des per- sonnes qui ont apporté des modifications à l’installation. Enfin, l’automate de sécurité assure l’horodatage des alarmes. Lorsqu’un grand nombre d’alarmes est généré, il est utile de savoir laquelle a été à l’origine du problème. « Au final, grâce à la hausse en produc- tivité ainsi qu’à la réduction de la quantité de câbles et du temps d’installation, on estime que le passage d’une solution à base de logique câblée à une solution avec automate de sécurité conduit à des économies en temps et en argent de l’ordre de 15 et 25 % », dé- clare Frédéric Jeanparis, responsable produits automates de sécurité chez Siemens. Reste

G uide d’achat

G uide d’achat L’aspect normatif : la directive machines La norme européenne EN 954-1 est sur

L’aspect normatif : la directive machines

La norme européenne EN 954-1 est sur le point d’être définitive- ment remplacée. Elle définissait des catégories de sécurité adaptées davantage à la logique câblée qu’aux architectures à base d’automates. L’application des nouvelles normes EN ISO 13849-1 et EN 62061 sera obligatoire à partir de 2010. La norme EN ISO 13849-1 présente des principes généraux de conception relative à la sécurité des machines. Elle reprend le concept de niveaux de sécurité introduit en 1996 par la 954-1, mais y ajoute celui de niveaux de performance (PL, pour Performance Level). Ces derniers sont déterminés en fonction de la durée d’utilisation prévue de la machine et du type d’architec-

ture mis en place. La norme EN 62061 fournit aux constructeurs de machines des indications sur les moyens d’atteindre ces niveaux de performances. Elle innove par sa vision globale de la chaîne de sécurité. Cela passe par la prise en compte des caractéristiques propres à chacun des éléments de la chaîne. Désormais, choisir des équipements certifiés individuellement par leurs fabricants n’est plus une garantie d’atteindre un niveau donné de sécurité. La conception de l’application doit prendre en compte les MTBF (temps moyens avant panne) et MTTR (temps moyens de réparation) de tous les équipements électriques et électroniques utilisés dans la machine.

à l’industriel de choisir l’automate de sécurité le plus adapté à son application.

Différents formats d’automates de sécurité

Les constructeurs d’automates de sécurité proposent deux grandes catégories de pro- duits : les automates compacts et les auto- mates modulaires. Les versions compactes s’installent sur rail-DIN ou se montent direc- tement dans la machine. Elles proposent un nombre d’Entrées/Sorties (E/S) faible et

G uide d’achat L’aspect normatif : la directive machines La norme européenne EN 954-1 est sur

Les réseaux de sécurité

Les automates de sécurité utilisent un réseau spécifique pour piloter les capteurs et actionneurs de sécurité, gérer les blocs d’E/S déportés et remonter des informations de diagnostic. Les principaux constructeurs d’automates proposent des protocoles dérivés de leurs réseaux traditionnels, qu’il s’agisse de bus de terrain ou de réseaux basés sur Ethernet. Dans la plupart des cas, le réseau de sécurité utilise le même support physique que pour le réseau d’automatismes. Les trames de sécurité sont vues à la fois par l’automate de contrôle et l’automate de sécurité. L’avantage étant que l’automate de contrôle peut tirer profit d’être ainsi averti au plus tôt d’un défaut pour lancer des procédures d’arrêt sans risquer d’endommager la machine. Mais il ne peut agir directement sur les fonctions spécifiques à la sécurité. Les trames de sécurité restent entièrement de la responsabilité de l’automate de sécurité. Il s’agit de trames spécifiques incluant une série d’autocontrôles. Les automates doivent vérifier qu’il s’agit bien d’une trame de sécurité, qu’elle est intègre, mais aussi qu’ils la reçoivent au bon moment. Sur un bloc d’E/S classique, par exemple, il est difficile de détecter la rupture d’un câble. A l’inverse, un automate de sécurité se met en défaut et génère une alarme dès que le signal n’est plus réceptionné.

relativement figé. “Relativement”, car les derniers modèles du marché présentent des voies configurables, c’est-à-dire que l’on peut utiliser en tant qu’entrée ou en tant que sortie selon les besoins. La configuration se fait par le logiciel fourni avec l’automate. On réservera les automates compacts aux appli- cations ayant des besoins faibles en nombre d’E/S ainsi qu’aux applications fortement distribuées (plusieurs îlots distants). Et il va de soi que le fait d’avoir un nombre d’En- trées/Sorties fixe limite les possibilités d’évolution de l’architecture.

Les automates modulaires, inversement,

pourront évoluer avec les besoins de l’appli- cation. De par leur conception (un châssis à installer dans un rack, sur lequel se connec- tent des cartes d’alimentation, des cartes processeur et des cartes d’E/S), ils prennent en charge un très grand nombre d’E/S (plu- sieurs dizaines de milliers). Ce qui les destine aux applications les plus complexes. Quel que soit le format choisi, reste la pos- sibilité d’employer des blocs d’E/S déportés. Il s’agit de modèles très proches de ceux uti- lisés pour les E/S classiques, mais ils bénéfi- cient d’une redondance sur tous leurs ports (les entrées comme les sorties). L’avantage est de n’avoir qu’un câble à tirer pour aller vers une zone de production distante, diffi- cile d’accès ou soumise à des conditions environnementales rigoureuses. C’est pour- quoi, comme pour les boîtiers d’E/S déportés classiques, il existe chez certains construc- teurs des versions particulièrement robustes, étanches à l’eau et à la poussière (indice de protection IP67).

Intégrer l’automate de sécurité dans l’automate de contrôle ?

La possibilité de regrouper fonctions d’auto- matismes et fonctions de sécurité au sein

d’un même système est d’actualité. Sur ce

point, plusieurs écoles s’affrontent. Pour

Schmersal
Schmersal

Les systèmes modulaires sur rail DIN offrent l’avantage d’une grande flexibilité, que ce soit en nombre d’Entrées/Sorties ou en redondance. Les unités centrales peuvent être doublées, de même que les modules d’alimentation ou de communication.

Frédéric Jeanparis (Siemens), « c’est en choisis- sant une architecture commune pour les automatismes et la sécurité que les gains sont les plus importants ». Les produits intégrés se présentent sous la forme de cartes de sécurité à insérer dans le châssis utilisé pour l’application de contrôle. Elles restent facilement identifiables dans le châssis car elles sont de couleurs différentes. Premiers arguments en faveur de cette inté- gration : une réduction encore plus poussée du câblage, un encombrement diminué (on utilise le même châssis), et le fait d’utiliser un seul environnement logiciel. En effet, les constructeurs qui proposent des architectures intégrées font de même pour leurs ateliers de développement. Il s’agit le plus souvent de modules spécialement dédiés à la sécurité qui sont rajoutés au logiciel d’automatismes. Les temps de conception s’en trouvent

G uide d’achat

Offre des principaux fournisseurs Marque Référence Norme Nombre d’E/S Protocole Temps Modularité Dimensions, Tension Fixation Principales
Offre des principaux fournisseurs
Marque
Référence
Norme
Nombre d’E/S
Protocole
Temps
Modularité
Dimensions,
Tension
Fixation
Principales
Principales
(distributeur)
de sécurité
réseau
de cycle
poids
d’alim.
caractéristiques
applications
ABB
Triguard
SIL 3 selon
CEI 61508
Jusqu’à
Liaison série
NC
Oui, modules
Par carte :
24
Vcc ou
Châssis
Triple redondance,
Process critiques,
SC300E
9
500 E/S
multipro-
à 32 ou 64 E,
28
x 365,8 x
110/240
19’’
cartes remplaçables
ESD, F&G, BMS,
tocole
16 ou 32 S,
394
mm
Vca
à chaud
turbines
32 E ana, 4 S
ana, 8 timers
Asteel Sensor
Série SE
(SEM - SEE -
SES)
Catégorie 4
4
E et 1 S, 2 S
signalisation
NC
NC
Oui,
modules E
(jusqu’à 26)
et S
Modules de
22,5 mm de
largeur
24
Vcc
Rail DIN
Mini-automate
Sécurité machines
selon
“safetyhub”
EN 954-2
et 4 E
paramétrables
de réarmement
compact et
économique, jusqu’à
3
modules par CPU
B & R
Automation
X20
SIL 3 selon
IEC 61508,
PL “e” selon
EN 13849-1
Sur modules
Powerlink
De 3 à
Oui, gamme
87,5 x 99 x 75
24
Vcc
Rail DIN
Fonctionnement
Sécurité machines
SafeLOGIC
d’E/S
Safety
50
ms
de modules
Safe X20 et
Safe X67 (de
mm
sans ventilateur,
mémoire 2 à 8 Mo,
liaison Powerlink
et installations
2 à 8 E/S TOR)
redondante
BochRexroth
IndraMotion
SIL 2 ou SIL 3
selon
CEI 61508
Local : 512 E/S
(TOR et ana),
Sercos 3,
Profibus,
8 ms
Oui, gamme
175,9 x 129,5 x
24
Vcc
Rail DIN
Plate-forme
Sécurité machines
MLC L45
de modules
97
mm
L65
8
E/S rapides
DeviceNet,
Ethernet
UDP et IP
d’E/S
commune et outil
logiciel unique,
fonctions
de simulation
Emerson
Delta V SLS
SIL 3 selon
16
E/S
Bus Delta V
50
ms
Non
83,8 x 105,5 x
24
Vcc
Châssis
Solution
Process équipés
1508
CEI 61508
configurables
(en entrées ou
en sorties, TOR
ou analogiques)
110
mm,
redon-
Delta V
de SNCC Delta V
0,6 kg
dant
économique, atelier
logiciel commun
avec la solution
Delta V, possibilité
de redondance
Fiessler
FPSC
SIL 3
32
E, 12 S, 2 E
Profibus-
NC
2 versions
127 x 390 x
De 19
Rail DIN
Version fixe
Sécurité machines
(Sorelia)
(CEI 61508),
compteur,
DP,
80
mm,
à 30 Vcc
catégorie 4
2
liaisons série
Ethernet
1,65 kg
(EN 954-1),
(ref FPSC-B) ou
modulaire (ref FPSC-
AD) avec modules
PL “e”
de 8 à 24 E, de 0 à
(EN 13849-1)
4
S, de 0 à 8 E/S ana
GE Fanuc
SafetyNet
SIL 2 selon
CEI 61508
Sur modules
d’E/S (jusqu’à 64
par contrôleur)
Modbus TCP
NC
Oui, modules
avec 8 E/S
TOR ou 8 E/S
analogiques
NC
24
Vcc,
Rail DIN
Modules E/S
et RTU,
ou de 85
ou
remplaçables
Profibus PA
à 264 Vca
montage
sans changer
mural
les branchements
Applications
machines et
process, fonctions
ESD, F&G et BMS
GMR
SIL 3 selon
CEI 61508
Sur modules
Modbus TCP
NC
Oui, gamme
NC
NC
Rail DIN
d’E/S
et RTU,
d’E/S
Profibus PA
déportées sur
Redondance double
ou triple du
contrôleur
Applications de
process, fonctions
ESD, F&G et BMS
bus Genius
Hima France
HiMatrix
SIL 3
8
E et 8 S
Safe-
20
ms
Non, gamme
95
x 114 x
24
Vcc
Rail DIN
Solution compacte
Applications
F20
(CEI 61508),
ethernet,
d’E/S
140
mm
ou
process et
SIL 4
Modbus,
déportées
750
g
montage
machines avec
transports,
Profibus,
mural
faible nombre
catégorie 4
Interbus,
d’E/S
(EN 954-1)
Ethernet/IP
HiQuad
SIL 3 selon
CEI 61508,
catégorie 4
selon
EN 954-1
Sur modules
Profibus DP,
NC
Oui, gamme
NC
24
Vcc,
Châssis
Nombreux modules
Applications
H41q
d’E/S
Modbus
de modules
48
Vcc,
19’’
de communication,
process de taille
RTU, Safe-
d’E/S
115
Vca
moyenne
ethernet,
ou
existe en version
H51q (jusqu’à
OPC
230
Vca
4
096 points d’E/S)
HiMax
SIL 3 selon
CEI 61508,
catégorie 4
selon
EN 954-1
Sur cartes d’E/S
(jusqu’à 200 E/S
par système)
Safe-
50
ms
Oui, gamme
310
x 29 x
NC
Châssis
Redondance jusqu’à
Process critiques
ethernet,
pour
de modules
230
mm (pour
19’’ pour
des architectures
et/ou grand
Profisafe,
1 000 E/S
d’E/S
chaque carte)
Fieldbus,
10, 15 ou
18 cartes
Modbus TCP
quadruplées,
insertion des cartes
à chaud
nombre d’E/S,
fonctions ESD,
F&G, BMS,
et RTU,
turbines, pipelines
EtherNet/IP
Liste non exhaustive

G uide d’achat

Offre des principaux fournisseurs (suite) Marque Référence Norme Nombre d’E/S Protocole Temps Modularité Dimensions, Tension Fixation
Offre des principaux fournisseurs (suite)
Marque
Référence
Norme
Nombre d’E/S
Protocole
Temps
Modularité
Dimensions,
Tension
Fixation
Principales
Principales
(distributeur)
de sécurité
réseau
de cycle
poids
d’alim.
caractéristiques
applications
ICS Triplex
Regent
Sur modules
Liaison
De 100 à
Oui, gamme
NC
24 Vcc,
Châssis
Jusqu’à 15 CPU par
Process (pétrole,
+Plus
d’E/S (jusqu’à
série,
350
ms
de modules
110
ou
19’’
réseau, systèmes
gaz et énergie),
3
500 E/S pour
une CPU)
protocole
selon
d’E/S
220
Vca
R2, Modbus
l’appli.
centralisés, triple
redondance
fonctions ESD,
F&G et BMS
Trusted
SIL 3 selon
CEI 61508
Sur modules
Modbus,
De 40 à
Oui, gamme
NC
24 Vcc,
Châssis
Jusqu’à 64 modules
Process critiques,
d’E/S (jusqu’à
Ethernet
250
ms
de modules
110
ou
19’’
CPU par réseau,
nucléaire,
5
500 E/S pour
une CPU)
TCP/IP, OPC
selon
d’E/S
220
Vca
architectures
fonctions ESD,
l’applica-
tion
tripliquées, datation
des erreurs à la ms
F&G, BMS
et turbines
Aadvance
SIL 3 selon
CEI 61508
Sur modules
d’E/S (jusqu’à
500 E/S pour
une CPU)
Modbus,
De 10 à
Oui, gamme
NC
24 Vcc,
Rail DIN
Jusqu’à 64 modules
Process critiques
Ethernet
60
ms
de modules
110
ou
CPU par réseau,
(dont nucléaire,
TCP/IP,
selon les
d’E/S
220
Vca
systèmes distribués,
OPC, HART
applica-
tions
architectures
tripliquées
pipeline et HIPPS),
fonctions ESD,
F&G, BMS, turbines
Jokab Safety
Pluto AS-i
SIL 3
12
E/S + bus AS-i
AS-i,
33
ms +
Oui, jusqu’à
45
x 84 x
24 Vcc
Rail DIN
Solution compacte
Sécurité machines
(CEI 61508),
pour E/S
Profibus DP,
temps
32
modules
120
mm
catégorie 4
déportées
DeviceNet,
d’exécut°
CPU par
(EN 954-1)
CANopen,
du progr.
système
Ethernet
Pluto B46
SIL 3
46
E/S
Profibus DP,
23
ms +
Oui, jusqu’à
90
x 84 x
24 Vcc
Rail DIN
Solution compacte
Sécurité machines
(CEI 61508),
DeviceNet,
temps
32
modules
120
mm
catégorie 4
CANopen,
d’exécut°
CPU par
(EN 954-1)
Ethernet
du progr.
système
Mitsubishi
QS001CPU
SIL 3
024 E/S par
module CPU
1
CC link,
NC
Oui
De 110
Rail DIN
Flexibilité
importante, avec
Sécurité machines
Electric
(CEI 61508),
Ethernet
ou
catégorie 4
220
Vca
(EN 954-1)
notamment des
modules à 1 E et 1 S
Omron
NE1A
SIL 3 selon
CEI 61508,
catégorie 4
selon
EN 954-1
16
E et 8 S
DeviceNet
Variable
Oui, jusqu’à
90,4 x 111,1
De 20 à
Rail DIN
24 types de
Sécurité machines
(ref CPU01) ou
Safety ou
selon
32
modules
x
114,1 mm
26
Vcc
fonctions
(emballage,
40
E et 8 S
version
l’applica-
E/S (soit
prédéfinies, jusqu’à
notamment)
(ref CPU02),
autonome
tion
400 E et
4
sorties test
136
S)
254 fonctions
par programme
Pilz
PSSuniversal
SIL 3
Jusqu’à 32 E
et 32 S
Safetybus,
NC
NC
24
Vcc
Rail DIN
Pilotage d’E/S
Sécurité machines
(CEI 61508),
Profibus,
standard (non
et installations,
catégorie 4
Profinet,
(EN 954-1)
Interbus,
Oui, gamme
de modules
E/S TOR et
analogique
sécurisées), atelier
compatibilité
logiciel unique
CANopen
DeviceNet
PSS 3047-3
SIL 3
32
E et 15 S +
Safetybus,
NC
(CEI 61508),
bus pour E/S
déportées
Profibus
Non, E/S
déportées
avec 6 E ana
87
(ou 160,2)
24 Vcc
Montage
Solution compacte,
Sécurité
x
246,4
mural
plus de 150 blocs
machines,
catégorie 4
x
162 mm
(EN 954-1)
prédéfinis, atelier
logiciel unique
compatibilité
CANopen
PSS 3006
SIL 3
6
E, 2 E tests +
bus pour E/S
déportées
Safetybus,
NC
123
x 246,4
24 Vcc
Montage
Solution compacte,
Sécurité machines
SB2
(CEI 61508),
Profibus,
Non, jusqu’à
8 064 E/S
décentralisées
x
162 mm
mural
catégorie 4
Interbus,
(EN 954-1)
ControlNet,
DeviceNet
plus de 150 blocs
fonctions
prédéfinies, atelier
logiciel unique
Rockwell
GuardLogix
SIL 3
Sur modules
DeviceNet,
NC
Oui, gamme
NC
NC
Sur
Pour applications
Automation
(CEI 61508),
d’E/S
EtherNet/IP
d’E/S Guard
0,32 kg
châssis
Intégré à la plate-
forme ControlLogix
pilotées par
catégorie 4
I/O
Control-
un automate
(EN 954-1)
Logix
de Rockwell, E/S
locales ou déportées
ControlLogix
SmartGuard
SIL 3
16
E, 8 S,
DeviceNet,
NC
Oui, gamme
99
x 90,4 x
De 11 à
Rail DIN
Solution compacte
600
(CEI 61508),
4
entrées test
Ethernet
d’E/S Guard
131,4 mm
25
Vcc
et économique
Pour applications
distribuées
catégorie 4
I/O
470
g
(EN 954-1)
avec un grand
nombre d’E/S
GuardPLC
SIL 3
20
ou 24 E, 8 ou
DeviceNet,
NC
Non, gamme
Différentes
De 20,4 à
Montage
Applications
(CEI 61508),
16
S, 8 E ana,
EtherNet/IP,
d’E/S
dimensions
28,8 Vcc
mural
multizone avec
catégorie 4
8
S ana,
Modbus
déportées
selon les
4 facteurs de forme
avec différentes
configurations d’E/S
entrées TOR
(EN 954-1)
2
compteurs
RTU et
Guard I/O
références
et analogiques
Profibus DP
Liste non exhaustive

G uide d’achat

Offre des principaux fournisseurs (suite) Marque Référence Norme Nombre d’E/S Protocole Temps Modularité Dimensions, Tension Fixation
Offre des principaux fournisseurs (suite)
Marque
Référence
Norme
Nombre d’E/S
Protocole
Temps
Modularité
Dimensions,
Tension
Fixation
Principales
Principales
(distributeur)
de sécurité
réseau
de cycle
poids
d’alim.
caractéristiques
applications
Schmersal
PROTECT-
SIL 3
Sur modules E/S
(jusqu’à 246 E
et 244 S)
Profibus,
22
ms
Oui, gamme
45
x 100 x
24 Vcc
Rail DIN
Solution modulaire
Sécurité machines
Elan
PSC
(CEI 61508),
DeviceNet,
de modules
80
mm
et très compacte,
(emballage et
catégorie 4
CC-Link
d’E/S
210
g
(EN 954-1),
atelier logiciel
unique
agroalimentaire,
notamment)
PL “e”
(EN 13849-1)
Schneider
Modicon
SIL 3
Jusqu’à 1 000 E/S
TOR et
analogiques
Ethernet,
15
ms
Non, gamme
d’E/S
déportées
TOR et ana
72
x 150 x
24 Vcc
Rail DIN
Solution compacte
Sécurité machines
Electric
XPSMF
(CEI 61508),
Modbus
120
mm
et modulaire
et process simples
catégorie 4
TCP,
(EN 954-1),
Modbus,
PL “e”
afeethernet
(EN 13849-1)
Modicon
SIL 3 selon
CEI 61508
Jusqu’à 5 000 E/S
TOR et
analogiques
Ethernet,
100
ms
Oui, gamme
120
x 260 x
220 Vca
Châssis
Solution à haute
Grandes
Quantum
Modbus TCP
avec
d’E/S
105
mm
19“
disponibilité
SIL
redon-
déportées
dance
TOR et
analogique
(redondance totale,
atelier logiciel
unique (Unity)
applications de
process : BMS,
ESD, infrastructures
Sick
UE410
Catégorie 4
selon
l’EN 954-1
et SIL 3 selon
l’EN 61508
Sur modules E/S
(jusqu’à 96 E/S
par CPU)
Profibus DP,
NC
Oui, jusqu’à
12 modules
E/S par CPU
22,5 x 96,5 x
114,4 mm
de 100 à 200 g
24 Vcc
Rail DIN
Sécurité
Flexi Soft
CANOpen,
machines,
EtherNet/IP,
Solution modulaire,
intégration
transparente dans
les bus de terrain
les plus utilisés
installations
Ethernet,
petites
Profinet I/O,
à moyennes
DeviceNet,
ModBus TCP
Siemens
Distributed
SIL 3
Sur modules E/S
Profibus,
NC
Oui, modules
à 8 E et 4 S
60
x 119,5 x
24 Vcc
Châssis ET
Solution intégrée
Sécurité
Safety
(CEI 61508),
ProfiNet
75
mm
200
avec modules pour
machines,
ET200S
catégorie 4
200
g
(EN 954-1)
variation de vitesse
et départs moteur
applications
distribuées
F-Systems
SIL 3
Sur modules E/S
Profibus DP
NC
Oui, modules
à 8 ou 24 E,
à 8 ou 10 S,
à 6 E ana
50
x 290 x
24 Vcc
Châssis
2
CPU par unité
Sécurité process
S7400F
(CEI 61508),
219
mm
S7, 4 à
centrale, atelier
catégorie 4
990
g
18
empla-
logiciel unique
(EN 954-1)
cements
F-Systems
SIL 3
Sur modules E/S
Profibus DP
NC
Oui, modules
à 8 ou 24 E,
à 8 ou 10 S,
à 6 E ana
50
x 290 x
24 Vcc
Châssis
3
CPU par unité
Sécurité process
S7400FH
(CEI 61508),
219
mm
S7, 4 à
centrale, atelier
avec tolérance
catégorie 4
990
g
18
empla-
logiciel unique
(EN 954-1)
cements
de pannes (haute
disponibilité)
Smartscan
Integron 22
Catégorie 4
7
E, 4 S, 8 timers
NC
5
ms
Non
90 x 70 x
De 22 à
Rail DIN
Sécurité machines
(Accmas)
(EN 954-1)
60
mm
28
Vcc
Integron 52
Catégorie 4
18 E, 8 S,
NC
5
ms
Oui
90 x 160 x
De 22 à
Rail DIN
Sécurité machines
(EN 954-1)
32
timers,
60
mm
28
Vcc
2
compteurs
Invensys
Tricon
SIL 3 selon
CEI 61508
Sur modules E/S
(jusqu’à 2 850 E/S
par CPU)
Modbus
RTU et TCP,
Open TCP,
TSAA, Peer
to Peer, OPC
De 30 à
Oui, gamme
NC
24
ou
Châssis
architecture 2oo3D
Triconex
500
ms
d’E/S fixes
48
Vcc,
19’’
à haute disponibilité
selon
ou déportées
120
ou
l’applica-
230
Vca
tion
Sécurité de
process, fonctions
ESD, F&G, BMS,
HIPPS, turbines,
nucléaire
Trident
SIL 3 selon
CEI 61508
Sur modules E/S
(jusqu’à 640 E/S
par CPU)
Modbus
RTU et TCP,
Open TCP,
TSAA,
Peer to Peer
De 25 à
Oui, gamme
NC
24
Vcc
Rail DIN
architecture 2oo3D
500
ms
d’E/S fixes
ou
à haute disponibilité
selon
ou déportées
montage
l’applica-
mural
Sécurité de
process, fonctions
ESD, F&G, BMS,
HIPPS, turbines
tion
Yokogawa
ProSafe-RS
SIL 3 selon
CEI 61508
Sur modules E/S
(jusqu’à 1 000 E/S
par CPU)
Vnet,
100
ms
Oui, gamme
NC
24 Vcc ou
Châssis
Architecture quadru-
Sécurité de
ModBus,
à 1 s
de modules
230 Vca
19’’
OPC
E/S
plée, datation
des alarmes à 1 ms
process, fonctions
ESD, F&G et BMS
ProSafe-SLS
SIL 3 selon
CEI 61508
Sur modules E/S
(pas de
limitation en
nombre d’E/S)
Vnet,
10
à
Oui, gamme
NC
24 Vcc ou
Châssis
Technologie “Solid
Sécurité de
ModBus,
100
ms
de modules
230 Vca
19’’
OPC
E/S
State” basée
sur des pulses et
tores magnétiques
process, fonctions
ESD, F&G, BMS
et HIPPS
Liste non exhaustive

G uide d’achat

G uide d’achat Process continus : les normes se mettent en place La norme CEI 61508

Process continus : les normes se mettent en place

La norme CEI 61508 met l’accent sur la conception et la validation des systèmes dédiés aux fonctions de sécurité. Elle s’adresse plus particulièrement aux constructeurs de matériel de sécurité (capteurs, transmetteurs, automates, relais, actionneurs, etc.). La norme CEI 61511 détaille plus spécifiquement tous les aspects liés aux applications de process. Elle cible les utilisateurs et les intégrateurs de systèmes et solutions de sécurité sur les process à risques. Elle développe une approche globale de la sécurité (du capteur à l’actionneur), avec des indications sur l’évaluation quantitative de la sécurité.

Pour plus d’informations sur le sujet, vous pouvez vous reporter au dossier complet sur la sécurité fonctionnelle : “Sur la longue route de la norme CEI 61511” dans le numéro 813 de la revue Mesures (mars 2009).

fortement réduits car toutes les variables sont accessibles directement pour les deux applications. On diminue également le ris- que d’erreurs. Sans compter les économies réalisées sur le développement de connec- teurs logiciels : dans une architecture sépa- rée, il est nécessaire de concevoir des con- necteurs spécifiques pour relier une application de sécurité au logiciel de super- vision. Il en va de même pour la formation, car les automaticiens que l’on charge de con- cevoir une application de sécurité préfére- ront employer leur logiciel habituel. Enfin, on peut mettre en avant le fait de n’avoir qu’un seul interlocuteur pour le matériel de contrôle et pour les composants de sécu- rité. Le principal inconvénient de ce type de solu- tion réside dans la cohabitation entre un système figé et un système sujet à évolutions. Les interventions sur un programme d’auto- matismes peuvent être fréquentes, que ce soit pour effectuer des réglages ou des mises à jour. A l’inverse, le programme de sécurité, qui fait l’objet d’une certification, doit être protégé contre toute modification intempes- tive. Il faut donc vérifier que le constructeur ait prévu des mécanismes de verrouillage sur l’application de sécurité. L’idée de l’intégration fait son chemin, mais elle ne convainc pas tous les utilisateurs. « Les industriels qui ont des machines très dangereuses pré- féreront toujours confier les automatismes et la sécu- rité à des systèmes différents, commente Serge Catherineau, responsable marketing auto-

matismes et solutions chez Schneider Electric. Et le plus souvent, ils demandent des systèmes de cons-

tructeurs différents. C’est à nous qu’il revient de sensibiliser les clients sur les vrais moyens d’amé-

liorer la sécurité. » Quoi qu’il en soit, tous les constructeurs s’accordent à dire qu’une

architecture séparée ou intégrée peut déli- vrer le même niveau de sécurité.

A l’intérieur de l’automate de sécurité

Le débat sur les différents types d’architec- tures se poursuit lorsque l’on s’intéresse au fonctionnement même de l’automate. En effet, les constructeurs sont divisés sur les méthodes à exploiter pour assurer une sécu- rité maximale. On identifie trois principaux types d’unités centrales. Le premier consiste à exécuter chaque tâche sur deux proces- seurs à architectures différentes, et de com- parer en sortie leurs résultats. La deuxième consiste à n’utiliser qu’un seul CPU mais de faire en sorte que chaque tâche soit exécutée systématiquement deux fois de suite. Enfin, dans le cas des automates qui effectuent des tâches de contrôle et de sécurité dans le même châssis, la carte CPU de sécurité fonc-

tionne comme un coprocesseur qui ne s’acquitte que des tâches ayant trait à la sécu- rité. Mis à part le CPU, les automates de sécurité du marché utilisent globalement les mêmes méthodes pour assurer de la redon- dance. Quel que soit le constructeur, tout est dupliqué et tout est surveillé. Depuis la mé- moire interne (son intégrité est vérifiée à chaque temps de cycle) jusqu’aux câbles (leur impédance est mesurée afin de détecter toute rupture ou court-circuit) en passant par les contrôleurs d’E/S (chaque entrée est doublée, et chaque sortie repart vers une entrée afin d’être vérifiée). « Tous ces contrôles sont absolument transparents pour l’utilisateur,

commente Fabrice Poulet, responsable de l’activité composants chez Rockwell Automation. Bien entendu, ils ont un impact sur les temps de cycles, mais cela est pris en compte dès la conception, par le choix des processeurs et le réglage de leurs horloges. Au final, un automate de sécurité, ce n’est rien de moins qu’un “super-automate”. » Au final, on constate très peu de différences entre les pro- duits pour ce qui concerne les performances

matérielles brutes. L’efficacité d’une applica- tion dépendra avant tout de la manière dont le programme a été conçu.

La sécurité : avant tout une question de logiciel

Nombre de constructeurs mettent en avant la présence de blocs fonctionnels certifiés dans leurs ateliers logiciels, mais cela ne suf- fit pas à garantir qu’une application sera directement certifiable. En effet, seul le com- pilateur nécessite une certification. Il s’agit de s’assurer que l’application une fois géné- rée correspondra bien à ce qui a été défini

par le concepteur. « La norme prévoit une seule contrainte en ce qui concerne le développement des

applications, indique Philippe Primard, res- ponsable de l’activité systèmes de sécurité

chez Yokogawa France : il est impératif que la conception et la validation soient effectuées par des

personnes différentes. » Il n’en reste pas moins que la présence d’une bibliothèque de blocs fonctionnels prépara- métrés offre un véritable gain de temps aux développeurs. Il leur suffit de déclarer les noms des variables en entrée et de connecter la bonne sortie. La programmation de fonc-

tions même complexes est grandement

Yokogawa
Yokogawa

C’est dans le domaine de la sécurité de process que les applications sont les plus complexes, avec des armoires regroupant jusqu’à plusieurs dizaines de milliers d’Entrées/Sorties.

G uide d’achat

Pilz

G uide d’achat Pilz Grâce à des blocs d’E/S déportées étanches, un seul câble sort de

Grâce à des blocs d’E/S déportées étanches, un seul câble sort de la machine et véhicule toutes les informations de sécurité.

B & R Automation
B & R Automation

Extérieurement, seule la couleur différencie les modules d’Entrées/Sorties de sécurité de ceux utilisés pour le contrôle-commande. Mais à l’intérieur, les modules de sécurité se distinguent par une redondance de tous les composants électroniques.

facilitée (sans commune mesure avec la logique câblée), et il reste bien entendu pos- sible de développer des fonctions spécifiques, ne se basant sur aucun modèle. Autre aspect intéressant : la présence d’un logiciel de simulation. Ce dernier servira à tester une application avant que le câblage soit réalisé, ce qui procure des gains de temps non négli- geables lors de la mise en place d’une nou- velle machine.

Changement d’univers :

les applications de process

Le secteur de la sécurité des process continus est radicalement différent de celui de la sécurité des machines. Nous l’avons vu, la principale distinction réside dans la nécessité

G uide d’achat Pilz Grâce à des blocs d’E/S déportées étanches, un seul câble sort de

Un exemple d’architecture distribuée : l’automate modulaire, installé dans une armoire, est relié à des blocs d’E/S déportés (placés dans les machines) et à des automates de sécurité compacts (pour le pilotage d’un îlot de fabrication distant).

de considérer la disponibilité en plus de la sécurité. Même si un process se pilote avec des automates, comme une machine, il est impossible d’y appliquer les mêmes règles (à savoir couper l’alimentation dès qu’un défaut ou une panne est détecté). « On peut comparer un process à un avion en vol, explique Hervé Bodinier, directeur des ventes Europe

du Nord et Afrique chez Rockwell Oil & Gas. En cas de défaut, la position la plus sûre n’est pas l’arrêt

immédiat ou incontrôlé ! Au contraire, un arrêt bru- tal peut avoir des conséquences catastrophiques, et peut entraîner jusqu’à la destruction de tout ou partie de l’usine. C’est pourquoi on dit que lorsqu’un process

dérive, il faut pouvoir le recentrer. » Cela signifie continuer à piloter une partie du process même si certains éléments sont défaillants. Cette différence d’approche se ressent d’abord du point de vue de la conception des appli-

cations logicielles. Alors que dans la sécurité machines on s’appuie sur la logique câblée (des schémas à contacts) pour décrire le comportement du système, dans le process on emploie des matrices causes-effets. On définit, pour une ou plusieurs causes (une pression anormalement élevée ou un niveau anormalement bas, par exemple), des actions à effectuer (on pilote l’arrêt d’une pompe ou l’ouverture d’une vanne, par exemple). L’intérêt de cette approche est de transcrire exactement l’analyse de risque. Il s’agit de la première étape prévue par la norme pour concevoir une application de sécurité. Cette analyse consiste à se poser les deux questions

suivantes : quels sont les risques de défail- lances ? et quelles peuvent en être leurs con- séquences ? Les logiciels de sécurité de pro- cess sont donc complètement différents de ceux utilisés pour les machines. Du point de vue matériel, les critères de choix sont eux aussi différents. Une spéci- ficité du process : comme le préconise la norme IEC 61511, les caractéristiques de fiabilité de chaque équipement sont prises en compte pour l’estimation du niveau de sécurité global de l’application (SIL, Safety Integrity Level). En ce qui concerne la redon- dance, tout est envisageable et les architectu- res peuvent être beaucoup plus complexes que celles concernant la sécurité machines. Les architectures peuvent aller d’une redon- dance simple jusqu’à des systèmes à 6 uni- tés centrales. « Par ailleurs, poursuit Sébastien Lachaise, ingénieur des ventes chez Hima France, pour assurer le maximum de disponibilité, certains systèmes de sécurité ont des cartes remplaça-

bles à chaud. Si une carte processeur tombe en panne, il suffit d’en insérer une nouvelle. Le programme auto- mate est copié automatiquement et son exécution démarre aussitôt après. » Si un accident dans un process peut avoir des conséquences graves, il faut choisir un pro- duit capable de piloter à la fois une applica- tion d’arrêt d’urgence pour protéger le pro- cess et une application “feu et gaz” pour protéger l’environnement. Cette dernière se charge d’alerter les services de lutte anti-in- cendie, de déclencher des arrosages automa-

G uide d’achat

Pilz

G uide d’achat Pilz Le transport de personnes : un monde à part Le secteur du

Le transport de personnes : un monde à part

Le secteur du transport est une application particulière. Il fait l’objet de réglementations spécifiques, mais reprend des impératifs inhérents aux deux secteurs des machines et du process. Des impératifs de protection des individus, d’abord, car la sécurité des passagers prime. Des impératifs de disponibilité, également, car on ne peut se contenter de couper l’alimenta- tion électrique d’un véhicule ou d’un train à la première remontée d’un défaut. Selon le volume de l’application et les besoins en disponibilité, le choix de

l’automate s’effectuera entre des produits orientés machines (pour des applications de remontées mécani- ques, de funiculaires ou de tramways, par exemple) ou des produits orientés process (applications de métro, de téléphériques, entre autres). On retrouve des automates de sécurité dans tous les tramways (pour l’isolation de l’alimenta- tion par le sol), pour la gestion des portes palières dans les métros automatiques, pour des applications dans des aéroports ou encore pour certains ascenseurs (ceux de la tour Eiffel, par exemple).

Sick
Sick

Une très large majorité d’automates de sécurité dispose de LED de diagnostic sur leur face avant. Ils offrent une vue globale de l’état des différents composants, et évitent ainsi le recours à une console de diagnostic.

tiques, de verrouiller des zones, d’actionner des systèmes d’évacuation de fumées, etc. Pour protéger les installations, lorsqu’une alarme est activée, il faut que le système gé- nère un signal qui déclenchera par exemple le dispositif d’extinction d’incendie. On parle alors de commande “par émission”, par opposition avec les commandes “à man- que” utilisées dans le cas classique d’un arrêt d’urgence. Pour les process potentiellement dangereux, il est donc très important de choisir un automate de sécurité capable de prendre en charge les deux types de logique. « Et cela n’est pas forcément mis en valeur par les constructeurs et intégrateurs. Attention donc au moment du choix, car un produit certifié SIL 3 pour une commande à manque ne sera pas forcément SIL 3 pour une commande par émission », précise Hervé Bodinier (ICS Triplex/Rockwell Oil & Gas).

Le diagnostic fait également l’objet d’une attention particulière dans le process. A l’ins- tar des pipelines, de nombreuses applications s’étendent sur des centaines voire des milliers de kilomètres. On préférera alors répartir plusieurs automates de sécurité le long des installations. Cela n’apporte pas plus de sé- curité qu’une plate-forme centralisée, mais les agents de surveillance pourront effectuer sur place un premier diagnostic. Les LED en face avant des automates donnent diverses indications : état de la redondance, distinc- tion entre erreurs internes et erreurs liées au process, indicateurs d’état du bus ou indica- teurs de forçage, etc. Enfin, comme pour la sécurité machines, on se posera la question de l’intégration avec le système de contrôle. Dans le process, beaucoup de clients choi- sissent un constructeur différent de celui du

système numérique de contrôle-commande (SNCC). « Un choix qui est aussi et surtout une manière de se rassurer », selon Jean Farge, res- ponsable marketing France pour l’offre pro- cess chez Schneider Electric. C’est pourquoi les spécialistes de la sécurité proposent pour la plupart des systèmes compatibles avec les grandes marques de SNCC. Mais contraire- ment aux applications machines, la norme CEI 61511 impose ici que les réseaux de sécurité et de contrôle soient physiquement séparés. Elle demande même de séparer les systèmes ayant des niveaux de SIL différents. Si cela n’est pas possible, il faut toujours se conformer au niveau de SIL maximal. Dans une application qui regroupe un mélange de fonctions SIL 1, SIL 2 et SIL 3, tout devra être considéré comme SIL 3.

Frédéric Parisot

Triconex
Triconex

Les automates spécialisés dans les applications de process sont ceux qui apportent les degrés de sécurité les plus élevés. Plus que la redondance, ils offrent des architectures dans lesquelles tous les composants sont triplés.

G uide d’achat Pilz Le transport de personnes : un monde à part Le secteur du

Qui a dit que la sécurité était incompatible avec une transmission sans-fil ? Pilz propose une architecture basée sur son réseau de sécurité SafetyBus associé aux modems radio à haute disponibilité du constructeur suisse Schweizer Electronic. De tels systèmes sont utilisés pour des applications de ponts roulants ou de remontées mécaniques, par exemple.