SÛR E T É I N D U S T R I E L L E
Automates de sécurité
Les automates de sécurité remplacent avantageusement les fonctions de sécurité assurent que l’opérateur est à son poste avant
à base de logique câblée. Ils réduisent les coûts de câblage, apportent des fonctions de pouvoir démarrer une opération, ainsi
de diagnostic, facilitent la maintenance et la modification des installations. Mais que les poignées “homme mort”, qui acti-
attention à bien faire la distinction entre les produits prévus pour la sécurité des vent des modes particuliers pour la mainte-
machines et ceux prévus pour la sécurité des process (continus ou batch). En cas nance ou le dépannage d’une machine dan-
de défaut, les premiers visent l’arrêt de la machine à tout prix, tandis que les gereuse (en limitant la vitesse du bras d’un
seconds doivent laisser la possibilité d’agir sur le process pour le recadrer. robot, par exemple).
Dès que l’un de ces capteurs de sécurité
remonte un défaut, l’alimentation de la ma-
L
chine doit être coupée le plus rapidement
orsque l’on évoque les automates Afin de protéger l’opérateur qui pilote une possible. Une machine doit d’ailleurs être
de sécurité, il faut faire dès le machine, celle-ci doit pouvoir être arrêtée à conçue de telle manière que les pièces tour-
départ la distinction entre deux la moindre détection de panne ou de danger. nantes soient freinées ou bloquées en l’ab-
grandes familles d’applications. A l’inverse, sur un processus continu, assurer sence de courant. Mais il faut être sûr que
On trouve d’un côté les produits utilisés la sécurité des opérateurs et des installations l’information de la détection du défaut par-
pour assurer la sécurité des machines (et des consiste justement à ne pas arrêter le pro- vienne à remonter jusqu’à la machine. Pour
chaînes de fabrication en général) et, de cédé à la moindre déviation. On s’attache cela, c’est toute la chaîne de sécurité qui doit
l’autre, les produits spécialisés dans la sécu- plutôt à respecter une succession d’étapes être attentivement étudiée. Les capteurs de
rité des process continus. Les différences coordonnées pour effectuer l’arrêt dans des sécurité sont conçus pour être moins sujets
entre les deux sont nombreuses, tant du conditions sûres. C’est pourquoi l’on appli- aux pannes que des capteurs classiques. Ils
point de vue des performances, de la tolé- que un principe de “tolérance aux fautes” utilisent des composants spéciaux qui pré-
rance aux pannes que de la logique de pro- (fonctionnement malgré la présence d’un sentent une meilleure résistance mécanique
grammation. Les normes, surtout, sont dif- défaut), tandis que l’on parle uniquement (en étant moins sujets au vieillissement) et
férentes d’un secteur à de “gestion des modes d’arrêt” pour les ap- une conception électrique particulière (l’in-
L’essentiel l’autre (même s’il est plications machines. formation est systématiquement doublée).
souvent possible d’ef- Mais pour le reste de la chaîne de sécurité,
On distingue deux grandes
fectuer quelques paral- La sécurité des machines c’est à l’industriel qu’il revient de faire des
familles d’automates
de sécurité, selon qu’ils lèles). Seul point com- Pour assurer la sécurité des opérateurs (et choix en fonction de la dangerosité et de la
s’adressent à des mun entre ces dans une moindre mesure protéger les ins- taille de l’application.
applications “machines” solutions : leur finalité. tallations), les considérations de disponibi-
ou “process”. Dès qu’il s’agit de sé- lité sont mises à l’écart. Au moindre doute,
Les normes sont différentes curité, on pense tou- la production est interrompue pour éviter
entre les deux secteurs. jours en premier lieu à tout risque de blessure. Pour cela, les instal-
Les produits diffèrent aussi protéger les hommes. lations sont équipées de nombreux disposi- Dans le domaine
de la sécurité
par leurs performances, Viennent ensuite la tifs de détection. C’est ce que l’on appelle les machines, plusieurs
leur niveau de redondance, protection des installa- “fonctions de sécurité”. Il peut s’agir de cap- formats sont
leur modularité et leurs tions, puis celle de teurs situés dans la machine (des boutons disponibles, depuis
fonctions de diagnostic. les automates
l’environnement. d’arrêt d’urgence ou des capteurs de fin de compacts jusqu’aux
Remplaçants d’une approche S’il existe une telle dif- course, par exemple), ou de dispositifs qui systèmes modulaires
à base de logique câblée, férence entre les solu- repèrent la présence d’un opérateur dans (comme ici au
les automates de sécurité tions machines et pro- une zone dangereuse : interrupteurs placés centre de la photo).
apportent davantage
Hima
cess, c’est que le concept sur les portes, barrières immatérielles et tapis
d’ouverture, réduisent les
même de sécurité est de détection. On inclut également tous les
coûts de câblage et
facilitent la maintenance. envisagé de manière équipements de forçage (ou “bypass”) : les
totalement opposée. pédales et les commandes bimanuelles, qui
Schmersal
remonter des informations de diagnostic. en charge un très grand nombre d’E/S (plu-
Les principaux constructeurs d’automates sieurs dizaines de milliers). Ce qui les destine
Les systèmes modulaires sur rail DIN offrent l’avantage d’une
proposent des protocoles dérivés de leurs réseaux aux applications les plus complexes. grande flexibilité, que ce soit en nombre d’Entrées/Sorties
traditionnels, qu’il s’agisse de bus de terrain ou Quel que soit le format choisi, reste la pos- ou en redondance. Les unités centrales peuvent être doublées,
de réseaux basés sur Ethernet. Dans la plupart des sibilité d’employer des blocs d’E/S déportés. de même que les modules d’alimentation ou de communication.
cas, le réseau de sécurité utilise le même support Il s’agit de modèles très proches de ceux uti-
physique que pour le réseau d’automatismes. lisés pour les E/S classiques, mais ils bénéfi- Frédéric Jeanparis (Siemens), « c’est en choisis-
Les trames de sécurité sont vues à la fois par
cient d’une redondance sur tous leurs ports sant une architecture commune pour les automatismes
l’automate de contrôle et l’automate de sécurité.
L’avantage étant que l’automate de contrôle
(les entrées comme les sorties). L’avantage et la sécurité que les gains sont les plus importants ».
peut tirer profit d’être ainsi averti au plus tôt d’un est de n’avoir qu’un câble à tirer pour aller Les produits intégrés se présentent sous la
défaut pour lancer des procédures d’arrêt sans vers une zone de production distante, diffi- forme de cartes de sécurité à insérer dans le
risquer d’endommager la machine. Mais il ne peut cile d’accès ou soumise à des conditions châssis utilisé pour l’application de contrôle.
agir directement sur les fonctions spécifiques environnementales rigoureuses. C’est pour- Elles restent facilement identifiables dans le
à la sécurité. Les trames de sécurité restent quoi, comme pour les boîtiers d’E/S déportés châssis car elles sont de couleurs différentes.
entièrement de la responsabilité de l’automate de classiques, il existe chez certains construc- Premiers arguments en faveur de cette inté-
sécurité. Il s’agit de trames spécifiques incluant teurs des versions particulièrement robustes, gration : une réduction encore plus poussée
une série d’autocontrôles. Les automates doivent étanches à l’eau et à la poussière (indice de du câblage, un encombrement diminué (on
vérifier qu’il s’agit bien d’une trame de sécurité, protection IP67). utilise le même châssis), et le fait d’utiliser
qu’elle est intègre, mais aussi qu’ils la reçoivent au
un seul environnement logiciel. En effet, les
bon moment. Sur un bloc d’E/S classique, par Intégrer l’automate de sécurité constructeurs qui proposent des architectures
exemple, il est difficile de détecter la rupture d’un dans l’automate de contrôle ?
câble. A l’inverse, un automate de sécurité intégrées font de même pour leurs ateliers
se met en défaut et génère une alarme dès que le La possibilité de regrouper fonctions d’auto- de développement. Il s’agit le plus souvent
signal n’est plus réceptionné. matismes et fonctions de sécurité au sein de modules spécialement dédiés à la sécurité
d’un même système est d’actualité. Sur ce qui sont rajoutés au logiciel d’automatismes.
point, plusieurs écoles s’affrontent. Pour Les temps de conception s’en trouvent ➜
B&R X20 SIL 3 selon Sur modules Powerlink De 3 à Oui, gamme 87,5 x 99 x 75 24 Vcc Rail DIN Fonctionnement Sécurité machines
Automation SafeLOGIC IEC 61508, d’E/S Safety 50 ms de modules mm sans ventilateur, et installations
PL “e” selon Safe X20 et mémoire 2 à 8 Mo,
EN 13849-1 Safe X67 (de liaison Powerlink
2 à 8 E/S TOR) redondante
BochRexroth IndraMotion SIL 2 ou SIL 3 Local : 512 E/S Sercos 3, 8 ms Oui, gamme 175,9 x 129,5 x 24 Vcc Rail DIN Plate-forme Sécurité machines
MLC L45 selon (TOR et ana), Profibus, de modules 97 mm commune et outil
L65 CEI 61508 8 E/S rapides DeviceNet, d’E/S logiciel unique,
Ethernet fonctions
UDP et IP de simulation
Emerson Delta V SLS SIL 3 selon 16 E/S Bus Delta V 50 ms Non 83,8 x 105,5 x 24 Vcc Châssis Solution Process équipés
1508 CEI 61508 configurables 110 mm, redon- Delta V économique, atelier de SNCC Delta V
(en entrées ou 0,6 kg dant logiciel commun
en sorties, TOR avec la solution
ou analogiques) Delta V, possibilité
de redondance
Fiessler FPSC SIL 3 32 E, 12 S, 2 E Profibus- NC 2 versions 127 x 390 x De 19 Rail DIN Version fixe Sécurité machines
(Sorelia) (CEI 61508), compteur, DP, 80 mm, à 30 Vcc (ref FPSC-B) ou
catégorie 4 2 liaisons série Ethernet 1,65 kg modulaire (ref FPSC-
(EN 954-1), AD) avec modules
PL “e” de 8 à 24 E, de 0 à
(EN 13849-1) 4 S, de 0 à 8 E/S ana
GE Fanuc SafetyNet SIL 2 selon Sur modules Modbus TCP NC Oui, modules NC 24 Vcc, Rail DIN Modules E/S Applications
CEI 61508 d’E/S (jusqu’à 64 et RTU, avec 8 E/S ou de 85 ou remplaçables machines et
par contrôleur) Profibus PA TOR ou 8 E/S à 264 Vca montage sans changer process, fonctions
analogiques mural les branchements ESD, F&G et BMS
GMR SIL 3 selon Sur modules Modbus TCP NC Oui, gamme NC NC Rail DIN Redondance double Applications de
CEI 61508 d’E/S et RTU, d’E/S ou triple du process, fonctions
Profibus PA déportées sur contrôleur ESD, F&G et BMS
bus Genius
Hima France HiMatrix SIL 3 8 E et 8 S Safe- 20 ms Non, gamme 95 x 114 x 24 Vcc Rail DIN Solution compacte Applications
F20 (CEI 61508), ethernet, d’E/S 140 mm ou process et
SIL 4 Modbus, déportées 750 g montage machines avec
transports, Profibus, mural faible nombre
catégorie 4 Interbus, d’E/S
(EN 954-1) Ethernet/IP
HiQuad SIL 3 selon Sur modules Profibus DP, NC Oui, gamme NC 24 Vcc, Châssis Nombreux modules Applications
H41q CEI 61508, d’E/S Modbus de modules 48 Vcc, 19’’ de communication, process de taille
catégorie 4 RTU, Safe- d’E/S 115 Vca existe en version moyenne
selon ethernet, ou H51q (jusqu’à
EN 954-1 OPC 230 Vca 4 096 points d’E/S)
HiMax SIL 3 selon Sur cartes d’E/S Safe- 50 ms Oui, gamme 310 x 29 x NC Châssis Redondance jusqu’à Process critiques
CEI 61508, (jusqu’à 200 E/S ethernet, pour de modules 230 mm (pour 19’’ pour des architectures et/ou grand
catégorie 4 par système) Profisafe, 1 000 E/S d’E/S chaque carte) 10, 15 ou quadruplées, nombre d’E/S,
selon Fieldbus, 18 cartes insertion des cartes fonctions ESD,
EN 954-1 Modbus TCP à chaud F&G, BMS,
et RTU, turbines, pipelines
EtherNet/IP
Liste non exhaustive
liorer la sécurité. » Quoi qu’il en soit, tous les Au final, un automate de sécurité, ce n’est rien de
constructeurs s’accordent à dire qu’une moins qu’un “super-automate”. » Au final, on
C’est dans le domaine de la sécurité de process que les applications
architecture séparée ou intégrée peut déli- constate très peu de différences entre les pro- sont les plus complexes, avec des armoires regroupant jusqu’à plusieurs
vrer le même niveau de sécurité. duits pour ce qui concerne les performances dizaines de milliers d’Entrées/Sorties.
B & R Automation
Grâce à des blocs d’E/S déportées étanches, un seul câble sort Extérieurement, seule la couleur différencie les modules d’Entrées/Sorties de sécurité de ceux utilisés pour le contrôle-commande.
de la machine et véhicule toutes les informations de sécurité. Mais à l’intérieur, les modules de sécurité se distinguent par une redondance de tous les composants électroniques.
➜ facilitée (sans commune mesure avec la de considérer la disponibilité en plus de la suivantes : quels sont les risques de défail-
logique câblée), et il reste bien entendu pos- sécurité. Même si un process se pilote avec lances ? et quelles peuvent en être leurs con-
sible de développer des fonctions spécifiques, des automates, comme une machine, il est séquences ? Les logiciels de sécurité de pro-
ne se basant sur aucun modèle. Autre aspect impossible d’y appliquer les mêmes règles cess sont donc complètement différents de
intéressant : la présence d’un logiciel de (à savoir couper l’alimentation dès qu’un ceux utilisés pour les machines.
simulation. Ce dernier servira à tester une défaut ou une panne est détecté). « On peut Du point de vue matériel, les critères de
application avant que le câblage soit réalisé, comparer un process à un avion en vol, explique choix sont eux aussi différents. Une spéci-
ce qui procure des gains de temps non négli- Hervé Bodinier, directeur des ventes Europe ficité du process : comme le préconise la
geables lors de la mise en place d’une nou- du Nord et Afrique chez Rockwell Oil & Gas. En norme IEC 61511, les caractéristiques de
velle machine. cas de défaut, la position la plus sûre n’est pas l’arrêt fiabilité de chaque équipement sont prises
immédiat ou incontrôlé ! Au contraire, un arrêt bru- en compte pour l’estimation du niveau de
Changement d’univers : tal peut avoir des conséquences catastrophiques, et peut sécurité global de l’application (SIL, Safety
les applications de process entraîner jusqu’à la destruction de tout ou partie de Integrity Level). En ce qui concerne la redon-
Le secteur de la sécurité des process continus l’usine. C’est pourquoi on dit que lorsqu’un process dance, tout est envisageable et les architectu-
est radicalement différent de celui de la dérive, il faut pouvoir le recentrer. » Cela signifie res peuvent être beaucoup plus complexes
sécurité des machines. Nous l’avons vu, la continuer à piloter une partie du process que celles concernant la sécurité machines.
principale distinction réside dans la nécessité même si certains éléments sont défaillants. Les architectures peuvent aller d’une redon-
Cette différence d’approche se ressent d’abord dance simple jusqu’à des systèmes à 6 uni-
du point de vue de la conception des appli- tés centrales. « Par ailleurs, poursuit Sébastien
cations logicielles. Alors que dans la sécurité Lachaise, ingénieur des ventes chez Hima
machines on s’appuie sur la logique câblée France, pour assurer le maximum de disponibilité,
(des schémas à contacts) pour décrire le certains systèmes de sécurité ont des cartes remplaça-
comportement du système, dans le process bles à chaud. Si une carte processeur tombe en panne,
on emploie des matrices causes-effets. On il suffit d’en insérer une nouvelle. Le programme auto-
définit, pour une ou plusieurs causes (une mate est copié automatiquement et son exécution
pression anormalement élevée ou un niveau démarre aussitôt après. »
anormalement bas, par exemple), des actions Si un accident dans un process peut avoir des
à effectuer (on pilote l’arrêt d’une pompe conséquences graves, il faut choisir un pro-
ou l’ouverture d’une vanne, par exemple). duit capable de piloter à la fois une applica-
L’intérêt de cette approche est de transcrire tion d’arrêt d’urgence pour protéger le pro-
exactement l’analyse de risque. Il s’agit de la cess et une application “feu et gaz” pour
Pilz
première étape prévue par la norme pour protéger l’environnement. Cette dernière se
Un exemple d’architecture distribuée : l’automate modulaire, installé dans une
armoire, est relié à des blocs d’E/S déportés (placés dans les machines) et à des concevoir une application de sécurité. Cette charge d’alerter les services de lutte anti-in-
automates de sécurité compacts (pour le pilotage d’un îlot de fabrication distant). analyse consiste à se poser les deux questions cendie, de déclencher des arrosages automa-
tiques, de verrouiller des zones, d’actionner Le diagnostic fait également l’objet d’une système numérique de contrôle-commande
des systèmes d’évacuation de fumées, etc. attention particulière dans le process. A l’ins- (SNCC). « Un choix qui est aussi et surtout une
Pour protéger les installations, lorsqu’une tar des pipelines, de nombreuses applications manière de se rassurer », selon Jean Farge, res-
alarme est activée, il faut que le système gé- s’étendent sur des centaines voire des milliers ponsable marketing France pour l’offre pro-
nère un signal qui déclenchera par exemple de kilomètres. On préférera alors répartir cess chez Schneider Electric. C’est pourquoi les
le dispositif d’extinction d’incendie. On plusieurs automates de sécurité le long des spécialistes de la sécurité proposent pour la
parle alors de commande “par émission”, installations. Cela n’apporte pas plus de sé- plupart des systèmes compatibles avec les
par opposition avec les commandes “à man- curité qu’une plate-forme centralisée, mais grandes marques de SNCC. Mais contraire-
que” utilisées dans le cas classique d’un arrêt les agents de surveillance pourront effectuer ment aux applications machines, la norme
d’urgence. Pour les process potentiellement sur place un premier diagnostic. Les LED en CEI 61511 impose ici que les réseaux de
dangereux, il est donc très important de face avant des automates donnent diverses sécurité et de contrôle soient physiquement
choisir un automate de sécurité capable de indications : état de la redondance, distinc- séparés. Elle demande même de séparer les
prendre en charge les deux types de logique. tion entre erreurs internes et erreurs liées au systèmes ayant des niveaux de SIL différents.
« Et cela n’est pas forcément mis en valeur par les process, indicateurs d’état du bus ou indica- Si cela n’est pas possible, il faut toujours se
constructeurs et intégrateurs. Attention donc au teurs de forçage, etc. Enfin, comme pour la conformer au niveau de SIL maximal. Dans
moment du choix, car un produit certifié SIL 3 pour sécurité machines, on se posera la question une application qui regroupe un mélange de
une commande à manque ne sera pas forcément SIL 3 de l’intégration avec le système de contrôle. fonctions SIL 1, SIL 2 et SIL 3, tout devra être
pour une commande par émission », précise Hervé Dans le process, beaucoup de clients choi- considéré comme SIL 3.
Bodinier (ICS Triplex/Rockwell Oil & Gas). sissent un constructeur différent de celui du Frédéric Parisot