Ed 913

Sécurité des machines
et des équipements de travail

Circuits de commande et de puissance.
Principes d’intégration des exigences de sécurité
L’Institut national de recherche et de sécurité
L’Institut national de recherche et de sécurité
(INRS) est une association déclarée sans but
lucratif (loi du 1er juillet 1901), constituée sous
l’égide de la Caisse nationale de l’assurance
maladie. Il est placé sous la tutelle
des pouvoirs publics et le contrôle financier
de l’État. Son conseil d’administration est
composé en nombre égal de représentants
du Mouvement des entreprises de France
et des organisations syndicales de salariés.
L’INRS apporte son concours aux services

ministériels, à la Caisse nationale
de l’assurance maladie, aux Caisses
régionales d’assurance maladie, aux comités
d’hygiène, de sécurité et des conditions
de travail, aux entreprises, enfin à toute
personne, employeur ou salarié, qui
s’intéresse à la prévention. L’INRS recueille,
élabore et diffuse toute documentation
intéressant l’hygiène et la sécurité du travail :
brochures, dépliants, affiches, films,
renseignements bibliographiques... Il forme
des techniciens de la prévention et procède
en son centre de recherche de Nancy aux
études permettant d’améliorer les conditions
de sécurité et l’hygiène de travail.
Les publications de l'INRS sont distribuées

par les Caisses régionales d'assurance
maladie. Pour les obtenir, adressez-vous
au service prévention de la Caisse régionale
de votre circonscription, dont vous trouverez
l’adresse en fin de brochure.
Les Caisses régionales d’assurance maladie

Les Caisses régionales d’assurance maladie
disposent, pour diminuer les risques
professionnels dans leur région,
d’un service prévention composé
d’ingénieurs-conseils et de contrôleurs
de sécurité. Par les contacts fréquents que
ces derniers ont avec les entreprises, ils sont
à même non seulement de déceler les risques
professionnels particuliers à chacune d’elles,
mais également de préconiser les mesures
préventives les mieux adaptées aux différents
postes dangereux et d’apporter, par leurs
conseils, par la diffusion de la documentation
éditée par l’Institut national de recherche
et de sécurité, une aide particulièrement
efficace à l’action des comités d’hygiène,
de sécurité et des conditions de travail.
Toute représentation ou reproduction intégrale ou partielle faite sans le consentement de l’INRS,

de l’auteur ou de ses ayants droit ou ayants cause, est illicite.
Il en est de même pour la traduction, l’adaptation ou la transformation, l’arrangement ou la reproduction,
par un art ou un procédé quelconque (article L. 122-4 du code de la propriété intellectuelle).
La violation des droits d’auteur constitue une contrefaçon punie d’un emprisonnement de deux ans
et d’une amende de 150 000 euros (article L. 335-2 et suivants du code de la propriété intellectuelle).
© INRS, 2003. Conception graphique et schémas Atelier F. Causse. Illustration de couverture Bernard Chadebec.
Sécurité des machines
et des équipements de travail
Circuits de commande et de puissance.
Principes d’intégration des exigences de sécurité
J. Marsot, R. Klein
Laboratoire sûreté des machines et composants
Ingénierie des équipements de travail, INRS
D. Pagliero, D. Dei-Svaldi
Laboratoire sûreté des systèmes électroniques
Ingénierie des équipements de travail, INRS
ED 913
S ommaire
Avant-propos ———————————————————————————————————————————————————————————————————————————————————————————— 5
Chapitre 1
SYSTÈME DE COMMANDE
1.1 Généralités———————————————————————————————————————————————————————————————————————————— 6
1.2 Circuits de commande et de puissance/stratégie
de réduction du risque ————————————————————————————————————————————————————————————————— 7
Chapitre 2
INTÉGRATION DE LA SÉCURITÉ
AU NIVEAU DU CIRCUIT DE COMMANDE
2.1 Aspect réglementaire —————————————————————————————————————————————————————————————————— 9
2.2 Aspect normatif ——————————————————————————————————————————————————————————————————————— 9
2.3 Choix d’une catégorie ————————————————————————————————————————————————————————————————— 10
2.4 Catégorie 1 ——————————————————————————————————————————————————————————————————————————— 13
2.4.1 Circuit électromécanique —————————————————————————————————————————————————————— 13
2.4.2 Circuit hydraulique/pneumatique ——————————————————————————————————————————————— 14
2.5 Catégorie 2 —————————————————————————————————————————————————————————————————————————— 14
2.6 Catégorie 3——————————————————————————————————————————————————————————————————————————— 15
2.6.1.1 Circuit redondant sans détection de défaut —————————————————————————————— 15
2.6.1.2 Circuit redondant avec détection de défaut ————————————————————————————— 17
2.7 Catégorie 4 —————————————————————————————————————————————————————————————————————————— 18
2.8 Blocs logiques de sécurité ————————————————————————————————————————————————————————————— 20
2
Chapitre 3
INTÉGRATION DE LA SÉCURITÉ
AU NIVEAU DU CIRCUIT DE PUISSANCE
3.1 Circuit de puissance électrique ————————————————————————————————————————————————————————— 22
3.2 Circuit de puissance pneumatique ————————————————————————————————————————————————————— 23
3.3 Circuit de puissance hydraulique ——————————————————————————————————————————————————————— 24
Chapitre 4
EXEMPLE DE CONCEPTION D’UN AUTOMATISME
4.1 Partie relative à la sécurité ————————————————————————————————————————————————————————————— 27
4.1.1 Traitement de diverses fonctions ———————————————————————————————————————————————— 28
4.2.1 Principe de fonctionnement ———————————————————————————————————————————————————— 28
Chapitre 5
ANNEXES
5.1 Action mécanique positive (NF EN 609457-5-1) ———————————————————————————————————————————— 30
5.2 Actionnement suivant le mode positif (NF EN 292-1) ——————————————————————————————————————— 30
5.3 Relais à contacts liés ou guidés (NF EN 50205) ——————————————————————————————————————————— 30
5.4 Distributeur à recouvrement à l’arrêt positif ——————————————————————————————————————————————— 31
5.5 Sorties statiques ——————————————————————————————————————————————————————————————————————— 31
Lexique—————————————————————————————————————————————————————————————————————————————————————————————————— 33
Bibliographie —————————————————————————————————————————————————————————————————————————————————————————— 35
3
A vant-propos
Cette brochure traite des circuits de commande des Le premier chapitre de ce recueil présente de façon
équipements de travail pour lesquels la mise en sécurité générale les circuits de commande et les prescriptions
du personnel est obtenue par l'immobilisation et le main- qui leur sont applicables dès lors qu’ils contribuent au
1
tien à l'arrêt des éléments dangereux . Elle a pour but processus de réduction du risque.
d’aider les concepteurs et/ou les intégrateurs de ces Les chapitres suivants présentent l’impact de l’intégra-
équipements, qu’ils soient neufs ou en cours de rénova- tion de la sécurité au niveau des circuits de commande
tion, en attirant leur attention sur la nécessité de prévoir, et de puissance d’un automatisme. Ils sont illustrés par
pour les parties «puissance» et «commande» d'un auto- des schémas de principe abondamment commentés
matisme, une architecture et des fonctions capables qui proviennent pour la plupart de la brochure 6/97 e du
d'intégrer des moyens de prévention (barrages immaté- BIA 2 [2]. La technologie «électronique» n’est pas présen-
riels, arrêt d’urgence, dispositifs de verrouillage, etc.). Elle tée dans ce document car elle fait l’objet de publica-
est un complément de la brochure ED 807 [1] relative au tions spécifiques [3] [4].
moyen de protection contre les risques mécaniques.
Ces schémas ne sont en aucun cas des schémas de
Il est bien entendu que d'autres mesures de prévention mise en œuvre. Ils donnent uniquement des idées de
peuvent être mises en œuvre pour améliorer la sécurité réalisation dont il est possible de s’inspirer. Pour la réali-
des opérateurs sur machines. Il s'agit essentiellement : sation et/ou la modification finale du circuit de com-
■ des mesures d'organisation (aménagement des mande d’un équipement de travail, il est recommandé
postes de travail, adaptation des modes opéra- de s’appuyer sur les références bibliographiques [5] [6]
toires, etc.), [7] [8].
■ de la formation et de l'information des opérateurs,
1 - Par conséquent, elle ne concerne pas les systèmes nécessitant la
■ de l'emploi, en dernier recours, de protections indi- poursuite de la mission même en mode dégradé (chimie, pétrochimie,
nucléaire, avionique, etc.).
viduelles. 2 - BIA : Berufsgenossenschaftliches Institut für Arbeitsschutz.
Avertissement
Ce document renvoie à des normes. Seuls font foi les fications. Nous estimons cependant que les informations
textes de ces normes éditées par l’Afnor dans leur ver- techniques qu’elles contiennent peuvent aider utilement
sion originale. Le lecteur peut se procurer ces normes les personnes en charge de l’amélioration des
auprès de l’Afnor (adresse dans la bibliographie). machines en service.
Les normes citées dans cette brochure ne sont pas d’ap- La validité des informations contenues dans ce docu-
plication obligatoire et elles ont été élaborées en vue de ment s’entend à la date de son élaboration, soit sep-
la conception d’équipements de travail neufs ou consi- tembre 2003.
dérés comme neufs. Certaines de ces normes sont à Les chiffres entre crochets renvoient à la bibliographie
l’état de projet (Pr), elles sont donc susceptibles de modi- en fin d’ouvrage.
5
1 Système
de commande
1.1 Généralités mations logiques ou analogiques (automate program-

mable, micro-ordinateur, relais électromécanique, etc.),
Le système de commande d’un équipement de travail les dispositifs de sécurité (barrage immatériel, tapis sen-
est constitué par les circuits qui élaborent les ordres des- sible, scrutateur laser, dispositifs de verrouillage, etc.) et
tinés au processus ou à la machine et à l'opérateur les capteurs. Il peut être réalisé par une combinaison
(signalisation) à partir des informations de la partie opé- des technologies suivantes :
rative, des entrées externes (consignes) et de l'état du ■ électromécanique (relais, interrupteurs de position,
système (cf. figure 1). etc.),
Il comprend les dispositifs de signalisation, de com- ■ pneumatique,
mande (écran, pupitre, etc.), le système traitant les infor- ■ hydraulique,
Interface
opérateur / machine
SIGNALISATION ORGANES DE SERVICE

AFFICHAGE
AVERTISSEMENTS APPAREIL
DE COMMANDE
MÉMORISATION ET TRAITEMENT SYSTÈME

LOGIQUE OU ANALOGIQUE DE
DES INFORMATIONS COMMANDE
Interface
CAPTEURS
DISPOSITIFS
DE SÉCURITÉ PRÉACTIONNEURS
(contacteurs,
distributeurs, variateurs)
ACTIONNEURS
(moteurs, vérins, etc)
PARTIE
OPÉRATIVE
ÉLÉMENTS DE
TRANSMISSION
PROTECTEURS
Interface
Figure 1 ■ Représentation schématique générale d'une machine (NF EN 292-1 [9]).
6 SYSTÈME DE COMMANDE
■ électronique (circuits analogiques et numériques gereuse ne conduit pas pour autant au dommage ;
programmables). encore faut-il que l’enchaînement des différentes
étapes soit conditionné par d'autres facteurs : persis-
La partie opérative, constituée par le processus que l'on tance de phénomènes dangereux, apparition d'événe-
souhaite piloter, agit directement sur la matière d'œuvre ments critiques, non-possibilité d'évitement.
à partir des ordres envoyés par le système de com-
mande et renvoie à cette dernière des informations sur Le risque «machine» est donc fonction de la gravité (G)
son état ou son environnement. Elle exécute les tâches et de la probabilité d’occurrence de la blessure ou
physiques ; ses principales fonctions sont : dommage encouru. Cette probabilité dépend elle-
■ transformer l'énergie, même de trois paramètres :
■ adapter l'énergie,
■ transmettre les efforts, ■ la fréquence et/ou la durée d’exposition (Fexpo),
■ agir sur la matière d'œuvre. ■ la probabilité d’occurrence de l’événement dan-
gereux (Pocc). Cette probabilité d’occurrence peut
Elle comprend principalement les actionneurs (moteurs, d’être d’origine humaine (manœuvre inappro-
vérins, etc.) et les effecteurs (pinces, outils actifs). priée, par exemple 3) ou technique (défaillance de
Pendant la phase d'exploitation, la partie opérative composant, erreur logicielle, etc.),
constitue la principale zone de dangers auxquels sont
exposés les opérateurs de la machine. De ce fait, la
mise en sécurité du personnel nécessite d’agir, via le cir-
cuit de commande, sur le(s) pré-actionneurs qui com- Sous-système Sous-système
mande(nt) les actionneurs susceptibles d'entraîner des technique humain
(entité dangereuse) (homme)
mouvements dangereux.
et
Situation Non annihilation

1.2 Circuits de commande et potentiellement du phénomène
dangereuse dangereux
de puissance/stratégie de réduction
du risque Fexpo
et
En prévention technique des machines et systèmes de Evénement critique Situation

production, on représente schématiquement la chaîne (défaillance du dangereuse
circuit de
des événements conduisant à l’accident par une suite
de conjonctions telle que représentée par la figure 2. Pocc
et
Un équipement de travail, de par les énergies en pré- Non

évitement
sence (de nature électrique, thermique, cinétique, etc.),
est considéré comme étant une entité dangereuse. Pvit
et
Associer à ce sous-système technique une présence
humaine implique la survenue de situations potentielle-
ment dangereuses. Toute situation potentiellement dan- Accident Gravité
(dommage)
ou G
3 - Cette probabilité d’occurrence est également influencée par l’envi-

ronnement du poste de travail et des aptitudes de(s) personne(s) expo- Figure 2 ■ Chaîne des événements conduisant
sée(s) à maîtriser les risques encourus. Ces deux aspects ne sont pas à l’accident.
abordés dans ce document.
SYSTÈME DE COMMANDE 7
■ la possibilité d’éviter ou de limiter le dommage Les circuits de puissance et de commande d’une
(Pévit). machine contribuent très souvent à la réduction
du(des) risque(s) encouru(s) par les opérateurs. C’est
Le niveau de risque généré par un phénomène dange- notamment le cas lorsqu’ils assurent des fonctions
reux peut alors être évalué par un indice de risque «R», d’autosurveillance, de tests périodiques, de mise
fonction de ces différents paramètres (cf. figure 3). et/ou de maintien à l’arrêt des éléments dangereux,
etc.
Plus la contribution de ces circuits à la réduction
du(des) risque(s) est importante, plus leur aptitude à
Indice de risque «R» = f (G, F expo, Pocc, Pévit)
résister aux défauts doit être élevée.
LE RISQUE LA GRAVITÉ LA PROBABILITÉ D'OCCURRENCE DE CE DOMMAGE

relatif à un est du dommage
phénomène une fonction encouru du fait et de La fréquence et/ou durée d'exposition
dangereux de de ce
phénomène
dangereux Probabilité d'occurrence de l'événement dangereux
Possibilité d'éviter ou de limiter ce dommage
Figure 3 ■ Éléments de l'estimation du risque [10].
8 SYSTÈME DE COMMANDE
Intégration de la sécurité
au niveau du circuit
de commande 2
Comme rappelé au § 1.1, le circuit de commande a ■ qu'il ne se produise pas de situations dangereuses
pour mission la réalisation des fonctions requises de la en cas d'erreur de logique dans les manœuvres».
machine. Les parties de ce circuit affectées à la réali-
sation des fonctions de sécurité sont appelées les par- De plus, le paragraphe 1.2.7 de cette directive 98/37 sti-
ties relatives à la sécurité. pule : «un défaut affectant la logique du circuit de com-
mande ou une défaillance ou une détérioration du cir-
cuit de commande ne doit pas créer de situations
2.1 Aspect réglementaire dangereuses».
La conception et/ou la modification d’un circuit de Par ailleurs, pour les machines en service, le para-
commande doivent être effectuées de manière à ce graphe 2.1 des prescriptions minimales applicables aux
qu’il soit sûr et fiable afin d’éviter toute situation dange- équipements de travail de la directive 89/655/CEE [12]
reuse, et ce même en présence d’un défaut, d’une énonce que «les systèmes de commande doivent être
défaillance et/ou d’une détérioration. sûrs et être choisis compte tenu des défaillances, des
perturbations et des contraintes prévisibles dans le
En effet, pour les machines neuves, le paragraphe 1.2.1 cadre de l’utilisation projetée».
des exigences essentielles de la directive 98/37 CE dite
«Directive machines» [11] stipule que «les systèmes de
commande doivent être conçus et construits pour être 2.2 Aspect normatif
sûrs, fiables de manière à éviter toute situation dange-
reuse. Ils doivent être notamment conçus et construits de La norme NF EN 954-1 [13] classe les parties de systèmes
manière : de commande relatives à la sécurité en 5 catégories (B,
■ à résister aux contraintes normales de service et 1, 2, 3, 4) en fonction de leur comportement en cas
aux influences extérieures, d’apparition de défauts (cf. figure 4).
Catégorie 1
Catégorie 2
Catégorie 3
Catégorie 4
Catégorie B
Figure 4 ■ Illustration de
Présence Analyse du Catégorisation/comportement la notion de catégorie.
de défaut comportement sous défaut
INTÉGRATION DE LA SÉCURITÉ AU NIVEAU DU CIRCUIT DE COMMANDE 9

CATÉGORIES
B 1 2 3 4
G1
G1 : Lésion légère (normalement réversible).

P1
G2 : Lésion sérieuse (normalement irréversible), Point F1
y compris le décès de départ
P2
F1 : Rare à assez fréquent et/ou de courte durée
d'exposition G2
F2 : Fréquent à continu et/ou de longue durée P1

d'exposition F2
P1 : Possible sous certaines conditions P2
P2 : Rarement possible
Catégories possibles nécessitant des mesures complémentaires
Catégories ayant la préférence pour les points de référence
Mesures excessives pour le risque en question
Figure 5 ■ Exemple de grille de sélection [2].
2.3 Choix d’une catégorie On prendra comme hypothèse que le niveau de risque
global «R» de cette application est élevé du fait :
Pour une partie de système de commande relative à la ■ d’une gravité potentielle élevée (possibilité d’écra-
sécurité, le choix d’une catégorie dépend de l’estima- sement de la main),
tion du niveau de sa contribution à la réduction d’un ■ d’une fréquence d’exposition des mains de l’opé-
risque donné (cf. figure 5). Cette estimation est fonction rateur dans la zone dangereuse élevée,
des paramètres suivants : ■ d’une probabilité d’occurrence élevée, du fait des
■ la gravité du dommage effectivement protégé par risques d’erreur humaine et/ou technique,
cette partie de système de commande (G), ■ d’une possibilité d’évitement faible du fait de la
■ la fréquence et/ou durée d’exposition de l’opéra- vitesse de rotation élevée des rouleaux.
teur dans la zone protégée par cette partie de sys-
tème de commande (F), Afin de réduire ce niveau de risque, le concepteur choi-
■ la possibilité d’éviter ou de limiter le dommage pro- sit comme seule mesure de protection l’utilisation d’un
tégé par cette partie de système de commande protecteur mobile. Le niveau de contribution, de la par-
(P). tie du circuit de commande relative à ce protecteur, à la
réduction du risque est donc élevé (cf. figure 7).
Il ne faut pas confondre cette estimation avec l’es-
timation globale d’un risque selon la norme EN ÉLEVÉ
Niveau
1050. En effet, la probabilité d’occurrence de l’évé- de risque
nement dangereux est dans ce cas égale à 1 car initial
la notion de catégorie repose sur un comporte- Zone

ment en présence de défauts. De ce fait, elle n’ap- dangereuse
paraît pas dans les paramètres de sélection.
FAIBLE
Pour illustrer ce propos, nous proposons l’analyse d’un
mécanisme «théorique» composé de deux rouleaux Figure 6 ■ Illustration de l’application et du niveau
présentant un risque d’écrasement (cf. figure 6). de risque associé.
10 INTÉGRATION DE LA SÉCURITÉ AU NIVEAU DU CIRCUIT DE COMMANDE

Dans ce cas, la norme EN 954-1 orientera le concepteur
En conclusion, pour une application ayant un
vers une catégorie 4 pour cette partie de circuit de com-
niveau de risque global élevé, la catégorie selon EN
mande (gravité, fréquence d’exposition élevée et possi-
954-1 de la partie du système de commande rela-
bilité d’évitement faible). tive au protecteur peut être différente en fonction de
sa contribution dans la réduction de ce risque glo-
Si maintenant le concepteur choisit d’utiliser comme bal.
mesures de protection un protecteur mobile combiné
avec une butée mécanique - par hypothèse, on consi-
dère que l’écrasement suite à l’entraînement de la main Par ailleurs, les catégories ne représentent pas un niveau
entre les rouleaux est empêché par cette butée méca- de risque et de ce fait elles ne sont pas destinées à être
nique. Dans ce cas, la contribution de la partie du circuit utilisées selon une hiérarchie donnée. Cette hiérarchisa-
de commande relative au protecteur est plus faible que tion peut éventuellement avoir un sens si l’on compare
précédemment (cf. figure 8). En effet, le dommage des systèmes de commande de même technologie
effectivement protégé par le protecteur est un pin- (électromécanique/électromécanique, électroni-
cement des doigts. La norme EN 954-1 orientera le que/électronique, etc.). Elle n’a aucun sens dans tous les
concepteur vers une catégorie 1 pour cette partie de autres cas (cf. figure 9). Comme rappelé au début de ce
circuit de commande (gravité faible et autres para- chapitre, les catégories ne représentent qu’un compor-
mètres inchangés). tement en présence de défauts.
CHOIX DU(ES) MOYEN(S) CHOIX DE LA CATÉGORIE ESTIMATION DU RISQUE

DE PROTECTION
CATÉGORIES ÉLEVÉ
B 1 2 3 4
G1
Réduction du risque
P1 du fait du protecteur
Point et de la catégorie 4
de départ F1
P2
pour la partie
de système
de commande
G2 P1
Protecteur
mobile + circuit F2
de commande
de catégorie 4 P2
FAIBLE
Figure 7 ■ Protection par un protecteur mobile.
CHOIX DU(ES) MOYEN(S) CHOIX DE LA CATÉGORIE ESTIMATION DU RISQUE

DE PROTECTION
Butée de CATÉGORIES ÉLEVÉ

protection B 1 2 3 4
G1
P1
du fait de la butée
Point
de départ F1
P2
G2
du fait du protecteur
P1 et de la catégorie 1
Protecteur F2 pour la partie
mobile + circuit de système
P2
de commande de commande
de catégorie 1 FAIBLE correspondante
Figure 8 ■ Protection par un protecteur mobile associé à une butée de protection.

?
Prenons le cas d'un détecteur de position
mécanique satisfaisant à la catégorie 1
selon EN 954-1.
Le niveau de confiance que l'on peut
accorder à ce détecteur dans sa capacité
Détecteur Détecteur à assurer sa fonction de sécurité peut être
électronique mécanique équivalent, voire supérieur, à celui d'un
de catégorie de catégorie 1 détecteur électronique satisfaisant aux
2, 3 ou 4
catégories 2, 3 ou 4.
Figure 9 ■ Illustration de la non hiérarchisation des catégories.
En conséquence, lorsqu’une fonction de sécurité est réa- ■ la catégorie B est à la base de toutes les autres. Elle
lisée par un circuit de commande faisant intervenir dif- sous-entend entre autres qu’un composant ou une
férentes technologies (cf. figure 10), il n’est générale- partie de circuit de commande résiste aux pertur-
ment pas possible de déterminer une catégorie pour bations environnementales normalement prévi-
l’ensemble de cette fonction. sibles (vibrations, chocs, rayonnement électroma-
gnétique, température, etc.),
■ les catégories 1, 2, 3 et 4 sont toutes meilleures que
la catégorie B,
L’objectif est d’atteindre, pour chacune des sous-
parties relatives à une technologie donnée, un ■ la sécurité est principalement basée sur la fiabilité
niveau de confiance équivalent dans leur capa- des composants du circuit de commande pour les
cité à assurer leur fonction de sécurité. catégories B et 1 et par la structure du circuit pour
les catégories 2, 3 et 4,
■ pour les catégories B, 1 et 2, un défaut unique peut
À partir des prescriptions applicables à ces catégories, il entraîner la perte de la fonction de sécurité,
est possible d’affirmer que [14] : ■ la catégorie 4 présente une meilleure tolérance aux
Figure 10 ■ Association de différentes technologies.

fautes que la catégorie 3 car elle prend en compte 2.4.1 Circuit électromécanique (cf. figure 11)
l’accumulation de défauts.
Caractéristiques constructives
Les chapitres suivants décrivent, pour chacune de ces ■ Le contrôle de position est assuré par un détecteur
catégories, la réalisation d’une partie de système de de position (S1) placé en série dans la chaîne d’ar-
commande assurant le contrôle de position d’un pro- rêt de l’actionneur (contacteur de puissance, par
tecteur. exemple) des éléments potentiellement dange-
reux.
Les schémas présentés ci-après ont pour seul et ■ Il est fortement recommandé que ce détecteur de
unique objectif d’illustrer l’impact technique des position soit à manœuvre positive d’ouverture et
différentes catégories sur une partie de système actionné suivant le mode positif (cf. annexes 5.2 et
de commande relative à la sécurité. De ce fait, 5.3).
certaines parties de circuit ne sont pas représen- ■ Le détecteur de position doit être monté de façon
tées (liaisons équipotentielles, protection élec-
à être protégé contre un changement de position
trique, etc.) afin d’en faciliter leur compréhen-
(cf. EN 1088).
sion.
■ La course, les efforts et la fréquence de com-
mande et la durée de vie de l'interrupteur de posi-
tion sont conformes aux indications du fabricant.
2.4 Catégorie 1
Description fonctionnelle
La conception de parties du système de commande ■ La mise en marche n’est possible que lorsque le
relatives à la sécurité de catégorie 1 exige le respect de protecteur est en position fermée.
la catégorie B et l’utilisation de composants et de prin- ■ Lorsque le protecteur est ouvert, S1 interrompt ou
cipes de sécurité éprouvés. empêche les mouvements ou les états dangereux.
Un composant peut être considéré comme éprouvé Comportement sur défaillances

lorsque : ■ La fonction de sécurité n’est pas préservée dans
■ il a été largement utilisé dans le passé et avec suc- tous les cas de défaillances et elle est fonction de
cès dans des applications similaires relatives à la la fiabilité de S1. Du fait de l’utilisation de principes
sécurité, de sécurité éprouvés tels que la manœuvre positive
■ il a été conçu et testé selon des méthodes qui per- d’ouverture et l’actionnement suivant le mode
mettent de valider son aptitude à la fonction et sa
fiabilité.
Chaîne d'arrêt
En tout état de cause, la décision de qualifier un com- de puissance
posant particulier «d’éprouvé» peut dépendre de son Symbolisation de la

manœuvre positive
application. Ouvert d'ouverture (cf. § 5.2)
S1
Dans une partie de système de commande de catégorie
1, la sécurité est uniquement basée sur la sélection des
composants, de ce fait si un défaut se produit, il peut
entraîner la perte de la fonction de sécurité.
Fermé
Remarque
À ce jour, il n’est pas admis de pouvoir réaliser un circuit de Figure 11 ■ Exemple de circuit électromécanique
de catégorie 1.
commande électronique répondant à la catégorie 1 [13].

positif, ces défaillances peuvent être détectées est fermé. Lorsque le protecteur est ouvert, la vanne
visuellement (rupture du galet de contact, démon- RV coupe l’alimentation en énergie et de ce fait
tage du protecteur ou de l’interrupteur). interrompt ou empêche les mouvements ou les
■ Aucune mesure de détection des défauts n'est pré- états dangereux.
vue.
Comportement sur défaillances
2.4.2 Circuit hydraulique/pneumatique ■ Une défaillance des vannes EV ou de RV peut
(cf. figure 12) entraîner la perte de la fonction de sécurité.
■ Aucune mesure de détection des défauts n'est pré-
Caractéristiques constructives vue.
■ L’interrupteur de position EV est à action méca-
nique positive (vanne à levier à galet, par
exemple). Il est actionné par le protecteur suivant le 2.5 Catégorie 2
mode positif et il possède un recouvrement à l’arrêt
positif (cf. annexe 5.5). La conception de parties du système de commande
■ La commutation de la vanne RV est obtenue par relatives à la sécurité de catégorie 2 exige le respect de
suppression du signal de commande. la catégorie B et que leur(s) fonction(s) soi(en)t contrô-
■ Les vannes de commande RV et EV sont sécurisées lée(s) par le système de commande de la machine :
contre un changement de position. ■ au démarrage de la machine et avant le déclen-
■ La course, les efforts, la fréquence de commande chement de toute situation dangereuse,
et la durée de vie de RV et de EV sont conformes ■ périodiquement pendant le fonctionnement si
aux indications du fabricant. Celui-ci confirme, le nécessaire en fonction de l’appréciation du risque
cas échéant, que ces vannes sont des éléments et du type de fonctionnement de la machine.
éprouvés (fiabilité suffisante).
Ce contrôle, qui peut être déclenché manuellement ou
Description fonctionnelle automatiquement :
■ L’interrupteur de position pneumatique (ou hydrau- ■ doit permettre le fonctionnement si aucun défaut
lique) EV surveille la position du protecteur mobile. Il n’est détecté,
transmet une instruction de commande à la vanne ■ doit générer un signal de sortie conduisant à une
de verrouillage RV. mise en sécurité de la machine 4,
■ L'alimentation en énergie (hydraulique ou pneu- ■ ne doit pas lui-même conduire à une situation dan-
matique) se fait uniquement lorsque le protecteur gereuse [13].
Dans une partie de circuit de commande de catégorie

Vers l'équipement
2, la sécurité est basée sur la structure du circuit de com-

mande. L'apparition d'un défaut peut mener à la perte
EV
Ouvert de la fonction de sécurité entre les intervalles de
contrôle.
RV
Fermé
Figure 12 ■ Exemple de circuit hydraulique

de catégorie 1. 4 - Exceptionnellement à un avertissement de danger si une mise en
sécurité de la machine n’est pas possible.

Comportement sur défaillances
Ouvert Chaîne d'arrêt ■ La fonction de sécurité n’est pas maintenue en cas
S1
K1 de défaillance de S1.
■ Une défaillance de S1 sera détectée lors du test
K2 cyclique d’ouverture/fermeture du protecteur (au
K1
début de chaque prise de poste, par exemple).
Fermé K2
K1 K2
2.6 Catégorie 3
K1 K2
La conception de parties du système de commande
relatives à la sécurité de catégorie 3 exige le respect de
Figure 13 ■ Exemple de circuit électromécanique la catégorie B et :
de catégorie 2. ■ qu’un défaut unique du système de commande ne
mène pas à une perte de la fonction de sécurité,
■ que le défaut unique soit détecté si cela est raison-
2.5.1 Circuit électromécanique nablement faisable.
(cf. figure 13)
Dans une partie de circuit de commande de catégorie
Caractéristiques constructives 3, la sécurité est essentiellement basée sur la structure du
■ Le détecteur de position S1 est à double contact. circuit de commande. L'accumulation de défauts non
■ Les contacteurs auxiliaires K1 et K2 doivent être à détectés peut conduire à la perte de la fonction de
contacts liés ou guidés (cf. annexe 5.4). sécurité. En conséquence, les défaillances de mode
■ Le détecteur de position S1 doit être monté de commun doivent être prises en compte [13].
façon à être protégé contre un changement de
position (cf. EN 1088). L’expression «raisonnablement faisable» signifie que les
■ La course, les efforts, la fréquence de commande mesures requises pour cette détection et leurs mises en
et la durée de vie de S1 sont conformes aux indi- œuvre dépendent de l’application, d’une part, et de la
cations du fabricant. technologie utilisée d’autre part. Cela peut conduire,
■ Les conditions d’utilisation (tension, courant, etc.) et comme le montrent les exemples suivants, à des sché-
la durée de vie des contacteurs auxiliaires K1 et K2 mas de commande très différents les uns des autres.
sont respectées.
2.6.1 Circuit électromécanique
■ Le détecteur de position S1 surveille la position du 2.6.1.1 Circuit redondant sans détection de
protecteur mobile. Il transmet une instruction de défaut (cf. figure 14)
commande par l’intermédiaire de K1 et de K2.
■ Lorsque le protecteur est ouvert, S1 interrompt ou Caractéristiques constructives
empêche les mouvements ou les états dangereux ■ S1 et S2 sont câblés séparément. De ce fait, le
via K1 et K2 (K1 alimenté et K2 au repos). risque de défaillance par court-circuit entre deux
■ A la mise sous tension, la mise en marche n’est pas fils n’est pas à prendre en compte.
possible même lorsque le protecteur est fermé (K1 ■ La course, les efforts et la fréquence de com-
et K2 au repos). mande des détecteurs de position S1 et S2 sont
■ La mise en marche n’est possible que lorsque le conformes aux indications du fabricant. Ils sont
protecteur est ouvert puis refermé «test cyclique» montés de façon à être protégés contre un chan-
(K1 au repos et K2 alimenté). gement de position (cf. EN 1088).

ou empêche les mouvements ou les états dange-
Ouvert Chaîne d'arrêt reux via K1 et K2.
S1 ■ La mise en marche n’est possible que lorsque le
protecteur est fermé (K1 et K2 alimentés).
K1
S2 Comportement sur défauts
■ Le démontage du protecteur est détecté par S2.
Fermé K2
■ La fonction de sécurité est maintenue en cas de
défaillance de S1 ou S2 et de K1 ou K2.
■ Certaines défaillances de S1, de S2, de K1 ou de K2
K1 K2 ne sont pas détectées (collage de contacts, par
exemple).
■ L'accumulation de défauts entraîne la perte de la
Figure 14 ■ Exemple de circuit fonction de sécurité.
électromécanique sans détection de défaut.
■ Les contacteurs auxiliaires K1 et K2 doivent être à Bien qu’un défaut unique ne mène pas à une
contacts liés ou guidés (cf. annexe 5.4). Leurs condi- perte de la fonction de sécurité, on ne peut pas
tions d’utilisation (tension, courant, etc.) et leur considérer que ce schéma satisfasse à la catégo-
durée de vie sont respectées. rie 3. En effet, l’état de la technique dans le
domaine de l’électromécanique montre qu’il est
Description fonctionnelle raisonnablement faisable de détecter un défaut
■ Lorsque le protecteur est ouvert, une combinaison unique sur S1, S2, K1 ou K2.
de contacts «travail» et «repos» (S1 et S2) interrompt
Chaînes d'arrêt
Ouvert
S1 K1 K1
K2 K2
S2
Fermé K3 K3
K1
K3 K1 K3 K2 K2
K1 K2 K3
Figure 15 ■ Exemple de circuit électromécanique de catégorie 3.

2.6.1.2 Circuit redondant avec détection de 2.6.2 Circuit hydraulique/pneumatique
défaut (cf. figure 15) (cf. figure 16)
Caractéristiques constructives Caractéristiques constructives

■ Les détecteurs de position S1 et S2 sont à double ■ Les distributeurs EV1, EV2, EV3 et EV4 sont des distri-
contact. buteurs à recouvrement à l’arrêt positif (cf. annexe
■ S1 et S2 sont câblés séparément. De ce fait, le 5.5).
risque de défaillance par court-circuit entre deux ■ La commutation des vannes EV3 et EV4 est obtenue
fils n’est pas à prendre en compte. par suppression du signal de commande.
■ Les relais K1, K2 et K3 sont à contacts guidés. Le ■ Les vannes de commande EV1 et EV2 sont sécuri-
relais K3 est temporisé à la retombée. sées contre un changement de position.
■ La course, les efforts et la fréquence de com- ■ La course, les efforts, la fréquence de commande
mande des détecteurs de position S1 et S2 sont et la durée de vie des différentes vannes sont
conformes aux indications du fabricant. Ils sont conformes aux indications du fabricant. Celui-ci
montés de façon à être protégés contre un chan- confirme, le cas échéant, que ces vannes sont des
gement de position (cf. EN 1088). éléments éprouvés (fiabilité suffisante).
Description fonctionnelle Description fonctionnelle

■ Lorsque le protecteur est ouvert, une combinaison ■ Le verrouillage d'un protecteur mobile est assuré
de contacts de «repos» et «travail» (S1 et S2) inter- par deux détecteurs de position pneumatiques (ou
rompt ou empêche les mouvements ou les états hydrauliques) EV1 et EV2. Ils transmettent chacun
dangereux via K1, K2 et K3 (K1, K2 et K3 au repos). un signal de commande aux distributeurs EV3 et
■ La mise en marche n’est possible que lorsque le EV4.
protecteur est fermé (K1 et K2 alimentés, K3 au ■ L'alimentation de l'énergie est uniquement assurée
repos). lorsque le protecteur est fermé.
Comportement sur défauts Comportement sur défauts

■ Le démontage du protecteur est détecté du fait de ■ Aucune mesure de détection de défauts n'est pré-
la discordance entre S1 et S2. vue.
■ La fonction de sécurité est maintenue en cas de ■ La défaillance d'un des distributeurs n'entraîne pas
défaillance des interrupteurs S1 ou S2. la perte de la fonction de sécurité.
■ La fonction de sécurité est maintenue en cas de
défaillance des relais K1, K2 ou K3.
Vers l'équipement
■ Une défaillance sur S1, S2, K1, K2 ou K3 empêche la
remise en marche de la machine.
EV1
Ouvert
EV4
De façon pratique, de nombreux constructeurs

proposent sur le marché des blocs logiques qui
intègrent ce type de relayage (cf. § 2.8). De ce fait,
il est possible d’affirmer que ce type de schéma EV3
reflète l’état de la technique dans le domaine des
EV2
Fermé
circuits électromécaniques et, qu’en consé-
quence, il satisfait pleinement à la catégorie 3,
contrairement à l’exemple précédent. Figure 16 ■ Exemple de circuit pneumatique
de catégorie 3.

■ Certaines défaillances de EV1, EV2, EV3 ou EV4 ne ■ que si cette détection n’est pas possible, l’éventua-
sont pas détectées. lité de défauts supplémentaires doit être prise en
■ L'accumulation de défauts non détectés peut compte et leur accumulation ne doit pas mener à
entraîner la perte de la fonction de sécurité. la perte de la fonction de sécurité 5 [13].
Ce type de schéma peut être considéré comme Dans une partie de circuit de commande de catégorie 4,
satisfaisant aux prescriptions de la catégorie 3. En la sécurité est essentiellement basée sur la structure du
effet, compte tenu de l’état actuel de la tech- circuit de commande. Lorsque les défauts se produisent,
nique, il peut être admis qu’il n’est pas raisonna- la fonction de sécurité est toujours assurée. Les défauts
blement faisable de détecter un défaut unique seront détectés à temps pour empêcher une perte de la
pour un circuit de commande hydraulique ou fonction de sécurité.
pneumatique.
2.7.1 Circuit électromécanique (cf. figure 17)
Caractéristiques constructives
2.7 Catégorie 4 ■ Tous les éléments de la commande influençant la
sécurité sont conçus de manière redondante.
La conception de partie du système de commande ■ Les détecteurs de position S1 et S2 sont câblés
relative à la sécurité de catégorie 4 exige le respect de séparément. De ce fait, le risque de défaillance par
la catégorie B et : court-circuit entre deux fils de ces contacts n’est
■ que le défaut unique sur l’une quelconque des par- pas à prendre en compte.
ties de ce circuit ne mène pas à une perte de la
fonction de sécurité,
■ que le défaut unique soit détecté dès ou avant la 5 - Le nombre de défauts combinés à prendre en considération
dépend de la technologie, de la structure du circuit de commande et
prochaine sollicitation de la fonction de sécurité, de l’application [13].
Chaînes d'arrêt
Ouvert
S1 K3 K1 K1
K1 K1
K4 K2 K2
S2 K2 K2
Fermé
K3 K3
K4 K2
K3 K4
K4 K4
K3 K1 K3
K1 K2 K3 K4
Figure 17 ■ Exemple de circuit électromécanique de catégorie 4.

■ La course, les efforts et la fréquence de com- Vers l'équipement
mande des détecteurs de position S1 et S2 sont

conformes aux indications du fabricant. Ils sont
montés de façon à être protégés contre un chan- Ouvert EV2
gement de position (cf. EN 1088).

EV3
■ Les relais auxiliaires K1, K2, K3 et K4 sont à contacts
liés.
■ Lorsque le protecteur est ouvert, une combinaison EV1
Fermé
de contacts «repos» et «travail» (S1 et S2) interrompt
ou empêche les mouvements ou les états dange- Figure 18 ■ Exemple de circuit pneumatique
reux via K1, K2, K3 et K4 (K1, K2, K4 au repos et K3 ali- de catégorie 4.
mentés).
■ La mise en marche n’est possible que lorsque le
protecteur est fermé (K1, K2, K4 alimentés et K3 au ■ EV3 est un distributeur redondant (pilotes mécani-
repos). quement séparés) et autosurveillé de façon pneu-
matique (hydraulique) ou électromécanique [15].
Comportement sur défauts ■ La commutation de la vanne EV3 est obtenue par
■ Le démontage du protecteur est détecté du fait de suppression du signal de commande.
la discordance entre S1 et S2. ■ Les vannes de commande EV1 et EV2 sont sécu-
■ La fonction de sécurité est également assurée en risées contre un changement de position.
cas de défaillance d'un élément. Tous les défauts ■ La course, les efforts, la fréquence de commande
sont détectés par interruption de la chaîne de com- et la durée de vie des différentes vannes sont
mande en cours de fonctionnement ou lors de l'ac- conformes aux indications du fabricant. Celui-ci
tionnement (ouverture et fermeture) du protecteur. confirme, le cas échéant, que ces vannes sont des
■ L'accumulation de défauts entre deux actionne- éléments éprouvés (fiabilité suffisante).
ments consécutifs n’est pas pris en compte.
De façon pratique, de nombreux constructeurs propo- ■ Le protecteur mobile est verrouillé par deux détec-
sent sur le marché des blocs logiques qui intègrent ce teurs de position pneumatiques (hydrauliques) EV1
type de relayage (cf. § 2.8). et EV2 et ils transmettent chacun une instruction de
commande à un distributeur autosurveillé EV3.
Remarque ■ L'alimentation en énergie est uniquement assurée
Si plusieurs interrupteurs de position mécaniques de dif- lorsque le protecteur est fermé.
férents protecteurs sont montés en série, la catégorie 4 ■ La commutation de la combinaison de distributeurs
n’est plus satisfaite car aucune détection des défauts EV3 est atteinte par suppression d'un ou des deux
des détecteurs de position n’est alors possible. signaux de commande.
2.7.2 Circuit hydraulique/pneumatique Comportement sur défauts

(cf. figure 18) ■ La défaillance d'un distributeur n'entraîne pas la
perte de la fonction de sécurité.
Caractéristiques constructives ■ La détection des défauts au sein de ce distributeur
■ Les distributeurs EV1, EV2 et EV3 sont des distribu- respecte les spécifications de la catégorie 4.
teurs à recouvrement à l’arrêt positif (cf. annexe ■ Le déclenchement du mouvement dangereux est
5.5). neutralisé après une détection de défaut.

2.8 Blocs logiques de sécurité ■ commande muting (inhibition temporaire sécurisée
d'un dispositif de détection électrosensible),
De nombreux fabricants ont développé des blocs ■ tapis sensible,
logiques de sécurité pour réaliser de façon pratique et ■ extension de contacts, etc.
sûre les circuits de relayage tels que décrits dans les
paragraphes 2.4 à 2.7 (cf. figure 19). Ces modules peuvent être réalisés en technologie élec-
tromécanique ou électronique. Leur mise en œuvre
Ces blocs logiques se présentent sous la forme de boî- nécessite de se conformer aux prescriptions du
tier intégrable dans les circuits de commande de constructeur, en particulier en ce qui concerne le
machine et permettent d’assurer diverses fonctions de câblage et les limites d'utilisation.
sécurité :
■ arrêt d’urgence, Ils disposent tous des fonctionnalités suivantes (cf. figure 20) :
■ contrôle de protecteur mobile (cf. figures 19 et 20), ■ des sorties de sécurité constituées soit de plusieurs
■ commande bimanuelle, contacts en série appartenant aux relais internes à
■ relais de contrôle (vitesse, tension, temporisation, contacts guidés (cf. annexe 5.4), soit de sorties sta-
arrêt, etc.), tiques (cf. annexe 5.6),
Figure 19 ■ Exemple de bloc logique de sécurité.
Boucle
K1
de
retour Chaînes d'arrêt
K2
de la puissance
Arrêt
d'urgence A1
Entrée 1
Barrage Bloc logique de sécurité K1

immatériel (catégorie 3 ou 4)
Entrée 2 K2
A2
Contrôle de
protecteur
K1 K2
Figure 20 ■ Exemple de traitement de fonctions de sécurité de catégorie 3 ou 4.

■ un contrôle de la concordance des informations tifs de sécurité dont l'information de sortie est délivrée
d'entrée, par deux contacts.
■ un contrôle de leurs liaisons avec les dispositifs de La figure 21 ci-après illustre un exemple d'utilisation de
sécurité, différents blocs logiques pour la commande et le
■ une boucle de retour permettant de contrôler l'état contrôle des dispositifs de sécurité au travers d'une
des contacts de recopie associés aux relais ou représentation de machine selon la norme EN 292-1
contacteurs commandés par les sorties du module. (cf. § 1.1).
Cette fonction permet de surveiller l'état des relais
ou contacteurs de commande externes à chaque La figure 28 (cf. § 4.1.2) montre que l'on peut réaliser une
sollicitation. Dans certaines configurations de logique entièrement câblée respectant le concept de
câblage, cette boucle est utilisée pour créer une sécurité positive en utilisant des bloc logiques de sécu-
fonction de réarmement automatique ou manuel. rité.
■ Le mouvement dangereux est commandé par la
Remarques commande bimanuelle.
Il convient, lors de l'utilisation de ces blocs logiques pour ■ La protection de l'opérateur est assurée par un bar-
traiter des fonctions de sécurité de catégorie 3 ou 4, de rage immatériel et un protecteur mobile.
doubler les informations d'entrée en utilisant des disposi- ■ La machine comporte un arrêt d'urgence.
Capteurs Signalisation Actionneurs

dispositifs
de sécurité Vérin
(cf. ED 807) hydraulique
Arrêt
d'urgence Circuit de
commande Mouvement
dangereux
Bloc
logique
cf. § 2.8
Barrage
immatériel
Circuit
électromécanique
Bloc ou
logique électronique Circuit
cf. § 2.8 (ex. APIdS [4]) hydraulique
Protecteur
mobile Circuit de puissance
(cf. § 3.3)
Bloc Bloc
logique logique
cf. § 2.8 cf. § 2.8
Commande
bimanuelle
Organes de commande
Le mouvement dangereux est commandé par la commande bimanuelle.

La protection de l'opérateur est assurée par un barrage immatériel et un protecteur mobile.
La machine comporte un arrêt d'urgence.
Figure 21 ■ Illustration de l’utilisation de blocs logiques de sécurité.

3 Intégration de la sécurité
au niveau du circuit
de puissance
Si l'on souhaite assurer la sécurité par arrêt d’un mouve- enclencher le frein électromécanique. De ce fait, la
ment potentiellement dangereux, il faut arrêter ce mou- solution «contacteur + frein» s'impose.
vement de manière certaine, optimiser le temps de
mise à l'arrêt et maintenir cet arrêt. Ces exigences ont Temps d'obtention de l'arrêt minimisé avec prise en
une retombée sur la conception du circuit de puis- compte du risque de déstabilisation de la charge
sance. Pour certaines applications, un freinage brutal peut
entraîner un transfert de risque (chute du produit trans-
porté, par exemple). Ainsi le freinage le mieux adapté
3.1 Circuit de puissance électrique
Selon l’exemple de la figure 22, il est possible de com-

mander l'arrêt de l'actionneur par les contacteurs (KP et
KC) ou par le variateur de fréquence. Dans la pratique,
on pourra se contenter soit :
■ d’un contacteur (KP ou KC),
■ d’un contacteur et d’un variateur,
KP
■ de deux contacteurs (KP et KC). Choix d'un ou
deux contacteurs
en fonction d'une
Le choix de la structure (redondante ou non) sera fonc- estimation du risque
tion des résultats d'une évaluation du niveau de contri- KC
bution de cette partie de circuit de puissance à la réduc-
tion de risque engendré par l’actionneur en question.
Pilotage VARIATEUR DE
À titre indicatif, on peut envisager les cas de figure sui- du variateur VITESSE
vants.
M
Temps d'obtention de l'arrêt minimisé tenant compte
d'un mécanisme à inertie importante
Dans ce cas, il faut non seulement interrompre l'arrivée Figure 22 ■ Exemple de circuit de puissance
électrique.
d'énergie sur l'actionneur M (contacteur) mais aussi
22 INTÉGRATION DE LA SÉCURITÉ AU NIVEAU DU CIRCUIT DE PUISSANCE

devra suivre une rampe de décélération résultant du ■ des deux distributeurs EV1 et EV2 (ou EV’2).
meilleur compromis temps d'obtention de l'arrêt par rap- Le choix de la structure redondante et des autocontrôles
port à la stabilité de la charge. Dans ce cas de figure, la sera fonction des résultats d'une évaluation du niveau
solution optimale sera «variateur de fréquence + contac- de contribution de cette partie de circuit de puissance
teur à commande différée». à la réduction de risque engendré par le vérin.
Temps d'obtention de l'arrêt avec un mécanisme pré- À titre indicatif, on peut envisager les cas de figure sui-
sentant peu d'inertie vants pour l’obtention de l’arrêt d’un vérin.
C'est le cas des mouvements lents mettant en œuvre des
transmissions à crémaillère, vis sans fin, etc. Inversion du sens de mouvement pour faire revenir puis
On peut alors simplement utiliser la solution «un ou deux maintenir à l’arrêt l’équipage mobile au point de
contacteurs montés en série». départ
Cette solution n’est acceptable que si le mouvement de
retour ne génère pas de nouveaux risques.
3.2 Circuit de puissance
pneumatique Arrêt de l’équipage mobile au cours
de son déplacement par :
Selon l’exemple de la figure 23, il est possible de com- ■ mise à l’air libre du circuit d’alimentation du vérin.
mander l'arrêt du vérin pneumatique par les distributeurs Le temps d’obtention de l’arrêt dépend dans ce
EV1 et EV2 (avec ou sans autocontrôle). cas de la rapidité de la purge du circuit, de l’iner-
Dans la pratique, on pourra se contenter soit : tie de l’équipage mobile et des frottements aux-
■ d’un distributeur (EV2) simple ou redondant et auto- quels il est soumis ;
surveillé (EV’2), ■ mise à l’air libre du circuit d’alimentation du vérin
associé à un freinage mécanique de l’équipage
mobile. Du fait de la compressibilité de l’air, cette
Mouvements
dangereux
solution est la seule qui permet un arrêt immé-
diat ;
Distributeur
■ blocage sur air des vérins : cette solution ne
de commande
garantit pas un arrêt précis et peut conduire à un
coincement de l’opérateur du fait des efforts qui
EV2 EV'2
sont maintenus.
En conclusion, l’arrêt par coupure d’énergie avec mise à

l’air libre du circuit d’alimentation doit être privilégié
chaque fois que la disparition de la pression d’alimenta-
Pressostat tion n’engendre pas de mouvement intempestif. Si l’ap-
plication comporte des vérins de bridage ou effectuant
Détendeur un travail contre la pesanteur, des dispositions particu-
EV1
Filtre lières doivent alors être prises (clapets antiretour pilotés,
par exemple).
Des informations détaillées relatives à la sécurité

sur ces dispositions particulières et sur le choix des
distributeurs sont données dans la brochure INRS
Figure 23 ■ Exemple de circuit de puissance
ED 736 [6].
pneumatique.
INTÉGRATION DE LA SÉCURITÉ AU NIVEAU DU CIRCUIT DE PUISSANCE 23

Distributeur 5/2 Distributeur 5/2 Distributeur 5/3 Distributeur 5/3
bistable monostable Centre ouvert Centre fermé
Mise hors Permet facilement une mise à l'air libre de toutes Permet de façon Ne permet pas de façon
énergie du les chambres du vérin quand on l'associe à un automatique une mise simple une mise à l'air
circuit distributeur 3/2 ou à un robinet de purge 3/2. à l'air libre de toutes les libre de toutes les
chambres du vérin. chambres du vérin.
Nécessite généralement
un dispositif spécifique
sur chaque liaison
distributeur/vérin.
Obtention de Possible à l'aide : Possible par mise à l'air Possible par blocage sur
l'arrêt du vérin • d'un distributeur purgeur 3/2 couplé si libre couplé si air à l'aide de
en cours de nécessaire à un freinage mécanique, nécessaire à un distributeurs-bloqueurs
mouvement • par blocage sur air à l'aide de distributeurs- freinage mécanique. 2/2.
bloqueurs 2/2.
Comportement Poursuite du Inversion ou poursuite Arrêt du mouvement en Arrêt du mouvement en

du vérin en cas mouvement en cours du mouvement en cours par mise à l'air cours par blocage sur
de coupure jusqu'en butée. Un cours. Risque de libre. Un vérin à l'arrêt air. Un vérin à l'arrêt reste
intempestive vérin à l'arrêt reste à mouvement reste à l'arrêt, effort non à l'arrêt, effort maintenu.
des signaux de l'arrêt, effort maintenu. intempestif pour un maintenu.
commande vérin à l'arrêt.
Résumé des critères de sécurité pour le choix d'un distributeur.
Pour information, le tableau ci-dessus donne, pour la Le choix de la structure redondante et des autocontrôles
commande d’un vérin double effet, quelques critères sera fonction des résultats d'une évaluation du niveau
relatifs à la sécurité pour le choix du distributeur. de contribution de cette partie de circuit de puissance
à la réduction de risque engendré par le vérin.
3.3 Circuit de puissance hydraulique Remarque

Dans le cas d’utilisation d’un seul distributeur à com-
Selon l’exemple de la figure 24, il est possible de commande proportionnelle (EV’1), la position d’arrêt doit être
mander l'arrêt du vérin par les distributeurs EV1 et EV2 et obtenue par sa mise hors tension et non seulement par
par la coupure de la pompe hydraulique. l’application de la valeur de consigne adéquate (cf.
figure 25).
Dans la pratique, on pourra se contenter soit :
■ d’un distributeur EV1 avec ou sans contrôle de posi-
Pour des informations plus détaillées sur la
tion,
conception des circuits de puissance hydrau-
■ d’un distributeur EV1 et la commande du moteur
liques, nous recommandons aux lecteurs de se
de la pompe hydraulique,
référer aux références bibliographiques [16] [17]
■ des deux distributeurs EV1 et EV2 avec ou sans [18].
autocontrôles de leur position.
24 INTÉGRATION DE LA SÉCURITÉ AU NIVEAU DU CIRCUIT DE PUISSANCE

Mouvements
dangereux
Détecteurs
de position EV1 EV'1
des distributeurs
Distributeur
à commande
EV2 proportionnelle
Détendeur
Clapet anti-retour Filtre
Figure 24 ■ Exemple de circuit

Moteur de la pompe
hydraulique de puissance hydraulique.
Arrêt
d'urgence
Contact de mise
à l'arrêt
Mouvements
dangereux
Carte électronique
Figure 25 ■ Dispositif à commande proportionnelle.
INTÉGRATION DE LA SÉCURITÉ AU NIVEAU DU CIRCUIT DE PUISSANCE 25

4 Exemple de conception
d’un automatisme [19]
Informations
de sécurité
Logique
câblée
Ordre d'arrêt
d'urgence
(AU1, AU2…) P1
(cf. fig. 25)
Autres ordres
P2
d'arrêt relatifs
à la sécurité
C3 C2 C1
Vers
Vers entrées API KP1 entrées
(*) API
KP2
(*)
C3 C2 C1
(*) (*) (*) (*)
KC1 KC2 KC3

S3+ S2+ S1+
S1 S2 S3
Variateur Variateur Variateur

SV1 SV2 SV3
Entrées
UC
S2
M1 M2 M3
Sorties SV2
S3 Frein Frein Frein
SV3
API
Signaux fonctionnels/informations
Figure 26 ■ Exemple de schéma répondant aux exigences de sécurité.
26 EXEMPLE DE CONCEPTION D’UN AUTOMATISME

La figure 26 ci-contre représente un exemple de schéma ■ désexcitation du/des contacteur(s) KP par l'inter-
électrique pour lequel a été prise la précaution de sépa- médiaire du contact P, directement et unique-
rer la partie purement fonctionnelle gérée par automate ment commandé par la logique câblée,
programmable de la partie relative à la sécurité qui est ■ désexcitation du/des contacteurs KC, soit par l'inter-
ici gérée par une logique câblée. médiaire du contact P ou des contacts C pilotés
■ La logique câblée agit, selon la priorité affichée, par la logique câblée, soit directement par l'auto-
soit directement sur la puissance (relais et contact mate programmable (contacts S),
P), soit sur l'automate programmable en coupant ■ action sur le variateur de vitesse par l'intermédiaire
l'alimentation des cartes de sortie (relais et contacts soit du contact P, soit des contacts C pilotés par la
C). logique câblée, soit directement par l'automate
■ L'automate programmable agit soit sur le variateur programmable (contact SV).
de vitesse (SV), soit sur les contacteurs KC (contacts
S), soit enfin sur le relais P de la logique câblée.
4.1 Partie relative à la sécurité
Cette façon de faire, qui est la plus fréquemment rencon-
trée dans le domaine des «machines», met en œuvre une Comme rappelé dans le § 1.1, cette partie du système
technique de redondance particulière que l'on peut de commande a pour objet unique l'exploitation des
décomposer de la manière suivante : signaux provenant directement des dispositifs de pro-
■ redondance hétérogène du traitement des événe- tection (barrages immatériels, tapis sensibles, dispositifs
ments de sécurité, de verrouillage, arrêt d'urgence, etc.). Ses ordres de sor-
■ redondance de la coupure en énergie car, pour tie actionnent les contacteurs KP et KC par l'intermé-
chaque actionneur pouvant engendrer un mouve- diaire des contacts P et C (cf. figure 27). Comme on
ment dangereux, l'arrêt pourra être provoqué soit peut le constater sur ce schéma, cette partie du sys-
par le dispositif d'arrêt d'urgence, soit par le disposi- tème de commande va hiérarchiser les ordres d'arrêt et
tif de protection qui lui est associé. les orienter vers les actionneurs concernés. Pour illustrer
notre propos, nous allons voir sur ce schéma comment
De ce fait, un actionneur peut être immobilisé par cha- les ordres d'arrêt sont engendrés et traités dans diffé-
cune des trois actions suivantes : rents cas.
KAU
AU1
Contacts de contrôle
AU2
appartenant à l'API
AU3
Armement
P Contacts
de sécurité
Barrage
Cellule
Écran
Tapis
…
KAU P C1 C2 C3
Figure 27 ■ Logique câblée relative à la sécurité.
EXEMPLE DE CONCEPTION D’UN AUTOMATISME 27

4.1.1 Traitement de diverses fonctions 4.2.1 Principe de fonctionnement 6
Traitement de l'ordre d'arrêt d'urgence La première ligne, affectée aux arrêts d'urgence, ali-
Sur une machine équipée de plusieurs actionneurs, l'arrêt mente le relais KAU si aucun arrêt n'est sollicité (cf. figure
d'urgence doit non seulement agir sur l'ensemble des 27).
actionneurs (cela dans le but évident de diminuer le Le relais P de la deuxième ligne est lui-même alimenté
temps de réaction homme-machine), mais aussi avoir si :
priorité absolue sur tous les autres ordres. Ainsi, la logique ■ le contact de contrôle des arrêts d'urgence (KAU)
câblée traitera de manière prioritaire l'ordre d'arrêt d'ur- est fermé (aucun arrêt d'urgence actionné),
gence qui, en agissant sur le contacteur KP, supprimera ■ le contact de contrôle des sécurités appartenant à
l'arrivée d'énergie sur l'ensemble des actionneurs M1, M2, l'automate est fermé (contrôle positif),
et M3. ■ les fonctions de sécurité correspondant aux relais
C1, C2, C3 sont activées mais non sollicitées,
Bien entendu, l’arrêt d'urgence sera également traité en ■ le contact «armement» est fermé.
parallèle par la partie relative à la commande du pro-
cessus, par désexcitation de KC1, KC2, KC3 et par l'envoi Ces conditions remplies, le relais P s'autoalimente. Sa
d'une consigne d'arrêt rapide sur les variateurs. mise hors tension se produira uniquement par KAU ou
par le contact appartenant à l'automate.
Traitement d'un ordre issu d'un dispositif de Les relais C1, C2, C3 sont alimentés par les contacts des
protection dispositifs de sécurité ainsi que par les contacts de
Ici, contrairement à ce qui se passe dans le cas précé- contrôle appartenant à l'automate (cf. figure 28) et le
dent, l'ordre d'arrêt généré par la logique câblée sera contact (KAU) vérifiant les arrêts d'urgence.
destiné à agir uniquement sur l'axe concerné. Pour cela,
elle interviendra, par l'intermédiaire de l'un des contacts La figure 29 montre qu'on peut réaliser une logique
C, sur le contacteur KC relatif à l'actionneur en question. entièrement câblée respectant le concept de sécurité
Bien entendu, l'événement de sécurité sera aussi ana- positive en utilisant des blocs logiques de sécurité (cf. §
lysé en redondance par la partie fonctionnelle en agis- 2.8).
sant sur la carte de sortie de l'automate programmable
correspondant à cet actionneur. La première ligne met en œuvre un bloc logique d'arrêt
d'urgence dont la mission est de contrôler la coïnci-
Traitement différé d'un ordre d'arrêt dence d'informations provenant des dispositifs d'arrêt
Pour éviter un transfert de risque dû à un arrêt brutal, il d'urgence.
est parfois conseillé d'appliquer d'abord un freinage La deuxième ligne réalise la fonction d'arrêt d'urgence
commandé par le variateur de vitesse via l'automate ; la en tenant compte de certaines conditions indispen-
coupure de la puissance par le circuit de sécurité étant sables telles que l'armement et la vérification des sécuri-
différée d'un temps suffisant pour permettre un arrêt tés à chaque mise en route. Là aussi le relais P de la
«sans casse». Bien entendu, si l'automate ne remplit pas figure 27, dont la mission est capitale pour la sécurité, est
sa fonction, l'arrêt se fera néanmoins mais avec un léger remplacé par un bloc logique de sécurité à sorties auto-
retard et de manière brutale. contrôlées. La même technique est utilisée pour les
entrées de sécurité provenant des barrages immatériels,
Traitement d'un autocontrôle
Ce traitement peut être directement pris en compte par 6 - Ces schémas (figures 27 et 28) donnés en exemple ne peuvent être
utilisés qu'avec une structure telle que celle présentée figure 26 car,
la partie fonctionnelle, à condition d'utiliser un automate dans ce cas, les relais KAU, P, C1, C2, C3 sont contrôlés par l'automate
programmable industriel. Néanmoins, cela ne saurait programmable industriel. En revanche, si l'on substitue à l'automate pro-
grammable industriel une logique câblée, il sera nécessaire, pour res-
être une règle générale et doit s'apprécier en fonction pecter le concept de sécurité positive, d'utiliser une technique d'auto-
contrôle faisant appel à des modules de sécurité conçus de façon à
de l'importance du risque. détecter leurs propres défaillances.
28 EXEMPLE DE CONCEPTION D’UN AUTOMATISME

Informations Informations
de sécurité fonctionnelles
KAU Armement AU1 AU2 AU3 P Barrage Écran … Arrêt Marche Tempo Capteur …
MODULES D'ENTRÉES
UNITÉ CENTRALE
MODULES DE SORTIES
Sorties
1 2 3 fonctionnelles
S1 S2 S3
C1 C2 C3
Alimentation des modules
P de sortie
Figure 28 ■ Actions des informations de sécurité sur l'automate.
Sortie bloc
logique KAU
Armement
Sortie bloc
AU1 logique P
Sortie bloc
logique C1
AU2
Sécurité 1 Sécurité 2
AU3 Sortie bloc
logique C2
Bloc logique Bloc logique Bloc logique Bloc logique

KAU P C1 C2
Figure 29 ■ Logique câblée réalisée à partir de blocs logiques de sécurité.
des dispositifs de verrouillage associés aux protecteurs, commande du bloc logique P sont constitués de plu-
etc. Les raccordements dénommés «sortie bloc logique sieurs contacts disposés en série qui appartiennent aux
C1» et «sortie bloc logique C2» situés dans la ligne de relais internes des modules.
EXEMPLE DE CONCEPTION D’UN AUTOMATISME 29

5 Annexes
5.1 Action mécanique positive 5.3 Relais à contacts liés ou guidés

(NF EN 609457-5-1) (NF EN 50205)
Pour qu’un détecteur de position soit considéré à Un relais tout ou rien est à contacts guidés lorsqu’un
manœuvre positive d’ouverture, il faut que la séparation moyen mécanique empêche qu’au moins un contact
des contacts résulte d’un déplacement défini de l’or- «repos» et un contact «travail» ne puissent être simulta-
gane de commande de l’interrupteur transmis par des nément en position fermée (cf. figure 32).
pièces non élastiques (par exemple, sans ressort inter-
médiaire) [20]. En conséquence :
Les détecteurs satisfaisant à cette prescription portent le ■ si l’un des contacts «travail» du relais est fermé,
marquage aucun des contacts repos ne doit être fermé,
■ si l’un des contacts «repos» reste fermé, aucun des
contacts «travail» ne doit se fermer.
D’autres appellations telles que relais à contacts liés, à

contacts solidaires ou encore à contacts non chevau-
chants de sécurité sont quelquefois utilisés [21].
Contact Contact
fermé ouvert
Figure 30 ■ Manœuvre positive d'ouverture.
5.2 Actionnement suivant le mode

positif (NF EN 292-1)
L’ouverture du protecteur entraîne directement l’ouver-

ture des contacts. À la fermeture du protecteur, les Capot fermé Capot ouvert
contacts sont fermés par l’effort d’un ressort (cf. figure

31). Figure 31 ■ Actionnement suivant le mode positif.
30 ANNEXES
Contacteur Remarque
en position Dans le cas de sorties à relais électromécaniques, ces
repos
derniers doivent être considérés comme des pièces
Contact d’usure. En conséquence, ils doivent faire l’objet d’une
travail
maintenance préventive et/ou curative :
■ maintenance préventive : changement de ces
Contact relais en cas de dépassement de leur durée de vie.
repos Le nombre de manœuvres du relais peut être
estimé à partir d’informations telles que le nombre
d’heures et/ou de cycles de la machine sur
Contacteur
en position laquelle est installé le composant ;
travail ■ maintenance curative : changement systématique
de ces relais dès le premier dysfonctionnement
Contact
travail signalé par leur dispositif de surveillance intégré au
composant de sécurité.
Contact
repos
5.4 Distributeur à recouvrement
à l’arrêt positif
Contact collé Contacteur
défaillant Un distributeur est à recouvrement à l’arrêt positif lorsque
dans cette position d’arrêt, tous les orifices du distributeur
Contact complémentaire
reste ouvert avec une sont isolés entre eux (cf. figure 33).
Contact distance > 0,5 mm
travail
5.5 Sorties statiques

Contact
repos Les sorties statiques (cf. figure 34) présentent l’avantage
de ne plus posséder d’éléments mécaniques et de ce
Figure 32 ■ Relais à contacts liés ou guidés. fait elles apparaissent plus fiables que les sorties à relais.
X1 X2
Bloc logique
de sécurité
Sortie
X2 X1 X1 X2 statique Alimentation
électrique
Charge
Recouvrement
positif
Figure 34 ■ Schéma de principe
Figure 33 ■ Distributeur à recouvrement à l'arrêt positif [16]. d'une sortie statique.
ANNEXES 31
Elles peuvent néanmoins présenter des défaillances sence d’isolation galvanique entre l'électronique du
potentiellement dangereuses dans les cas suivants : composant de sécurité et la charge commandée. La
■ non respect de la charge préconisée (impédance, commutation de charges trop selfiques, de courants
tension de commande, etc.), dans ce cas, le seul trop importants, ou de tensions insuffisamment régu-
courant de fuite inhérent à ce type de sortie peut lées peut détruire ces protections et ainsi exposer, si
générer aux bornes de la charge de sortie, une ten- ces destructions ne sont pas détectées, les commuta-
sion équivalente à une sortie active alors qu'elle est teurs statiques à des défaillances de mode commun
commandée pour être inactive ; en cas de nouvelles perturbations.
■ défaillance interne ou externe (rupture de masse,
coupure de circuit interne, non respect du câblage
préconisé, etc.) entraînant une polarisation suffi-
En conséquence, dans le cas des blocs logiques à
sante de ces sorties pour générer aux bornes de la
sorties statiques, une attention toute particulière
charge de sortie une tension équivalente à une sor- doit être portée sur la qualité de son alimentation
tie active alors qu'elle est commandée pour être électrique, sur la nature de la charge raccordée et
inactive ; sur l'environnement électromagnétique. Les
consignes de câblage préconisées dans les
■ destruction des protections contre les perturbations
notices d’installation de ces produits doivent être
conduites et/ou surtensions (diodes transil, varistances, scrupuleusement respectées.
etc.) : ces protections sont nécessaires du fait de l’ab-
32 ANNEXE
L exique
Les définitions listées ci-après sont issues prioritairement de Note 1 : après défaillance d’une entité, cette entité a un
la réglementation des normes couramment utilisées dans défaut.
le domaine de la sécurité des machines. En l'absence de Note 2 : une défaillance est un passage d’un état à un
définitions dans ce domaine, la recherche a été élargie à autre, par opposition à un défaut qui est un état.
d’autres domaines (process, automatisme, etc.).
– Défaut (EN 954-1)
– Autosurveillance (NF EN 292-1) État d’une entité inapte à accomplir une fonction
Fonction de sécurité indirecte grâce à laquelle une requise, non comprise l’inaptitude due à la mainte-
action de sécurité est déclenchée si l’aptitude d’un nance préventive ou à d’autres actions programmées
composant ou d’un constituant à assurer sa fonction ou due à un manque de moyens extérieurs.
diminue, ou si les conditions de fonctionnement sont Note : un défaut est souvent la conséquence d’une
modifiées de telle façon qu’il en résulte un risque. Il existe défaillance de l’entité elle-même, mais peut exister sans
deux catégories d’autosurveillance : défaillance préalable.
■ autosurveillance «continue», par laquelle une
mesure de sécurité est immédiatement déclen- – Dispositif de verrouillage (NF EN 292-1)
chée lorsque se produit une défaillance, Dispositif de protection mécanique, électrique ou d’une
■ autosurveillance «discontinue», par laquelle une autre technologie, destiné à empêcher certains éléments
mesure de sécurité est déclenchée pendant un de la machine de fonctionner dans certaines conditions
cycle ultérieur du fonctionnement de la machine si (généralement tant qu’un protecteur n’est pas fermé).
une défaillance s’est produite.
– Dommage (EN 1050)
– Catégorie (EN 954-1) Lésion physique et/ou atteinte à la santé ou aux biens.
Classification des parties d'un système de commande
relatives à la sécurité liée à leur résistance aux défauts et – Estimation du risque (EN 292-1)
à leur comportement subséquent sous défauts et qui est Estimation globale de la probabilité et de la gravité
obtenu par la structure des parties et/ou leur fiabilité. d’une lésion ou d’une atteinte à la santé pouvant surve-
nir dans une situation dangereuse, en vue de sélection-
– Circuit de commande (EN 60204) ner des mesures de sécurité appropriées.
Circuit servant à commander le fonctionnement de la
machine et à la protection des circuits de puissance. – Fiabilité (EN 292-1)
Aptitude d’une machine, ou de composants, ou d’équi-
– Défaillance (EN 954-1) pements, à accomplir sans défaillance une fonction
Cessation de l’aptitude d’une entité à accomplir une requise dans des conditions données et pendant un
fonction requise. laps de temps donné. ■■■
LEXIQUE 33
– Fonction de sécurité (EN 292-1) – Prévention intrinsèque (NF EN 292-1)
Fonction d'une machine dont la défaillance peut Mesures de sécurité qui consistent à :
accroître la probabilité de blessure ou d'atteinte à la ■ éviter ou réduire autant de phénomènes dange-
santé. reux dès que possible en choisissant convenable-
ment certaines caractéristiques de conception,
– Machine (directive 98-37) ■ limiter l’exposition des personnes aux phénomènes
Ensemble de pièces ou d’organes liés entre eux, dont au dangereux inévitables ou qui ne peuvent être suffi-
moins un est mobile et, le cas échéant, d’actionneurs, samment réduits ; ceci s’obtient en réduisant le
de circuits de commande et de puissance, etc., réunis besoin, pour l’opérateur, d’intervenir dans des
de façon solidaire en vue d’une application définie, zones dangereuses.
notamment pour la transformation, le traitement, le
déplacement et le conditionnement d’un matériau. – Risques (EN 292-1)
Est également considéré comme «machine» un Combinaison de la probabilité et de la gravité d’une
ensemble de machines qui, afin de concourir à un seul lésion ou d’une atteinte à la santé pouvant survenir dans
et même résultat, sont disposées et commandées de une situation dangereuse.
manière à être solidaires dans leur fonctionnement.
– Sécurité positive (NF EN 292-1)
– Partie de système de commande relative à la sécu- Situation théorique qui serait réalisée si une fonction de
rité (EN 954-1) sécurité restait assurée en cas de défaillance du système
Partie ou sous-partie(s) d’un système de commande qui d’alimentation en énergie ou de tout composant contri-
répond à des signaux d’entrée et génère des signaux de buant à la réalisation de cette situation.
sorties relatifs à la sécurité. Les parties combinées d’un Dans la pratique, on se rapproche d’autant plus de la réali-
système de commande relatives à la sécurité commen- sation de cette situation que l’effet des défaillances sur la
cent aux points où les signaux relatifs à la sécurité sont fonction de sécurité considérée est plus réduit.
générés et se terminent à la sortie des éléments de com-
mande de puissance. Cela inclut également des sys- – Système automatisé (NF CEI 61131-1)
tèmes de surveillance. Système de commande dans lequel des configurations
d'automate programmable sont incorporées par ou
– Phénomènes dangereux (EN 292-1) pour l'utilisateur, mais qui contient également d'autres
Causes capables de provoquer une lésion ou une éléments constitutifs y compris leurs programmes d'ap-
atteinte à la santé. plication.
34 LEXIQUE
B ibliographie
[1] Sécurité des machines et des équipements de [12] Directive 89/655/CEE du 30 novembre 1989
Prescriptions minimales de sécurité et de santé pour
travail. Moyens de protection contre les risques
mécaniques. H. Lupin, J. Marsot. INRS, ED 807, 2000. l’utilisation par les travailleurs au travail d’équipe-
ments de travail (JO-CE n° L 393 du 30/12/89, pp. 13-17)
[2]Catégories for Safety-related control Systems in modifiée par la directive 95/62/CE du 5 décembre 1995
Accordance with EN 954-1. W. Kleinbreur, (JO-CE n° L 335 du 30/12/95, pp. 28-36).
F. Kreutzkampf, K. Meffert, D. Reinert. BIA Report 6/97e,
HVBG Sankt Augustin, 09/99. [13] NF EN 954-1 Sécurité des machines. Parties des
systèmes de commande relatives à la sécurité.
[3] Câblage des entrées et des sorties des APIdS. Partie I : principes généraux de conception. Afnor,
J. Gillot, D. Le Page. INRS, ED 905, 2003. décembre 1996.
[4] Gestion des fonctions de sécurité par auto- [14] CR 954-100 Sécurité des machines. Parties des
mate programmable dédié à la sécurité (APIdS). systèmes de commande relatives à la sécurité.
D. Dei-Svaldi, M. Kneppert. INRS, NST 224, 2002. Partie 100 : guide d’utilisation et d’application de
l’EN 954-1 : 1996. Afnor, décembre 1999.
[5]NF EN 60204-1 Sécurité des machines. Équipe-
ment électrique des machines. Partie I : règles [15] Electrovannes double corps. Analyse fonction-
générales. Afnor, février 1993. nelle et résultats d'essais. J. Marsot, J.-L. Lannier.
ND 2129-179-00, INRS, 2000.
[6] Conception des automatismes pneumatiques.
INRS, ED 736, 2001. [16] Hydraulique industrielle appliquée. B. Reminiac.
ISF, Division hydraulique, 1986.
[7] NF EN 982 Sécurité des machines. Prescriptions
de sécurité pour les systèmes de transmissions [17] Le cours d'hydraulique. Tome I à IV.
hydrauliques et leurs composants. Afnor, avril 1994. Mannesmann Rexroth. Mannesmann Rexroth GmbH,
1986.
[8] NF EN 983 Sécurité des machines. Prescriptions
de sécurité pour les systèmes de transmissions [18] Commande et asservissements hydrauliques et
pneumatiques et leurs composants. Afnor, avril 1994. électrohydrauliques. M. Guillon. Techniques et docu-
mentation, Lavoisier, 1992.
[9] NF EN 292-1 Sécurité des machines. Notions fon-
damentales. Principes généraux de conception. [19] L’intégration de la sécurité. Conception d’un
Partie I : Terminologie de base, méthodologie. Afnor, automatisme. M. Kneppert. Travail & Sécurité, n° 5, INRS,
1991. 1995, pp. 309-316.
[10] NF EN 1050 Sécurité des machines. Principes [20] NF EN 60947-5-1 Appareillage basse tension.
pour l’appréciation du risque. Afnor. Partie V. 1. Appareils et éléments de commutation
pour circuits de commande. Appareils électromé-
[11] Directive 98/37/CE du 22 juin 1998
caniques. Afnor, mai 1998.
Rapprochement des législations des états
membres relatives aux machines. JO-CE n° L 207 du [21] NF EN 50205 Relais à contacts guidés (liés).
23/07/98. Afnor, janvier 1998.
■ Pour se procurer les normes,

AFNOR
11 avenue Francis de Pressensé - 93571 Saint-Denis La Plaine cedex
Tél : 01 41 62 80 00 - www.afnor.fr
BIBLIOGRAPHIE 35
Pour commander les films (en prêt), les brochures et les affiches de l’INRS,
adressez-vous au service prévention de votre CRAM ou CGSS.
Services prévention des CRAM

ALSACE-MOSELLE BRETAGNE NORD-EST
(67 Bas-Rhin) (22 Côtes-d’Armor, 29 Finistère, (08 Ardennes, 10 Aube, 51 Marne,
35 Ille-et-Vilaine, 56 Morbihan) 52 Haute-Marne, 54 Meurthe-et-Moselle,
14 rue Adolphe-Seyboth
236 rue de Châteaugiron 55 Meuse, 88 Vosges)
BP 392 81 à 85 rue de Metz
67010 Strasbourg cedex 35030 Rennes cedex
tél. 02 99 26 74 63 54073 Nancy cedex
tél. 03 88 14 33 00 tél. 03 83 34 49 02
fax 03 88 23 54 13 fax 02 99 26 70 48
fax 03 83 34 48 70
(57 Moselle) CENTRE
(18 Cher, 28 Eure-et-Loir, 36 Indre, NORD-PICARDIE
3 place du Roi-George 37 Indre-et-Loire, 41 Loir-et-Cher, 45 Loiret) (02 Aisne, 59 Nord, 60 Oise,
BP 31062 36 rue Xaintrailles 62 Pas-de-Calais, 80 Somme)
57036 Metz cedex 1 45033 Orléans cedex 1 11 allée Vauban
tél. 03 87 66 86 22 tél. 02 38 79 70 00 59662 Villeneuve-d’Ascq cedex
fax 03 87 55 98 65 fax 02 38 79 70 30 tél. 03 20 05 60 28
fax 03 20 05 63 40
(68 Haut-Rhin) CENTRE-OUEST
11 avenue De-Lattre-de-Tassigny (16 Charente, 17 Charente-Maritime, NORMANDIE
BP 488 19 Corrèze, 23 Creuse, 79 Deux-Sèvres, (14 Calvados, 27 Eure, 50 Manche,
68020 Colmar cedex 86 Vienne, 87 Haute-Vienne) 61 Orne, 76 Seine-Maritime)
tél. 03 89 21 62 20 4 rue de la Reynie Avenue du Grand-Cours, 2022 X
fax 03 89 21 62 21 87048 Limoges cedex 76028 Rouen cedex
tél. 05 55 45 39 04 tél. 02 35 03 58 21
AQUITAINE fax 05 55 79 00 64 fax 02 35 03 58 29
(24 Dordogne, 33 Gironde,
40 Landes, 47 Lot-et-Garonne, ÎLE-DE-FRANCE PAYS DE LA LOIRE
64 Pyrénées-Atlantiques) (75 Paris, 77 Seine-et-Marne, (44 Loire-Atlantique, 49 Maine-et-Loire,
80 avenue de la Jallère 78 Yvelines, 91 Essonne, 53 Mayenne, 72 Sarthe, 85 Vendée)
33053 Bordeaux cedex 92 Hauts-de-Seine, 93 Seine-Saint-Denis, 2 place de Bretagne
94 Val-de-Marne, 95 Val-d’Oise) BP 93405, 44034 Nantes cedex 1
tél. 05 56 11 64 00
17-19 place de l’Argonne tél. 02 51 72 84 00
fax 05 56 39 55 93
75019 Paris fax 02 51 82 31 62
tél. 01 40 05 32 64
AUVERGNE
fax 01 40 05 38 84 RHÔNE-ALPES
(03 Allier, 15 Cantal, 43 Haute-Loire,
63 Puy-de-Dôme) (01 Ain, 07 Ardèche, 26 Drôme,
48-50 boulevard Lafayette LANGUEDOC-ROUSSILLON 38 Isère, 42 Loire, 69 Rhône,
63058 Clermont-Ferrand cedex 1 (11 Aude, 30 Gard, 34 Hérault, 73 Savoie, 74 Haute-Savoie)
48 Lozère, 66 Pyrénées-Orientales) 26 rue d’Aubigny
tél. 04 73 42 70 22
29 cours Gambetta 69436 Lyon cedex 3
fax 04 73 42 70 15
34068 Montpellier cedex 2 tél. 04 72 91 96 96
tél. 04 67 12 95 55 fax 04 72 91 97 09
BOURGOGNE et FRANCHE-COMTÉ
fax 04 67 12 95 56
(21 Côte-d’Or, 25 Doubs, 39 Jura,
58 Nièvre, 70 Haute-Saône, SUD-EST
71 Saône-et-Loire, 89 Yonne, MIDI-PYRÉNÉES (04 Alpes-de-Haute-Provence,
90 Territoire de Belfort) (09 Ariège, 12 Aveyron, 31 Haute-Garonne, 05 Hautes-Alpes, 06 Alpes-Maritimes,
ZAE Cap-Nord 32 Gers, 46 Lot, 65 Hautes-Pyrénées, 13 Bouches-du-Rhône, 2A Corse Sud,
38 rue de Cracovie 81 Tarn, 82 Tarn-et-Garonne) 2B Haute-Corse, 83 Var, 84 Vaucluse)
21044 Dijon cedex 2 rue Georges-Vivent 35 rue George
tél. 03 80 70 51 22 31065 Toulouse cedex 9 13386 Marseille cedex 5
fax 03 80 70 51 73 tél. 05 62 14 29 30 tél. 04 91 85 85 36
fax 05 62 14 26 92 fax 04 91 85 79 01
Services prévention des CGSS

GUADELOUPE GUYANE LA RÉUNION MARTINIQUE
Immeuble CGRR Espace Turenne Radamonthe 4 boulevard Doret Quartier Place-d’Armes
Rue Paul-Lacavé Route de Raban, BP 7015 97405 Saint-Denis cedex 97210 Le Lamentin cedex 2
97110 Pointe-à-Pitre 97307 Cayenne cedex tél. 02 62 90 47 00 tél. 05 96 66 51 31
tél. 05 90 21 46 00 tél. 05 94 29 83 04 fax 02 62 90 47 01 05 96 66 51 33
fax 05 90 21 46 13 fax 05 94 29 83 01 fax 05 96 51 81 54
Ce document traite des circuits de commande
des équipements de travail pour lesquels la
mise en sécurité du personnel est obtenue par
l'immobilisation et le maintien à l'arrêt des
éléments dangereux. Il a pour but d’aider les
concepteurs et/ou les intégrateurs de ces
équipements en attirant leur attention
sur la nécessité de prévoir, pour les parties
« puissance » et « commande » d'un
automatisme, une architecture et des fonctions
capables d'intégrer des moyens de prévention
(barrages immatériels, arrêt d’urgence,
dispositifs de verrouillage, etc.).
Le premier chapitre de ce recueil présente
de façon générale les circuits de commande
et les prescriptions qui leur sont applicables
dès lors qu’ils contribuent au processus
de réduction du risque.
Les chapitres suivants présentent l’impact de
l’intégration de la sécurité au niveau des
circuits de commande et de puissance d’un
automatisme. Ils sont illustrés par des schémas
de principe et présentent pour chacun d'eux
une description fonctionnelle, les principales
caractéristiques constructives, et leur
comportement sur défauts.
Ce document est complémentaire de la
brochure ED 807 relative aux moyens de
protection contre les risques mécaniques.
Institut national de recherche et de sécurité

pour la prévention des accidents du travail et des maladies professionnelles
•
30, rue Olivier-Noyer 75680 Paris cedex 14 Tél. 01 40 44 30 00
• •
Fax 01 40 44 30 99 Internet : www.inrs.fr e-mail : info@inrs.fr
Édition INRS ED 913

1re édition • novembre 2003 • 5 000 ex. • ISBN 2-7389-0411-4

Ed 913

Transféré par

Droits d'auteur :

Formats disponibles

Ed 913

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Ed 913

Transféré par

Droits d'auteur :

Formats disponibles

Sécurité des machines

et des équipements de travail

L’INRS apporte son concours aux services

Les publications de l'INRS sont distribuées

Les Caisses régionales d’assurance maladie

Toute représentation ou reproduction intégrale ou partielle faite sans le consentement de l’INRS,

1.1 Généralités mations logiques ou analogiques (automate program-

SIGNALISATION ORGANES DE SERVICE

MÉMORISATION ET TRAITEMENT SYSTÈME

Figure 1 ■ Représentation schématique générale d'une machine (NF EN 292-1 [9]).

Situation Non annihilation

En prévention technique des machines et systèmes de Evénement critique Situation

Un équipement de travail, de par les énergies en pré- Non

3 - Cette probabilité d’occurrence est également influencée par l’envi-

LE RISQUE LA GRAVITÉ LA PROBABILITÉ D'OCCURRENCE DE CE DOMMAGE

Possibilité d'éviter ou de limiter ce dommage

Figure 3 ■ Éléments de l'estimation du risque [10].

INTÉGRATION DE LA SÉCURITÉ AU NIVEAU DU CIRCUIT DE COMMANDE 9

G1 : Lésion légère (normalement réversible).

F2 : Fréquent à continu et/ou de longue durée P1

Catégories ayant la préférence pour les points de référence

Mesures excessives pour le risque en question

Figure 5 ■ Exemple de grille de sélection [2].

la notion de catégorie repose sur un comporte- Zone

10 INTÉGRATION DE LA SÉCURITÉ AU NIVEAU DU CIRCUIT DE COMMANDE

CHOIX DU(ES) MOYEN(S) CHOIX DE LA CATÉGORIE ESTIMATION DU RISQUE

Figure 7 ■ Protection par un protecteur mobile.

CHOIX DU(ES) MOYEN(S) CHOIX DE LA CATÉGORIE ESTIMATION DU RISQUE

Butée de CATÉGORIES ÉLEVÉ

Figure 8 ■ Protection par un protecteur mobile associé à une butée de protection.

INTÉGRATION DE LA SÉCURITÉ AU NIVEAU DU CIRCUIT DE COMMANDE 11

Figure 9 ■ Illustration de la non hiérarchisation des catégories.

Figure 10 ■ Association de différentes technologies.

12 INTÉGRATION DE LA SÉCURITÉ AU NIVEAU DU CIRCUIT DE COMMANDE

Un composant peut être considéré comme éprouvé Comportement sur défaillances

posant particulier «d’éprouvé» peut dépendre de son Symbolisation de la

INTÉGRATION DE LA SÉCURITÉ AU NIVEAU DU CIRCUIT DE COMMANDE 13

Dans une partie de circuit de commande de catégorie

2, la sécurité est basée sur la structure du circuit de com-

Figure 12 ■ Exemple de circuit hydraulique

14 INTÉGRATION DE LA SÉCURITÉ AU NIVEAU DU CIRCUIT DE COMMANDE

INTÉGRATION DE LA SÉCURITÉ AU NIVEAU DU CIRCUIT DE COMMANDE 15

Figure 15 ■ Exemple de circuit électromécanique de catégorie 3.

16 INTÉGRATION DE LA SÉCURITÉ AU NIVEAU DU CIRCUIT DE COMMANDE

Caractéristiques constructives Caractéristiques constructives

Description fonctionnelle Description fonctionnelle

Comportement sur défauts Comportement sur défauts

De façon pratique, de nombreux constructeurs

INTÉGRATION DE LA SÉCURITÉ AU NIVEAU DU CIRCUIT DE COMMANDE 17

2.7.1 Circuit électromécanique (cf. figure 17)

Figure 17 ■ Exemple de circuit électromécanique de catégorie 4.

18 INTÉGRATION DE LA SÉCURITÉ AU NIVEAU DU CIRCUIT DE COMMANDE

mande des détecteurs de position S1 et S2 sont

gement de position (cf. EN 1088).

2.7.2 Circuit hydraulique/pneumatique Comportement sur défauts

INTÉGRATION DE LA SÉCURITÉ AU NIVEAU DU CIRCUIT DE COMMANDE 19

Figure 19 ■ Exemple de bloc logique de sécurité.

Barrage Bloc logique de sécurité K1

Figure 20 ■ Exemple de traitement de fonctions de sécurité de catégorie 3 ou 4.

() () () ()