En toute Sécurité

On ne plaisante pas avec la sécurité. Que celle-ci concerne les personnes ou le matériel, elle constitue une notion d’importance croissante, dans tous les secteurs de production industriels. De plus en plus « sécurité » rime avec « productivité». Un répertoire des composants de sécurité. On ne plaisante pas avec la sécurité. Que celle-ci concerne les personnes ou le matériel, elle constitue une notion d’importance croissante, dans tous les secteurs de production industriels. De plus en plus « sécurité » rime avec « productivité». Et quand il s’agit de productivité, l'industriel cherche à améliorer, à optimiser : par exemple pour gagner de précieuses minutes lors des opérations de maintenance ; ou encore pour ne pas mettre hors service l’ensemble d’une installation lorsqu’il n’est nécessaire d’en isoler qu’une partie. D’autres contraintes, comme la nécessité rencontrée parfois de redémarrer une application sous des conditions initiales précises, ont poussé les ingénieurs à mettre au point des systèmes de sécurité toujours plus intelligents, intégrant des fonctionnalités plus complexes et évoluées. Avant d'aborder deux aspects importants de ces dernières années en matière de sécurité, notons quelques "originalités" qui montrent que ce marché est en pleine effervescence, et n'a pas dit son dernier mot, notamment pour les composants de terrain. Ainsi, Turck Banner propose un système de détection pour contrôler la sécurité d’accès aux machines : Pico Guard. Celui-ci, basé sur de la transmission par fibre optique, vérifie la fermeture des portes et assure le contrôle d’accès. Au final, Pico Guard forme un interrupteur optique. Jusqu’à 16 portes peuvent être surveillées avec un seul contrôleur. Du côté de chez Pilz, en dehors des blocs logiques de sécurité PNOZsigma la nouveauté de l'année c'est le système de vision SafetyEYE (voir dans ce même numéro l'explication détaillée en exclusivité), qui sécurise une zone sans l’utilisation de barrières immatérielles, qui utilise des caméras de telle manière que l’espace de protection à surveiller est représenté en trois dimensions. A l’aide d’algorithmes pour le traitement des images, il est alors possible de reconnaître des objets pénétrant dans la zone dangereuse. Ergonomie et sécurité font également bon ménage, comme pour les dispositifs de commutation de sécurité. En témoigne les efforts des constructeurs dans le développement de gamme de commandes bi-manuelles avec de forts critères ergonomiques, comme Jokab Safety et son concept SafetyBall. Mais en dehors des composants indispensables pour permettre aux fonctions de sécurité d'assurer leurs fonctions, il reste deux points essentiels qui ont bouleversé ces dix dernières années, ce sont d'une part les bus de sécurité et d'autre part les automates programmables dédiés à la sécurité. Les bus de sécurité Avec l’apparition des bus de terrain, il y a une vingtaine d’années, et le développement des technologies de communication, les milieux industriels ont connu une révolution majeure, tant dans la manière de véhiculer les informations issues des capteurs et actionneurs, que dans la manière de piloter les applications. Les bénéfices ont été largement décrits : réduction des coûts de câblage, d’ingénierie, de maintenance, flexibilité … Et si pendant longtemps, les bus de communication ne se sont intéressés qu'aux équipements de contrôle-commande, et ont négligé la sécurité, aujourd'hui la donne a changé et les mentalités aussi. Il n'y a même pas une dizaine d'années, il n’était pas question de mêler sécurité et bus de terrain sur le même média. Pas assez sûrs, pas assez performants, pas assez ouverts. Les technologies de communication sont désormais éprouvées, et ne posent plus de problèmes de sécurité intrinsèques aux supports ou aux protocoles utilisés. Et les premiers bus de terrain permettant de "marier" contrôle-commande et sécurité sont apparus à la fin des années 90. D'ailleurs vous découvrirez dans ce même numéro que désormais ce sont les bus de sécurité, en l'occurrence SafetyBus, qui intègrent les fonctions de contrôle-commande et non plus uniquement l'inverse. Il existe aujourd’hui différents types de bus de sécurité, parmi lesquels des solutions exclusivement dédiées à la sécurité comme le Safetybus ou des solutions venant s’intégrer à une offre de bus de terrain existante. C’est le cas de Profibus avec Profisafe, As-interface avec As-i Safety at Work … sans oublier les plus récents comme CC-Link. Pratiquement tous les bus ouverts ont, ou auront bientôt, une version sécurité. Les automates de sécurité Ces bus de sécurité viennent le plus souvent se connecter à ce que l'on appelle des APIdS : les automates industriels dédiés à la sécurité. C'est au début des années 80 que l'INRS (Institut National de Recherche et de Sécurité) mettait en garde la communauté industrielle à l’égard de l’utilisation d’Automates Programmables Industriels pour la gestion des fonctions de sécurité. Celle-ci devait être confiée à une logique câblée spécifique, permettant la mise en sécurité d’une machine même en cas de défaillance de l’API de commande. Depuis, un nouveau type d’API a fait son apparition, sous l’appellation APIdS, capable d’assurer la gestion des fonctions de sécurité. En toute rigueur, il est impossible d'assurer intégralement le respect des exigences de sécurité avec des automates programmables industriels standard. Ceux-ci n'ont pas été conçus pour détecter toutes leurs défaillances internes, et ne peuvent pas adopter de position de sécurité le cas échéant. Les automates de sécurité se distinguent des API standard par la mise en œuvre de moyens spécifiques leur permettant de répondre à l'apparition d'une défaillance interne. Notons qu’il est envisageable qu’un APIdS gère à la fois la commande et la sécurité. Ce type d’architecture peut être rencontré dans le cas de systèmes pour lesquels la commande et les sécurités sont fortement imbriquées, par exemple pour la commande de certaines machines telles que les presses mécaniques. Une défaillance de l'APIdS pourrait conduire directement à l'accident, malgré les sécurités initialement prévues. Il faut préciser toutefois qu'un APIdS a justement été construit pour qu'une défaillance matérielle ou logicielle conduisant à une commande intempestive soit peu probable. Lorsque la complexité ou le nombre de fonctions de sécurités à traiter est important, il est envisageable de les gérer par un APIdS séparé de la commande fonctionnelle de la machine. Deux grandes classes d’APIdS cohabitent : les APIdS orientés commande de processus, et les APIdS orientés commande de machines. Les premiers sont conçus pour assurer la disponibilité d'un processus, c'est-à-dire permettre la poursuite en toute sécurité d’un processus en cours, malgré la défaillance d'une voie de traitement. Ces automates mettent en œuvre des architectures redondantes d'ordre 3 avec voteur, ou des architectures d'ordre 2 avec détection du canal défaillant par le biais d’autotests. Seules ces structures sont capables d'une part de détecter la voie défaillante pour initialiser une procédure d'urgence, et d'autre part de poursuivre le processus en maintenant l'efficacité des sécurités. Les seconds ont pour mission d’interrompre un mouvement dangereux lorsqu'une voie de traitement est défaillante. Les APIdS orientés commande des machines nécessitent des temps de réponse beaucoup plus courts que ceux dédiés à la commande des process. Cette différence est fondamentale car elle a une influence évidente, tant sur l'architecture interne des APIdS concernés que sur le contenu des logiciels applicatifs. Ces automates peuvent se contenter d'architectures redondantes d'ordre 2 avec comparateur permettant de vérifier que les deux voies, à partir des mêmes informations d'entrée, donnent les mêmes résultats en sortie. En réalité, les constructeurs d'APIdS dédiés à la machinerie ont développé pour certains des structures redondantes d'ordre 2 et pour d'autres des structures tri-redondantes. Il est possible de distinguer trois familles d’applications gérées par des APIdS. La première famille concerne les machines autonomes mettant en œuvre peu d'entrées-sorties, et dont les fonctions logiques à réaliser sont assez simples et bien définies (presse, cisailles, presses plieuses…). Dans ce cas, il est possible de figer le logiciel applicatif, de le protéger contre toute modification non contrôlée et ensuite de le dupliquer sur tous les équipements pour lesquels il a été développé. La deuxième famille rassemble l'ensemble des machines spéciales développées soit unitairement, soit en série limitée. Contrairement à la première famille, ces applications possèdent des logiciels applicatifs non standard. L'utilisateur ou l'intégrateur développe son propre logiciel applicatif. Ensuite, il doit le verrouiller pour éviter toute modification. La troisième famille regroupe l’ensemble des applications pour lesquelles le logiciel applicatif gérant les fonctions de sécurité doit être facilement adaptable aux évolutions d'une production automatisée. Ce genre d’exigence est rencontré par exemple dans l'industrie automobile, agroalimentaire ou la fabrication de produits en béton dans le bâtiment et les travaux publics. Cette obligation contraint l'intégrateur à fournir un système ouvert ne lui permettant pas de garantir une sécurité pérenne. Encadré Les normes de sécurité Les principales normes de référence en matière de sécurité sont l’IEC 61508 (Systèmes de sécurité) et l’IEC 61511 (Systèmes instrumentés de sécurité). Ces normes définissent des niveaux SIL (Security Integrity Level), calculés en fonction de la probabilité moyenne de défaillance sur sollicitation. Certains fournisseurs n’hésitent pas à revendiquer un niveau de SIL pour un équipement. Mais ces informations sont à prendre avec beaucoup de précautions, car en aucun cas le niveau SIL ne saurait être une caractéristique intrinsèque d’un équipement. Tout au plus est-il possible d’indiquer une compatibilité avec un niveau de SIL donné. Celui-ci est en effet strictement associé à une fonction de sécurité et à rien d'autre, laquelle est réalisée par la mise en œuvre de plusieurs sous-systèmes : capteurs, traitements, actionneurs. Par exemple, d'après l’IEC 61511, pour atteindre un niveau SIL3 avec des composants éprouvés, globalement de sécurité positive et dont la configuration est verrouillée, il faut une redondance. Certains fournisseurs n’hésitent donc pas à afficher un niveau SIL4, sans préciser que cela s’entend avec une tolérance à la panne de deux, ce qui signifie qu’il faudra utiliser trois composants en redondance pour être compatible avec ce niveau de SIL. Dans ce cas le niveau de SIL peut ne pas être atteint, les trois composants identiques introduisant un mode commun de défaillance important.