A2.3.2.5 catégorie 2, A2.3.2.6 catégorie 3, A2.3.2.7 catégorie 4 – Banner SC22-3E Safety Controller with Ethernet Manuel d'utilisation
Page 107: Contrôleur de sécurité sc22-3 appendice 2
MANUEL D’INSTRUCTIONS – VERSION EUROPÉENNE
135453 rév. A 01.07.08
93
Contrôleur de sécurité SC22-3
Appendice 2
A2.3.2.3 Surveillance des interrupteurs de verrouillage de
sécurité raccordés en série
Quand on surveille individuellement deux interrupteurs de verrouilla-
ge de sécurité (comme illustré en
), un interrup-
teur défaillant sera détecté s’il ne commute pas quand la protection
s’ouvre. Dans ce cas, le contrôleur désactive ses sorties de sécurité
(
) et annule sa fonction de réarmement jusqu’à ce
que les exigences d’entrées soient remplies (c’est-à-dire que l’inter-
rupteur défaillant soit remplacé). Cependant, si plusieurs interrup-
teurs de verrouillage de sécurité sont montés en série, la défaillance
d’un interrupteur dans le système peut être masquée ou ne pas être
du tout détectée (voir
et
Les circuits des interrupteurs de verrouillage de sécurité peuvent ne
pas correspondre aux exigences de ISO 13849 (EN954-1) catégorie
de sécurité 4 à cause de la possibilité d’un réarmement inapproprié
ou d’un risque de perte du signal d’arrêt de sécurité. Cela est du à
l’impossibilité d’exclure une défaillance de l’interrupteur de verrouilla-
ge de sécurité. Un raccordement multiple de ce type ne doit pas être
utilisé dans des applications dans lesquelles la perte du signal d’arrêt
de sécurité ou un réarmement inapproprié peut provoquer des bles-
sures graves, voire mortelles. Les deux scénarios suivants suppo-
sent deux interrupteurs de verrouillage de sécurité à ouverture posi-
tive sur chaque protection, tous les deux raccordés en série aux in-
terrupteurs de verrouillage de sécurité d’une seconde protection :
Exemple 1 – Défaillance cachée
Si une protection est ouverte, mais qu’un interrupteur de verrouillage
de sécurité ne s’ouvre pas, l’interrupteur de verrouillage de sécurité
redondant s’ouvre et fait que le contrôleur désactive ses sorties. Si la
protection défaillante est maintenant fermée, les deux canaux d’en-
trée du contrôleur se ferment mais, parce que un canal ne s’est pas
ouvert, le contrôleur ne réarme pas. Cependant, si l’interrupteur dé-
faillant n’est pas remplacé et que la seconde protection en bon état
est manipulée (ouverture et fermeture des deux canaux d’entrée du
Contrôleur), le contrôleur considère que la défaillance a été corrigée.
Comme les exigences d’entrée paraissent remplies, le contrôleur
autorise un réarmement. Le système n’est plus redondant et si le
deuxième interrupteur défaille, peut entraîner une situation non sûre
(c’est-à-dire que l’accumulation de défaillance a entraîné une perte
de la fonction de sécurité).
Exemple 2 – Non-détection d’une défaillance
Si une protection en bon état est ouverte, le contrôleur de sécurité
désactive ses sorties (réponse normale). Mais si une protection dé-
faillante est alors ouverte et refermée avant que la protection en bon
état ne soit refermée, la défaillance de la porte n’est pas détectée. Ce
système n’est plus redondant et peut entraîner une perte de sécurité
si le second interrupteur de sécurité ne s’ouvre pas au moment où il
le devrait.
Les systèmes de ces deux scénarios ne répondent pas de façon in-
hérente aux exigences des normes de sécurité concernant la détec-
tion des défaillances simples et l’interdiction du cycle suivant. Avec
les systèmes de protections multiples utilisant des interrupteurs de
sécurité en série, il est important de vérifier périodiquement le fonc-
tionnement individuel de chaque interverrouillage. Les opérateurs, le
personnel d’entretien et toutes les personnes associées à l’utilisation
de la machine doivent être formés afin de reconnaître ces défaillan-
ces et de savoir les corriger immédiatement.
Chaque protection doit être ouverte et refermée séparément pendant
que l’on vérifie que les sorties du contrôleur fonctionnent normale-
ment. Chaque fois que l’on ferme une protection, il faut effectuer, le
cas échéant, un réarmement manuel. Si un jeu de contacts est dé-
faillant, le contrôleur n’autorise pas la fonction de réarmement. Si le
contrôleur ne réarme pas, cela peut provenir d’un interrupteur dé-
faillant qui doit être remplacé immédiatement.
Il faut procéder à cette vérification et réparer toutes les défaillances
au moins pendant les vérifications périodiques. Si l’application ne
peut exclure ce type de défaillance et qu’une défaillance peut entraî-
ner des blessures sérieuses, voire mortelles, il ne faut pas utiliser le
raccordement en série des interrupteurs de sécurité.
A2.3.2.4 Connexions en série et considérations sur l’intégrité
du circuit de sécurité
A2.3.2.5 Catégorie 2
Une application de protection verrouillée à canal simple fournit géné-
ralement un niveau de performance des circuits de catégorie 2 car un
court-circuit peut entraîner la perte de la fonction de sécurité. Le prin-
cipe d’exclusion des défauts doit être intégré à la conception et à
l’installation, afin d’éliminer ou de faire passer à un niveau de risque
acceptable (minimum), la possibilité de défauts ou de défaillances
non détectés susceptibles d’entraîner la perte de la fonction de sécu-
rité. Le diagramme du circuit se trouve à la
.
A2.3.2.6 Catégorie 3
Une connexion à double canal connectant +24 Vcc est normalement
une application de catégorie 3, parce qu’une défaillance unique n’en-
traîne pas une perte de sécurité. La perte de l’action de commutation
d’un canal est détectée par l’action d’ouverture et de fermeture de la
protection, permettant à la fonction de surveillance des entrées de
sécurité de détecter la différence entre les canaux. Cependant, un
court-circuit entre les canaux d’entrée ou les sorties de sécurité peut
ne pas être détecté. Il faut remarquer qu’une accumulation de dé-
faillances peut entraîner la perte de la fonction de sécurité. Le princi-
pe d’exclusion de défaillances doit être incorporé dans la conception
et l’installation pour éliminer ou réduire à un niveau minimal (accep-
table) le risque, la possibilité de défaillances non détectées ou de dé-
faillances de mode commun ou catastrophique qui pourrait faire per-
dre la fonction de sécurité. Le diagramme du circuit se trouve à la
.
A2.3.2.7 Catégorie 4
Les entrées de sécurité à auto surveillance peuvent être interfacées
pour atteindre le niveau de sécurité de catégorie 4. Le principe d’ex-
clusion de défaillance doit être incorporé dans la conception et l’ins-
tallation pour éliminer ou réduire à un niveau minimal (acceptable) le
risque, la possibilité de défaillances non détectées ou de défaillances
de mode commun ou catastrophique qui pourrait faire perdre la fonc-
tion de sécurité. Le diagramme du circuit se trouve à la