La sécurité des machines automatisées - Analyse des risques ... - Irsst
La sécurité des machines automatisées - Analyse des risques ... - Irsst
La sécurité des machines automatisées - Analyse des risques ... - Irsst
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
IRSST - <strong>La</strong> <strong>sécurité</strong> <strong>des</strong> <strong>machines</strong> <strong>automatisées</strong><br />
<strong>Analyse</strong> <strong>des</strong> <strong>risques</strong> et <strong>des</strong> moyens de protection sur une presse à injection de plastique<br />
57<br />
ANNEXE A : SÉCURITÉ DES SYSTÈMES COMMANDÉS PAR DES API<br />
A.1 Introduction à la <strong>sécurité</strong> <strong>des</strong> systèmes commandés par <strong>des</strong> API<br />
Un automate programmable, aussi connu comme automate programmable industriel (API) est<br />
défini par la norme CEI 61131-1 comme étant :<br />
« un système électronique fonctionnant de manière numérique, <strong>des</strong>tiné à être<br />
utilisé dans un environnement industriel qui utilise une mémoire programmable<br />
pour le stockage interne <strong>des</strong> instructions orientées utilisateur aux fins de mise en<br />
œuvre de fonctions spécifiques, telles que <strong>des</strong> fonctions de logique, de mise en<br />
séquence, de temporisation, de comptage et de calcul arithmétique, pour<br />
commander au moyen d’entrées et de sorties tout-ou-rien ou analogiques divers<br />
types de <strong>machines</strong> ou de processus ».<br />
Par ailleurs, un automate programmable standard n’est pas conçu pour gérer <strong>des</strong> fonctions de<br />
<strong>sécurité</strong>. En effet, l’INRS recommande de ne pas faire confiance au seul API pour assurer la<br />
gestion <strong>des</strong> fonctions de <strong>sécurité</strong> [12]. Une défaillance de l’API peut engendrer un mouvement<br />
dangereux conduisant à un accident. Ce comportement est dû au fait qu’un API standard n’a pas<br />
été conçu pour détecter toutes ses défaillances internes et adopter une position de repli en<br />
<strong>sécurité</strong> lorsque celles-ci se produisent. Donc, une logique câblée extérieure à la commande<br />
gérée par l’API (commande du processus) est préférable afin qu’il n’existe pas de liaison directe<br />
entre une commande intempestive provenant de l’API et le mouvement dangereux. Un circuit à<br />
base de logique câblée agirait en priorité soit directement sur la puissance, soit sur l’API en<br />
coupant l’alimentation <strong>des</strong> cartes de sortie [13]. L’IRSST a aussi produit un document suggérant<br />
<strong>des</strong> règles de <strong>sécurité</strong> pour l’utilisation <strong>des</strong> API [13]. En résumé, les <strong>risques</strong> spécifiques <strong>des</strong> API<br />
sont les suivants :<br />
• Les programmes qui peuvent initialement être bien élaborés, peuvent être<br />
malencontreusement modifiés par un intervenant imprudent ou mal informé. Cette<br />
modification du programme initial peut être rendue nécessaire par l’évolution du système<br />
automatisé. Des modifications de programme sans aucune documentation, surtout <strong>des</strong><br />
programmes gérant <strong>des</strong> fonctions de <strong>sécurité</strong> sont dangereuses.<br />
• L’API demeure un appareil électronique et prévoir les mo<strong>des</strong> de défaillances en cas<br />
d’incident, notamment sous l’effet d’influences externes (ex. température, poussière,<br />
humidité, vibrations, parasites électromagnétiques ou électrostatiques) est difficile.<br />
• L’API possède une unité centrale et un système de traitement à canal unique et peut avoir un<br />
mode commun de défaillance. L’architecture interne de l’API n’a pas été conçue pour gérer<br />
<strong>des</strong> fonctions de <strong>sécurité</strong>. Cependant, la fiabilité globale d’un automate programmable<br />
dépend surtout du nombre et de la fiabilité de ses cartes d’entrée/sortie. Dans un ensemble<br />
automatisé, 90 à 95% <strong>des</strong> défauts matériels sont extérieurs à l’automate et proviennent avant<br />
tout <strong>des</strong> capteurs et de leurs liaisons, <strong>des</strong> actionneurs et pré-actionneurs et de leurs liaisons.<br />
Néanmoins, même si les processeurs <strong>des</strong> API actuels ont atteint <strong>des</strong> taux de défaillances<br />
particulièrement bas, il n’est généralement pas recommandé d’utiliser un API standard pour<br />
gérer <strong>des</strong> fonctions de <strong>sécurité</strong> sur les systèmes automatisés.