Conception des circuits pneumatiques relatifs à la sécurité
Conception des circuits de commande pneumatiques relatifs à la sécurité
Catégories, Niveaux de Performance et calculs concrets –
L'exemple de l'IFA détaillé en détail ci-après montre qu'un résultat PL d est accessible avec une architecture relativement simple — un distributeur, un capteur, un automate — à condition que chaque décision de conception soit réfléchie en amont.
Or, dans la pratique industrielle, les circuits pneumatiques sont souvent conçus pour la performance et la productivité, et ce n'est qu'au moment de l'analyse des risques officielle — parfois à quelques heures de la mise en service — que l'on réalise que l'architecture ne permet pas d'atteindre le niveau de performance requis PLr. Reprendre l'architecture à ce stade coûte très cher, retarde la livraison et génère des compromis douteux.
Et si l'ajout d'un composant pneumatique reste techniquement faisable, il faut en parallèle retirer des câbles électriques et modifier le programme automate — ce qui met le projet en péril sur les trois plans à la fois : technique, délais et financier.
La bonne approche est inverse : devancer l'analyse de risque dès la phase d'avant-projet. Cela signifie concrètement :
▸ Identifier les mouvements dangereux avant même de choisir les composants ;
▸ Sélectionner des distributeurs avec des données B10D documentées — le fournisseur doit être en mesure de les fournir ;
▸ Dimensionner la cadence réelle (nombre d’opérations) pour calculer le MTTFd dès l'avant-projet ;
▸ Prévoir physiquement la séparation des voies dès le tracé du circuit, pas en rattrapage ;
▸ Intégrer le test fonctionnel (dans l’exemple analysé, la comparaison temps/distance) comme une exigence de conception, pas comme un ajout tardif.
Un concepteur qui maîtrise ces notions n'attend pas l'évaluation CE pour savoir si son circuit est sûr. Il le sait déjà, parce qu'il l'a conçu pour l'être.
Lorsqu'une machine comporte un mouvement dangereux — un vérin qui écrase, une presse qui frappe, un axe qui cisaille — il ne suffit pas de « mettre un bouton d'arrêt ». La réglementation européenne impose de prouver que la fonction de sécurité est suffisamment fiable, de façon quantifiée et documentée.
C'est exactement l'objet de la norme EN ISO 13849-1, qui s'applique à toutes les parties des systèmes de commande relatives à la sécurité (SRP/CS), qu'elles soient électriques, hydrauliques ou… pneumatiques.
1.1.1 La « Catégorie » : l'architecture du circuit
Une catégorie décrit comment les composants de sécurité sont organisés entre eux. Elle répond à la question : si un composant tombe en panne, la machine s'arrête-t-elle quand même de façon sûre ?
|
Catégorie |
Principe clé |
Redondance ? |
|
B |
Composants conformes aux règles de l'art, sans exigence supplémentaire |
Non |
|
1 |
Composants éprouvés, modes de défaillance bien connus |
Non |
|
2 |
Détection des défauts par test périodique ou dynamique |
Partielle |
|
3 |
Architecture redondante, défaut unique toléré |
Oui |
|
4 |
Redondance + détection immédiate de tout défaut |
Oui + contrôle |
1.1.2 Le « PL » : la probabilité de défaillance dangereuse
Le Niveau de Performance (PL) est une mesure quantitative du risque résiduel d'une fonction de sécurité. Il est exprimé de a (le plus faible) à e (le plus élevé) et correspond à une plage de probabilité de défaillance dangereuse par heure (PFHd).
PL a≥ 10⁻⁵/h
PL b≥ 3·10⁻⁶/h
PL c≥ 10⁻⁶/h
PL d≥ 10⁻⁷/h
PL e≥ 10⁻⁸/h
Le PLr (« r » pour requis) est issu de l'analyse de risque de la machine : il dépend de la sévérité de la blessure possible, de la fréquence d'exposition et de la possibilité d'évitement. Le concepteur doit ensuite démontrer que son circuit atteint ce PLr.
La catégorie n'est pas synonyme de PL. Une catégorie 2 avec de bons composants peut atteindre PL d, tandis qu'une catégorie 3 mal conçue peut ne pas dépasser PL c.
D'où vient cette norme ?
EN ISO 13849-1 est entrée en vigueur dans l'espace européen avec la Directive Machines 2006/42/CE. Elle sera remplacée en janvier 2017 par le règlement 2023/1230
Cet exemple, extrait directement du rapport IFA 2/2017, illustre comment un simple distributeur pneumatique peut atteindre le niveau de performance PL d en catégorie 2, à condition de soigner l'architecture, les données composants et la couverture des tests.
Architecture du sous-système pneumatique
Architecture Catégorie 2 : Il s'agit d'un système à un seul canal fonctionnel (un seul distributeur assure la coupure de l'air), mais auquel on ajoute un canal de test qui vérifie périodiquement que le distributeur est bien capable d'accomplir sa mission de sécurité.
1.1.3 Fonctions de sécurité
L’objectif de la fonction de sécurité est d’empêcher un mouvement dangereux d'un actionneur pneumatique (vérin) lorsqu'une situation de danger est détectée (ex. : arrêt d'urgence, ouverture d'un protecteur).
Arrêt d'un mouvement dangereux et prévention d'un démarrage inattendu à partir de la position de repos, mise en œuvre par ;
- La fonction SSC (Safe stopping and closing - Arrêt et fermeture sûrs - Arrêt et fermeture en toute sécurité, emprisonnement de l'air comprimé dans les deux chambres du piston sans contrôle de position en boucle fermée.
- et en cas de défauts détectés (détection de défaillance) par le SDE (Safe de-energisation - coupure de sécurité) - Mise hors tension en toute sécurité ; évacuation de la pression d'une partie d'une installation).
1.1.4 Description du fonctionnement
En fonctionnement normal :
Le distributeur pneumatique est alimentée électriquement → il laisse passer l'air → le vérin peut se déplacer normalement.
Les mouvements dangereux sont contrôlés par le distributeur 1V1
Lors d'une demande de sécurité (danger détecté) :
Principe de coupure par déconnexion (De-energize to safe)
En cas de panne électrique (coupure secteur, fil coupé, composant défaillant), le système va naturellement vers la sécurité sans aucune action supplémentaire. C'est ce qu'on appelle le principe de sécurité positive.
La logique de sécurité coupe l'alimentation électrique de la bobine (solénoïde) du distributeur.
Le distributeur se ferme (position de repos = position sûre, par ressort de rappel).
L'air est coupé ou évacué → le mouvement dangereux est stoppé ou rendu impossible.
Le test électronique est le point clé de la Catégorie 2 :
À intervalles réguliers (à chaque cycle machine, ou à chaque demande), le système teste activement le distributeur : il lui envoie un ordre de fermeture et vérifie, grâce à un retour d'information (capteur de position ou surveillance de pression), que le distributeur a bien répondu.
Si le distributeur ne répond pas correctement → le système détecte la défaillance et bloque le redémarrage de la machine.
· Ce que précise l’IFA
Une défaillance du distributeur 1V1 entre les tests fonctionnels peut entraîner la perte de la fonction de sécurité. La défaillance dépend de la fiabilité du distributeur.
Le test de la fonction de sécurité est forcé par l'automate K1 au moyen d'un système de mesure de déplacement 1S1. Le test a lieu à intervalles appropriés et en réponse à une demande de la fonction de sécurité. La détection d'une défaillance de 1V1 entraîne l'arrêt de la soupape d'échappement 0V1.
· L’arrêt du mouvement dangereux par la soupape d’échappement 0V1 provoque généralement un dépassement du point d’arrêt, en raison du volume d’air plus élevé à évacuer.
· La distance vis-à-vis de la zone dangereuse doit donc être définie en intégrant ce dépassement accru du point d’arrêt.
· Une défaillance de la fonction d'essai ne doit pas entraîner une défaillance du distributeur.
· Si l'air comprimé piégé présente un danger supplémentaire, des mesures supplémentaires sont nécessaires.
1.1.5 Caractéristiques de conception
· Les principes de sécurité fondamentaux et éprouvés sont respectés et les exigences de la catégorie B sont satisfaites c’est-à-dire le respect des principes de sécurité de base. On utilise des règles de conception connues et validées par les normes (ISO 13849-2): pas de nouvelles technologies expérimentales, uniquement des solutions dont le comportement en cas de panne est bien connu et documenté.
Elle implique :
- le choix de matériaux et procédés adaptés
- un dimensionnement correct des composants
- le respect des conditions d’utilisation (pression, température, cycles)
- l’application des bonnes pratiques d’ingénierie
- la prise en compte de l’environnement
- et le maintien de la qualité du fluide (air propre et non contaminé)
1V1 est un distributeur avec :
une position centrale fermée : quand il n'est pas sollicité électriquement, il bloque l'air
un chevauchement suffisant : il n'y a pas de fuite d'air pendant la transition entre deux positions (les voies se ferment avant de s'ouvrir)
et une position centrale centrée sur le ressort : si on coupe l'alimentation électrique, les ressorts ramènent automatiquement le distributeur en position centrale (= position sûre)
· La position de commutation de sécurité est atteinte par l'annulation du signal de commande : pour déclencher la sécurité, il suffit de couper le signal électrique au distributeur — pas besoin d'envoyer un ordre spécial. C'est le principe de sécurité positive :"pas de courant = sécurité". Une panne électrique provoque donc automatiquement l'arrêt sûr.
· Le contrôle peut consister en une vérification temps/distance via 1S1 et K1"
1S1 est un capteur de déplacement qui mesure la position/vitesse du vérin
K1 est l'automate de sécurité qui analyse ces données
si on commande l'arrêt, le vérin doit s'arrêter dans un temps et une distance prévisibles. Si ce n'est pas le cas → le distributeur n'a pas bien fonctionné → défaut détecté.
· K1 ne doit pas être utilisé pour l'entraînement électrique de 1V1.
Pour éviter qu'une panne de K1 neutralise à la fois la commande et la surveillance du distributeur, l'automate de sécurité K1 (qui fait le test et le diagnostic) ne doit pas être le même que celui qui commande normalement le distributeur en production.
Le testeur doit rester indépendant de ce qu'il teste.
· La fonction de désexcitation de 0V1 est vérifiée à intervalles appropriés (ex. quotidiennement)" pour éviter les défaillances systématiques ;
En plus du distributeur principale 1V1, il existe une soupape d'échappement 0V1 à un niveau supérieur (elle purge l'air de tout le circuit). Cette soupape est testée régulièrement (par exemple une fois par jour) pour s'assurer qu'elle fonctionne toujours.
Défaillance systématique : un composant qui n’est jamais sollicité peut se gripper ou se bloquer sans qu'on le sache. Un test régulier garantit qu'il reste opérationnel.
· À utiliser dans les applications où l'intervention de l'opérateur dans la zone dangereuse est peu fréquente : ce système est adapté aux machines où les interventions humaines dans la zone de danger sont rares. Si des opérateurs entraient très fréquemment, il faudrait des tests encore plus fréquents, ou une architecture plus robuste (Catégorie 3 ou 4).
· L'exigence est que le test doit être fait immédiatement à chaque demande de sécurité, et le temps total de mise en sécurité doit être plus court que le temps pour atteindre le danger
Le temps total de mise en sécurité doit être INFÉRIEUR au temps qu'il faut à une personne pour atteindre la zone dangereuse =
Temps pour détecter la panne
+ Temps pour couper l'air (dépressurisation via 0V1)
+ Temps d'arrêt effectif du mouvement (dépassement)
Si ce n'est pas respecté, le système de sécurité ne sert à rien car la personne serait déjà en danger avant que la machine s'arrête.
Opérateur entre dans la zone → Demande de sécurité
↓
K1 teste 1V1 immédiatement
↓
1V1 se ferme (ressort de rappel)
↓
0V1 purge l'air (dépressurisation rapide)
↓
Mouvement dangereux s'arrête
↓
Tout ça AVANT que l'opérateur soit en danger
1.1.6 Calcul du temps moyen avant défaillance MTTFd
Il faut calculer les 2 voies
C'est quoi le MTTFd ?
MTTFd = Mean Time To dangerous Failure = Durée moyenne avant qu'une défaillance dangereuse se produise
Plus ce chiffre est grand, plus le composant est fiable. Il s'exprime en années.
C'est quoi le B10d ?
Pour les composants mécaniques/pneumatiques (comme un distributeur), on ne parle pas directement en années mais en nombre de cycles :
B10d = nombre de cycles après lequel 10 % des composants ont subi une défaillance dangereuse
On convertit ensuite en années grâce au nombre de cycles effectués par an.
1.1.6.1 Voie 1 — Canal fonctionnel (le distributeur 1V1)
Données :
B10d de 1V1 = 20 000 000 cycles (valeur catalogue ou supposée)
Avec 240 jours/an × 16 h/jour × 3600 s/h ÷ 5 s/cycle le nombre d’opérations N op est de 2 764 800 cycles de commutation par an
Calcul du MTTFd :
MTTFd = B10d / 0,1 nop
Le facteur 0,1 signifie qu'on s'intéresse au moment où 10 % des distributeurs tombent en panne dangereuse (définition du B10d).
MTTFd = 20 000 000 / 0,1 x 2 764 800
MTTFd = 72,3 ans.
1.1.6.2 Voie 2 — Canal de test (1S1 + K1 + 0V1)
Ce canal est composé de 3 éléments en série — une défaillance de l'un d'eux suffit à rendre le test inopérant. On doit donc combiner leurs MTTFd.
|
Composant |
Type de donnée |
MTTFd |
|
1S1 (capteur déplacement) |
Donnée fabricant |
150 ans |
|
K1 (automate sécurité) |
Donnée fabricant ou supposé |
50 ans |
|
0V1 (soupape échappement) |
B10d = 20 000 000 cycles, 1 cycle/jour × 240 j/an = 240 cycles/an |
833 333 ans |
Calcul du MTTFd de 0V1 :
MTTFdOV1 = 20 000 000 / (0.1 x 240 = 833 333 ans
Elle est actionnée très rarement (1 fois/jour seulement pour le test), donc elle s'use très peu.
Combinaison des 3 composants en série : 
Le maillon le plus faible est K1 (50 ans) — c'est lui qui tire le MTTFd du canal de test vers le bas.
1.1.6.3 Vérification de la règle Catégorie 2
Le MTTFd du canal de test doit être au moins supérieur à la moitié du MTTFd du canal fonctionnel qu'il surveille — sinon il tomberait en panne avant d'avoir pu détecter la défaillance du canal principal
37,5 ≥ 36,15 → Condition respectée (de justesse !)
1.1.7 Couverture diagnostique DCavg
La couverture de diagnostic DC mesure la proportion de pannes dangereuses que le système arrive à détecter.
DC = 100 x pannes dangereuses DETECTEES / TOUTES les pannes dangereuses
Exemple:
Sur 100 pannes dangereuses possibles, le système de test en détecte 90. → DC = 90 %
Les niveaux de DC selon la norme
|
Niveau |
Valeur |
Ce que ça veut dire |
|
Nul |
< 60 % |
Peu de pannes détectées |
|
Faible |
60 – 90 % |
Détection partielle |
|
Moyen |
90 – 99 % |
Bonne détection |
|
Élevé |
≥ 99 % |
Quasi tout est détecté |
DCavg — couverture de diagnostic moyenne "average"
Un système de sécurité est composé de plusieurs composants, chacun avec sa propre DC.
La DCavg est simplement la moyenne pondérée de toutes ces DC individuelles, en tenant compte de la fiabilité de chaque composant.
Analogie pour bien comprendre
Imaginez un filet de sécurité sous un acrobate :
Le filet = votre système de sécurité
Les trous dans le filet = les pannes dangereuses non détectées
La DC = le pourcentage de surface du filet sans trous
DC = 60% → [ ░░░░░░░░░░░░░░░░░░░░ ] beaucoup de trous
DC = 90% → [ ████████████░░░░░░░░ ] quelques trous
DC = 99% → [ ████████████████████ ] presque aucun trou
Le test consiste à comparer la caractéristique distance/temps du mouvement dangereux avec l'état de commutation de 1V1, via l'automate K1. Si le mouvement ne se produit pas dans le délai prédéfini, K1 commande l'ouverture de la soupape d'échappement 0V1.
|
Composant testé |
Type de test |
DC estimée |
Qualification |
|
1V1 (distributeur) |
Comparaison temps/distance |
60 % |
DC faible |
|
0V1 (soupape) |
Test fonctionnel quotidien |
— |
Vérification systématique |
Il s'agit d’une DCavg "faible".
D'où vient le chiffre 60 % concrètement ?
Il ne se calcule pas — il se lit dans un tableau normatif (Annexe E de l'ISO 13849-1) selon le type de test utilisé :
|
Type de test |
DC estimée |
|
Pas de test |
0 % |
|
Test indirect / partiel (comme temps/distance) |
60 % |
|
Test direct avec retour de position confirmé |
90 % |
|
Test redondant croisé complet |
99 % |
Le test temps/distance est considéré comme indirect : on ne vérifie pas directement la position physique du distributeur, on déduit son comportement à partir du mouvement du vérin.
1.1.8 Mesures adéquates contre les défaillances de cause commune (CCF)
Une CCF, c'est le risque qu'un seul événement détruise toute votre redondance d'un coup — comme une panne de courant qui éteint simultanément vos deux systèmes de secours
Dans un système de sécurité, on utilise souvent deux voies (deux canaux) pour se protéger :
Si l'un tombe en panne, l'autre prend le relais"
Mais si les deux tombent en panne en même temps, pour la même raison ?
C'est ça une Défaillance de Cause Commune.
Exemples
|
Cause commune |
Effet |
|
Surtension |
Grille les deux capteurs en même temps |
|
Température excessive |
Bloque les deux distributeurs simultanément |
|
Vibrations |
Dessoude les deux cartes électroniques |
|
Mauvaise maintenance |
Les deux voies mal réglées de la même façon |
|
Corrosion / humidité |
Attaque les deux composants identiques |
|
Erreur de conception |
Un défaut de logiciel présent dans les deux automates |
Sans CCF :Voie 1 tombe en panne → probabilité : 1/1000Voie 2 tombe en panne → probabilité : 1/1000 Les deux en même temps → 1/1000 × 1/1000 = 1/1 000 000 = très rare
Avec une CCF :
Un seul événement → les DEUX voies tombent en panne
→ Probabilité: 1/1000 = beaucoup plus probable !
La redondance (avoir deux voies) ne sert à rien si les deux peuvent être neutralisées par la même cause.
La norme ISO 13849-1 impose un score CCF minimum de 65 points sur 100, obtenu en appliquant des mesures concrètes :
|
Mesure |
Exemple concret |
Points |
|
Séparation physique |
Câbles des deux voies dans des chemins différents |
15 pts |
|
Diversité |
Utiliser deux technologies différentes (ex. un capteur mécanique + un capteur inductif) |
20 pts |
|
Protection environnementale |
Protéger contre surtensions, température, humidité |
25 pts |
Dans l’exemple de notre schéma, pour atteindre le seuil requis de 65 points, les mesures suivantes sont mises en œuvre (total : 85 points) :
|
Mesure |
Points |
|
Séparation physique des voies |
+15 pts |
|
Diversité technologique (pneumatique / électronique) |
+20 pts |
|
Protection contre surtensions et perturbations |
+15 pts |
|
Conditions environnementales (vibrations, température. compatibilité Électromagnétique) |
+25 + 10 pts |
La combinaison des éléments de commande pneumatiques satisfait à la catégorie 2 avec un MTTFd élevé (72,3 ans) et une faible DCavg (60%).
Il en résulte une probabilité moyenne de défaillance dangereuse PFHd de 7,6 - 10-7 par heure.
La combinaison de ces paramètres permet d'atteindre PL d (probabilité de défaillance dangereuse ≈ 10⁻⁷ à 10⁻⁶ par heure).
Tableau et graphe sont extraits de la norme ISO 13849-1
|
Paramètre |
Valeur |
|
Architecture |
Catégorie 2 |
|
MTTFd voie fonctionnelle |
72,3 ans (Élevé) |
|
MTTFd voie de test |
37,5 ans (règle 50 % respectée) |
|
DCavg |
60 % (faible) |
|
CCF |
85 points (≥ 65) |
|
PFH moyen (PFHavg) |
7,6 × 10⁻⁷ / h |
|
Niveau de Performance atteint |
PL d |
|
Remplacement préventif 1V1 |
Tous les 7,2 ans (T10D) |
En résumé :
Le distributeur fait la sécurité, et le test électronique surveille la distributeur — c'est cette surveillance qui justifie l'atteinte du PLd malgré l'absence de redondance physique.
Limites importantes à retenir
1 - Ce résultat ne concerne que la partie pneumatique. L'ajout d'autres sous-systèmes SRP/CS (capteurs de protection, interfaces électriques…) peut réduire le PL global. Le maillon le plus faible de la chaîne de sécurité détermine le résultat final.
2 - En Catégorie 2, une défaillance non détectée entre deux tests peut passer inaperçue — c'est pourquoi la fréquence des tests doit être adaptée à la fréquence d'utilisation de la machine.
3 - Pour les systèmes pneumatiques/hydrauliques, certains organismes (dont l'INRS en France) recommandent de préférer la Catégorie 3 dès que possible, car la Catégorie 2 reste un canal unique.
Exemple tiré de l'IFA Report 2/2017 – Functional safety of machine controls – Application of EN ISO 13849
L’IFA (Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung, DGUV), organisme allemand de référence en sécurité au travail et prévention des risques, publie des règles (BG-Regeln), des rapports techniques (IFA-Reports) et des recommandations. Ces documents, comme l’IFA Report 2/2017, influencent les normes européennes et internationales, notamment en sécurité des machines.
C’est l’équivalent allemand de l’INRS français