La directive sur les machines fut l’une des premières directives de la nouvelle approche : seules des exigences essentielles se trouvent dans la loi, avec référence aux normes européennes harmonisées en tant que soutien technique. Elle date de 1989 et a très peu changé depuis. Toutefois, de 1989 à nos jours, les normes auxquelles fait allusion cette loi ont fortement évolué.
Entretien sur la « sécurité, la loi et les normes » avec Koen Chielens, Product Manager Machinery Directive chez AIB-Vinçotte. L'ingénieur Koen Chielens travaille chez Vinçotte depuis 1984 et est depuis 2009 l’un des trois consultants externes généraux pour la sécurité des machines auprès du CEN (Comité européen de normalisation). Ses collègues au sein du CEN sont italien et anglais. Il y est responsable de la cohérence et de l'équilibre des normes de sécurité des machines. Domaines d'activité : la sécurité robot, grues et engins de levage, convoyeurs, traitement de surface, ascenseurs, machines à bois, etc.
Existe-t-il de nouvelles évolutions en matière de législation de sécurité ?
Koen Chielens : « La première directive sur les machines – approuvée en 1989 – était une « révolution » dans la législation européenne. Un nouveau principe fut introduit selon lequel la législation ne donnerait plus de directives techniques, mais uniquement des exigences essentielles. En 2006, la directive sur les machines a été adaptée, mais il ne s'agissait que de quelques améliorations de détails. La loi réfère toutefois aux normes EN européennes harmonisées. Lorsqu'un fabricant construit sa machine conformément aux normes, il est supposé la rendre conforme à la législation (= présomption légale de conformité avec les aspects couverts par la norme). En clair : le fabricant n’est pas obligé de satisfaire aux normes. Mais s'il ne le fait pas, les frais administratifs de la preuve de la conformité de sa machine à la loi sont à sa charge. »
Les normes sont donc une pierre angulaire importante ?
« Et elles évoluent constamment. Une machine conforme aux normes d'aujourd'hui est totalement différente de celle des années 90. Prenez comme exemple les contrôles de sécurité : la norme EN 954 en vigueur en 1996 a été remplacée par la norme EN ISO 13849 en 2006. Ce qui est également une transition importante. La norme EN 954 concernait uniquement « l'architecture » des contrôles relatifs à la sécurité, en fonction des « catégories de sécurité » déterminées lors de l'analyse de risque. Il existait cinq catégories, chacune ayant sa propre élaboration du contrôle de sécurité (simple voie, simple voie avec test, double voie). Mais la complexité continue des machines a rendu insuffisantes les normes concernant « l'architecture ». Dans la nouvelle norme EN ISO 13849 (en vigueur depuis 2011), l'approche « déterministe » a été remplacée par une approche « probabiliste » des composants relatifs à la sécurité. »
La norme EN ISO 13849 tient compte de la fiabilité des composants utilisés. À l'aide des chiffres de fiabilité – normalement fournis par le fabricant – la fiabilité totale du circuit de contrôle de sécurité électrique est calculée. Pour ce calcul, le fabricant peut opter pour la norme EN ISO 13849 (sécurité fonctionnelle des machines) ou la norme EN IEC 62061 (sécurité fonctionnelle des systèmes électriques, électroniques et programmables avec fonction de sécurité).
« Cette dernière adresse la sécurité d'un point de vue électrotechnique », informe Koen Chielens. « L'IEC 62061 fonctionne avec des niveaux SIL, alors que l'ISO 13849 utilise des niveaux de performance. Les fabricants ont le choix d'un point de vue législatif, mais tout le monde souhaite bien entendu une uniformité, ce qui impose une fusion des deux normes. Les discussions entre ISO et IEC sont en cours (depuis quelque temps déjà), mais pour l'instant il n'y a aucune éclaircie en vue sur la manière d’aboutir à une norme. »
Pour l'utilisateur de machines, l'affaire est plus simple : la sécurité des nouvelles machines est dans un premier temps le problème du fabricant de machines. Koen Chielens : « L'utilisation par les employés est toutefois soumise au droit du travail (sécurité au travail) et contient l'obligation de l'utilisation de machines « conformes (= marquées CE) », mais ceci est une autre histoire. Une machine ne peut être mise sur le marché sans la rédaction, par le fabricant, d’un dossier contenant la preuve de la conformité de la machine à la directive. Le « rapport de mise en service », rédigé par un conseiller en prévention contient donc surtout les aspects qui ne sont pas soumis à la directive sur les machines. Si le fabricant peut démontrer que sa machine est conforme à la norme, elle est supposée satisfaire à la directive sur les machines. En cas d’accident, le fabricant ne sera pas poursuivi. Ceci lui confère une sécurité juridique. »
En ce qui concerne les contrôles de sécurité, tout est une question de récolter l’ensemble des données de fiabilité de tous les composants et de faire un calcul pour le circuit complet. Pas si simple ? « Trop d'attention est apportée au soi-disant degré de difficulté de ce calcul, où d'autres aspects tels que la construction logique du circuit de contrôle sont parfois négligés », commente Koen Chielens. « À côté de cela, il y a la problématique des composants dont on ne connait pas la fiabilité. Par exemple : peu de données sont disponibles à propos des composants pneumatiques. Le concepteur doit lui-même tenter de définir ces données. La norme donne bien quelques indications, mais le résultat ne sera jamais très précis. Une révision récente de la norme EN ISO 13849 permet, en cas d'absence de ces chiffres, de faire appel aux catégories de l'ancienne norme EN 954. Pour ceci, une approche « worst case » (le pire des cas) est appliquée. »
Koen Chielens : « Dans un certain nombre de cas, le fabricant opte délibérément pour une déviation de la norme. Il doit alors s'assurer d'avoir un dossier solide prouvant que sa solution est « aussi sécurisée ou meilleure que ce qu'indique la norme. » Les leaders technologiques utilisent parfois ceci pour accroître leur avance. On pense par exemple au fabricant de machines à bois américain qui a remplacé la « protection de sécurité de la lame de la scie » définie dans la norme par un système de capteur développé par lui-même qui arrête et dévie la scie lorsqu’elle détecte un objet « guidant », tel qu'un doigt. L'avantage compétitif est que la machine est plus conviviale à utiliser. Avant que cette machine puisse être mise sur le marché européen, le fabricant devra pouvoir démontrer que la machine est tout de même conforme à la directive, notamment concernant la fiabilité de l'action des capteurs. La fiabilité est importante dans ce dossier de sécurité : si le capteur est défaillant, la sécurité est défaillante. »
Mais alors, par exemple suite à un accident, que se passe-t-il s’il s'avère que le fabricant n'a pas bien rempli son devoir ?
« Ceci est un problème de « surveillance du marché ». Selon la directive, le fabricant est responsable de la sécurité des machines. Pour ce faire, il signe une déclaration de conformité. » Prenons un fabricant véreux qui importe des machines (ou qui en a vendu via un importateur, ce qui ne fait aucune différence juridiquement parlant) : s'il s'avère que les machines ne sont pas conformes et que la marque CE a été apposée, ce fabricant peut être tenu pour responsable. Dans une telle situation, la surveillance de marché est infaisable vu que l'importateur n'est pas directement responsable et que le fabricant chinois est quasiment intouchable. En cas d'accident, la victime n’aura en toute probabilité que très peu de chances d'obtenir un dédommagement justifié. »
« Afin de s'attaquer à une telle situation, la législation a été adaptée (un nouveau cadré légal) : à partir de 2016, l'importateur est – pour un certain nombre de directives EG (directive machine pas concernée pour l'instant) – obligé de vérifier si le fabricant a correctement exécuté la procédure d'évaluation de conformité. Si l'importateur constate que le produit n’est pas conforme, il doit en informer les autorités et il ne peut pas vendre le produit sur le marché. Voilà qui constituera un changement important en matière de protection du consommateur (notamment pour la directive de basse tension). »
Pourquoi ne pas instaurer une obligation de résultat ?
« La sécurité totale n'existe pas. La responsabilité du fabricant existe, mais il y a toujours un risque résiduel. « L'utilisateur » a également sa part de responsabilité. La législation sur la sécurité et les normes ne peut « jamais être cohérente » et des accidents ne sont donc pas à exclure entièrement. Imposer une « obligation de résultat » au fabricant est dès lors impossible. De nombreux utilisateurs travaillent en toute connaissance de cause de façon peu sure ou détournent les sécurités intégrées. »
« Prenez les tronçonneuses destinées à l'élagage des arbres. Une simple tronçonneuse doit être manipulée avec deux mains. Le type destiné à l'élagage doit pouvoir être manipulé avec une seule main, afin que l'élagueur puisse se tenir aux branches de l'arbre. Il s'agit en fait d'un « appareil dangereux », inapproprié pour le bricoleur. Mais en indiquant « Pour un usage professionnel » dans le manuel, le problème juridique est couvert. On part du principe que les professionnels sont à même d'évaluer les risques et donc de (pouvoir) travailler en toute sécurité via des procédures. Mais qu'en est-il si l'appareil est vendu en grande surface ? Celle-ci y apposera probablement un panneau d'information indiquant « Pour les professionnels ». On parie que tous les bricoleurs en achèteront un ? »
« Un autre exemple marquant au sein du monde professionnel est le camion-poubelle : lorsque celui-ci recule, il est dangereux de se trouver dans le sens de la marche arrière. La norme prévoit que le camion ne puisse pas reculer lorsqu'un opérateur se trouve sur le marchepied situé à l’arrière. Dans la pratique, il arrive souvent que les opérateurs fassent des choses dangereuses pour pouvoir quand même accompagner. Il est clair que la norme laisse à désirer concernant cet aspect et qu'à l'avenir d'autres solutions devront être trouvées. »
Les normes ne sont-elles pas des excuses derrière lesquelles se retrancher ?
« On ne peut accentuer suffisamment l'importance de la sécurité juridique via les normes harmonisées. Peu de fabricants en sont conscients et portent peu d'attention aux normes. La question cruciale pour chaque protection est « où s'arrête-t-elle et quels risques constituent des risques résiduels acceptables ? »
« Les normes sont créées par un groupe d'experts avec un apport de toutes les parties concernées : le fabricant (expérience de la technologie), les autorités (entre autres pour le risque résiduel acceptable), les services d'inspection (qu'est-ce qui peut être contrôlé, expérience dans les « mécanismes de déviation ») et les utilisateurs (qu'est-ce qui est réalisable). Ils discutent jusqu'à obtenir un « compromis acceptable ». De nouvelles expériences amènent à leur tour à une révision de la norme. »
« Parfois, les normes sont créées pour des produits encore inexistants. Je pense par exemple aux robots de soins personnels. Il y a peu, cette norme a été finalisée, bien que de tels robots ne soient pas encore vraiment disponibles sur le marché. Mais on s'attend à ce que de tels robots soient disponibles à relativement court terme et il est donc important que le fabricant ait une norme à disposition. Certains aspects, comme « l'impact autorisé d'un robot sur l'être humain », ne sont peut-être pas encore assez élaborés par manque de données scientifiques. »
« Le problème ici c'est que l'on doit non seulement tenir compte de l'être humain ordinaire, mais également, par exemple, des personnes très âgées qui ont un seuil d'impact plus bas. Les révisions ultérieures apporteront sans aucun doute des modifications. Tant que de tels aspects ne sont pas disponibles dans la norme, le fabricant devra déterminer lui-même ce qui est acceptable. »
« Les normes élèvent le niveau de sécurité mondialement et... elles sont plus faciles à maintenir « à la pointe » qu'une loi. Il est impossible d'intégrer une telle évolution technologique dans une loi sur laquelle tant d'état membres doivent être d'accord avec des hommes politiques qui n'ont aucune expérience des facettes techniques. Conclusion : les normes apportent une sécurité juridique, assurent une attention accrue pour la sécurité, mais ne freinent pas les évolutions technologiques. »
LA PUISSANCE HYDRAULIQUE A TOUJOURS DES CONSÉQUENCES LOURDES EN CAS D'ACCIDENT
L'hydraulique est un entraînement spécialisé, appliqué lorsque des grandes forces sont nécessaires dans un endroit restreint. Peu d'accidents concernant des installations hydrauliques ont lieu, mais comme il est fait usage de haute pression, un accident a toujours des conséquences graves. Il est donc utile d'y consacrer un peu d'attention. Aux Pays-Bas, il existe un site Web (www.vwmh.nl) qui a été l’une des sources d'inspiration pour cet article.
Il est inutile de souligner que les règles normales de bon usage et de sécurité de machine sont en vigueur lors de la conception d'une installation hydraulique. En raison des hautes pressions dans les systèmes hydrauliques, il existe des facteurs de risque. La norme EN-ISO 4413 (qui remplace depuis 2010 la norme EN 982) est spécifique et les méthodiques EN 982 sont indispensables. Sans oublier, bien entendu, qu’une bonne gestion de l'huile est nécessaire, car l'huile (correcte et pure) détermine la durée de vie et la fiabilité de l'installation.
Même l'hydraulique mobile – par exemple le système d'un camion-poubelle, d'une machine d'excavation, d'une nacelle élévatrice, d'une grue, d'un palan, d'un chariot élévateur, etc. et les outils hydrauliques – ne peut pas être entretenue par un « amateur ». Il ne peut pas s'agir d'un « simple mécanicien », mais de quelqu'un qui a suivi une formation en hydraulique. D'autant plus que ces systèmes évoluent vers des systèmes plus compacts et plus dynamiques.
Il devient de plus en plus difficile d'y travailler et des fautes sont commises, à cause notamment de la haute pression présente dans l'installation. Un tuyau détaché peut devenir une arme mortelle et les fuites sont à la base d’une pollution environnementale. Un gigantesque travail de nettoyage est donc nécessaire, car l'huile glissante augmente le risque d'accidents... et d'incendie.
Garder une installation existante sécurisée et sans fuites n'est pas insurmontable, à condition d'appliquer certains principes. Il convient tout d'abord d’effectuer un entretien correct des tuyaux. Les tuyaux hydrauliques doivent être entretenus préventivement. Un bon conseil qui est répété à chaque fois : remplacez toujours les tuyaux et les raccords en même temps. Utilisez la bonne longueur, excluant ainsi tout risque de frottement le long d'obstacles environnants. Et installez toujours la protection du tuyau ou utilisez des tuyaux avec une paroi extérieure résistante à l'usure. Ce « dispositif de sécurité » n'est jamais un investissement vain. Vérifiez immédiatement après le montage s'il y a des fuites, car la haute pression ne connaît aucune pitié.
Le plus petit jet hydraulique peut être dangereux
Que faire en cas de fuite ? En cas de grosses fuites, une intervention immédiate est obligatoire. La règle (parfois oubliée) est la suivante : même si c'est le raccord qui fuit, ne le revissez pas. Au contraire, restez en dehors du périmètre jusqu'à ce qu'il n'y ait plus de pression. Cela vaut également (et surtout) pour les fuites minuscules : celles-ci sont extrêmement dangereuses pour l'homme et l'environnement.
En raison de la haute pression, la zone de fuite se réchauffe, ce qui peut provoquer un incendie. Mais pour ces petites fuites, il est également indispensable que tout le monde – même le technicien d'entretien – reste en dehors du périmètre jusqu'à ce qu'il n'y ait plus de pression dans le tuyau fuyant. S'il est nécessaire de se trouver dans le périmètre du jet, il est indispensable de porter un équipement de protection. Surtout, ne jamais rechercher la fuite avec la main, mais bien à l'aide d'un accessoire : un carton ou quelque chose de similaire.
Le danger des fins jets est qu'ils fonctionnent comme des aiguilles d'injection. La pénétration de l'huile via la peau n'est pas inimaginable et peut avoir de lourdes conséquences pour la victime. Un tel incident équivaut à un cas d'urgence médical ! Pourtant cela n'en a pas l'air au premier abord, car au moment où le jet touche la peau (et que l'huile pénètre), il ne semble y avoir aucun problème : une mini blessure sans importance. Mais sans intervention médicale dans les 6 à 8 heures, l'impact de la pression peut entraîner la nécrose du tissu sous-cutané et une amputation est souvent la seule option qui reste. De plus, de l'huile toxique pénétrant dans le vaisseau sanguin peut causer de nombreux problèmes médicaux.
Un technicien qui ressent une « légère sensation de picotement » en cas de fuite d'huile, parce que le jet l'a brièvement touché, doit le communiquer immédiatement et se faire examiner par un médecin. Il ne s'agit pas d'un luxe inutile, ni d'un bête tracas. Avertissez également le département de premier secours de l'urgence. Ce n'est pas toujours simple, car même dans le monde médical ce problème est méconnu.
LA SÉCURITÉ DANS LA PNEUMATIQUE, C'EST REGARDER LE MAILLON FAIBLE
La pneumatique est toujours une solution d'entraînement importante dans les machines. Mais l'air comprimé est également utilisé pour des choses qui ne sont pas toujours aussi contrôlables. Prenons pour exemple la pulvérisation des surfaces. Les accidents ne sont pas principalement dus aux défauts inattendus des machines, mais plutôt aux inattentions de l'utilisateur ou lors des réparations.
La « bible » des constructeurs de composants et des fabricants de systèmes hydrauliques en matière de composants purement pneumatiques est la norme EN 4414:2010. À côté de cela, on retrouve également la directive sur la sécurité des machines comme les normes EN13850 (arrêt d'urgence) et EN13851 (commande bimanuelle) et ISO4414 et ISO EN 13849 (éléments relatifs à la sécurité dans un système d'exploitation). La pneumatique n'est plus une « technologie insulaire » depuis longtemps, mais bien une technologie hybride : un ensemble d'électronique et de pneumatique.
Les normes se rapportent à la construction sécurisée d'un système pneumatique, à la mise en route et à l'arrêt sécurisé de l'alimentation et aux mesures nécessaires afin de pouvoir utiliser et réparer en toute sécurité le système.
Exemples connus de la norme EN 4414:2010 : il doit être prévu qu'en cas de panne des actionneurs linéaires ou rotatifs, les vannes de commande des machines puissent se placer en situation de sécurité, que les valves des circuits pneumatiques puissent être placées et verrouillées en position de commande sécurisée. Dans le cas des cylindres, la sécurité est généralement obtenue en plaçant des clapets anti-retour (la raison étant la problématique 5/3 décrite ci-après).
Chaque système pneumatique doit disposer d'un limitateur de surpression (par exemple des vannes de réduction verrouillables) et d’un système de purge sécurisé (consulter la remarque à ce sujet concernant les vannes de purge) empêchant l’ouverture par inadvertance de la pression d'air lors de l'entretien. En cas de risques plus importants, il faut s'assurer de la présence de systèmes redondants. L’idéal est de construire un système où les tuyaux d'air comprimé (du moins les plus importants) disposent d’un indicateur visuel permettant d’indiquer s'ils sont sous pression ou non (par exemple via un manomètre mécanique, afin que la pression soit également indiquée en cas de non-alimentation électrique).
Plus d'attention à la mise hors pression de la machine
Théorie communément connue ? La pratique est toutefois plus complexe et les problèmes sont généralement liés au manque d'attention aux détails, comme l'évacuation de l'air comprimé. L'expert en sécurité, Patrick Gijbels (SMC Pneumatics), est d'accord sur ce point : « Un circuit de sécurité est, schématiquement parlant, composé d'une Entrée, d'une Logique et d'une Sortie. Le circuit n’est aussi solide que son maillon le plus faible. Souvent je vois une Entrée de pointe (écran lumineux, tapis de sécurité, arrêt d'urgence, etc.) et une Logique de pointe (relais de sécurité, PLC de sécurité). Mais la « Sortie » (l'évacuation rapide de l'air comprimé en cas d'urgence) est souvent oubliée. La soupape qui doit évacuer l'air comprimé de la machine est souvent d'exécution à une seule voie sans rétroaction avec la commande. »
« Évidemment – et c’est surtout le cas pour les machines dangereuses – il doit s'agir d'une soupape de purge à deux voies, fiable, avec une rétroaction pour les fonctions de sécurité. Pensez également au silencieux pour éviter tout dommage auditif. La seule solution pour éviter de telles erreurs : il faut que les fournisseurs sensibilisent leurs clients à ce sujet. »
Contrôler le redémarrage après un arrêt d'urgence
Il existe un autre point qui est souvent oublié : que se passe-t-il lors du redémarrage de l'installation ou de la résolution d'une erreur après un arrêt d'urgence ? Le spécialiste en sécurité, Paul Verbist (Festo), explique : « S'arrêter en toute sécurité après un arrêt d'urgence est une chose, mais redémarrer après un arrêt de sécurité est un autre problème. En fait, généralement il s'agit d'une problématique couplée. Un exemple classique : une machine fait usage de valves 5/3 avec position neutre ouverte ou fermée lors du positionnement du cylindre. Il s'agit d'une méthode de travail simple et économique. Si ces soupapes sont utilisées avec une « position neutre ouverte », les chambres des cylindres seront purgées en cas d'arrêt d'urgence. Parfait, car le cylindre n'est plus alimenté et s'arrête. Dans cette situation arrêtée, il ne contient plus d'énergie en ne peut donc jamais être une source de danger. Mais le problème se pose lorsque l'air comprimé revient : les chambres des valves sont vides. Si l'air comprimé arrive dans l’une des chambres, il n'y a pas de retour d'accumulation de pression dans l'autre chambre. Du coup, il n'y a pas de contrôle sur la vitesse de mouvement du cylindre et les éléments de machine partent dans tous les sens ! »
« Un concepteur expérimenté le sait et travaillera dès lors avec des valves 5/3 avec position neutre fermée. En cas d'arrêt d'urgence, le cylindre s'arrête dans sa position et les chambres des valves restent sous pression. Elles contiennent encore de l'air comprimé, mais après l'arrêt d'urgence il y a un équilibre entre les chambres et les cylindres s'arrêtent. Le problème précédent- redémarrage sans pression dans les autres chambres – est résolu. Cela semble parfait ! »
« Voyons tout de même un autre scénario : le cylindre, prévu pour effectuer un certain déplacement, est bloqué par un obstacle sur son chemin. L'opérateur le voit et appuie sur l'arrêt d'urgence pour enlever l'obstacle. En homme prudent et expérimenté, il veut s'assurer que pendant son travail l'air comprimé ne puisse pas revenir et il enlève le tuyau d'air comprimé de la valve. Il grimpe dans la machine pour enlever l'obstacle. Entre le moment où l'obstacle a arrêté le mouvement et le moment où l'arrêt d'urgence a été actionné, l’une des chambres s'est entièrement purgée. La situation est donc de 6 bars d'un côté du piston et une pression atmosphérique de l'autre côté, même après avoir purgé l'air comprimé. Au moment où l'opérateur enlève l'obstacle, le cylindre se déplace comme un boulet de canon. Un tel incident s’est réellement produit au poste de montage de portières d’une ligne d'assemblage automobile. L'opérateur et la portière ont été catapultés à travers le mur ! Il convient donc d’effectuer une analyse de risque de la machine, mais également une analyse de risque de tout ce qui peut se passer après un arrêt d'urgence. »
Osez demander à votre fournisseur une sécurité plus économique
Les circuits de sécurité sont généralement considérés comme des circuits très chers. Mais depuis l'introduction de la norme récente EN13849, les prix deviennent plus démocratiques, mais cela requiert plus de connaissance et une recherche de l'essentiel de la « sécurité ».
Patrick Gijbels : « La législation récente veille à ce que vous puissiez construire une fonction de sécurité avec des composants de série (donc pas des composants de sécurité). Cela implique plus de travail de calcul. En outre, une connaissance plus approfondie de la pneumatique dans les circuits de sécurité est nécessaire. Je constate – surtout auprès des clients finaux – qu’ils ne savent pas toujours tout ce qui est possible. Le but est donc d'être présent chez le client et de l’aider à trouver la meilleure solution, tout en étant la plus économique. Les clients finaux / constructeurs de machine doivent mettre leurs fournisseurs au défi de réfléchir avec eux à la conception et de trouver ensemble les bons choix de conception / composants. Les fournisseurs, de leur côté, doivent se rendre compte qu'il ne s'agit plus de vendre des composants, mais bien des solutions. Cela demande une formation approfondie des Sales Engineers. »
UTILISATION DE DRIVES AVEC DES FONCTIONS DE SECURITE
L'automatisation vise à accroître l'efficacité et la sécurité de la production. Longtemps, cette sécurité a été atteinte en interdisant tout accès à la machine… mais ce n'était pas une solution réaliste. Il suffit de penser à l'entretien, qui requiert souvent en partie que la machine fonctionne. Aujourd'hui, on ne tolère plus non plus que le professionnalisme du technicien d'entretien soit invoqué pour lui imposer un risque résiduel accru.
Selon les règles de la sécurité machine conventionnelle, on avait toujours besoin de relais de sécurité, de capteurs supplémentaires, d'un API de sécurité, etc. pour sécuriser les entraînements – même pour les arrêter en toute sécurité. Travailler en mode dégradé de manière sûre était une question complexe. La donne a changé en 2007 avec la norme IEC-EN 61800-5-2. Depuis, les fabricants ont commercialisé des « drives à sécurité intégrée ». Il peut tout de même s'avérer nécessaire d'expliquer un peu à l'utilisateur le contenu de la norme afin qu'il connaisse les avantages de ces drives à sécurité intégrée.
La norme IEC-EN 61800-5-2
La norme IEC-EN 61800-5-2 permet d'intégrer un certain nombre de fonctions de sécurité dans des drives, ce qui évite de devoir recourir au moindre dispositif de sécurité externe ou supplémentaire. La structure des circuits de sécurité est ainsi légèrement plus simple et plus claire. En y intégrant des « modules fonctionnels de sécurité », le drive peut intervenir dans les applications liées à la sécurité. Ce que la norme décrit ainsi : « adjustable speed electrical power drive systems (PDS) that are suitable for use in safety-related applications (PDS(SR)) ».
Ceux-ci peuvent être intégrés « matériellement », mais aussi par le biais de logiciels. Mais la norme fait aussi explicitement référence à l'IEC 61508 (Functional Safety of Electrical / Electronic / Programmable Electronic Safety-related Systems) et à l'ISO-EN 13849-1 (safety related control in machines). Cela signifie que le fournisseur des drives où sont présentes de telles fonctions de sécurité devra aussi (pouvoir) fournir des informations comme le niveau de performances (ISO 13849) ou, le cas échéant, la catégorie SIL (IEC 61508). Sinon, il ne pourra intégrer le drive dans un « safety related control system ».
Il s'agit de deux groupes de modules fonctionnels de sécurité : le premier concerne les « fonctions d'arrêt en toute sécurité » et le deuxième « diverses fonctions de sécurité », notamment la vitesse contrôlée.
Les fonctions de sécurité « d'arrêt » prévues dans l'IEC-EN 61800-5-2
Il s'agit de quatre fonctions qui ont trait à l'arrêt du moteur et/ou au maintien de la position arrêtée obtenue. Safe Torque Off assure de ramener le couple du régulateur de fréquence à zéro en toute sécurité, le moteur n'étant ainsi plus entraîné. Le drive reste toutefois sous tension. Avec Safe Stop 1 (SS1) et Safety Stop 2, le couple moteur n'est pas coupé d'une fois mais subit un freinage forcé, contrôlé. Cela exclut le détraquement de machines, qui est un risque si l'on coupe directement la tension du moteur. Avec SS1, la tension est coupée sur le drive et les moteurs après l'arrêt. Avec SS2, la tension n'est pas coupée mais on veille à ce que l'arbre reste à l'arrêt. On peut donc ainsi rapidement redémarrer la machine par la suite. Après l'arrêt, le moteur est en outre bien protégé contre tout (essai de) redémarrage inopiné et on a l'assurance que la partie de machine entraînée ne bougera plus.
Il y a alors deux fonctions de sécurité après l'arrêt. Safe Operating Stop, c'est-à-dire le contrôle de l'arrêt effectif de l'arbre moteur, et Safe Brake Control où, après l'arrêt, le drive transmet un signal à un frein externe pour le serrer ou le maintenir serré. Il s'agit d'une garantie, pour un opérateur de machine ou une personne chargée de l'entretien, que la machine ne bougera certainement pas au cours de ses activités.
Les « autres » fonctions de sécurité prévues dans l'IEC-EN 61800-5-2
Ce deuxième groupe de fonctions dans la norme vise à « aider », par exemple lorsque les opérateurs chargent la machine, lorsque des techniciens la règlent et l'entretiennent, etc. La plus connue est Safely Limited Speed (SLS), qui limite de manière sûre, donc garantie, qu'une vitesse maximale ne sera pas dépassée. Elle peut servir à contrôler la vitesse maximale des mouvements en cas de fonctionnement automatique. Généralement, on l'enclenche pour régler la machine en mode dégradé. C'est indispensable pour permettre un fonctionnement sûr de la machine lorsque les dispositifs de sécurité sont ouverts. On pourra ainsi retirer des objets d'une machine en toute sécurité (par exemple pour vider un broyeur). Elle est aussi destinée à régler la machine et à en tester la configuration, pour constater « visuellement » des problèmes fonctionnels à vitesse réduite, etc.
Des fonctions similaires – Safe Speed Monitor – surveillent la vitesse d'une manière sûre (donc avec certitude). Un exemple est Safe Minimum Speed, la surveillance de la vitesse minimale d'une machine en toute sécurité, qui peut servir à déclencher une alarme lorsque la vitesse d'un arbre spécifique d'une machine est trop basse – p. ex. à cause d'un obstacle ou d'un embrayage qui patine. Safe Maximum Speed peut être une sécurité, par exemple, pour un palan chargé d'objets fort lourds. Safe Speed Range est la combinaison des deux et vérifie si l'arbre de la machine reste dans une plage spécifique de vitesses. Safe Direction contrôle que l'arbre tourne dans le bon sens.
Les drives, dispositifs de sécurité intelligents
Dans les spécifications de tous les drives, quel que soit leur fabricant, on voit que chacun est équipé d'une série de « sécurités ». Il s'agit alors de « protéger » la machine même (EN 50178/DIN VDE 0160), ce sont généralement des sécurités électriques : protection contre les courts-circuits entre phases et entre une phase et la terre, les courants thermiques, la perte de phase, la perte de phase de sortie, la surcharge du moteur, la surtension, la sous-tension, la survitesse, la surchauffe des IGBT, la surchauffe du dissipateur thermique et d'autres défauts internes).
Il est aussi logique qu'elles respectent la directive produit relative à la « protection physique de l'accès à la partie haute tension ». Par exemple, pour des puissances de 90 kW à 630 kW en 380/480 V, le boîtier doit avoir un indice de protection IP23 ou IP54 et un terminal de programmation doit être prévu afin de pouvoir régler et contrôler le drive « porte fermée ». C'est aussi le cas de la directive CEM (« la compatibilité électromagnétique », l'IEC 61800-3-12). Tout ça est la norme pour l'électronique de puissance.
Les fonctions supplémentaires qui ont trait à l'IEC-EN 61800-5-2 ne sont intégrées qu'aux régulateurs de fréquence plus chers, plus récents, et généralement en option. Mais elles facilitent un peu la vie du concepteur responsable des aspects « sécurité » de machines. Certaines marques proposent ces « options » sous forme de modules matériels. Dans les dernières générations, on les découvre aussi de plus en plus en tant qu'options logicielles. Simultanément, une certaine attention a été accordée à un meilleur signalement des pannes via l'interface opérateur.
