Leroy-Somer Absence sûre du couple - Guide de sécurité

4545 fr - 2010.06/ a
a.c.
2
5
0
0
EI
STO
8
1
6
C
Guide de Sécurité
Absence sûre du couple
- Safe Torque Off -
Table des matières
Page
1
Présentation rapide
4
2
Principes de conception sécuritaire des machines
6
Principes généraux
6
Évaluation des risques
6
Responsabilités
7
Normes applicables au contrôle/commande des machines
7
Informations sur le niveau d’intégrité de sécurité (SIL) et données dérivées
8
Contrôleurs de sécurité avec composants électromécaniques
9
3
Principes généraux
9
Emplacement des contacteurs par rapport aux variateurs
10
Fonction Absence sûre du couple (Safe Torque Off) - Principes de
fonctionnement
11
Principes
11
Capacité
12
Restrictions
13
Déclarations de conformité et conformité aux normes
13
Pourquoi la fonction Absence sûre du couple (Safe Torque Off) n’utilise ni
relais, ni signal de retour?
14
Application de la fonction Absence sûre du couple (Safe Torque Off)
16
Verrouillage monocanal avec retour
17
Verrouillage double-canal avec retour
19
Utilisation d’un contacteur pour un second canal
20
Dispositif de freinage électronique pour un arrêt rapide
21
6
Application des normes
22
7
Applications Ascenseur
22
8
Compatibilité avec les sorties logiques de sécurité
23
4
5
9
Branchement en parallèle
23
10
Caractéristiques
23
11
Autorisations de conformité
25
12
Glossaire
25
13
Références
27
www.leroy-somer.com
3
1 Présentation rapide
La fonction de sécurité Absence sûre du couple (Safe Torque Off - STO) est conforme à la norme
CEI 61800-5-2 et intégrée en standard aux variateurs Unidrive SP et Digitax ST de LEROY-SOMER.
Elle permet de verrouiller la sortie du variateur de sorte que celui-ci ne transmette aucun
couple au moteur. En l’absence de +24V sur l’entrée “déverrouillage” ou lors d’une défaillance
d’un seul composant, le variateur est verrouillé avec un niveau d’intégrité élevé. Seulement la
combinaison improbable de trois défauts de composants pourrait permettre son déverrouillage.
Dans une application relative à la sécurité des machines, le variateur peut alors servir d’élément
de commande final et empêcher tout fonctionnement inattendu du moteur. Généralement, le
variateur est intégré à un système de verrouillage qui remplace les configurations conventionnelles
des contacteurs avec un verrouillage éléctrique.
Unidrive SP
Digitax ST
L'entrée de déverrouillage fonctionne exactement de la même manière qu'une entrée standard
non sécurisée et peut donc être utilisée pour toutes les applications usuelles. Elle se distingue
seulement des autres entrées de par son niveau d'intégré élevé qui lui permet d'assurer des
fonctions de sécurité.
La fonction STO offre un niveau de fiabilité supérieur à celui des dispositifs électromécaniques
monocanaux, tels que les contacteurs. Comparable à un contacteur offrant un niveau d'intégrité
élevé et monté directement à la sortie du variateur, cette fonction présente des avantages
supplémentaires appréciables : aucune pièce mobile, pas de coût supplémentaire ni d'arc électrique
entre les contacts si le variateur est verrouillé en charge. Elle permet d'éliminer les contacteurs, y
compris les modèles spéciaux conçus pour la sécurité, des systèmes au sein desquels la prévention
de toute mise en marche non souhaitée est essentielle afin d'éviter tout risque intempestif ou
dommages coûteux pour les installations ou les équipements.
L'expression « Absence sûre du couple » (Safe Torque Off) est définie par la norme applicable
aux fonctions de sécurité des variateurs à vitesse variable, CEI 61800-5-2 (EN 61800-5-2). Avant
la publication et l'entrée en vigueur de cette norme, cette fonction existait déjà sur les produits
Unidrive SP de LEROY-SOMER, mais elle était appelée “Déverrouillage sécuritaire“ (Secure Disable).
Ces deux appellations désignent exactement la même fonction de sécurité, à savoir la fonction
grâce à laquelle le variateur ne permet pas au moteur de générer un couple, avec l'assurance d'un
niveau d'intégrité élevé lorsque l’entrée « Déverrouillage » est déconnectée ou réglée sur une
valeur de logique « basse ».
4
www.leroy-somer.com
Note sur les fonctions d'arrêt d'urgence
La fonction STO n’est pas fonction d'arrêt d'urgence. En fonction des normes et des exigences
applicables pour une application donnée, il est possible d'utiliser cette fonction au sein d'un
système d'arrêt d'urgence. Néanmoins, elle est initialement conçue pour être utilisée dans
une configuration de contrôle de sécurité dont l’objectif est d'éliminer tout risque de danger,
sans recourir à un arrêt d'urgence. Une fonction d'arrêt d'urgence est souvent intégrée sur les
machines pour permettre à un opérateur qui doit faire face à un danger imprévu de réagir afin
d'éviter un accident.
Les exigences de conception pour une fonction d'arrêt d'urgence sont différentes de celles
applicables à un dispositif de verrouillage sécurisé. En effet, ce type de fonction doit généralement
être totalement indépendant de toute commande complexe ou « intelligente » et ne peut, dans
certains cas, utiliser que des dispositifs électromécaniques pour couper l'alimentation, c'est pour
cela que la fonction STO ne convient pas.
Avertissement important
La conception de systèmes relatifs à la sécurité exige des connaissances spécialisées.
Pour garantir la sécurité d'un système de contrôle complet, celui-ci doit être
entièrement conçu conformément aux principes de sécurité établis et reconnus.
L'utilisation de sous-systèmes individuels, tels que des variateurs avec une fonction
Absence sûre du couple (Safe Torque Off), destinés aux applications relatives à la
sécurité, ne constitue pas à elle seule une garantie de la sécurité du système complet.
Les informations fournies dans ce document sont destinées à guider l'utilisateur dans l'application
de la fonction Absence sûre du couple (Safe Torque Off) des variateurs LEROY-SOMER, et à donner
des indications générales concernant la conception de systèmes relatifs à la sécurité et dédiés
au contrôle des machines. Ce guide ne prétend pas couvrir intégralement le sujet abordé. Des
références détaillées sont données à la fin de l'ouvrage. Les informations fournies sont considérées
exactes et conformes aux pratiques établies au moment de l'impression. Il incombe au concepteur
de l'application ou du produit final de s'assurer que celui-ci est sécuritaire et conforme aux
réglementations en vigueur.
La section 2 de ce guide présente les principes de conception des fonctions de sécurité des
machines, tandis que la description de l'équipement dans le contexte d'utilisation est détaillée
dans les sections suivantes. Si vous connaissez déjà ces principes, vous pouvez passer directement
à la section 3.
Pour plus d'informations sur les familles de variateurs Unidrive SP et Digitax ST, consultez les
documentations sur internet: www.leroy-somer.com
www.leroy-somer.com
5
2 Principes de conception sécuritaire des machines
Principes généraux
La conception de machines sécuritaires est un processus complexe qui exige, dès l'étude, une
attention particulière. Cette section fournit une brève description destinée à expliquer comment
l'utilisation de la fonction Absence sûre du couple (Safe Torque Off) des variateurs LEROY-SOMER
s'inscrit dans le cadre plus global de la conception de machines sécuritaires.
Évaluation des risques
Plusieurs mesures permettent de s'assurer du niveau de sécurité qu'offre une machine. Dans la mesure
du possible, la machine doit être conçue pour offrir une sécurité maximale, ce qui signifie que tous les
dangers sont éliminés lors de sa conception de base. Néanmoins, il arrive souvent que certains risques
inacceptables persistent et doivent être réduits via l'application de mesures de contrôle adaptées,
qui peuvent être de type pneumatique, hydraulique, électrique, ou encore d'autres méthodes
de pilotage. Il peut s'agir de différents dispositifs de verrouillage ou de protection qui bloquent le
fonctionnement de la machine en cas de possibilité d'entrée ou d'accès (par exemple, via l'ouverture
d'une porte de sécurité, etc.). L'utilisation de fonctions plus complexes peut aussi parfois s'avérer
nécessaire, notamment une limitation de la vitesse ou le blocage de certaines opérations suivant l'état
de la machine.
Pour s'assurer de la sécurité de l'intégralité de la conception, la machine doit être soumise à une
évaluation des risques. Cette évaluation prend en compte l'effet des fonctions de sécurité sur le
système de contrôle en examinant le risque global qui existe pour chaque danger potentiel.
Pour assurer la mise en oeuvre de la Directive Machines de l'Union Européenne, plusieurs normes
européennes harmonisées (EN) définissent les principes essentiels de la procédure applicable à la
conception de machines sécuritaires et à l'évaluation des risques. Ces normes sont appelées les
« normes A » et sont associées à d'autres normes plus détaillées consacrées à des aspects spécifiques
de la sécurité « normes B » ou à des types spécifiques de machines « normes C ». Ces normes
proviennent toutes de l'organisme de réglementation international ISO et ont été adoptées
directement sous l'appellation de normes EN pour permettre leur application conformément à la
Directive Machines de l'Union européenne.
“Normes A » :
EN ISO 12100–1
Sécurité des machines — Notions fondamentales et principes généraux de conception
Partie 1 : Terminologie de base et méthodologie
EN ISO 12100–2
Sécurité des machines — Notions fondamentales et principes généraux de conception
Partie 2 : Principes techniques
EN ISO 14121-1
Sécurité des machines. Évaluation des risques. Principes
ISO TR 14121-2
Sécurité des machines. Évaluation des risques. Lignes directrices pratiques et exemples
de méthodes
(Cette proposition de norme était destinée à compléter la norme ISO 141211, mais comme elle n'est pas encore acceptée par certains organismes de
réglementation de la sécurité, elle conserve seulement le statut de Rapport
technique et n'a pas été harmonisée.)
6
www.leroy-somer.com
L'évaluation initiale des risques doit indiquer si des risques inacceptables existants doivent être
réduits. En général, l'évaluation initiale des risques ne comporte pas de mesure de contrôle. Le cas
échéant, des mesures de réduction des risques peuvent être ajoutées et, dans ce cas, la conception
de la machine peut continuer jusqu'à ce que le risque considéré atteigne un niveau acceptable.
C'est aussi au cours de cette évaluation que les exigences en matière d'intégrité du système de
contrôle de sécurité sont définies.
Responsabilités
Étant donné ce qui précède, il est important de bien comprendre la répartition des responsabilités
concernant la sécurité de la machine. Le fabricant de la machine endosse toute la responsabilité en
ce qui concerne la sécurité de la machine. En aucun cas, cette responsabilité ne peut être déléguée
aux fournisseurs de composants ou à d'autres prestataires. Du fait de sa responsabilité, le fabricant
doit imposer des exigences spécifiques de sécurité pour tous les composants ou sous-assemblages
qu'il achète. Ces exigences doivent être précisément mentionnées dans les spécifications d'achat. Il
incombe au fournisseur des composants ou sous-ensembles de s'assurer que ceux-ci répondent aux
spécifications d'achat et notamment à tous les aspects relatifs à la sécurité. Cela inclut normalement
toutes les références aux normes de sécurité en vigueur applicables à ces composants ou sousensembles. Il est impératif que toutes les parties concernées comprennent bien et acceptent ces
exigences.
Normes applicables au Contrôle/Commande des machines
Au cours des dernières années, les normes applicables à l'équipement de contrôle/commande des
machines ont connu d'importantes modifications, liées d'une part aux efforts d'harmonisation
globale et, d'autre part, à l'introduction de nouvelles normes utilisant des méthodes quantitatives
et permettant l'utilisation de logiciels et d’équipements complexes dans les applications relatives à
la sécurité. Ces nouvelles normes sont basées sur les méthodes et les exigences préconisées par une
norme de base essentielle, à savoir la norme CEI 61508 Sécurité fonctionnelle des systèmes électriques/
électroniques/électroniques programmables relatifs à la sécurité. Les notes suivantes fournissent
des indications sur différents aspects des normes applicables pour l'utilisation des variateurs. En
général, les références aux normes ne comportent pas de date, excepté lorsque des modifications
importantes sont intervenues entre les versions.
CEI 60204-1 Sécurité des machines. Équipement électrique des machines. Prescriptions générales
Le contenu de cette norme est identique à celui de la norme EN 60204-1 et très étroitement associé
à celui de la norme NFPA79. Cette norme ne définit pas directement les exigences d'intégrité
applicables aux systèmes de contrôle de sécurité, mais elle comporte d'importantes définitions
pour les aspects, tels que les méthodes pour arrêter une machine et les dispositifs d'arrêt d'urgence.
L'exigence des versions antérieures de la norme qui stipulait que la coupure d'alimentation d'une
machine, suite à un arrêt d'urgence, doit s'effectuer par le biais de dispositifs électromécaniques,
a été récemment supprimée.
EN 954-1:1997 Sécurité des machines. Parties des systèmes de commande relatives à la sécurité. Principes
généraux de conception
Cette norme s'accompagne d'une version internationale, ISO 13849-1:1999, aujourd'hui devenue
obsolète, sachant que le retrait de la norme EN 954-1 etait prévu pour fin 2009. Cette version et les
précédentes ont été utilisées pendant de nombreuses années et ont servi de base à la classification
www.leroy-somer.com
7
des contrôleurs de sécurité. Elle définit les catégories d'intégrité de 1 à 4 et fournit des indications
quant au niveau de réduction des risques présumés. Elle ne s'applique pas aux équipements qui
utilisent un software pour contrôler les fonctions de sécurité ou un hardware complexe, si celuici ne relève pas de l'AMDEC. Bien qu'obsolète, le concept EN 954 des catégories d'intégrité va
sûrement perdurer pendant quelques années encore.
EN ISO 13849-1:2006 Sécurité des machines. Parties des systèmes de commande relatives à la sécurité.
Principes généraux de conception
Cette norme remplace les normes EN 954-1 et ISO 13849-1:1999, bien que son contenu soit
entièrement différent de celles-ci, elle repose sur les principes édictés par la norme CEI 61508. En
effet, elle utilise le « Niveau de performances » comme indicateur d'intégrité, les niveaux possibles
s'échelonnant de (a) à (e). Contrairement aux normes ci-dessous, elle autorise l'utilisation de
méthodes de contrôle mécaniques, hydrauliques et pneumatiques. Elle est complétée par la
norme EN ISO 13849-2:2008 Validée, qui fournit des indications détaillées, telles que les listes
d'exclusion de défauts pour les composants de machine communément utilisés.
CEI 62061 Sécurité des machines. Sécurité fonctionnelle des systèmes de commande électriques,
électroniques et électroniques programmables relatifs à la sécurité (et EN 62061)
Dans une certaine mesure, cette norme et la norme ISO 13849-1:2006 se chevauchent et font
mutuellement référence l'une à l'autre. Basée sur la norme CEI 61508, la norme CEI 62061 utilise
le SIL pour mesurer l'intégrité des systèmes. Elle autorise l'utilisation de software et de hardware
complexes pour gérer les fonctions de sécurité des machines.
IEC 61800-5-2 Entraînements électriques de puissance à vitesse variable. Exigences de sécurité.
Fonctionnalité (et EN 61800-5-2)
Cette norme concerne spécifiquement les variateurs dotés de fonctions de sécurité. Comme
la norme CEI 62061 à laquelle elle se conforme, elle utilise le SIL pour mesurer l'intégrité des
systèmes. Dans la pratique, il est possible de l'intégrer directement avec l'utilisation de la norme
ISO 13849-1:2006.
Informations sur le niveau d'intégrité de sécurité (SIL) et données dérivées
Les valeurs de SIL possibles sont comprises entre 1 et 4, mais pour les applications spécifiques aux
machines le niveau maximum est limité à 3. En principe, un SIL peut uniquement être assigné à un
système de commande électrique/électronique complet relatif à la sécurité (SRECS) et en aucun
cas à des sous-systèmes ou composants. En effet, on considère que les capacités d'un système
complet ne peuvent être correctement analysées qu'une fois celui-ci conçu et installé dans son
contexte pour lequel des exigences en matière de sécurité ont été définies. Dans la pratique, il est
nécessaire de fournir les informations contribuant au niveau d'intégrité de sécurité offert dans un
sous-système et ces données sont généralement regroupées sous la notion de « Capacité SIL ». Il
résulte de ce qui précède que la capacité ne peut être obtenue qu'après une intégration adaptée
dans un système SRECS complet.
Outre la capacité SIL, un sous-système doit également avoir un taux de probabilité de défaut
hardware dangereux, communément désigné par PFH ou PFHD¹. Ces données doivent être
combinées aux informations correspondantes des autres sous-systèmes pour calculer le PFHD total
des systèmes SRECS complets.
¹Probabilité de défaut dangereux du hardware, exprimée par heure
8
www.leroy-somer.com
3 Contrôleurs de sécurité avec composants électromécaniques
Cette section explique comment une fonction STO peut être mise en oeuvre en utilisant des
composants électromécaniques conventionnels, pour démontrer qu’une fonction de ce type,
intégrée au variateur, peut remplacer une configuration électromécanique et donner d'excellentes
performances.
Principes généraux
Le moteur de la machine est un moteur AC triphasé, qui peut être raccordé directement à une
alimentation AC triphasée ou à un variateur de vitesse AC. Quelle que soit la configuration choisie,
la méthode permettant d'empêcher la génération d'un couple indésirable consiste à installer
un contacteur électromécanique pour séparer le moteur de sa source d'alimentation lorsque la
bobine du contacteur n'est pas alimentée. Si un variateur est utilisé, le contacteur peut être placé
au niveau de l'entrée ou de la sortie, le choix de sa position étant abordé plus loin.
Étant donné que l'alimentation
triphasée est toujours présente et
Figure 1 : Fonction de verrouillage sécuritaire réalisé à l'aide de
contacteurs
susceptible de générer un champ
a.c.
magnétique tournant dans le moteur
avec développement possible d'un
couple permanent, seule l'ouverture
du contacteur bloque le couple.
Les modes de défaut du contacteur
K1
doivent donc être analysés et si un
Retour
Variateur
conventionnel
défaut peut occasionner des blessures,
K2
il est nécessaire de s'assurer que le
défaut d'un seul contacteur ne peut pas
se traduire par la perte de la fonction
de sécurité. En général, cela signifie
que deux contacteurs doivent être
K1
utilisés en série et qu'ils doivent être
surveillés afin de détecter tout défaut
dangereux. Par ailleurs, il faut s'assurer
K2
Déverrouillage
qu'un défaut au niveau de l'un des deux
contacteurs empêche la fermeture du
K1
K2
second contacteur. La figure 1 illustre
cette configuration.
Il existe des relais de sécurité qui
prennent en charge la surveillance et
la gestion des contacteurs branchés en
série tout en offrant, par exemple, des
entrées redondantes à deux canaux pour préserver cette redondance sur toute la chaîne de sécurité.
Il est possible de réaliser un système de ce type pour répondre aux exigences de la norme EN 954-1,
catégorie 4, suivant laquelle aucun défaut ne doit générer une perte de la fonction de sécurité et qui
exige la détection de tous les défauts (autrement dit, un défaut ne doit pas rester non détecté, ni se
combiner par la suite à un autre défaut pour provoquer la perte de la fonction de sécurité).
www.leroy-somer.com
9
Emplacement des contacteurs par rapport aux variateurs
Lorsque les contacteurs sont utilisés avec des variateurs AC, il est possible de les placer au niveau
de l'entrée ou de la sortie des variateurs. L'une et l'autre possibilités présentent des avantages et
des inconvénients. Néanmoins, s'il est décidé de placer les contacteurs au niveau de la sortie des
variateurs, la spécification suivante doit impérativement être respectée : les contacteurs ne doivent
pas être ouverts lorsque la fréquence de sortie est basse et que le courant moteur est présent (risque
d’arc électrique) lors de la tentative de coupure du circuit inductif.
Attention
Les contacteurs AC sont cownçus pour assurer la coupure du courant AC à une
fréquence de 50 ou 60 Hz.
Ils se servent de l'interruption du courant à chaque demi cycle pour supprimer l'arc
formé lorsque le contact ouvre le circuit de puissance. En cas de raccordement à une
sortie de variateur, la fréquence peut varier sur une large plage jusqu'à 0 Hz (d.c),
c'est pourquoi il est essentiel que le courant de sortie du variateur soit ramené à zéro
avant l'ouverture des contacteurs. Pour y parvenir, il faut verrouiller le variateur et
attendre que le courant soit nul. Le non-respect de cette exigence peut engendrer
des situations dangereuses. Un arc électrique d.c persistant peut occasionner un
risque d'incendie ou encore souder les contacts, ce qui représente potentiellement
une défaillance en mode commun des deux contacteurs et peut entraîner la perte de
la fonction de sécurité.
L'intégration de la fonction STO au variateur, via l'utilisation de composants semi-conducteurs,
permet d'éliminer les coûts et les risques que représente l'usage de contacteurs.
10
www.leroy-somer.com
4 Fonction Absence sûre du couple (Safe Torque Off) - Principes de fonctionnement
Principes
Les moteurs asynchrones nécessitent un champ magnétique tournant pour produire un couple,
ce qui exige une source de courant triphasée alternative pour l'alimentation. Le variateur comporte
une seule source d'énergie DC interne, laquelle est convertie en AC grâce à l'action continue de
découpage de six semi-conducteurs de puissance (IGBT). En cas de défaut d'un IGBT ou de l'un de
ses circuits de commande à l'état Marche ou Arrêt, aucun couple ne peut être généré.
(Il faut noter que lors de l'utilisation d’un servomoteur, un simple transitoire de couple peut être
produit par une défaillance des IGBT. Le moteur peut être entraîné en rotation sur 360°/p (où « p »
correspond au nombre de pôles.)
Le variateur intègre un circuit de contrôle complexe qui utilise une logique numérique et un ou
plusieurs microprocesseurs pour générer la séquence de pilotage appropriée pour les IGBT. Il
ne serait pas satisfaisant d'appliquer la fonction de verrouillage à ce niveau car la complexité de
la configuration rend très difficile l'attestation de la prise en compte et de la suppression de tous
les modes de défaut. Cela s'applique à la fois au concepteur du variateur, à qui il incomberait de
prouver qu'aucun effet imprévu côté hardware ou logiciel ne peut entraîner la perte de la fonction
de verrouillage, et au concepteur du système, car le variateur offre de nombreuses fonctions de
contrôle avancées qui peuvent induire, dans des conditions inhabituelles, des effets imprévisibles au
niveau du fonctionnement du moteur.
Quel que soit le point de vue considéré, ce qui importe, c'est de disposer d'une méthode simple et
fiable pour empêcher que le variateur ne transmette un couple au moteur, indépendamment de
toutes les autres tâches intelligentes complexes qu'il est capable d'accomplir.
Certains modèles de variateur ont une entrée « déverrouillage » dont le fonctionnement repose
sur une logique électronique simple et qui permet de bloquer le fonctionnement de l’étage de
puissance, comme illustré à la figure 2. La fonction de déverrouillage que fournissent ces variateurs
est probablement plus fiable que celle appliquée via le logiciel, mais le circuit logique n'est pas
sécurisé, ce qui signifie qu'il peut également présenter un défaut lors du passage de l'état non
sécurisé à sécurisé. Pour une application relative à la sécurité, ce risque n'est pas acceptable.
Figure 2 : Validation hardware d'un variateur conventionnel
Arrêt
~
Marche
Interface
Utilisateur
μP
E/S
Logique
(ASIC)
Optocoupleurs
(6)
Puissance
(6)
Vers
moteur
Déverrouillage
www.leroy-somer.com
11
Les dernières générations de variateurs ont des signaux de commutation qui sont transmis du circuit
de contrôle aux IGBT via les optocoupleurs qui utilisent des diodes électroluminescentes (DEL) pour
acheminer les commandes simples de Marche/Arrêt à travers les barrières d'isolation galvanique.
Dans la configuration de la fonction Absence sûre du couple (Safe Torque Off) présentée à la figure
3, les DEL sont alimentées par un circuit sécurisé via l'entrée de déverrouillage. La séquence de
découpage ne peut donc être transmise aux IGBT que si l'entrée de déverrouillage est présente
ou si une combinaison improbable de défauts non détectés se produit et permet à l'entrée de
déverrouillage d'être validée.
Figure 3 : Absence sûre du couple (Safe Torque Off)
Arrêt
~
Marche
Interface
Utilisateur
μP
E/S
Logique
(ASIC)
Optocoupleurs
(6)
Puissance
(6)
Vers
moteur
Alimentation
des optocoupleurs
Interface de sécurité
Capacité
La fonction de sécurité Absence sûre du couple (Safe Torque Off) permet de garantir, lorsque l'entrée
de déverrouillage n'est pas validée (par exemple, en cas de circuit ouvert ou fixé au potentiel 0 V), que
le variateur ne transmettra aucun couple au moteur.
La fonction Absence sûre du couple n'est mise en oeuvre qu'au sein d'un hardware simple à base de
semi-conducteurs pour lequel des données de défaut existent et permettent d'effectuer une analyse
AMDEC quantitative pertinente. Elle n'utilise aucun logiciel ou hardware complexe.
La probabilité de défaut de la fonction de sécurité suite à une défaillance hardware a été estimée
par LEROY-SOMER à 8 x 10-10 par heure et vérifiée par l'organisme certifié BGIA/IFA comme
inférieure à 10-8 par heure, ce qui correspond à la valeur minimale définie par les normes CEI 62061
et CEI 61800-5-2.
L'entrée est compatible avec les sorties logiques auto-testées des contrôleurs, tels que des API,
pour lesquelles l'impulsion de test est de 1 ms maximum. Cela signifie que le variateur n'est pas
verrouillé par les impulsions d'entrée à logique basse d'une durée maximum de 1 ms.
L'état de l'entrée de déverrouillage peut être surveillé via le paramètre 8.09.
12
www.leroy-somer.com
Restrictions
➜ La fonction STO utilise des techniques de semi-conducteurs et ne sépare pas physiquement les
branchements électriques car elle n'est pas conçue pour offrir une quelconque isolation électrique.
➜ La fonction STO n'assure pas la fonction de freinage, elle verrouille le variateur et le
moteur de sorte que la fonction de freinage électrique du moteur ne soit pas disponible.
Si le freinage du moteur est nécessaire, il convient de prévoir un dispositif externe pour décélérer
normalement le moteur, puis dévalider l'entrée de déverrouillage en toute sécurité afin d'activer
la fonction STO. À cette fin, des relais de sécurité temporisés sont disponibles. Le freinage par le
variateur ne correspond pas à une fonction d'intégrité élevée. S'il s'agit d'une exigence de sécurité,
un frein sécurisé indépendant doit être installé.
➜ La fonction STO offre une entrée monocanal, ce qui signifie que si un défaut du circuit externe
fournit accidentellement une tension comprise dans la plage de fonctionnement de l'entrée,
cela peut générer un défaut de la fonction de sécurité. Le fil raccordé à l'entrée de déverrouillage
doit être protégé contre tout type de défaut susceptible de provoquer accidentellement sa mise
sous tension. Conformément à la norme EN ISO 13849-2, cette protection peut être assurée en
séparant physiquement le fil ou en utilisant un fil blindé dont le blindage est raccordé à la terre et au
0V logique. En outre, il est possible d'assurer la surveillance de l'état de l'entrée et le verrouillage du
système en cas d'erreur via un canal indépendant.
➜ Avec les moteurs à aimants permanents, il est peu probable qu'un défaut au niveau de l'étage de
puissance du variateur entraîne une mise en phase du couple moteur, autrement dit, une rotation
du moteur équivalente à 1 pôle. Pour que cela se produise, les deux IGBT opposés dans le pont
de sortie ou leurs commandes, doivent générer un défaut de court-circuit au cours d’une seule
période lors du verrouillage du variateur. Si le variateur doit être mis en marche après un défaut de
l'un des IGBT, ce défaut peut être détecté car le variateur se mettra en sécurité car il ne peut pas
fonctionner avec un IGBT en court-circuit. La mise en marche du variateur constitue donc un test
d'essai et le risque d'avoir deux défauts IGBT n'est important que dans les applications où le variateur
connaît de longues périodes de verrouillage (plusieurs semaines ou mois). Après une série de tests
complets du variateur, aucun mode de défaillance de cause commune, susceptible de générer un
double défaut n'a pu être identifié. Il est toutefois recommandé de prendre en considération cette
éventualité avec les moteurs à aimants permanents.
Déclarations de conformité et conformité aux normes
La fonction Absence sûre du couple (Safe Torque Off) est conforme aux normes ci-dessous :
EN 954-1:1997, catégorie 3 Sécurité des machines. Parties des systèmes de commande relatives à la
sécurité. Principes généraux de conception - déclaré conforme par le BGIA/IFA (autrefois appelé BIA)
www.leroy-somer.com
13
CEI 61800-5-2:2007 (EN 61800-5-2:2007) Entraînements électriques de puissance à vitesse
variable. Exigences de sécurité. Fonctionnalité.
SIL = 3 ; PFH = 0 approuvé par le BGIA/IFA. La valeur effective est faible, à savoir <10-8 (2)
Déclaré conforme par le BGIA/IFA
(2)
Estimation LEROY-SOMER 8 x 10-10
EN ISO 13849-1:2006 Sécurité des machines. Parties des systèmes de commande relatives à la sécurité.
Principes généraux de conception.
PL = e ; MTTFD > 105 années (temps de mission de 20 ans) - Déclaré conforme par le BGIA/IFA
EN 81-1:1998 clause 12.7.3 Règles de sécurité pour la construction et l’installation d’ascenseurs.
Ascenseurs électriques
- Déclaré conforme par le TÜV Sud & TÜV Nord
La norme CEI 61800-5-2 utilise les mêmes paramètres que les normes CEI 62061 et CEI 61508
(-1 à -7) (et leur équivalent EN) pour indiquer l'intégrité de sécurité, soit SIL ou SILCL (Limite de
revendication ou niveau de capacité SIL) et PFH ou PFHD (probabilité de défaut (dangereux),
exprimée par heure). Il est donc possible d'utiliser les données fournies conformément à cette
norme pour intégrer la fonction STO à des systèmes dont la conception est conforme aux normes
apparentées.
Pourquoi la fonction Absence sûre du couple (Safe Torque Off) n'utilise ni relais ni signal de
retour ?
En premier lieu, la fonction Absence sûre du couple (Safe Torque Off) a été conçue pour les
variateurs LEROY-SOMER. Grâce à la conception fiable de circuits électroniques sécurisés, elle
permet de ne pas recourir à des modules optionnels supplémentaires et coûteux, ni à des relais de
sécurité et offre, pour un coût moindre, une intégrité supérieure.
Certains systèmes STO utilisent des relais pour couper l'alimentation des optocoupleurs de
commande et assurer l'isolation galvanique. Cette configuration est illustrée à la figure 4 qui
représente un circuit de surveillance externe du contact de retour du relais.
Bien que le type du relais offre un niveau de fiabilité élevé, un risque de défaillance existe toujours
lors du passage à l'état fermé. Pour permettre la détection de ce défaut, le relais doit être doté de
contacts guidés afin que si les contacts principaux restent fermés, cela puisse être détecté par un
circuit externe via un contact auxiliaire. Dans l'exemple présenté, le contact auxiliaire est raccordé
en série à l'entrée de reset du circuit de sécurité externe, de sorte que le relais du variateur soit
testé à chaque utilisation du dispositif de verrouillage. Il s'agit d'une méthode standard utilisée
pour surveiller les relais de sécurité. Cependant, en cas de défaut du relais au passage à l'état
fermé, il existe un risque de déverrouillage du variateur avant que le défaut ne soit détecté. De ce
fait, les variateurs raccordés à un circuit de contrôle externe ne sont conformes qu'à la catégorie 2
de la norme EN 954-1. Pour que la catégorie 3 soit applicable, il est toujours nécessaire d'utiliser un
contacteur externe afin d'empêcher l'entraînement du moteur suite à ce premier défaut.
14
www.leroy-somer.com
Figure 4 : Fonction standard de verrouillage du variateur à l'aide d'un relais muni de "contacts guidés"
Reset
Variateur
Dispositifs
de
verrouillage
Relais de
sécurité
Relais
Figure 5 : Fonction Absence sûre du couple (Safe Torque Off) intégrée à un système de sécurité standard
Unidrive SP ou
Digitax ST
Reset
Dispositifs
de
verrouillage
Relais de
sécurité
Circuit
de sécurité
Fil
protégé
www.leroy-somer.com
15
L'utilisation d'un relais et d'un contact de retour peut sembler rassurante pour les utilisateurs
habitués à travailler avec des systèmes dotés d'une logique de sécurité à relais. Néanmoins,
ce type de configuration n'offre que très peu d'avantages et ajoute un nouveau mode de défaut
qui nécessite sa détection par un circuit de surveillance et sa protection via l'utilisation d'un
contacteur supplémentaire. La fonction Absence sûre du couple (Safe Torque Off) utilise un
circuit à semi-conducteurs qui permet d'éliminer ce problème. Son seul inconvénient est qu'elle
ne permet pas de détecter les défauts de câblage dans les configurations à un seul canal d'entrée.
Pour surmonter cette difficulté, la norme EN ISO 13849-2 impose l'utilisation d'un fil protégé,
comme illustré à la figure 5.
Fil protégé
L'utilisation d'un fil protégé élimine toute possibilité de court-circuit des sources de tension
susceptibles d'entraîner un défaut au passage à l'état non sécurisé. Exemples de mise en
oeuvre possible :
Fil entièrement séparé, par exemple, dans un chemin de câble dédié, etc.
ou
Fil blindé, avec raccordement à la terre du blindage aux deux extrémités, dans un circuit de
contrôle à logique positive raccordé à la terre
5 Application de la fonction Absence sûre du couple (Safe Torque Off)
La fonction Absence sûre du couple (Safe Torque Off) s'utilise exactement de la même façon
qu'une entrée sécuritaire, ce qui signifie qu'aucun changement n'affecte les applications
existantes. Par ailleurs, elle offre un avantage supplémentaire car elle permet de verrouiller
le variateur en garantissant un niveau d'intégrité élevé, ce qui en fait la solution idéale pour les
applications relatives à la sécurité, décrites plus en détails ci-dessous.
Figure 6 : Raccordement de l’entrée de déverrouillage (borne 31) pour la fonction Absence sûre du couple (Safe Torque
Off)
1
11
0 V commun
+24V
0 V commun
21
31
21
22
30
31
La seule différence que présente l'entrée de déverrouillage par rapport aux autres entrées logiques
du variateur est l'impossibilité de la configurer pour fonctionner avec une logique négative. Il s'agit
d'une exigence qu'imposent la plupart des normes et des conventions applicables aux fonctions de
sécurité et qui garantit qu'un éventuel défaut à la terre du circuit de contrôle génère un défaut de
sécurité (verrouillage du variateur).
La fonction STO peut également être utilisée dans d'autres applications qui exigent la mise en
oeuvre d'une fonction de verrouillage hautement fiable.
Par exemple, les fonctions Marche/Arrêt utilisent souvent un circuit simple de contacteur
pour prévenir tout dommage coûteux non relatif à la sécurité pouvant résulter de démarrages
accidentels.
16
www.leroy-somer.com
La fonction STO permet d'éliminer la nécessité d'utiliser un contacteur.
Dans les exemples suivants, les schémas présentent des mises en oeuvre standard comprenant
des dispositifs électromécaniques et une implémentation avec la fonction STO. Ces schémas
sont destinés à illustrer les différentes méthodes et principes d'application, et ne présentent donc
pas toutes les alternatives détaillées complètes. Dans tous les cas, il est de la responsabilité du
concepteur de la machine d'effectuer une analyse des risques et de s'assurer que la machine dans
son ensemble et son système de contrôle de sécurité associé, satisfont aux critères de conception
requis en matière de sécurité fonctionnelle.
Figure 7 : Commande Marche/Arrêt simple (sans niveau d'intégrité de sécurité -SIL)
a.c.
+24V
a.c.
+24V
K1
Arrêt
Arrêt
STO
Marche
K1
Variateur
conventionnel
Marche
K1
K1
K1
Électromécanique
Avec la fonction Absence sûre du couple
(Safe Torque Off)
Le contacteur de puissance est remplacé ici par un relais auxiliaire, ce qui réduit l'encombrement et
le câblage de puissance tout en permettant au variateur de rester alimenté lorsque la machine n'est
pas en fonctionnement.
www.leroy-somer.com
17
Figure 8 : Verrouillage monocanal avec retour (SIL1)
a.c.
a.c.
Reset
Variateur
convetionnel
Dispositifs
de
verrouillage
Dispositifs
de
Relais de sécurité
verrouillage
Relais de sécurité
STO
Fil
(blindé ou
séparé)
K1
Avec la fonction Absence sûre
du couple (Safe Torque Off)
Électromécanique
Dans cet exemple, la configuration électromécanique comprend un relais de sécurité qui
surveille un dispositif de verrouillage, ainsi que le bon fonctionnement du contacteur de sortie
qui isole le moteur. Si au passage à l'état dangereux, le contacteur ne met pas le moteur en
sécurité, le reset du relais de sécurité est impossible et l'intervention de l'opérateur devient
nécessaire afin d'empêcher que la machine ne continue à fonctionner. Ce mode d'utilisation est
adapté avec les machines dont les dispositifs de verrouillage sont régulièrement appliqués, de
sorte qu'un défaut du contacteur ne risque pas d'entraîner un quelconque danger.
Avec la fonction Absence sûre du couple (Safe Torque Off), il n'est plus nécessaire d'utiliser
le contacteur. Comme la fonction STO n'a pas de mode de défaut équivalent au blocage en
position fermée du contacteur, la surveillance de ce dernier n'est pas nécessaire. Si le relais ou le
contrôleur de sécurité exige un retour, il est possible de leur fournir à partir d'une sortie logique
du variateur via le paramètre 8.093.
Le fil entre le relais et l'entrée STO du variateur doit être protégé, comme décrit au chapitre 4.
Le chemin du circuit de surveillance ne présente pas une intégrité élevée, mais cela reste sans effet sur l'analyse globale
des risques en raison du PFH très faible de la fonction STO.
3
18
www.leroy-somer.com
Figure 9 : Verrouillage double canal avec retour (SIL3)
a.c.
a.c.
K1
Variateur
conventionnel
Retour
K2
Déverrouillage
STO
K1
Déverrouillage
Fil
(blindé ou
séparé)
K2
K1
K2
Avec la fonction Absence sûre
du couple (Safe Torque Off)
Électromécanique
Dans cet exemple, la mise en oeuvre électromécanique utilise deux contacteurs en série, dotés
chacun de contacts de surveillance utilisés pour fournir un retour au contrôleur de sécurité (non
représenté) et pour permettre la détection éventuelle de défauts du contacteur. Dans ce cas, si
un défaut survient au niveau de l'un des deux contacteurs, il est détecté. Mais le système reste
sécurisé car l'autre contacteur empêche l'alimentation du moteur.
L'utilisation de la fonction Absence sûre du couple (Safe Torque Off) permet d'éliminer ces deux
contacteurs. Le niveau d'intégrité de la fonction STO est équivalent à celui des deux contacteurs
avec la détection de défauts. Pour maintenir ce niveau, il est essentiel que la protection du fil et la
source du signal « Déverrouillage » offrent le niveau d'intégrité correspondant.
Pour éviter d'avoir à utiliser une protection du fil ou si l'analyse des risques du système démontre la
nécessité d'utiliser une architecture à deux canaux, le branchement représenté à la Figure 10 peut
être appliqué.
www.leroy-somer.com
19
Figure 10 : Utilisation d'un contacteur pour un second canal (SIL3)
Contrôle de
la fonction
STO
Surveillance de la détection
des défauts au niveau du
système de commande
K1
a.c.
Pr 8.09
STO
K1
Déverrouillage
(2 canaux)
K1
Lorsque le système de contrôle de sécurité exige l'utilisation de deux canaux pour l'application
de la fonction STO, il est possible de mettre en oeuvre un premier canal via la fonction STO de
l’Unidrive SP et le second à l'aide d'un contacteur.
Celui-ci peut être raccordé aux circuits d'alimentation d'entrée ou de sortie du variateur.
Ce contacteur doit être surveillé par le biais d'un contact auxiliaire, libellé K1 sur le schéma.
Plusieurs méthodes peuvent être adoptées pour surveiller l'entrée STO du variateur. Le schéma
illustre un raccordement d'un dispositif de surveillance (en pointillé) au contrôleur de sécurité.
Ce branchement peut s'effectuer via une sortie logique sécurisée sur un contrôleur de sécurité,
avec fonction de surveillance intégrée, ou une entrée logique sécurisée. Il est également
possible d'utiliser une sortie logique du variateur pour obtenir un retour de surveillance, via le
paramètre 8.09.
Sur le schéma, le contacteur est dédié à un seul variateur. Néanmoins, si un contrôleur de sécurité
est utilisé pour exécuter plusieurs fonctions, il peut être configuré pour ouvrir un seul contacteur
qui alimente l'ensemble des variateurs, dans l'éventualité où un défaut serait détecté en un point
quelconque du système.
20
www.leroy-somer.com
Figure 11: Dispositif de freinage électronique pour un arrêt rapide (SIL3)
a.c.
Reset
Dispositifs
de
verrouillage
Marche
STO
Relais de sécurité
Retour
Relais
auxiliaire
temporisé
Fil
(blindé ou
séparé)
Pour obtenir un freinage de la charge en priorité avant le changement d'état STO, la fonction
Marche/Arrêt du variateur peut être utilisée avec un dispositif de freinage approprié, câblé sur
le variateur. Ces fonctions ne sont pas destinées à être utilisées avec les applications relatives à la
sécurité. Le schéma ci-dessus montre comment un signal distinct du relais de sécurité peut être
utilisé pour donner un ordre d’arrêt au variateur à l'aide des fonctions de freinage et de décélération
de celui-ci, en supprimant l'entrée « Marche ». Le relais de sécurité avec un bloc auxiliaire temporisé
est utilisé pour piloter l'entrée STO du variateur. Lorsque le délai de temporisation est écoulé,
le variateur est placé en mode sécuritaire STO. Dans ce cas, la fonction de freinage n'est plus
disponible car le mécanisme de freinage du moteur est également désactivé par la fonction STO.
Il est important de noter : quand la fonction de freinage constitue une exigence de sécurité, ce
type de fonctionnement n'est pas adapté. Car pour permettre le freinage, le variateur, ou la plupart
de ses composants, doit être opérationnel (autrement dit, son état ne doit pas être « sécurisé »).
Pour répondre à ce besoin, une fonction de supervision du freinage plus complexe ou un frein
mécanique sécurisé doit être utilisé.
www.leroy-somer.com
21
6 Application des normes
Les variateurs LEROY-SOMER avec fonction Absence sûre du couple (Safe Torque Off) sont conçus
pour s'intégrer au sein d'un système de commande de sécurité complet. Il incombe au fabricant
de la machine de fournir les spécifications relatives au niveau d'intégrité de sécurité (SIL, PL ou
catégorie) exigé par le système de commande. Muni de ces informations, le variateur avec fonction
STO doit être intégré au système de contrôle de sorte que ce niveau d'intégrité de sécurité soit
atteint.
Une analyse du système de commande de sécurité global doit être réalisée pour déterminer son
intégrité, conformément aux normes applicables, en tenant compte des différents composants
individuels nécessaires à son fonctionnement et à la mise en oeuvre des fonctions de sécurité.
Les normes qui s'appliquent à la fonction STO des variateurs LEROY-SOMER sont compatibles avec la
famille de normes basées sur la norme CEI 61508 (par exemple, les normes CEI 62061 et CEI 61511,
ainsi que la norme CEI 61508 proprement dite ou encore ISO 13849-1:2006).
Pour les normes plus récentes qui utilisent un niveau SIL ou PL, les données PFHD ou MTTFD pour
la fonction STO du variateur doivent être combinées aux données équivalentes des autres sous
systèmes de commande de sécurité afin d'obtenir un PFHD ou un MTTFD global. La valeur très
faible du PFHD pour la fonction STO des variateurs LEROY-SOMER signifie que, dans la plupart des
cas, sa contribution au taux de défaillance total reste négligeable. Par ailleurs, les contraintes
architecturales et le contrôle des défauts systématiques doit être pris en considération.
Les contraintes architecturales déterminent la nécessité d'un système monocanal ou double
canaux. Des exemples d'application sont donnés ci-dessous pour ces deux cas. Il arrive très souvent
que pour les applications qui exigent un haut niveau d'intégrité, on préfère utiliser deux canaux,
plutôt qu'un seul pour atteindre un niveau très élevé d'intégrité.
Le contrôle des défauts systématiques doit également être adapté au niveau d'intégrité demandé.
La fonction STO des variateurs LEROY-SOMER est classée SIL3, ce qui signifie qu'elle peut être
intégrée à un système SIL3, considéré comme le niveau d'intégrité de sécurité le plus élevé
applicable aux contrôleurs de sécurité des machines. Notez que le niveau d'intégrité de sécurité
SIL d'un système ne doit pas dépasser la limite de revendication SILCL pour un sous système,
en raison de l'exigence de contrôle des défauts systématiques. Par exemple, un variateur avec
fonction STO niveau SIL2 ne peut pas être utilisé dans un système SIL3 en ajoutant des canaux
redondants supplémentaires.
7 Applications ascenseur
La fonction Absence sûre du couple (Safe Torque Off) des variateurs LEROY-SOMER peut être
utilisée afin d'empêcher tout mouvement non souhaité dans les applications ascenseur. Elle peut
remplacer directement l'un des deux contacteurs qui servent habituellement à bloquer l’arrivée
d'énergie au moteur, conformément à la clause 12.7.3 de la norme européenne EN 81-1:1998.
Pour qu'elle puisse se substituer aux deux contacteurs, l'entrée STO doit être contrôlée par deux
relais raccordés en série avec des contacts auxiliaires guidés. Des instructions et des conseils sont
disponibles auprès de LEROY-SOMER pour les applications ascenseur.
22
www.leroy-somer.com
8 Compatibilité avec les sorties logiques de sécurité
La fonction Absence sûre du couple (Safe Torque Off) des variateurs LEROY-SOMER a été conçue pour
garantir la compatibilité avec les sorties logiques de sécurité qui utilisent une impulsion de test pour
surveiller les défauts lorsque la sortie est à l'état haut. La durée maximum d'une impulsion périodique
pour laquelle le variateur n'est pas verrouillé est de 1ms.
9 Branchement en parallèle
Les entrées "Absence sûre du couple" (Safe Torque Off) des Unidrive SP peuvent être directement
raccordées entre elles pour contrôler plusieurs variateurs via la même liaison de commande.
Le regroupement de ces entrées augmente le taux de probabilité de passage à l'état dangereux,
dans la mesure où en cas de défaut d'un variateur, toutes les autres peuvent être verrouillés.
Néanmoins, le taux de probabilité d'un défaut est si faible (8 x 10-10 par heure), que le résultat final
reste conforme aux exigences de la normes SIL3 pour un nombre raisonnable de variateurs. Il est
recommandé de ne pas brancher plus de 12 entrées en parallèle en cas d'application de la norme
SIL3.
10 Caractéristiques
L'entrée STO est une entrée logique pour une tension d'entrée nominale 24 V dc et en logique
positive (l'entrée est active à l'état haut).
Caractéristiques électriques :
Plage de tension maximale
-30 V à +30 V
Seuil logique
logiqu
15,5 V ± 2,5 V
Tension maximale à l'état Bas pour SIL3
2V (ou circuit ouvert)
Courant d'entrée nominal à +24 V
3,5 mA
Temps de réponse :
Tension nominale
8 ms
Tension maximale
20 ms
Aucune réaction au train d'impulsions de « déverrouillage » de 1 ms à une fréquence inférieure
à 100 Hz.
www.leroy-somer.com
23
CEM :
En complément des tests d'immunité conformes aux normes EN 61800-3 et EN 61000-6-2,
la fonction Absence sûre du couple (Safe Torque Off) a été testée à des niveaux supérieurs en
adéquation avec les normes ci-dessous :
EN 61000-4-2 (décharge électrostatique)
jusqu'à 15 kV
EN 61000-4-3 (champ RF)
jusqu'à 30 V/m
EN 61000-4-4 (Transitoire rapide)
jusqu'à 4 kV
Il est possible que des décharges électrostatiques ou transitoires rapides puissent endommager
le variateur et l’empêchent de fonctionner. Néanmoins, celles-ci n'entraînent pas le déverrouillage
intempestif du variateur lorsque l'entrée STO est désactivée (circuit ouvert ou 0 V).
Spécifications de sécurité
Fonction de sécurité
Lorsque l'entrée STO n'est plus active, le variateur ne transmet aucun couple au moteur.
Réponse en cas de défaut
Tous les défauts individuels des composants ont soit, aucun effet identifiable sur le variateur soit une
action de verrouillage de celui-ci.
Temps de réponse en cas de défaut
La fonction Absence sûre du couple (Safe Torque Off) est conçue pour être intrinsèquement
sécuritaire. Elle ne va pas autodiagnostiquer la détection des défauts. Par conséquent, le délai de
réaction en cas de défaut ne s'applique pas à cette fonction.
Normes
EN 954-1:1997
Catégorie 3
EN 61800-5-2:2007
SIL3
PFH < 10-8, estimé par LEROY-SOMER 8 x 10-10/heure
Couverture du diagnostic (DC) - Sans objet
EN ISO 13949-1 :2006
PL = e
MTTFD > 105 années (basé sur un temps de mission estimé de 20 ans)
Note : la catégorie 3 de la norme EN 954-1 s'applique lorsque tous les défauts ne sont pas identifiés.
Cependant, en cas d'analyse quantitative, la probabilité d'accumulation de défauts non identifiés
indiquée par l'analyse AMDEC est si faible que les niveau SIL 3 et PLe sont atteints.
24
www.leroy-somer.com
11 Autorisations de conformité
Des autorisations de conformité spécifiques ont été obtenues pour l'Unidrive SP (tailles z et 0 à 6)
et le Digitax ST (400 V). La fonction Absence sûre du couple (Safe Torque Off) est identique pour
toutes les tailles et puissances de variateur.
EN 954-1:1997 catégorie 3
BIA (désormais BGIA/IFA)
CEI et EN 61800-5-2:2007
BGIA/IFA
ISO et EN ISO 13849-1:2006
BGIA/IFA
BGIA/IFA est notifié dans les Directives de l'Union européenne sur les machines, 98/37/CE et 2006/42/
CE.
Une copie des certificats de conformité et d'autres documents sont disponibles sur simple
demande auprès de LEROY-SOMER.
12 Glossaire
Le tableau ci-dessous fournit un glossaire des termes importants utilisés dans ce document. Pour
obtenir un glossaire plus complet, consultez les références et les normes mentionnées, comme la
norme CEI 62061.
Note : en matière de fonctions de sécurité, on considère généralement que le terme « défaut » fait
référence à une défaillance susceptible d'accroître les probabilités de danger. Dans ce cas, les défauts
dangereux ne sont pas spécifiquement considérés, sauf indication explicite.
DC
(Diagnostic
Coverage)
AMDEC
Contrainte
architecturale
Contrainte applicable à la structure fonctionnelle du système
de contrôle sécuritaire. En général, il s'agit d'un choix de
niveau de redondance et donc de la tolérance aux défauts.
Catégorie
Mesure qualitative de l'intégrité de sécurité, définie par la
norme EN 954-1:1997. Les valeurs disponibles sont B, et 1 à 4.
Couverture du
diagnostic
Sur les systèmes qui utilisent un dispositif de détection des
défauts, cette information fournit le pourcentage de défauts
détectés.
Analyse des
Modes de
Défaillance, de
leurs Effets et de
leur Criticité
Analyse des effets des défaillances de composant. Il peut
s'agir d'une analyse qualitative, avec une description des
effets de chaque défaut et l'identification de leur niveau de
sécurité, ou d'une analyse quantitative, dans le cadre de
laquelle le taux de défaillance des composants est utilisé pour
estimer les probabilités de défaut associées à chaque mode.
Selon les besoins, elle peut se limiter aux défauts individuels
des composants ou considérer l'accumulation des défauts
observés, sans identifier leur chronologie.
www.leroy-somer.com
25
Réponse en cas de
défaut
Action en cas de défaut.
Temps qui s'écoule entre l'apparition d'un défaut et la
Temps de réponse en réponse donnée. Il s'agit généralement du temps nécessaire
à la détection d'un défaut et à la mise en oeuvre d'une action
cas de défaut
préventive.
Retour
Informations relatives à l'état du contrôleur ou de l'un de ses
composants, qui sont utilisées par le dispositif de détection
de défauts.
Dispositif de
verrouillage
Ensemble de capteurs disposés de telle sorte qu'ils doivent
tous avoir l'état sécuritaire pour qu'une fonction de la machine
soit opérationnelle.
Durée moyenne de
fonctionnement
avant défaillance
(Dangereuse)
Durée moyenne de fonctionnement avant le passage à l'état
dangereux (comme utilisé dans la norme EN ISO 138491:2006).
Surveillance
Dispositif utilisé pour détecter les défauts.
PL
Niveau de
performance
Mesure de l'aptitude à réaliser des fonctions de sécurité dans
un système de commande de machine qui utilise la norme
EN ISO 13849-1:2006. Les valeurs comprises entre a et e sont
autorisées.
PFH 4
Probabilité de
défaillance hardware
Probabilité de défaillance hardware dans une direction
dangereuse, exprimée par heure (au sens de son utilisation
dans la norme CEI 61800-5-2).
PFHD
Probabilité de
de défaillance
dangereuse du
hardware
Probabilité de défaillance dangereuse du hardware, exprimée
par heure (au sens de son utilisation dans la norme CEI 62061).
STO
(Safe
Torque
Off)
Absence sûre du
couple
Fonction de sécurité pour variateurs de puissance empêchant
de transmettre au moteur de l'énergie pouvant générer un
couple. Cette fonction est définie par la norme CEI 61800-5-2
MTTFD
SIL
(Safety Niveau d'intégrité de
Integrity sécurité
Level)
Mesure du niveau d'intégrité de sécurité d'un système de
commande, défini par les normes CEI 61508-x et (CEI 62061
et CEI 61800-5-2). Les valeurs comprises entre 1 et 4 sont
disponibles. Pour les applications impliquant des machines, la
valeur maximum considérée est SIL3.
SR
S'applique à une fonction dont toute défaillance constatée est
susceptible d'entraîner des blessures physiques.
Relatif à la sécurité
4
Note l'utilisation spécifiée par la norme CEI 61800-5-2 diffère des autres normes dans lesquelles
« PFH » fait référence au nombre total de passages probables à l'état sécurisé et dangereux sur la
durée de vie du produit (exprimé en heures).
26
www.leroy-somer.com
SRECS
(Safety
Related
Electrical
Control
System)
Système de
commande
électrique
ou électronique
relatif à la sécurité
Système de commande dont toute défaillance est susceptible
d'entraîner des blessures physiques à une personne
SD
(Secure
Disable)
Entrée sécuritaire
Terme utilisé par LEROY-SOMER pour désigner la fonction
Absence sûre du couple (Safe Torque Off) avant la publication
de la norme CEI 61800-5-2.
Limite de
revendication ou
niveau de capacité
SIL
Mesure du niveau d'intégrité de sécurité d'un sous-système ou
d'un module, tel qu'un variateur, dans la mise en oeuvre de ses
fonctions de sécurité. Ce terme est utilisé pour souligner que le
niveau d'intégrité de sécurité SIL d'un système global, doit faire
l'objet d'un calcul spécifique qui tient compte des exigences
de sécurité connues et de la capacité de l'ensemble des soussystèmes. Il établit que le niveau SIL du système global, ne
doit en aucune façon dépasser celui de l'un des sous-systèmes
individuels.
La norme CEI 62061 emploie le terme « limite de revendication”,
tandis que la norme CEI 61800-5-2 utilise le terme « niveau de
capacité SIL ».
Défaillance
systématique
Une défaillance de la fonction de sécurité occasionnée par
une autre fonction inhérente au système, contrairement à un
défaut qui se développe au fil du temps. En général, il s'agit
d'une fonction dont l'action n'a pas été prise en considération
pendant le processus de conception, de vérification et de
validation, autrement dit, une erreur de conception dans le
sens le plus général du terme. Ce type de défaut s'applique
particulièrement au logiciel, qui ne génère pas de défauts
aléatoires, mais peut se comporter de manière étrange du
fait de sa complexité et qui ne permet pas le test de toutes les
combinaisons possibles de changements d'état.
SIL CL
(Safety
Integrity
Level
Claim
limit/
Capability
Level)
13 Références
Toutes les normes en vigueur sont citées dans le texte.
Une description complète des techniques d'analyse des défauts pour les systèmes constitués de
composants hardware (matériel) et software (logiciels) est fournie dans : Control Systems Safety
Evaluation & Reliability, William M. Goble, ISA, ISBN 1-55617-636-8
Ce document mentionne des informations autorisées issues de la seconde édition de
“The Control Techniques Drives and Controls Handbook”, publié en 2009 par l'IET
(Institution of Engineering and Technology) et disponible sur demande chez LEROY SOMER.
www.leroy-somer.com
27
MOTEURS LEROY-SOMER 16015 ANGOULÊME CEDEX - FRANCE
RCS ANGOULÊME No. B 671 820 223
Limited company with capital of 62,779,000 €
http://www.leroy-somer.com