Quiconque a déjà eu un pneu crevé sait à quel point cela peut être désagréable. Surtout sur la route des vacances, d'un rendez-vous important ou la nuit sur une route de campagne isolée. Afin de pouvoir continuer dans de tels cas à rouler pendant un temps limité, l'industrie du pneu a développé des pneus à roulage à plat avec lesquels il est possible de se rendre à l'atelier le plus proche en roulant à vitesse réduite.
Dans quelle mesure ce concept peut-il être transféré aux concepts de fabrication automatisée, notamment dans le domaine de la technique de sécurité ?
État sécurisé
Avec les concepts de sécurité actuels, si une défaillance liée à la sécurité se produit, l'état de sécurité est généralement rétabli le plus rapidement possible, même si la plupart des fonctions de sécurité sont conçues de manière redondante pour des niveaux d'intégrité de sécurité (SIL) ou des niveaux de performance (PL) particulièrement élevés.
Par exemple, dans le cas d'un court-circuit transversal entre deux canaux du circuit de détection d'un bouton d'arrêt d'urgence, les mouvements présentant un danger sont immédiatement interrompus.
C'est pourquoi un groupe de travail du ZVEI, avec la participation de plusieurs entreprises membres et d'un institut, s'est penché sur la question de savoir dans quelle mesure la poursuite de l'exploitation d'un système d'automatisation présentant une défaillance critique pour la sécurité pendant une période limitée est autorisée d'un point de vue normatif.
Fonctionnement de la machine en état dégradé
Dans des installations de technologie des procédés, certaines étapes de production présentant des paramètres de processus critiques peuvent être menées à terme, en fonction de l'affichage lorsqu'une défaillance se produit et de l'état affiché de « fonctionnement dégradé ». Au plus tard lorsque la durée maximale de fonctionnement admissible en « état dégradé » est atteinte, l'état sûr doit être obtenu par un « décideur ».
Dans le cadre d'une analyse du type d'erreurs et de leur impact, une distinction est faite entre deux types d'erreurs. En cas d'erreurs non tolérables, la poursuite du fonctionnement sécurisé ne peut être garantie et une immobilisation immédiate doit avoir lieu. Les erreurs tolérables permettent de poursuivre le fonctionnement pendant un temps limité, à condition que, par exemple, une deuxième voie d'arrêt indépendante puisse exécuter correctement la fonction de sécurité.
Calcul de la probabilité de défaillance
Les normes pertinentes EN ISO 13849 ou CEI 62061 ne contiennent aucune exigence concernant les réactions immédiates ou instantanées en cas d'apparition d'une erreur. En outre, les modèles de calcul de la probabilité de défaillance (PFHd) autorisent également une certaine marge de manœuvre car la probabilité de défaillance reste faible au début dans les architectures redondantes et n'augmente qu'après un certain temps. Selon l'évaluation des risques et la qualité des mesures de contrôle des erreurs utilisées, le délai jusqu'à l'arrêt par le « décideur » peut être fixé à une semaine au maximum. La méthode de calcul alternative sur laquelle se base la norme EN 62061 définit un intervalle de test de diagnostic qui représente également une proportion négligeable du PFHd dans la pratique.
Il est toutefois nécessaire pour ces deux méthodes de calcul que la fonction de sécurité réalisée présente une réserve suffisante en cas de défaillance et que les exigences relatives aux défaillances de même cause (Common Cause Failure) aient été prises en compte.
Mesures de sécurité supplémentaires
L'idée d'un décideur activant des mécanismes de sécurité alternatifs ou complémentaires en cas de défaillance poursuit une approche différente. Le décideur pourrait ainsi en cas de défaut lors de la surveillance des limites de vitesse de sécurité dans un système d'entraînement (SLS selon EN 61800-5-2) n'autoriser que le fonctionnement à vitesse réduite. La limitation de la vitesse abaisse le niveau de réduction des risques requis de PL d à PL c. On trouve aussi parmi les domaines d'application concrets les systèmes de transport sans conducteur (AGVS) sur lesquels le contrôle de l'itinéraire découle du dimensionnement du champ de protection d'un scanner laser en fonction de la vitesse.
Perspective
Les auteurs du livre blanc publié par ZVEI concluent que l'évaluation des mesures décrites est conforme aux objectifs de protection de la directive relative aux machines et ne contredit pas les normes harmonisées EN ISO 13849 et EN 62061.
Le facteur décisif pour l'acceptation sera de savoir si l'avantage offert par la possibilité d'un « fonctionnement dégradé » peut être évalué de manière mesurable. Dans le contexte de la mise en réseau croissante, la capacité de diagnostic des différents composants revêt une importance particulière du point de vue de la disponibilité des installations.
Signalisation d'erreur active dans l'industrie des process
Ce qui relève encore de l'imagination dans le domaine de la construction mécanique fait déjà partie des règles de l'art dans de nombreux domaines de l'industrie des process. Les modules passerelle sécurisés de la famille PSRmini sont par exemple équipés d'un retour d'erreur actif qui permet à l'automate de sécurité de niveau supérieur SIS (Safety Instrumented System) d'effectuer une évaluation de sécurité. Et cela, sans qu'il ne soit nécessaire d'utiliser des entrées TOR pour la relecture des contacts NF. Le retour d'erreur actif du relais de couplage entraîne un déséquilibre d'impédance de la sortie TOR de sécurité. La décision de poursuivre le service ou de déclencher d'autres réactions aux erreurs est donc toujours prise dans l'unité centrale CPU du système de sécurité (SIS).