G uide dachat

SR E T I N D U S T R I E L L E

Automates de scurit

Les automates de scurit remplacent avantageusement les fonctions de scurit base de logique cble. Ils rduisent les cots de cblage, apportent des fonctions de diagnostic, facilitent la maintenance et la modification des installations. Mais attention bien faire la distinction entre les produits prvus pour la scurit des machines et ceux prvus pour la scurit des process (continus ou batch). En cas de dfaut, les premiers visent larrt de la machine tout prix, tandis que les seconds doivent laisser la possibilit dagir sur le process pour le recadrer.

orsque lon voque les automates de scurit, il faut faire ds le dpart la distinction entre deux grandes familles dapplications. On trouve dun ct les produits utiliss pour assurer la scurit des machines (et des chanes de fabrication en gnral) et, de lautre, les produits spcialiss dans la scurit des process continus. Les diffrences entre les deux sont nombreuses, tant du point de vue des performances, de la tolrance aux pannes que de la logique de programmation. Les normes, surtout, sont diffrentes dun secteur Lessentiel lautre (mme sil est souvent possible def On distingue deux grandes fectuer quelques paralfamilles dautomates lles). Seul point comde scurit, selon quils mun entre ces sadressent des solutions : leur finalit. applications machines Ds quil sagit de sou process. curit, on pense tou Les normes sont diffrentes jours en premier lieu entre les deux secteurs. protger les hommes. Les produits diffrent aussi par leurs performances, Viennent ensuite la leur niveau de redondance, protection des installaleur modularit et leurs tions, puis celle de fonctions de diagnostic. lenvironnement. Remplaants dune approche Sil existe une telle dif base de logique cble, frence entre les solules automates de scurit tions machines et proapportent davantage cess, cest que le concept douverture, rduisent les mme de scurit est cots de cblage et envisag de manire facilitent la maintenance. totalement oppose.

Afin de protger loprateur qui pilote une machine, celle-ci doit pouvoir tre arrte la moindre dtection de panne ou de danger. A linverse, sur un processus continu, assurer la scurit des oprateurs et des installations consiste justement ne pas arrter le procd la moindre dviation. On sattache plutt respecter une succession dtapes coordonnes pour effectuer larrt dans des conditions sres. Cest pourquoi lon applique un principe de tolrance aux fautes (fonctionnement malgr la prsence dun dfaut), tandis que lon parle uniquement de gestion des modes darrt pour les applications machines.

La scurit des machines

Pour assurer la scurit des oprateurs (et dans une moindre mesure protger les installations), les considrations de disponibilit sont mises lcart. Au moindre doute, la production est interrompue pour viter tout risque de blessure. Pour cela, les installations sont quipes de nombreux dispositifs de dtection. Cest ce que lon appelle les fonctions de scurit. Il peut sagir de capteurs situs dans la machine (des boutons darrt durgence ou des capteurs de fin de course, par exemple), ou de dispositifs qui reprent la prsence dun oprateur dans une zone dangereuse : interrupteurs placs sur les portes, barrires immatrielles et tapis de dtection. On inclut galement tous les quipements de forage (ou bypass) : les pdales et les commandes bimanuelles, qui

assurent que loprateur est son poste avant de pouvoir dmarrer une opration, ainsi que les poignes homme mort, qui activent des modes particuliers pour la maintenance ou le dpannage dune machine dangereuse (en limitant la vitesse du bras dun robot, par exemple). Ds que lun de ces capteurs de scurit remonte un dfaut, lalimentation de la machine doit tre coupe le plus rapidement possible. Une machine doit dailleurs tre conue de telle manire que les pices tournantes soient freines ou bloques en labsence de courant. Mais il faut tre sr que linformation de la dtection du dfaut parvienne remonter jusqu la machine. Pour cela, cest toute la chane de scurit qui doit tre attentivement tudie. Les capteurs de scurit sont conus pour tre moins sujets aux pannes que des capteurs classiques. Ils utilisent des composants spciaux qui prsentent une meilleure rsistance mcanique (en tant moins sujets au vieillissement) et une conception lectrique particulire (linformation est systmatiquement double). Mais pour le reste de la chane de scurit, cest lindustriel quil revient de faire des choix en fonction de la dangerosit et de la taille de lapplication.

Dans le domaine de la scurit machines, plusieurs formats sont disponibles, depuis les automates compacts jusquaux systmes modulaires (comme ici au centre de la photo).
Hima

44

MESURES 815 - MAI 2009 - www.mesures.com

Depuis le dbut des annes 2000, les automates de scurit sintgrent aux plates-formes des systmes de contrle. Des architectures centralises qui peuvent atteindre les mmes niveaux de scurit que les systmes spars, mais qui diminuent le nombre de cbles parcourant lusine.

des zones les unes aprs les autres, au fur et mesure de la progression du produit sur la chane. Et dans le cas doprations de maintenance, il peut tre utile de mler le muting des barrires immatrielles avec la gestion dune poigne homme mort, tout en contrlant des gches temporises (pour interdire laccs une machine tant que les parties tournantes ne sont pas totalement arrtes).

Limportance du diagnostic
Le principal point faible de la logique cble, outre son cot, est quelle napporte aucune fonction de diagnostic. En effet, avec plusieurs boutons darrt durgence relis en srie un seul module (ou relais) de scurit, il est impossible de savoir lequel a t dclench (et quand il a t dclench). Le redmarrage de la machine peut tre fortement retard, surtout si ces boutons darrt durgence sont rpartis sur de grandes distances, et on perd en productivit. A linverse, en optant pour un automate de scurit qui centralise toutes les fonctions en une application unique, on accde des possibilits de gestion beaucoup plus avances. Un automate de scurit connect au systme de supervision affichera ltat du systme en temps rel, avec des informations sur le bouton ou linterrupteur qui vient dtre dclench. Mais il sera aussi utile la traabilit : reli un serveur de stockage des donnes, il tablira un historique de tous les changements dtats et de toutes les alarmes, mais aussi gardera en mmoire le nom des personnes qui ont apport des modifications linstallation. Enfin, lautomate de scurit assure lhorodatage des alarmes. Lorsquun grand nombre dalarmes est gnr, il est utile de savoir laquelle a t lorigine du problme. Au final, grce la hausse en productivit ainsi qu la rduction de la quantit de cbles et du temps dinstallation, on estime que le passage dune solution base de logique cble une solution avec automate de scurit conduit des conomies en temps et en argent de lordre de 15 et 25 % , dclare Frdric Jeanparis, responsable produits automates de scurit chez Siemens. Reste
Siemens

Logique programmable ou simple relais de scurit ?

Premire question se poser : lapplication est-elle suffisamment complexe pour justifier lemploi dun automate de scurit ? Si non, elle peut peut-tre se satisfaire dune solution base de relais de scurit. Il sagit de relier chaque capteur un relais, ce dernier tant reli aux autres de manire assurer le dclenchement de larrt de la machine sous certaines conditions. On parle de logique relais ou encore de logique cble. Cette solution prsente linconvnient dun cot de cblage important. Dautant plus important lorsque les capteurs sont loigns de larmoire o sont intgrs les relais. Les cots de cblage sont souvent ngligs, or il sagit toujours dun des principaux postes de dpense pour la scurit machines , commente Francis Bossu, responsable marketing France pour loffre scurit machines et relais chez Schneider Electric. Avec un automate de scurit, le cblage est rduit car les informations passent dans la plupart des cas par un bus de donnes. De plus, le branchement des entres se fait sans contrainte particulire puisque la configuration seffectue entirement de manire logicielle. Pour faire son choix entre logique cble et systme base dautomate, on tudiera donc dabord la taille de lapplication, en portant
MESURES 815 - MAI 2009 - www.mesures.com

une attention particulire au nombre de zones surveiller. En effet, on prfrera opter pour une solution base dautomates ds lors quune application fait intervenir plusieurs zones de scurit distinctes. En gardant lesprit que toute fonction mme complexe peut tre ralise par de la logique cble (cest dailleurs cette logique que lon reproduit lorsque lon programme un automate). Il sera tout fait possible, par exemple, de concevoir des applications complexes telles que le muting dune barrire immatrielle de scurit (cette fonction distingue une pice en transit sur un tapis roulant et dun oprateur). Et cela dautant plus aisment que la plupart des fabricants dquipements de scurit proposent des modules spcialement conus pour leurs produits, et qui simplifient le cblage. Il est galement possible de monter un certain nombre de relais en srie, de telle sorte que le dclenchement de nimporte laquelle des fonctions de scurit entrane larrt de la machine. Mais encore une fois, ds lors quune installation comporte plusieurs zones interconnectes, larchitecture se complique et devient vite difficile raliser et maintenir en logique cble. Il faut notamment que certaines machines continuent de fonctionner mme si un interrupteur a t dclench ailleurs. Dans le cas dune chane de production, par exemple, il faut pouvoir librer et scuriser

45

Guide dachat
Laspect normatif : la directive machines
La norme europenne EN 954-1 est sur le point dtre dfinitivement remplace. Elle dfinissait des catgories de scurit adaptes davantage la logique cble quaux architectures base dautomates. Lapplication des nouvelles normes EN ISO 13849-1 et EN 62061 sera obligatoire partir de 2010. La norme EN ISO 13849-1 prsente des principes gnraux de conception relative la scurit des machines. Elle reprend le concept de niveaux de scurit introduit en 1996 par la 954-1, mais y ajoute celui de niveaux de performance (PL, pour Performance Level). Ces derniers sont dtermins en fonction de la dure dutilisation prvue de la machine et du type darchitecture mis en place. La norme EN 62061 fournit aux constructeurs de machines des indications sur les moyens datteindre ces niveaux de performances. Elle innove par sa vision globale de la chane de scurit. Cela passe par la prise en compte des caractristiques propres chacun des lments de la chane. Dsormais, choisir des quipements certifis individuellement par leurs fabricants nest plus une garantie datteindre un niveau donn de scurit. La conception de lapplication doit prendre en compte les MTBF (temps moyens avant panne) et MTTR (temps moyens de rparation) de tous les quipements lectriques et lectroniques utiliss dans la machine.

lindustriel de choisir lautomate de scurit le plus adapt son application.

Diffrents formats dautomates de scurit

Les constructeurs dautomates de scurit proposent deux grandes catgories de produits : les automates compacts et les automates modulaires. Les versions compactes sinstallent sur rail-DIN ou se montent directement dans la machine. Elles proposent un nombre dEntres/Sorties (E/S) faible et

Les rseaux de scurit

Les automates de scurit utilisent un rseau spcifique pour piloter les capteurs et actionneurs de scurit, grer les blocs dE/S dports et remonter des informations de diagnostic. Les principaux constructeurs dautomates proposent des protocoles drivs de leurs rseaux traditionnels, quil sagisse de bus de terrain ou de rseaux bass sur Ethernet. Dans la plupart des cas, le rseau de scurit utilise le mme support physique que pour le rseau dautomatismes. Les trames de scurit sont vues la fois par lautomate de contrle et lautomate de scurit. Lavantage tant que lautomate de contrle peut tirer profit dtre ainsi averti au plus tt dun dfaut pour lancer des procdures darrt sans risquer dendommager la machine. Mais il ne peut agir directement sur les fonctions spcifiques la scurit. Les trames de scurit restent entirement de la responsabilit de lautomate de scurit. Il sagit de trames spcifiques incluant une srie dautocontrles. Les automates doivent vrifier quil sagit bien dune trame de scurit, quelle est intgre, mais aussi quils la reoivent au bon moment. Sur un bloc dE/S classique, par exemple, il est difficile de dtecter la rupture dun cble. A linverse, un automate de scurit se met en dfaut et gnre une alarme ds que le signal nest plus rceptionn.

relativement fig. Relativement, car les derniers modles du march prsentent des voies configurables, cest--dire que lon peut utiliser en tant quentre ou en tant que sortie selon les besoins. La configuration se fait par le logiciel fourni avec lautomate. On rservera les automates compacts aux applications ayant des besoins faibles en nombre dE/S ainsi quaux applications fortement distribues (plusieurs lots distants). Et il va de soi que le fait davoir un nombre dEntres/Sorties fixe limite les possibilits dvolution de larchitecture. Les automates modulaires, inversement, pourront voluer avec les besoins de lapplication. De par leur conception (un chssis installer dans un rack, sur lequel se connectent des cartes dalimentation, des cartes processeur et des cartes dE/S), ils prennent en charge un trs grand nombre dE/S (plusieurs dizaines de milliers). Ce qui les destine aux applications les plus complexes. Quel que soit le format choisi, reste la possibilit demployer des blocs dE/S dports. Il sagit de modles trs proches de ceux utiliss pour les E/S classiques, mais ils bnficient dune redondance sur tous leurs ports (les entres comme les sorties). Lavantage est de navoir quun cble tirer pour aller vers une zone de production distante, difficile daccs ou soumise des conditions environnementales rigoureuses. Cest pourquoi, comme pour les botiers dE/S dports classiques, il existe chez certains constructeurs des versions particulirement robustes, tanches leau et la poussire (indice de protection IP67).

Les systmes modulaires sur rail DIN offrent lavantage dune grande flexibilit, que ce soit en nombre dEntres/Sorties ou en redondance. Les units centrales peuvent tre doubles, de mme que les modules dalimentation ou de communication.

Intgrer lautomate de scurit dans lautomate de contrle ?

La possibilit de regrouper fonctions dautomatismes et fonctions de scurit au sein dun mme systme est dactualit. Sur ce point, plusieurs coles saffrontent. Pour

Frdric Jeanparis (Siemens), cest en choisissant une architecture commune pour les automatismes et la scurit que les gains sont les plus importants . Les produits intgrs se prsentent sous la forme de cartes de scurit insrer dans le chssis utilis pour lapplication de contrle. Elles restent facilement identifiables dans le chssis car elles sont de couleurs diffrentes. Premiers arguments en faveur de cette intgration : une rduction encore plus pousse du cblage, un encombrement diminu (on utilise le mme chssis), et le fait dutiliser un seul environnement logiciel. En effet, les constructeurs qui proposent des architectures intgres font de mme pour leurs ateliers de dveloppement. Il sagit le plus souvent de modules spcialement ddis la scurit qui sont rajouts au logiciel dautomatismes. Les temps de conception sen trouvent
MESURES 815 - MAI 2009 - www.mesures.com

46

Schmersal

Guide dachat
Offre des principaux fournisseurs
Marque Rfrence Norme Nombre dE/S Protocole Temps Modularit Dimensions, Tension Fixation Principales (distributeur) de scurit rseau de cycle poids dalim. caractristiques
ABB Triguard SC300E SIL 3 selon CEI 61508 Jusqu 9 500 E/S Liaison srie NC multiprotocole Oui, modules 32 ou 64 E, 16 ou 32 S, 32 E ana, 4 S ana, 8 timers Oui, modules E (jusqu 26) et S Par carte : 28 x 365,8 x 394 mm 24 Vcc ou 110/240 Vca Chssis 19 Triple redondance, cartes remplaables chaud

Principales applications
Process critiques, ESD, F&G, BMS, turbines

Asteel Sensor

Srie SE (SEM - SEE SES)

Catgorie 4 selon EN 954-2

4 E et 1 S, 2 S signalisation et 4 E paramtrables de rarmement Sur modules dE/S

NC

NC

Modules de 22,5 mm de largeur

24 Vcc

Rail DIN

Mini-automate Scurit machines safetyhub compact et conomique, jusqu 3 modules par CPU Fonctionnement sans ventilateur, mmoire 2 8 Mo, liaison Powerlink redondante Plate-forme commune et outil logiciel unique, fonctions de simulation Solution conomique, atelier logiciel commun avec la solution Delta V, possibilit de redondance Scurit machines et installations

B&R Automation

X20 SafeLOGIC

SIL 3 selon IEC 61508, PL e selon EN 13849-1

Powerlink Safety

De 3 50 ms

Oui, gamme 87,5 x 99 x 75 de modules mm Safe X20 et Safe X67 (de 2 8 E/S TOR) Oui, gamme de modules dE/S

24 Vcc

Rail DIN

BochRexroth

IndraMotion SIL 2 ou SIL 3 MLC L45 selon L65 CEI 61508

Local : 512 E/S (TOR et ana), 8 E/S rapides

Sercos 3, Profibus, DeviceNet, Ethernet UDP et IP Bus Delta V

8 ms

175,9 x 129,5 x 24 Vcc 97 mm

Rail DIN

Scurit machines

Emerson

Delta V SLS 1508

SIL 3 selon CEI 61508

16 E/S configurables (en entres ou en sorties, TOR ou analogiques) 32 E, 12 S, 2 E compteur, 2 liaisons srie

50 ms

Non

83,8 x 105,5 x 110 mm, 0,6 kg

24 Vcc redondant

Chssis Delta V

Process quips de SNCC Delta V

Fiessler (Sorelia)

FPSC

SIL 3 (CEI 61508), catgorie 4 (EN 954-1), PL e (EN 13849-1) SIL 2 selon CEI 61508

ProfibusDP, Ethernet

NC

2 versions

127 x 390 x 80 mm, 1,65 kg

De 19 30 Vcc

Rail DIN

Version fixe Scurit machines (ref FPSC-B) ou modulaire (ref FPSCAD) avec modules de 8 24 E, de 0 4 S, de 0 8 E/S ana Modules E/S remplaables sans changer les branchements Redondance double ou triple du contrleur Solution compacte Applications machines et process, fonctions ESD, F&G et BMS Applications de process, fonctions ESD, F&G et BMS Applications process et machines avec faible nombre dE/S Applications process de taille moyenne

GE Fanuc

SafetyNet

Sur modules Modbus TCP NC dE/S (jusqu 64 et RTU, par contrleur) Profibus PA Sur modules dE/S Modbus TCP NC et RTU, Profibus PA Safeethernet, Modbus, Profibus, Interbus, Ethernet/IP 20 ms

Oui, modules avec 8 E/S TOR ou 8 E/S analogiques

NC

24 Vcc, ou de 85 264 Vca NC

Rail DIN ou montage mural Rail DIN

GMR

SIL 3 selon CEI 61508

Oui, gamme NC dE/S dportes sur bus Genius Non, gamme dE/S dportes 95 x 114 x 140 mm 750 g

Hima France

HiMatrix F20

SIL 3 (CEI 61508), SIL 4 transports, catgorie 4 (EN 954-1) SIL 3 selon CEI 61508, catgorie 4 selon EN 954-1 SIL 3 selon CEI 61508, catgorie 4 selon EN 954-1

8 E et 8 S

24 Vcc

Rail DIN ou montage mural

HiQuad H41q

Sur modules dE/S

Profibus DP, NC Modbus RTU, Safeethernet, OPC Safe50 ms ethernet, pour Profisafe, 1 000 E/S Fieldbus, Modbus TCP et RTU, EtherNet/IP

Oui, gamme de modules dE/S

NC

24 Vcc, 48 Vcc, 115 Vca ou 230 Vca NC

Chssis 19

Nombreux modules de communication, existe en version H51q (jusqu 4 096 points dE/S) Redondance jusqu des architectures quadruples, insertion des cartes chaud

HiMax

Sur cartes dE/S (jusqu 200 E/S par systme)

Oui, gamme de modules dE/S

310 x 29 x 230 mm (pour chaque carte)

Chssis 19 pour 10, 15 ou 18 cartes

Process critiques et/ou grand nombre dE/S, fonctions ESD, F&G, BMS, turbines, pipelines Liste non exhaustive

MESURES 815 - MAI 2009 - www.mesures.com

47

Guide dachat
Offre des principaux fournisseurs (suite)
Marque Rfrence Norme Nombre dE/S Protocole Temps Modularit Dimensions, Tension Fixation Principales (distributeur) de scurit rseau de cycle poids dalim. caractristiques
ICS Triplex Regent +Plus Sur modules dE/S (jusqu 3 500 E/S pour une CPU) SIL 3 selon CEI 61508 Sur modules dE/S (jusqu 5 500 E/S pour une CPU) Sur modules dE/S (jusqu 500 E/S pour une CPU) Liaison srie, protocole R2, Modbus Modbus, Ethernet TCP/IP, OPC De 100 350 ms selon lappli. De 40 250 ms selon lapplication De 10 60 ms selon les applications 33 ms + temps dexcut du progr. 23 ms + temps dexcut du progr. NC Oui, gamme de modules dE/S Oui, gamme de modules dE/S NC 24 Vcc, 110 ou 220 Vca 24 Vcc, 110 ou 220 Vca Chssis 19 Jusqu 15 CPU par rseau, systmes centraliss, triple redondance Jusqu 64 modules CPU par rseau, architectures tripliques, datation des erreurs la ms Jusqu 64 modules CPU par rseau, systmes distribus, architectures tripliques Solution compacte

Principales applications
Process (ptrole, gaz et nergie), fonctions ESD, F&G et BMS Process critiques, nuclaire, fonctions ESD, F&G, BMS et turbines Process critiques (dont nuclaire, pipeline et HIPPS), fonctions ESD, F&G, BMS, turbines Scurit machines

Trusted

NC

Chssis 19

Aadvance

SIL 3 selon CEI 61508

Modbus, Ethernet TCP/IP, OPC, HART

Oui, gamme de modules dE/S

NC

24 Vcc, 110 ou 220 Vca

Rail DIN

Jokab Safety

Pluto AS-i

SIL 3 (CEI 61508), catgorie 4 (EN 954-1) SIL 3 (CEI 61508), catgorie 4 (EN 954-1) SIL 3 (CEI 61508), catgorie 4 (EN 954-1) SIL 3 selon CEI 61508, catgorie 4 selon EN 954-1

12 E/S + bus AS-i AS-i, pour E/S Profibus DP, dportes DeviceNet, CANopen, Ethernet 46 E/S Profibus DP, DeviceNet, CANopen, Ethernet CC link, Ethernet

Oui, jusqu 32 modules CPU par systme Oui, jusqu 32 modules CPU par systme Oui

45 x 84 x 120 mm

24 Vcc

Rail DIN

Pluto B46

90 x 84 x 120 mm

24 Vcc

Rail DIN

Solution compacte

Scurit machines

Mitsubishi Electric

QS001CPU

1 024 E/S par module CPU

De 110 ou 220 Vca 90,4 x 111,1 x 114,1 mm De 20 26 Vcc

Rail DIN

Flexibilit importante, avec notamment des modules 1 E et 1 S 24 types de fonctions prdfinies, jusqu 254 fonctions par programme Pilotage dE/S standard (non scurises), atelier logiciel unique Solution compacte, plus de 150 blocs prdfinis, atelier logiciel unique Solution compacte, plus de 150 blocs fonctions prdfinies, atelier logiciel unique Intgr la plateforme ControlLogix de Rockwell, E/S locales ou dportes Solution compacte et conomique

Scurit machines

Omron

NE1A

16 E et 8 S (ref CPU01) ou 40 E et 8 S (ref CPU02), 4 sorties test Jusqu 32 E et 32 S

DeviceNet Safety ou version autonome Safetybus, Profibus, Profinet, Interbus, DeviceNet Safetybus, Profibus

Variable selon lapplication NC

Oui, jusqu 32 modules E/S (soit 400 E et 136 S) Oui, gamme de modules E/S TOR et analogique Non, E/S dportes avec 6 E ana

Rail DIN

Scurit machines (emballage, notamment)

Pilz

PSSuniversal SIL 3 (CEI 61508), catgorie 4 (EN 954-1) PSS 3047-3 SIL 3 (CEI 61508), catgorie 4 (EN 954-1) SIL 3 (CEI 61508), catgorie 4 (EN 954-1) SIL 3 (CEI 61508), catgorie 4 (EN 954-1) SIL 3 (CEI 61508), catgorie 4 (EN 954-1) SIL 3 (CEI 61508), catgorie 4 (EN 954-1)

NC

24 Vcc

Rail DIN

Scurit machines et installations, compatibilit CANopen Scurit machines, compatibilit CANopen Scurit machines

32 E et 15 S + bus pour E/S dportes 6 E, 2 E tests + bus pour E/S dportes

NC

87 (ou 160,2) x 246,4 x 162 mm

24 Vcc

Montage mural

PSS 3006 SB2

Safetybus, Profibus, Interbus, ControlNet, DeviceNet DeviceNet, EtherNet/IP

NC

Non, jusqu 123 x 246,4 x 162 mm 8 064 E/S dcentralises

24 Vcc

Montage mural

Rockwell Automation

GuardLogix

Sur modules dE/S

NC

Oui, gamme dE/S Guard I/O Oui, gamme dE/S Guard I/O Non, gamme dE/S dportes Guard I/O

NC 0,32 kg

NC

Sur chssis ControlLogix Rail DIN

Pour applications pilotes par un automate ControlLogix Pour applications distribues avec un grand nombre dE/S Applications multizone avec entres TOR et analogiques Liste non exhaustive

SmartGuard 600

16 E, 8 S, 4 entres test

DeviceNet, Ethernet

NC

99 x 90,4 x 131,4 mm 470 g Diffrentes dimensions selon les rfrences

De 11 25 Vcc

GuardPLC

20 ou 24 E, 8 ou 16 S, 8 E ana, 8 S ana, 2 compteurs

DeviceNet, NC EtherNet/IP, Modbus RTU et Profibus DP

De 20,4 28,8 Vcc

Montage mural

4 facteurs de forme avec diffrentes configurations dE/S

48

MESURES 815 - MAI 2009 - www.mesures.com

Guide dachat
Offre des principaux fournisseurs (suite)
Marque Rfrence Norme Nombre dE/S Protocole Temps Modularit Dimensions, Tension Fixation Principales (distributeur) de scurit rseau de cycle poids dalim. caractristiques
Schmersal Elan PROTECTPSC SIL 3 (CEI 61508), catgorie 4 (EN 954-1), PL e (EN 13849-1) SIL 3 (CEI 61508), catgorie 4 (EN 954-1), PL e (EN 13849-1) SIL 3 selon CEI 61508 Sur modules E/S (jusqu 246 E et 244 S) Profibus, DeviceNet, CC-Link 22 ms Oui, gamme de modules dE/S 45 x 100 x 80 mm 210 g 24 Vcc Rail DIN Solution modulaire et trs compacte, atelier logiciel unique

Principales applications
Scurit machines (emballage et agroalimentaire, notamment)

Schneider Electric

Modicon XPSMF

Jusqu 1 000 E/S TOR et analogiques

Ethernet, Modbus TCP, Modbus, afeethernet

15 ms

Non, gamme dE/S dportes TOR et ana

72 x 150 x 120 mm

24 Vcc

Rail DIN

Solution compacte et modulaire

Scurit machines et process simples

Modicon Quantum SIL

Jusqu 5 000 E/S TOR et analogiques

Ethernet, 100 ms Modbus TCP avec redondance Profibus DP, NC CANOpen, EtherNet/IP, Ethernet, Profinet I/O, DeviceNet, ModBus TCP Profibus, ProfiNet NC

Oui, gamme dE/S dportes TOR et analogique Oui, jusqu 12 modules E/S par CPU

120 x 260 x 105 mm

220 Vca

Chssis 19

Solution haute disponibilit (redondance totale, atelier logiciel unique (Unity) Solution modulaire, intgration transparente dans les bus de terrain les plus utiliss

Grandes applications de process : BMS, ESD, infrastructures Scurit machines, installations petites moyennes

Sick

UE410 Flexi Soft

Catgorie 4 selon lEN 954-1 et SIL 3 selon lEN 61508

Sur modules E/S (jusqu 96 E/S par CPU)

22,5 x 96,5 x 114,4 mm de 100 200 g

24 Vcc

Rail DIN

Siemens

Distributed Safety ET200S F-Systems S7400F

SIL 3 (CEI 61508), catgorie 4 (EN 954-1) SIL 3 (CEI 61508), catgorie 4 (EN 954-1) SIL 3 (CEI 61508), catgorie 4 (EN 954-1) Catgorie 4 (EN 954-1) Catgorie 4 (EN 954-1) SIL 3 selon CEI 61508

Sur modules E/S

Oui, modules 8 E et 4 S

60 x 119,5 x 75 mm 200 g 50 x 290 x 219 mm 990 g 50 x 290 x 219 mm 990 g 90 x 70 x 60 mm 90 x 160 x 60 mm NC

24 Vcc

Chssis ET Solution intgre 200 avec modules pour variation de vitesse et dparts moteur Chssis 2 CPU par unit S7, 4 centrale, atelier 18 empla- logiciel unique cements Chssis 3 CPU par unit S7, 4 centrale, atelier 18 empla- logiciel unique cements Rail DIN Rail DIN

Scurit machines, applications distribues Scurit process

Sur modules E/S

Profibus DP

NC

Oui, modules 8 ou 24 E, 8 ou 10 S, 6 E ana Oui, modules 8 ou 24 E, 8 ou 10 S, 6 E ana Non Oui

24 Vcc

F-Systems S7400FH

Sur modules E/S

Profibus DP

NC

24 Vcc

Scurit process avec tolrance de pannes (haute disponibilit) Scurit machines Scurit machines

Smartscan (Accmas)

Integron 22 Integron 52

7 E, 4 S, 8 timers 18 E, 8 S, 32 timers, 2 compteurs

NC NC

5 ms 5 ms

De 22 28 Vcc De 22 28 Vcc 24 ou 48 Vcc, 120 ou 230 Vca 24 Vcc

Invensys Triconex

Tricon

Sur modules E/S Modbus (jusqu 2 850 E/S RTU et TCP, par CPU) Open TCP, TSAA, Peer to Peer, OPC Sur modules E/S (jusqu 640 E/S par CPU) Modbus RTU et TCP, Open TCP, TSAA, Peer to Peer

De 30 500 ms selon lapplication De 25 500 ms selon lapplication 100 ms 1s 10 100 ms

Oui, gamme dE/S fixes ou dportes

Chssis 19

architecture 2oo3D Scurit de haute disponibilit process, fonctions ESD, F&G, BMS, HIPPS, turbines, nuclaire architecture 2oo3D Scurit de haute disponibilit process, fonctions ESD, F&G, BMS, HIPPS, turbines Architecture quadru- Scurit de ple, datation process, fonctions des alarmes 1 ms ESD, F&G et BMS Technologie Solid State base sur des pulses et tores magntiques Scurit de process, fonctions ESD, F&G, BMS et HIPPS Liste non exhaustive

Trident

SIL 3 selon CEI 61508

Oui, gamme dE/S fixes ou dportes

NC

Rail DIN ou montage mural Chssis 19 Chssis 19

Yokogawa

ProSafe-RS

SIL 3 selon CEI 61508 SIL 3 selon CEI 61508

Sur modules E/S Vnet, (jusqu 1 000 E/S ModBus, par CPU) OPC Sur modules E/S (pas de limitation en nombre dE/S) Vnet, ModBus, OPC

Oui, gamme de modules E/S Oui, gamme de modules E/S

NC

24 Vcc ou 230 Vca 24 Vcc ou 230 Vca

ProSafe-SLS

NC

50

MESURES 815 - MAI 2009 - www.mesures.com

Guide dachat
Process continus : les normes se mettent en place
La norme CEI 61508 met laccent sur la conception et la validation des systmes ddis aux fonctions de scurit. Elle sadresse plus particulirement aux constructeurs de matriel de scurit (capteurs, transmetteurs, automates, relais, actionneurs, etc.). La norme CEI 61511 dtaille plus spcifiquement tous les aspects lis aux applications de process. Elle cible les utilisateurs et les intgrateurs de systmes et solutions de scurit sur les process risques. Elle dveloppe une approche globale de la scurit (du capteur lactionneur), avec des indications sur lvaluation quantitative de la scurit.

matrielles brutes. Lefficacit dune application dpendra avant tout de la manire dont le programme a t conu.

La scurit : avant tout une question de logiciel

Nombre de constructeurs mettent en avant la prsence de blocs fonctionnels certifis dans leurs ateliers logiciels, mais cela ne suffit pas garantir quune application sera directement certifiable. En effet, seul le compilateur ncessite une certification. Il sagit de sassurer que lapplication une fois gnre correspondra bien ce qui a t dfini par le concepteur. La norme prvoit une seule contrainte en ce qui concerne le dveloppement des applications, indique Philippe Primard, responsable de lactivit systmes de scurit chez Yokogawa France : il est impratif que la conception et la validation soient effectues par des personnes diffrentes. Il nen reste pas moins que la prsence dune bibliothque de blocs fonctionnels prparamtrs offre un vritable gain de temps aux dveloppeurs. Il leur suffit de dclarer les noms des variables en entre et de connecter la bonne sortie. La programmation de fonctions mme complexes est grandement

Pour plus dinformations sur le sujet, vous pouvez vous reporter au dossier complet sur la scurit fonctionnelle : Sur la longue route de la norme CEI 61511 dans le numro 813 de la revue Mesures (mars 2009).

fortement rduits car toutes les variables sont accessibles directement pour les deux applications. On diminue galement le risque derreurs. Sans compter les conomies ralises sur le dveloppement de connecteurs logiciels : dans une architecture spare, il est ncessaire de concevoir des connecteurs spcifiques pour relier une application de scurit au logiciel de supervision. Il en va de mme pour la formation, car les automaticiens que lon charge de concevoir une application de scurit prfreront employer leur logiciel habituel. Enfin, on peut mettre en avant le fait de navoir quun seul interlocuteur pour le matriel de contrle et pour les composants de scurit. Le principal inconvnient de ce type de solution rside dans la cohabitation entre un systme fig et un systme sujet volutions. Les interventions sur un programme dautomatismes peuvent tre frquentes, que ce soit pour effectuer des rglages ou des mises jour. A linverse, le programme de scurit, qui fait lobjet dune certification, doit tre protg contre toute modification intempestive. Il faut donc vrifier que le constructeur ait prvu des mcanismes de verrouillage sur lapplication de scurit. Lide de lintgration fait son chemin, mais elle ne convainc pas tous les utilisateurs. Les industriels qui ont des machines trs dangereuses prfreront toujours confier les automatismes et la scurit des systmes diffrents, commente Serge Catherineau, responsable marketing automatismes et solutions chez Schneider Electric. Et le plus souvent, ils demandent des systmes de constructeurs diffrents. Cest nous quil revient de sensibiliser les clients sur les vrais moyens damliorer la scurit. Quoi quil en soit, tous les constructeurs saccordent dire quune architecture spare ou intgre peut dlivrer le mme niveau de scurit.
MESURES 815 - MAI 2009 - www.mesures.com

A lintrieur de lautomate de scurit

Le dbat sur les diffrents types darchitectures se poursuit lorsque lon sintresse au fonctionnement mme de lautomate. En effet, les constructeurs sont diviss sur les mthodes exploiter pour assurer une scurit maximale. On identifie trois principaux types dunits centrales. Le premier consiste excuter chaque tche sur deux processeurs architectures diffrentes, et de comparer en sortie leurs rsultats. La deuxime consiste nutiliser quun seul CPU mais de faire en sorte que chaque tche soit excute systmatiquement deux fois de suite. Enfin, dans le cas des automates qui effectuent des tches de contrle et de scurit dans le mme chssis, la carte CPU de scurit fonctionne comme un coprocesseur qui ne sacquitte que des tches ayant trait la scurit. Mis part le CPU, les automates de scurit du march utilisent globalement les mmes mthodes pour assurer de la redondance. Quel que soit le constructeur, tout est dupliqu et tout est surveill. Depuis la mmoire interne (son intgrit est vrifie chaque temps de cycle) jusquaux cbles (leur impdance est mesure afin de dtecter toute rupture ou court-circuit) en passant par les contrleurs dE/S (chaque entre est double, et chaque sortie repart vers une entre afin dtre vrifie). Tous ces contrles sont absolument transparents pour lutilisateur, commente Fabrice Poulet, responsable de lactivit composants chez Rockwell Automation. Bien entendu, ils ont un impact sur les temps de cycles, mais cela est pris en compte ds la conception, par le choix des processeurs et le rglage de leurs horloges. Au final, un automate de scurit, ce nest rien de moins quun super-automate. Au final, on constate trs peu de diffrences entre les produits pour ce qui concerne les performances

Cest dans le domaine de la scurit de process que les applications sont les plus complexes, avec des armoires regroupant jusqu plusieurs dizaines de milliers dEntres/Sorties.

51

Yokogawa

Guide dachat

Grce des blocs dE/S dportes tanches, un seul cble sort de la machine et vhicule toutes les informations de scurit.

Extrieurement, seule la couleur diffrencie les modules dEntres/Sorties de scurit de ceux utiliss pour le contrle-commande. Mais lintrieur, les modules de scurit se distinguent par une redondance de tous les composants lectroniques.

facilite (sans commune mesure avec la logique cble), et il reste bien entendu possible de dvelopper des fonctions spcifiques, ne se basant sur aucun modle. Autre aspect intressant : la prsence dun logiciel de simulation. Ce dernier servira tester une application avant que le cblage soit ralis, ce qui procure des gains de temps non ngligeables lors de la mise en place dune nouvelle machine.

Changement dunivers : les applications de process

Le secteur de la scurit des process continus est radicalement diffrent de celui de la scurit des machines. Nous lavons vu, la principale distinction rside dans la ncessit

Un exemple darchitecture distribue : lautomate modulaire, install dans une armoire, est reli des blocs dE/S dports (placs dans les machines) et des automates de scurit compacts (pour le pilotage dun lot de fabrication distant).

de considrer la disponibilit en plus de la scurit. Mme si un process se pilote avec des automates, comme une machine, il est impossible dy appliquer les mmes rgles ( savoir couper lalimentation ds quun dfaut ou une panne est dtect). On peut comparer un process un avion en vol, explique Herv Bodinier, directeur des ventes Europe du Nord et Afrique chez Rockwell Oil & Gas. En cas de dfaut, la position la plus sre nest pas larrt immdiat ou incontrl ! Au contraire, un arrt brutal peut avoir des consquences catastrophiques, et peut entraner jusqu la destruction de tout ou partie de lusine. Cest pourquoi on dit que lorsquun process drive, il faut pouvoir le recentrer. Cela signifie continuer piloter une partie du process mme si certains lments sont dfaillants. Cette diffrence dapproche se ressent dabord du point de vue de la conception des applications logicielles. Alors que dans la scurit machines on sappuie sur la logique cble (des schmas contacts) pour dcrire le comportement du systme, dans le process on emploie des matrices causes-effets. On dfinit, pour une ou plusieurs causes (une pression anormalement leve ou un niveau anormalement bas, par exemple), des actions effectuer (on pilote larrt dune pompe ou louverture dune vanne, par exemple). Lintrt de cette approche est de transcrire exactement lanalyse de risque. Il sagit de la premire tape prvue par la norme pour concevoir une application de scurit. Cette analyse consiste se poser les deux questions

suivantes : quels sont les risques de dfaillances ? et quelles peuvent en tre leurs consquences ? Les logiciels de scurit de process sont donc compltement diffrents de ceux utiliss pour les machines. Du point de vue matriel, les critres de choix sont eux aussi diffrents. Une spcificit du process : comme le prconise la norme IEC 61511, les caractristiques de fiabilit de chaque quipement sont prises en compte pour lestimation du niveau de scurit global de lapplication (SIL, Safety Integrity Level). En ce qui concerne la redondance, tout est envisageable et les architectures peuvent tre beaucoup plus complexes que celles concernant la scurit machines. Les architectures peuvent aller dune redondance simple jusqu des systmes 6 units centrales. Par ailleurs, poursuit Sbastien Lachaise, ingnieur des ventes chez Hima France, pour assurer le maximum de disponibilit, certains systmes de scurit ont des cartes remplaables chaud. Si une carte processeur tombe en panne, il suffit den insrer une nouvelle. Le programme automate est copi automatiquement et son excution dmarre aussitt aprs. Si un accident dans un process peut avoir des consquences graves, il faut choisir un produit capable de piloter la fois une application darrt durgence pour protger le process et une application feu et gaz pour protger lenvironnement. Cette dernire se charge dalerter les services de lutte anti-incendie, de dclencher des arrosages automaMESURES 815 - MAI 2009 - www.mesures.com

Pilz

52

B & R Automation

Guide dachat
Le transport de personnes : un monde part
Le secteur du transport est une application particulire. Il fait lobjet de rglementations spcifiques, mais reprend des impratifs inhrents aux deux secteurs des machines et du process. Des impratifs de protection des individus, dabord, car la scurit des passagers prime. Des impratifs de disponibilit, galement, car on ne peut se contenter de couper lalimentation lectrique dun vhicule ou dun train la premire remonte dun dfaut. Selon le volume de lapplication et les besoins en disponibilit, le choix de lautomate seffectuera entre des produits orients machines (pour des applications de remontes mcaniques, de funiculaires ou de tramways, par exemple) ou des produits orients process (applications de mtro, de tlphriques, entre autres). On retrouve des automates de scurit dans tous les tramways (pour lisolation de lalimentation par le sol), pour la gestion des portes palires dans les mtros automatiques, pour des applications dans des aroports ou encore pour certains ascenseurs (ceux de la tour Eiffel, par exemple).

Sic k

Une trs large majorit dautomates de scurit dispose de LED de diagnostic sur leur face avant. Ils offrent une vue globale de ltat des diffrents composants, et vitent ainsi le recours une console de diagnostic.

tiques, de verrouiller des zones, dactionner des systmes dvacuation de fumes, etc. Pour protger les installations, lorsquune alarme est active, il faut que le systme gnre un signal qui dclenchera par exemple le dispositif dextinction dincendie. On parle alors de commande par mission, par opposition avec les commandes manque utilises dans le cas classique dun arrt durgence. Pour les process potentiellement dangereux, il est donc trs important de choisir un automate de scurit capable de prendre en charge les deux types de logique. Et cela nest pas forcment mis en valeur par les constructeurs et intgrateurs. Attention donc au moment du choix, car un produit certifi SIL 3 pour une commande manque ne sera pas forcment SIL 3 pour une commande par mission , prcise Herv Bodinier (ICS Triplex/Rockwell Oil & Gas).

Le diagnostic fait galement lobjet dune attention particulire dans le process. A linstar des pipelines, de nombreuses applications stendent sur des centaines voire des milliers de kilomtres. On prfrera alors rpartir plusieurs automates de scurit le long des installations. Cela napporte pas plus de scurit quune plate-forme centralise, mais les agents de surveillance pourront effectuer sur place un premier diagnostic. Les LED en face avant des automates donnent diverses indications : tat de la redondance, distinction entre erreurs internes et erreurs lies au process, indicateurs dtat du bus ou indicateurs de forage, etc. Enfin, comme pour la scurit machines, on se posera la question de lintgration avec le systme de contrle. Dans le process, beaucoup de clients choisissent un constructeur diffrent de celui du

systme numrique de contrle-commande (SNCC). Un choix qui est aussi et surtout une manire de se rassurer , selon Jean Farge, responsable marketing France pour loffre process chez Schneider Electric. Cest pourquoi les spcialistes de la scurit proposent pour la plupart des systmes compatibles avec les grandes marques de SNCC. Mais contrairement aux applications machines, la norme CEI 61511 impose ici que les rseaux de scurit et de contrle soient physiquement spars. Elle demande mme de sparer les systmes ayant des niveaux de SIL diffrents. Si cela nest pas possible, il faut toujours se conformer au niveau de SIL maximal. Dans une application qui regroupe un mlange de fonctions SIL 1, SIL 2 et SIL 3, tout devra tre considr comme SIL 3. Frdric Parisot
Qui a dit que la scurit tait incompatible avec une transmission sans-fil ? Pilz propose une architecture base sur son rseau de scurit SafetyBus associ aux modems radio haute disponibilit du constructeur suisse Schweizer Electronic. De tels systmes sont utiliss pour des applications de ponts roulants ou de remontes mcaniques, par exemple.

Les automates spcialiss dans les applications de process sont ceux qui apportent les degrs de scurit les plus levs. Plus que la redondance, ils offrent des architectures dans lesquelles tous les composants sont tripls.

Triconex

MESURES 815 - MAI 2009 - www.mesures.com

Pilz

53