G uide d’achat

SÛR E T É I N D U S T R I E L L E

Automates de sécurité

Les automates de sécurité remplacent avantageusement les fonctions de sécurité assurent que l’opérateur est à son poste avant
à base de logique câblée. Ils réduisent les coûts de câblage, apportent des fonctions de pouvoir démarrer une opération, ainsi
de diagnostic, facilitent la maintenance et la modification des installations. Mais que les poignées “homme mort”, qui acti-
attention à bien faire la distinction entre les produits prévus pour la sécurité des vent des modes particuliers pour la mainte-
machines et ceux prévus pour la sécurité des process (continus ou batch). En cas nance ou le dépannage d’une machine dan-
de défaut, les premiers visent l’arrêt de la machine à tout prix, tandis que les gereuse (en limitant la vitesse du bras d’un
seconds doivent laisser la possibilité d’agir sur le process pour le recadrer. robot, par exemple).
Dès que l’un de ces capteurs de sécurité
remonte un défaut, l’alimentation de la ma-

L
chine doit être coupée le plus rapidement
orsque l’on évoque les automates Afin de protéger l’opérateur qui pilote une possible. Une machine doit d’ailleurs être
de sécurité, il faut faire dès le machine, celle-ci doit pouvoir être arrêtée à conçue de telle manière que les pièces tour-
départ la distinction entre deux la moindre détection de panne ou de danger. nantes soient freinées ou bloquées en l’ab-
grandes familles d’applications. A l’inverse, sur un processus continu, assurer sence de courant. Mais il faut être sûr que
On trouve d’un côté les produits utilisés la sécurité des opérateurs et des installations l’information de la détection du défaut par-
pour assurer la sécurité des machines (et des consiste justement à ne pas arrêter le pro- vienne à remonter jusqu’à la machine. Pour
chaînes de fabrication en général) et, de cédé à la moindre déviation. On s’attache cela, c’est toute la chaîne de sécurité qui doit
l’autre, les produits spécialisés dans la sécu- plutôt à respecter une succession d’étapes être attentivement étudiée. Les capteurs de
rité des process continus. Les différences coordonnées pour effectuer l’arrêt dans des sécurité sont conçus pour être moins sujets
entre les deux sont nombreuses, tant du conditions sûres. C’est pourquoi l’on appli- aux pannes que des capteurs classiques. Ils
point de vue des performances, de la tolé- que un principe de “tolérance aux fautes” utilisent des composants spéciaux qui pré-
rance aux pannes que de la logique de pro- (fonctionnement malgré la présence d’un sentent une meilleure résistance mécanique
grammation. Les normes, surtout, sont dif- défaut), tandis que l’on parle uniquement (en étant moins sujets au vieillissement) et
férentes d’un secteur à de “gestion des modes d’arrêt” pour les ap- une conception électrique particulière (l’in-
L’essentiel l’autre (même s’il est plications machines. formation est systématiquement doublée).
souvent possible d’ef- Mais pour le reste de la chaîne de sécurité,
 On distingue deux grandes
fectuer quelques paral- La sécurité des machines c’est à l’industriel qu’il revient de faire des
familles d’automates
de sécurité, selon qu’ils lèles). Seul point com- Pour assurer la sécurité des opérateurs (et choix en fonction de la dangerosité et de la
s’adressent à des mun entre ces dans une moindre mesure protéger les ins- taille de l’application.
applications “machines” solutions : leur finalité. tallations), les considérations de disponibi-
ou “process”. Dès qu’il s’agit de sé- lité sont mises à l’écart. Au moindre doute,
 Les normes sont différentes curité, on pense tou- la production est interrompue pour éviter
entre les deux secteurs. jours en premier lieu à tout risque de blessure. Pour cela, les instal-
Les produits diffèrent aussi protéger les hommes. lations sont équipées de nombreux disposi- Dans le domaine
de la sécurité
par leurs performances, Viennent ensuite la tifs de détection. C’est ce que l’on appelle les machines, plusieurs
leur niveau de redondance, protection des installa- “fonctions de sécurité”. Il peut s’agir de cap- formats sont
leur modularité et leurs tions, puis celle de teurs situés dans la machine (des boutons disponibles, depuis
fonctions de diagnostic. les automates
l’environnement. d’arrêt d’urgence ou des capteurs de fin de compacts jusqu’aux
 Remplaçants d’une approche S’il existe une telle dif- course, par exemple), ou de dispositifs qui systèmes modulaires
à base de logique câblée, férence entre les solu- repèrent la présence d’un opérateur dans (comme ici au
les automates de sécurité tions machines et pro- une zone dangereuse : interrupteurs placés centre de la photo).
apportent davantage
Hima

d’ouverture, réduisent les
coûts de câblage et
facilitent la maintenance.
cess, c’est que le concept sur les portes, barrières immatérielles et tapis
même de sécurité est de détection. On inclut également tous les
envisagé de manière équipements de forçage (ou “bypass”) : les
totalement opposée. pédales et les commandes bimanuelles, qui

MESURES 815 - MAI 2009 - www.mesures.com

44

Siemens
Logique programmable ou simple
relais de sécurité ?
Première question à se poser : l’application
est-elle suffisamment complexe pour justi-
fier l’emploi d’un automate de sécurité ? Si
non, elle peut peut-être se satisfaire d’une
solution à base de relais de sécurité. Il s’agit
de relier chaque capteur à un relais, ce dernier
étant relié aux autres de manière à assurer le
déclenchement de l’arrêt de la machine sous
certaines conditions. On parle de “logique à
relais” ou encore de “logique câblée”. Cette
solution présente l’inconvénient d’un coût
de câblage important. D’autant plus impor-
tant lorsque les capteurs sont éloignés de
l’armoire où sont intégrés les relais. « Les
coûts de câblage sont souvent négligés, or il s’agit
toujours d’un des principaux postes de dépense pour
la sécurité machines », commente Francis
Bossu, responsable marketing France pour
l’offre sécurité machines et relais chez
Schneider Electric. Avec un automate de sécu-
rité, le câblage est réduit car les informations
passent dans la plupart des cas par un bus de
données. De plus, le branchement des entrées
se fait sans contrainte particulière puisque la
configuration s’effectue entièrement de ma-
nière logicielle.
Pour faire son choix entre logique câblée et
système à base d’automate, on étudiera donc
d’abord la taille de l’application, en portant
MESURES 815 - MAI 2009 - www.mesures.com
une attention particulière au nombre de
zones à surveiller. En effet, on préférera opter
pour une solution à base d’automates dès
lors qu’une application fait intervenir plu-
sieurs zones de sécurité distinctes. En gardant
à l’esprit que toute fonction même com-
plexe peut être réalisée par de la logique
câblée (c’est d’ailleurs cette logique que l’on
reproduit lorsque l’on programme un auto-
mate). Il sera tout à fait possible, par exem-
ple, de concevoir des applications complexes
telles que le “muting” d’une barrière imma-
térielle de sécurité (cette fonction distingue
une pièce en transit sur un tapis roulant et
d’un opérateur). Et cela d’autant plus aisé-
ment que la plupart des fabricants d’équipe-
ments de sécurité proposent des modules
spécialement conçus pour leurs produits, et
qui simplifient le câblage. Il est également
possible de monter un certain nombre de
relais en série, de telle sorte que le déclen-
chement de n’importe laquelle des fonctions
de sécurité entraîne l’arrêt de la machine.
Mais encore une fois, dès lors qu’une instal-
lation comporte plusieurs zones intercon-
nectées, l’architecture se complique et devient
vite difficile à réaliser et à maintenir en logi-
que câblée. Il faut notamment que certaines
machines continuent de fonctionner même
si un interrupteur a été déclenché ailleurs.
Dans le cas d’une chaîne de production, par
exemple, il faut pouvoir libérer et sécuriser
Depuis le début des années 2000, les automates de sécurité
s’intègrent aux plates-formes des systèmes de contrôle.
Des architectures centralisées qui peuvent atteindre les mêmes
niveaux de sécurité que les systèmes séparés, mais qui diminuent
le nombre de câbles parcourant l’usine.
des zones les unes après les autres, au fur et
à mesure de la progression du produit sur la
chaîne. Et dans le cas d’opérations de main-
tenance, il peut être utile de mêler le muting
des barrières immatérielles avec la gestion
d’une poignée homme mort, tout en con-
trôlant des gâches temporisées (pour inter-
dire l’accès à une machine tant que les par-
ties tournantes ne sont pas totalement
arrêtées).
L’importance du diagnostic
Le principal point faible de la logique câblée,
outre son coût, est qu’elle n’apporte aucune
fonction de diagnostic. En effet, avec plu-
sieurs boutons d’arrêt d’urgence reliés en
série à un seul module (ou relais) de sécu-
rité, il est impossible de savoir lequel a été
déclenché (et quand il a été déclenché). Le
redémarrage de la machine peut être forte-
ment retardé, surtout si ces boutons d’arrêt
d’urgence sont répartis sur de grandes dis-
tances, et on perd en productivité. A l’in-
verse, en optant pour un automate de sécu-
rité qui centralise toutes les fonctions en une
application unique, on accède à des possibi-
lités de gestion beaucoup plus avancées. Un
automate de sécurité connecté au système
de supervision affichera l’état du système en
temps réel, avec des informations sur le bou-
ton ou l’interrupteur qui vient d’être déclen-
ché. Mais il sera aussi utile à la traçabilité :
relié à un serveur de stockage des données,
il établira un historique de tous les change-
ments d’états et de toutes les alarmes, mais
aussi gardera en mémoire le nom des per-
sonnes qui ont apporté des modifications à
l’installation. Enfin, l’automate de sécurité
assure l’horodatage des alarmes. Lorsqu’un
grand nombre d’alarmes est généré, il est
utile de savoir laquelle a été à l’origine du
problème. « Au final, grâce à la hausse en produc-
tivité ainsi qu’à la réduction de la quantité de câbles
et du temps d’installation, on estime que le passage
d’une solution à base de logique câblée à une solution
avec automate de sécurité conduit à des économies en
temps et en argent de l’ordre de 15 et 25 % », dé-
clare Frédéric Jeanparis, responsable produits
automates de sécurité chez Siemens. Reste ➜
45
Guide d’achat

L’aspect normatif : la directive machines

La norme européenne EN 954-1 est sur le point d’être définitive-
ment remplacée. Elle définissait des catégories de sécurité
adaptées davantage à la logique câblée qu’aux architectures
à base d’automates. L’application des nouvelles normes
EN ISO 13849-1 et EN 62061 sera obligatoire à partir de 2010.
La norme EN ISO 13849-1 présente des principes généraux
de conception relative à la sécurité des machines. Elle reprend
le concept de niveaux de sécurité introduit en 1996 par la
954-1, mais y ajoute celui de niveaux de performance (PL, pour
Performance Level). Ces derniers sont déterminés en fonction de
la durée d’utilisation prévue de la machine et du type d’architec-
ture mis en place. La norme EN 62061 fournit aux constructeurs
de machines des indications sur les moyens d’atteindre ces
niveaux de performances. Elle innove par sa vision globale de la
chaîne de sécurité. Cela passe par la prise en compte des
caractéristiques propres à chacun des éléments de la chaîne.
Désormais, choisir des équipements certifiés individuellement par
leurs fabricants n’est plus une garantie d’atteindre un niveau
donné de sécurité. La conception de l’application doit prendre en
compte les MTBF (temps moyens avant panne) et MTTR (temps
moyens de réparation) de tous les équipements électriques et
électroniques utilisés dans la machine.

➜ à l’industriel de choisir l’automate de relativement figé. “Relativement”, car les

sécurité le plus adapté à son application.
Différents formats d’automates
de sécurité
Les constructeurs d’automates de sécurité
proposent deux grandes catégories de pro-
duits : les automates compacts et les auto-
mates modulaires. Les versions compactes
s’installent sur rail-DIN ou se montent direc-
tement dans la machine. Elles proposent un
nombre d’Entrées/Sorties (E/S) faible et
Les réseaux de sécurité
Les automates de sécurité utilisent un réseau
spécifique pour piloter les capteurs et actionneurs
de sécurité, gérer les blocs d’E/S déportés et
derniers modèles du marché présentent des
voies configurables, c’est-à-dire que l’on
peut utiliser en tant qu’entrée ou en tant que
sortie selon les besoins. La configuration se
fait par le logiciel fourni avec l’automate. On
réservera les automates compacts aux appli-
cations ayant des besoins faibles en nombre
d’E/S ainsi qu’aux applications fortement
distribuées (plusieurs îlots distants). Et il va
de soi que le fait d’avoir un nombre d’En-
trées/Sorties fixe limite les possibilités
d’évolution de l’architecture.
Les automates modulaires, inversement,
pourront évoluer avec les besoins de l’appli-
cation. De par leur conception (un châssis à
installer dans un rack, sur lequel se connec-
tent des cartes d’alimentation, des cartes
processeur et des cartes d’E/S), ils prennent

remonter des informations de diagnostic.
Les principaux constructeurs d’automates
proposent des protocoles dérivés de leurs réseaux
traditionnels, qu’il s’agisse de bus de terrain ou
de réseaux basés sur Ethernet. Dans la plupart des
cas, le réseau de sécurité utilise le même support
physique que pour le réseau d’automatismes.
Les trames de sécurité sont vues à la fois par
l’automate de contrôle et l’automate de sécurité.
L’avantage étant que l’automate de contrôle
peut tirer profit d’être ainsi averti au plus tôt d’un
défaut pour lancer des procédures d’arrêt sans
risquer d’endommager la machine. Mais il ne peut
agir directement sur les fonctions spécifiques
à la sécurité. Les trames de sécurité restent
entièrement de la responsabilité de l’automate de
sécurité. Il s’agit de trames spécifiques incluant
une série d’autocontrôles. Les automates doivent
vérifier qu’il s’agit bien d’une trame de sécurité,
qu’elle est intègre, mais aussi qu’ils la reçoivent au
bon moment. Sur un bloc d’E/S classique, par
exemple, il est difficile de détecter la rupture d’un
câble. A l’inverse, un automate de sécurité
se met en défaut et génère une alarme dès que le
signal n’est plus réceptionné.
en charge un très grand nombre d’E/S (plu-
sieurs dizaines de milliers). Ce qui les destine
aux applications les plus complexes.
Quel que soit le format choisi, reste la pos-
sibilité d’employer des blocs d’E/S déportés.
Il s’agit de modèles très proches de ceux uti-
lisés pour les E/S classiques, mais ils bénéfi-
cient d’une redondance sur tous leurs ports
(les entrées comme les sorties). L’avantage
est de n’avoir qu’un câble à tirer pour aller
vers une zone de production distante, diffi-
cile d’accès ou soumise à des conditions
environnementales rigoureuses. C’est pour-
quoi, comme pour les boîtiers d’E/S déportés
classiques, il existe chez certains construc-
teurs des versions particulièrement robustes,
étanches à l’eau et à la poussière (indice de
protection IP67).
Intégrer l’automate de sécurité
dans l’automate de contrôle ?
La possibilité de regrouper fonctions d’auto-
matismes et fonctions de sécurité au sein
d’un même système est d’actualité. Sur ce
point, plusieurs écoles s’affrontent. Pour
Schmersal
Les systèmes modulaires sur rail DIN offrent l’avantage d’une
grande flexibilité, que ce soit en nombre d’Entrées/Sorties
ou en redondance. Les unités centrales peuvent être doublées,
de même que les modules d’alimentation ou de communication.
Frédéric Jeanparis (Siemens), « c’est en choisis-
sant une architecture commune pour les automatismes
et la sécurité que les gains sont les plus importants ».
Les produits intégrés se présentent sous la
forme de cartes de sécurité à insérer dans le
châssis utilisé pour l’application de contrôle.
Elles restent facilement identifiables dans le
châssis car elles sont de couleurs différentes.
Premiers arguments en faveur de cette inté-
gration : une réduction encore plus poussée
du câblage, un encombrement diminué (on
utilise le même châssis), et le fait d’utiliser
un seul environnement logiciel. En effet, les
constructeurs qui proposent des architectures
intégrées font de même pour leurs ateliers
de développement. Il s’agit le plus souvent
de modules spécialement dédiés à la sécurité
qui sont rajoutés au logiciel d’automatismes.
Les temps de conception s’en trouvent ➜

MESURES 815 - MAI 2009 - www.mesures.com

46
 Guide d’achat
Offre des principaux fournisseurs
Marque Référence Norme Nombre d’E/S Protocole Temps Modularité Dimensions, Tension Fixation Principales Principales
(distributeur) de sécurité réseau de cycle poids d’alim. caractéristiques applications
ABB Triguard SIL 3 selon Jusqu’à Liaison série NC Oui, modules Par carte : 24 Vcc ou Châssis Triple redondance, Process critiques,
SC300E CEI 61508 9 500 E/S multipro- à 32 ou 64 E, 28 x 365,8 x 110/240 19’’ cartes remplaçables ESD, F&G, BMS,
tocole 16 ou 32 S, 394 mm Vca à chaud turbines
32 E ana, 4 S
ana, 8 timers
Asteel Sensor Série SE Catégorie 4 4 E et 1 S, 2 S NC NC Oui, Modules de 24 Vcc Rail DIN Mini-automate Sécurité machines
(SEM - SEE - selon signalisation modules E 22,5 mm de “safetyhub”
SES) EN 954-2 et 4 E (jusqu’à 26) largeur compact et
paramétrables et S économique, jusqu’à
de réarmement 3 modules par CPU

B&R X20 SIL 3 selon Sur modules Powerlink De 3 à Oui, gamme 87,5 x 99 x 75 24 Vcc Rail DIN Fonctionnement Sécurité machines
Automation SafeLOGIC IEC 61508, d’E/S Safety 50 ms de modules mm sans ventilateur, et installations
PL “e” selon Safe X20 et mémoire 2 à 8 Mo,
EN 13849-1 Safe X67 (de liaison Powerlink
2 à 8 E/S TOR) redondante
BochRexroth IndraMotion SIL 2 ou SIL 3 Local : 512 E/S Sercos 3, 8 ms Oui, gamme 175,9 x 129,5 x 24 Vcc Rail DIN Plate-forme Sécurité machines
MLC L45 selon (TOR et ana), Profibus, de modules 97 mm commune et outil
L65 CEI 61508 8 E/S rapides DeviceNet, d’E/S logiciel unique,
Ethernet fonctions
UDP et IP de simulation

Emerson Delta V SLS SIL 3 selon 16 E/S Bus Delta V 50 ms Non 83,8 x 105,5 x 24 Vcc Châssis Solution Process équipés
1508 CEI 61508 configurables 110 mm, redon- Delta V économique, atelier de SNCC Delta V
(en entrées ou 0,6 kg dant logiciel commun
en sorties, TOR avec la solution
ou analogiques) Delta V, possibilité
de redondance
Fiessler FPSC SIL 3 32 E, 12 S, 2 E Profibus- NC 2 versions 127 x 390 x De 19 Rail DIN Version fixe Sécurité machines
(Sorelia) (CEI 61508), compteur, DP, 80 mm, à 30 Vcc (ref FPSC-B) ou
catégorie 4 2 liaisons série Ethernet 1,65 kg modulaire (ref FPSC-
(EN 954-1), AD) avec modules
PL “e” de 8 à 24 E, de 0 à
(EN 13849-1) 4 S, de 0 à 8 E/S ana
GE Fanuc SafetyNet SIL 2 selon Sur modules Modbus TCP NC Oui, modules NC 24 Vcc, Rail DIN Modules E/S Applications
CEI 61508 d’E/S (jusqu’à 64 et RTU, avec 8 E/S ou de 85 ou remplaçables machines et
par contrôleur) Profibus PA TOR ou 8 E/S à 264 Vca montage sans changer process, fonctions
analogiques mural les branchements ESD, F&G et BMS
GMR SIL 3 selon Sur modules Modbus TCP NC Oui, gamme NC NC Rail DIN Redondance double Applications de
CEI 61508 d’E/S et RTU, d’E/S ou triple du process, fonctions
Profibus PA déportées sur contrôleur ESD, F&G et BMS
bus Genius
Hima France HiMatrix SIL 3 8 E et 8 S Safe- 20 ms Non, gamme 95 x 114 x 24 Vcc Rail DIN Solution compacte Applications
F20 (CEI 61508), ethernet, d’E/S 140 mm ou process et
SIL 4 Modbus, déportées 750 g montage machines avec
transports, Profibus, mural faible nombre
catégorie 4 Interbus, d’E/S
(EN 954-1) Ethernet/IP

HiQuad SIL 3 selon Sur modules Profibus DP, NC Oui, gamme NC 24 Vcc, Châssis Nombreux modules Applications
H41q CEI 61508, d’E/S Modbus de modules 48 Vcc, 19’’ de communication, process de taille
catégorie 4 RTU, Safe- d’E/S 115 Vca existe en version moyenne
selon ethernet, ou H51q (jusqu’à
EN 954-1 OPC 230 Vca 4 096 points d’E/S)

HiMax SIL 3 selon Sur cartes d’E/S Safe- 50 ms Oui, gamme 310 x 29 x NC Châssis Redondance jusqu’à Process critiques
CEI 61508, (jusqu’à 200 E/S ethernet, pour de modules 230 mm (pour 19’’ pour des architectures et/ou grand
catégorie 4 par système) Profisafe, 1 000 E/S d’E/S chaque carte) 10, 15 ou quadruplées, nombre d’E/S,
selon Fieldbus, 18 cartes insertion des cartes fonctions ESD,
EN 954-1 Modbus TCP à chaud F&G, BMS,
et RTU, turbines, pipelines
EtherNet/IP
Liste non exhaustive

MESURES 815 - MAI 2009 - www.mesures.com

47
Guide d’achat
Offre des principaux fournisseurs (suite)
Marque Référence Norme Nombre d’E/S Protocole Temps Modularité Dimensions, Tension Fixation Principales Principales
(distributeur) de sécurité réseau de cycle poids d’alim. caractéristiques applications
ICS Triplex Regent Sur modules Liaison De 100 à Oui, gamme NC 24 Vcc, Châssis Jusqu’à 15 CPU par Process (pétrole,
+Plus d’E/S (jusqu’à série, 350 ms de modules 110 ou 19’’ réseau, systèmes gaz et énergie),
3 500 E/S pour protocole selon d’E/S 220 Vca centralisés, triple fonctions ESD,
une CPU) R2, Modbus l’appli. redondance F&G et BMS
Trusted SIL 3 selon Sur modules Modbus, De 40 à Oui, gamme NC 24 Vcc, Châssis Jusqu’à 64 modules Process critiques,
CEI 61508 d’E/S (jusqu’à Ethernet 250 ms de modules 110 ou 19’’ CPU par réseau, nucléaire,
5 500 E/S pour TCP/IP, OPC selon d’E/S 220 Vca architectures fonctions ESD,
une CPU) l’applica- tripliquées, datation F&G, BMS
tion des erreurs à la ms et turbines
Aadvance SIL 3 selon Sur modules Modbus, De 10 à Oui, gamme NC 24 Vcc, Rail DIN Jusqu’à 64 modules Process critiques
CEI 61508 d’E/S (jusqu’à Ethernet 60 ms de modules 110 ou CPU par réseau, (dont nucléaire,
500 E/S pour TCP/IP, selon les d’E/S 220 Vca systèmes distribués, pipeline et HIPPS),
une CPU) OPC, HART applica- architectures fonctions ESD,
tions tripliquées F&G, BMS, turbines
Jokab Safety Pluto AS-i SIL 3 12 E/S + bus AS-i AS-i, 33 ms + Oui, jusqu’à 45 x 84 x 24 Vcc Rail DIN Solution compacte Sécurité machines
(CEI 61508), pour E/S Profibus DP, temps 32 modules 120 mm
catégorie 4 déportées DeviceNet, d’exécut° CPU par
(EN 954-1) CANopen, du progr. système
Ethernet
Pluto B46 SIL 3 46 E/S Profibus DP, 23 ms + Oui, jusqu’à 90 x 84 x 24 Vcc Rail DIN Solution compacte Sécurité machines
(CEI 61508), DeviceNet, temps 32 modules 120 mm
catégorie 4 CANopen, d’exécut° CPU par
(EN 954-1) Ethernet du progr. système
Mitsubishi QS001CPU SIL 3 1 024 E/S par CC link, NC Oui De 110 Rail DIN Flexibilité Sécurité machines
Electric (CEI 61508), module CPU Ethernet ou importante, avec
catégorie 4 220 Vca notamment des
(EN 954-1) modules à 1 E et 1 S
Omron NE1A SIL 3 selon 16 E et 8 S DeviceNet Variable Oui, jusqu’à 90,4 x 111,1 De 20 à Rail DIN 24 types de Sécurité machines
CEI 61508, (ref CPU01) ou Safety ou selon 32 modules x 114,1 mm 26 Vcc fonctions (emballage,
catégorie 4 40 E et 8 S version l’applica- E/S (soit prédéfinies, jusqu’à notamment)
selon (ref CPU02), autonome tion 400 E et 254 fonctions
EN 954-1 4 sorties test 136 S) par programme
Pilz PSSuniversal SIL 3 Jusqu’à 32 E Safetybus, NC Oui, gamme NC 24 Vcc Rail DIN Pilotage d’E/S Sécurité machines
(CEI 61508), et 32 S Profibus, de modules standard (non et installations,
catégorie 4 Profinet, E/S TOR et sécurisées), atelier compatibilité
(EN 954-1) Interbus, analogique logiciel unique CANopen
DeviceNet
PSS 3047-3 SIL 3 32 E et 15 S + Safetybus, NC Non, E/S 87 (ou 160,2) 24 Vcc Montage Solution compacte, Sécurité
(CEI 61508), bus pour E/S Profibus déportées x 246,4 mural plus de 150 blocs machines,
catégorie 4 déportées avec 6 E ana x 162 mm prédéfinis, atelier compatibilité
(EN 954-1) logiciel unique CANopen
PSS 3006 SIL 3 6 E, 2 E tests + Safetybus, NC Non, jusqu’à 123 x 246,4 24 Vcc Montage Solution compacte, Sécurité machines
SB2 (CEI 61508), bus pour E/S Profibus, 8 064 E/S x 162 mm mural plus de 150 blocs
catégorie 4 déportées Interbus, décentralisées fonctions
(EN 954-1) ControlNet, prédéfinies, atelier
DeviceNet logiciel unique
Rockwell GuardLogix SIL 3 Sur modules DeviceNet, NC Oui, gamme NC NC Sur Intégré à la plate- Pour applications
Automation (CEI 61508), d’E/S EtherNet/IP d’E/S Guard 0,32 kg châssis forme ControlLogix pilotées par
catégorie 4 I/O Control- de Rockwell, E/S un automate
(EN 954-1) Logix locales ou déportées ControlLogix
SmartGuard SIL 3 16 E, 8 S, DeviceNet, NC Oui, gamme 99 x 90,4 x De 11 à Rail DIN Solution compacte Pour applications
600 (CEI 61508), 4 entrées test Ethernet d’E/S Guard 131,4 mm 25 Vcc et économique distribuées
catégorie 4 I/O 470 g avec un grand
(EN 954-1) nombre d’E/S
GuardPLC SIL 3 20 ou 24 E, 8 ou DeviceNet, NC Non, gamme Différentes De 20,4 à Montage 4 facteurs de forme Applications
(CEI 61508), 16 S, 8 E ana, EtherNet/IP, d’E/S dimensions 28,8 Vcc mural avec différentes multizone avec
catégorie 4 8 S ana, Modbus déportées selon les configurations d’E/S entrées TOR
(EN 954-1) 2 compteurs RTU et Guard I/O références et analogiques
Profibus DP
Liste non exhaustive

MESURES 815 - MAI 2009 - www.mesures.com

48
Guide d’achat
Offre des principaux fournisseurs (suite)
Marque Référence Norme Nombre d’E/S Protocole Temps Modularité Dimensions, Tension Fixation Principales Principales
(distributeur) de sécurité réseau de cycle poids d’alim. caractéristiques applications
Schmersal PROTECT- SIL 3 Sur modules E/S Profibus, 22 ms Oui, gamme 45 x 100 x 24 Vcc Rail DIN Solution modulaire Sécurité machines
Elan PSC (CEI 61508), (jusqu’à 246 E DeviceNet, de modules 80 mm et très compacte, (emballage et
catégorie 4 et 244 S) CC-Link d’E/S 210 g atelier logiciel agroalimentaire,
(EN 954-1), unique notamment)
PL “e”
(EN 13849-1)
Schneider Modicon SIL 3 Jusqu’à 1 000 E/S Ethernet, 15 ms Non, gamme 72 x 150 x 24 Vcc Rail DIN Solution compacte Sécurité machines
Electric XPSMF (CEI 61508), TOR et Modbus d’E/S 120 mm et modulaire et process simples
catégorie 4 analogiques TCP, déportées
(EN 954-1), Modbus, TOR et ana
PL “e” afeethernet
(EN 13849-1)
Modicon SIL 3 selon Jusqu’à 5 000 E/S Ethernet, 100 ms Oui, gamme 120 x 260 x 220 Vca Châssis Solution à haute Grandes
Quantum CEI 61508 TOR et Modbus TCP avec d’E/S 105 mm 19“ disponibilité applications de
SIL analogiques redon- déportées (redondance totale, process : BMS,
dance TOR et atelier logiciel ESD, infrastructures
analogique unique (Unity)
Sick UE410 Catégorie 4 Sur modules E/S Profibus DP, NC Oui, jusqu’à 22,5 x 96,5 x 24 Vcc Rail DIN Solution modulaire, Sécurité
Flexi Soft selon (jusqu’à 96 E/S CANOpen, 12 modules 114,4 mm intégration machines,
l’EN 954-1 par CPU) EtherNet/IP, E/S par CPU de 100 à 200 g transparente dans installations
et SIL 3 selon Ethernet, les bus de terrain petites
l’EN 61508 Profinet I/O, les plus utilisés à moyennes
DeviceNet,
ModBus TCP
Siemens Distributed SIL 3 Sur modules E/S Profibus, NC Oui, modules 60 x 119,5 x 24 Vcc Châssis ET Solution intégrée Sécurité
Safety (CEI 61508), ProfiNet à 8 E et 4 S 75 mm 200 avec modules pour machines,
ET200S catégorie 4 200 g variation de vitesse applications
(EN 954-1) et départs moteur distribuées
F-Systems SIL 3 Sur modules E/S Profibus DP NC Oui, modules 50 x 290 x 24 Vcc Châssis 2 CPU par unité Sécurité process
S7400F (CEI 61508), à 8 ou 24 E, 219 mm S7, 4 à centrale, atelier
catégorie 4 à 8 ou 10 S, 990 g 18 empla- logiciel unique
(EN 954-1) à 6 E ana cements
F-Systems SIL 3 Sur modules E/S Profibus DP NC Oui, modules 50 x 290 x 24 Vcc Châssis 3 CPU par unité Sécurité process
S7400FH (CEI 61508), à 8 ou 24 E, 219 mm S7, 4 à centrale, atelier avec tolérance
catégorie 4 à 8 ou 10 S, 990 g 18 empla- logiciel unique de pannes (haute
(EN 954-1) à 6 E ana cements disponibilité)
Smartscan Integron 22 Catégorie 4 7 E, 4 S, 8 timers NC 5 ms Non 90 x 70 x De 22 à Rail DIN Sécurité machines
(Accmas) (EN 954-1) 60 mm 28 Vcc
Integron 52 Catégorie 4 18 E, 8 S, NC 5 ms Oui 90 x 160 x De 22 à Rail DIN Sécurité machines
(EN 954-1) 32 timers, 60 mm 28 Vcc
2 compteurs
Invensys Tricon SIL 3 selon Sur modules E/S Modbus De 30 à Oui, gamme NC 24 ou Châssis architecture 2oo3D Sécurité de
Triconex CEI 61508 (jusqu’à 2 850 E/S RTU et TCP, 500 ms d’E/S fixes 48 Vcc, 19’’ à haute disponibilité process, fonctions
par CPU) Open TCP, selon ou déportées 120 ou ESD, F&G, BMS,
TSAA, Peer l’applica- 230 Vca HIPPS, turbines,
to Peer, OPC tion nucléaire
Trident SIL 3 selon Sur modules E/S Modbus De 25 à Oui, gamme NC 24 Vcc Rail DIN architecture 2oo3D Sécurité de
CEI 61508 (jusqu’à 640 E/S RTU et TCP, 500 ms d’E/S fixes ou à haute disponibilité process, fonctions
par CPU) Open TCP, selon ou déportées montage ESD, F&G, BMS,
TSAA, l’applica- mural HIPPS, turbines
Peer to Peer tion
Yokogawa ProSafe-RS SIL 3 selon Sur modules E/S Vnet, 100 ms Oui, gamme NC 24 Vcc ou Châssis Architecture quadru- Sécurité de
CEI 61508 (jusqu’à 1 000 E/S ModBus, à1s de modules 230 Vca 19’’ plée, datation process, fonctions
par CPU) OPC E/S des alarmes à 1 ms ESD, F&G et BMS
ProSafe-SLS SIL 3 selon Sur modules E/S Vnet, 10 à Oui, gamme NC 24 Vcc ou Châssis Technologie “Solid Sécurité de
CEI 61508 (pas de ModBus, 100 ms de modules 230 Vca 19’’ State” basée process, fonctions
limitation en OPC E/S sur des pulses et ESD, F&G, BMS
nombre d’E/S) tores magnétiques et HIPPS
Liste non exhaustive

MESURES 815 - MAI 2009 - www.mesures.com

50
 Guide d’achat
matérielles brutes. L’efficacité d’une applica-
tion dépendra avant tout de la manière dont
Process continus : les normes se mettent en place le programme a été conçu.
La norme CEI 61508 met l’accent sur la conception et la validation des systèmes dédiés La sécurité : avant tout
aux fonctions de sécurité. Elle s’adresse plus particulièrement aux constructeurs de
matériel de sécurité (capteurs, transmetteurs, automates, relais, actionneurs, etc.).
une question de logiciel
La norme CEI 61511 détaille plus spécifiquement tous les aspects liés aux applications Nombre de constructeurs mettent en avant
de process. Elle cible les utilisateurs et les intégrateurs de systèmes et solutions de la présence de blocs fonctionnels certifiés
sécurité sur les process à risques. Elle développe une approche globale de la sécurité dans leurs ateliers logiciels, mais cela ne suf-
(du capteur à l’actionneur), avec des indications sur l’évaluation quantitative fit pas à garantir qu’une application sera
de la sécurité. directement certifiable. En effet, seul le com-
Pour plus d’informations sur le sujet, vous pouvez vous reporter au pilateur nécessite une certification. Il s’agit
dossier complet sur la sécurité fonctionnelle : “Sur la longue route de s’assurer que l’application une fois géné-
de la norme CEI 61511” dans le numéro 813 de la revue Mesures (mars 2009). rée correspondra bien à ce qui a été défini
par le concepteur. « La norme prévoit une seule
contrainte en ce qui concerne le développement des
applications, indique Philippe Primard, res-
➜ fortement réduits car toutes les variables A l’intérieur de l’automate ponsable de l’activité systèmes de sécurité
sont accessibles directement pour les deux de sécurité chez Yokogawa France : il est impératif que la
applications. On diminue également le ris- conception et la validation soient effectuées par des
que d’erreurs. Sans compter les économies Le débat sur les différents types d’architec- personnes différentes. »
réalisées sur le développement de connec- tures se poursuit lorsque l’on s’intéresse au Il n’en reste pas moins que la présence d’une
teurs logiciels : dans une architecture sépa- fonctionnement même de l’automate. En bibliothèque de blocs fonctionnels prépara-
rée, il est nécessaire de concevoir des con- effet, les constructeurs sont divisés sur les métrés offre un véritable gain de temps aux
necteurs spécifiques pour relier une méthodes à exploiter pour assurer une sécu- développeurs. Il leur suffit de déclarer les
application de sécurité au logiciel de super- rité maximale. On identifie trois principaux noms des variables en entrée et de connecter
vision. Il en va de même pour la formation, types d’unités centrales. Le premier consiste la bonne sortie. La programmation de fonc-
car les automaticiens que l’on charge de con- à exécuter chaque tâche sur deux proces- tions même complexes est grandement ➜
cevoir une application de sécurité préfére- seurs à architectures différentes, et de com-
ront employer leur logiciel habituel. Enfin, parer en sortie leurs résultats. La deuxième
on peut mettre en avant le fait de n’avoir consiste à n’utiliser qu’un seul CPU mais de
qu’un seul interlocuteur pour le matériel de faire en sorte que chaque tâche soit exécutée
contrôle et pour les composants de sécu- systématiquement deux fois de suite. Enfin,
rité. dans le cas des automates qui effectuent des
Le principal inconvénient de ce type de solu- tâches de contrôle et de sécurité dans le
tion réside dans la cohabitation entre un même châssis, la carte CPU de sécurité fonc-
système figé et un système sujet à évolutions. tionne comme un coprocesseur qui ne
Les interventions sur un programme d’auto- s’acquitte que des tâches ayant trait à la sécu-
matismes peuvent être fréquentes, que ce rité. Mis à part le CPU, les automates de
soit pour effectuer des réglages ou des mises sécurité du marché utilisent globalement les
à jour. A l’inverse, le programme de sécurité, mêmes méthodes pour assurer de la redon-
qui fait l’objet d’une certification, doit être dance. Quel que soit le constructeur, tout est
protégé contre toute modification intempes- dupliqué et tout est surveillé. Depuis la mé-
tive. Il faut donc vérifier que le constructeur moire interne (son intégrité est vérifiée à
ait prévu des mécanismes de verrouillage sur chaque temps de cycle) jusqu’aux câbles
l’application de sécurité. (leur impédance est mesurée afin de détecter
L’idée de l’intégration fait son chemin, mais toute rupture ou court-circuit) en passant
elle ne convainc pas tous les utilisateurs. « Les par les contrôleurs d’E/S (chaque entrée est
industriels qui ont des machines très dangereuses pré- doublée, et chaque sortie repart vers une
féreront toujours confier les automatismes et la sécu- entrée afin d’être vérifiée). « Tous ces contrôles
rité à des systèmes différents, commente Serge sont absolument transparents pour l’utilisateur,
Catherineau, responsable marketing auto- commente Fabrice Poulet, responsable de
matismes et solutions chez Schneider Electric. l’activité composants chez Rockwell Automation.
Et le plus souvent, ils demandent des systèmes de cons- Bien entendu, ils ont un impact sur les temps de cycles,
tructeurs différents. C’est à nous qu’il revient de mais cela est pris en compte dès la conception, par le
sensibiliser les clients sur les vrais moyens d’amé- choix des processeurs et le réglage de leurs horloges.
Yokogawa

liorer la sécurité. » Quoi qu’il en soit, tous les
constructeurs s’accordent à dire qu’une
architecture séparée ou intégrée peut déli-
vrer le même niveau de sécurité.
Au final, un automate de sécurité, ce n’est rien de
moins qu’un “super-automate”. » Au final, on
constate très peu de différences entre les pro-
duits pour ce qui concerne les performances
C’est dans le domaine de la sécurité de process que les applications
sont les plus complexes, avec des armoires regroupant jusqu’à plusieurs
dizaines de milliers d’Entrées/Sorties.

MESURES 815 - MAI 2009 - www.mesures.com

51
 Guide d’achat
Grâce à des blocs d’E/S déportées étanches, un seul câble sort
de la machine et véhicule toutes les informations de sécurité.
➜ facilitée (sans commune mesure avec la
logique câblée), et il reste bien entendu pos-
sible de développer des fonctions spécifiques,
ne se basant sur aucun modèle. Autre aspect
intéressant : la présence d’un logiciel de
simulation. Ce dernier servira à tester une
application avant que le câblage soit réalisé,
ce qui procure des gains de temps non négli-
geables lors de la mise en place d’une nou-
velle machine.
Changement d’univers :
les applications de process
Le secteur de la sécurité des process continus
est radicalement différent de celui de la
sécurité des machines. Nous l’avons vu, la
principale distinction réside dans la nécessité
Pilz
Un exemple d’architecture distribuée : l’automate modulaire, installé dans une
armoire, est relié à des blocs d’E/S déportés (placés dans les machines) et à des
automates de sécurité compacts (pour le pilotage d’un îlot de fabrication distant).
52
Extérieurement, seule la couleur différencie les modules d’Entrées/Sorties de sécurité de ceux utilisés pour le contrôle-commande.
Mais à l’intérieur, les modules de sécurité se distinguent par une redondance de tous les composants électroniques.
de considérer la disponibilité en plus de la
sécurité. Même si un process se pilote avec
des automates, comme une machine, il est
impossible d’y appliquer les mêmes règles
(à savoir couper l’alimentation dès qu’un
défaut ou une panne est détecté). « On peut
comparer un process à un avion en vol, explique
Hervé Bodinier, directeur des ventes Europe
du Nord et Afrique chez Rockwell Oil & Gas. En
cas de défaut, la position la plus sûre n’est pas l’arrêt
immédiat ou incontrôlé ! Au contraire, un arrêt bru-
tal peut avoir des conséquences catastrophiques, et peut
entraîner jusqu’à la destruction de tout ou partie de
l’usine. C’est pourquoi on dit que lorsqu’un process
dérive, il faut pouvoir le recentrer. » Cela signifie
continuer à piloter une partie du process
même si certains éléments sont défaillants.
Cette différence d’approche se ressent d’abord
du point de vue de la conception des appli-
cations logicielles. Alors que dans la sécurité
machines on s’appuie sur la logique câblée
(des schémas à contacts) pour décrire le
comportement du système, dans le process
on emploie des matrices causes-effets. On
définit, pour une ou plusieurs causes (une
pression anormalement élevée ou un niveau
anormalement bas, par exemple), des actions
à effectuer (on pilote l’arrêt d’une pompe
ou l’ouverture d’une vanne, par exemple).
L’intérêt de cette approche est de transcrire
exactement l’analyse de risque. Il s’agit de la
première étape prévue par la norme pour
concevoir une application de sécurité. Cette
analyse consiste à se poser les deux questions
MESURES 815 - MAI 2009 - www.mesures.com
B & R Automation
suivantes : quels sont les risques de défail-
lances ? et quelles peuvent en être leurs con-
séquences ? Les logiciels de sécurité de pro-
cess sont donc complètement différents de
ceux utilisés pour les machines.
Du point de vue matériel, les critères de
choix sont eux aussi différents. Une spéci-
ficité du process : comme le préconise la
norme IEC 61511, les caractéristiques de
fiabilité de chaque équipement sont prises
en compte pour l’estimation du niveau de
sécurité global de l’application (SIL, Safety
Integrity Level). En ce qui concerne la redon-
dance, tout est envisageable et les architectu-
res peuvent être beaucoup plus complexes
que celles concernant la sécurité machines.
Les architectures peuvent aller d’une redon-
dance simple jusqu’à des systèmes à 6 uni-
tés centrales. « Par ailleurs, poursuit Sébastien
Lachaise, ingénieur des ventes chez Hima
France, pour assurer le maximum de disponibilité,
certains systèmes de sécurité ont des cartes remplaça-
bles à chaud. Si une carte processeur tombe en panne,
il suffit d’en insérer une nouvelle. Le programme auto-
mate est copié automatiquement et son exécution
démarre aussitôt après. »
Si un accident dans un process peut avoir des
conséquences graves, il faut choisir un pro-
duit capable de piloter à la fois une applica-
tion d’arrêt d’urgence pour protéger le pro-
cess et une application “feu et gaz” pour
protéger l’environnement. Cette dernière se
charge d’alerter les services de lutte anti-in-
cendie, de déclencher des arrosages automa-

Le transport de personnes : un monde à part
Le secteur du transport est une
application particulière. Il fait l’objet de
réglementations spécifiques, mais
reprend des impératifs inhérents aux
deux secteurs des machines et du
process. Des impératifs de protection
des individus, d’abord, car la sécurité
des passagers prime. Des impératifs de
disponibilité, également, car on ne
peut se contenter de couper l’alimenta-
tion électrique d’un véhicule ou d’un
train à la première remontée d’un défaut.
Selon le volume de l’application et
les besoins en disponibilité, le choix de
Guide d’achat
l’automate s’effectuera entre des
produits orientés machines (pour
des applications de remontées mécani-
ques, de funiculaires ou de tramways,
par exemple) ou des produits orientés
process (applications de métro, de
téléphériques, entre autres). On retrouve
des automates de sécurité dans tous les Sic
k
tramways (pour l’isolation de l’alimenta-
tion par le sol), pour la gestion des portes
palières dans les métros automatiques,
Une très large majorité d’automates de sécurité dispose de LED
pour des applications dans des aéroports
de diagnostic sur leur face avant. Ils offrent une vue globale
ou encore pour certains ascenseurs de l’état des différents composants, et évitent ainsi le recours
(ceux de la tour Eiffel, par exemple). à une console de diagnostic.

tiques, de verrouiller des zones, d’actionner
des systèmes d’évacuation de fumées, etc.
Pour protéger les installations, lorsqu’une
alarme est activée, il faut que le système gé-
nère un signal qui déclenchera par exemple
le dispositif d’extinction d’incendie. On
parle alors de commande “par émission”,
par opposition avec les commandes “à man-
que” utilisées dans le cas classique d’un arrêt
d’urgence. Pour les process potentiellement
dangereux, il est donc très important de
choisir un automate de sécurité capable de
prendre en charge les deux types de logique.
« Et cela n’est pas forcément mis en valeur par les
constructeurs et intégrateurs. Attention donc au
moment du choix, car un produit certifié SIL 3 pour
une commande à manque ne sera pas forcément SIL 3
pour une commande par émission », précise Hervé
Bodinier (ICS Triplex/Rockwell Oil & Gas).
Le diagnostic fait également l’objet d’une
attention particulière dans le process. A l’ins-
tar des pipelines, de nombreuses applications
s’étendent sur des centaines voire des milliers
de kilomètres. On préférera alors répartir
plusieurs automates de sécurité le long des
installations. Cela n’apporte pas plus de sé-
curité qu’une plate-forme centralisée, mais
les agents de surveillance pourront effectuer
sur place un premier diagnostic. Les LED en
face avant des automates donnent diverses
indications : état de la redondance, distinc-
tion entre erreurs internes et erreurs liées au
process, indicateurs d’état du bus ou indica-
teurs de forçage, etc. Enfin, comme pour la
sécurité machines, on se posera la question
de l’intégration avec le système de contrôle.
Dans le process, beaucoup de clients choi-
sissent un constructeur différent de celui du
système numérique de contrôle-commande
(SNCC). « Un choix qui est aussi et surtout une
manière de se rassurer », selon Jean Farge, res-
ponsable marketing France pour l’offre pro-
cess chez Schneider Electric. C’est pourquoi les
spécialistes de la sécurité proposent pour la
plupart des systèmes compatibles avec les
grandes marques de SNCC. Mais contraire-
ment aux applications machines, la norme
CEI 61511 impose ici que les réseaux de
sécurité et de contrôle soient physiquement
séparés. Elle demande même de séparer les
systèmes ayant des niveaux de SIL différents.
Si cela n’est pas possible, il faut toujours se
conformer au niveau de SIL maximal. Dans
une application qui regroupe un mélange de
fonctions SIL 1, SIL 2 et SIL 3, tout devra être
considéré comme SIL 3.
Frédéric Parisot

Qui a dit que la sécurité

était incompatible
avec une transmission
sans-fil ? Pilz propose
une architecture
basée sur son réseau de
sécurité SafetyBus
associé aux modems
radio à haute
disponibilité du
constructeur suisse
Schweizer Electronic.
De tels systèmes
sont utilisés pour des
applications
de ponts roulants ou
de remontées
mécaniques,
par exemple.
Triconex

Les automates spécialisés dans les applications de process sont

ceux qui apportent les degrés de sécurité les plus élevés.
Plus que la redondance, ils offrent des architectures dans
Pilz

lesquelles tous les composants sont triplés.

MESURES 815 - MAI 2009 - www.mesures.com

53