Le choix de la fonction de sécurité la plus appropriée dépendra des risques, des résultats souhaités, des modes de défaillance potentiels et des risques résiduels. Dans tous les cas, le dispositif logique de sécurité coupera l'alimentation des dispositifs de sortie. Le circuit dépend du dispositif de sortie qui exécute la fonction de sécurité lorsqu'il lui est signalé de le faire. Choisir la bonne vanne nécessite une compréhension des modes de fonctionnement et de défaillance des vannes qui pourraient être utilisées pour mettre en œuvre la fonction de sécurité.
Fonctions de Sécurité
Les fonctions de sécurité complètes sont constituées de dispositifs d'entrée, logiques et sortie. Le dispositif d'entrée de sécurité est le déclencheur de la fonction de sécurité. Le dispositif logique de sécurité surveille le périphérique d'entrée et décide de la manière de contrôler les périphériques de sortie. Le dispositif logique de sécurité surveille également les signaux de retour provenant du ou des dispositifs de sortie.
Les tableaux de réaction de sécurité peuvent être utilisés pour déterminer comment les actionneurs individuels doivent être contrôlés en fonction d'événements déclencheurs de sécurité (le tableau ci-dessous n'est qu'un exemple).
| Liste des Actionneurs | ||||
|---|---|---|---|---|
| Dispositifs Déclencheurs | Vérin de Serrage | Vérin de Presse | Moteur de Rivetage | Vérin Coulissant |
| Arrêt d'Urgence | Échappement Sécurisé | Échappement Sécurisé | Isolation de Puissance | Échappement Sécurisé |
| Commandes d'Eclairage | Pression Sécurisé | Contrôle et Arrêt Sécurisés | Isolation de Puissance | Retour Sécurisé |
| Interrupteur de Porte | ||||
Modes de Défaillance
Comprendre les modes de défaillance des dispositifs choisis est très important dans le processus de conception lorsque vous souhaitez atteindre état sécurisé. La défaillance de vanne la plus courante se produit lorsqu'une vanne ne se déplace pas correctement, que ce soit en s'énergisant ou en se désénergisant, et que la fonction de la vanne n'est pas remplie. Cela peut provoquer des mouvements inattendus, soit au mauvais moment, soit dans la mauvaise direction. Selon l'application, cela peut conduire à une situation critique.
Il existe cependant de nombreux autres modes de défaillance courants des vannes et causes de ces défaillances. Les tableaux ci-dessous répertorient les modes de défaillance courants des vannes de fluides et certains modes de défaillance spécifiques à certaines fonctions de vanne.
| Modes de Défaillance Standard des Vannes d'Alimentation en Fluides | ||||
|---|---|---|---|---|
| Problème | Résultat | Considérations | ||
| La pression de pilotage est réduite ou perdue | La vanne reviendra à la position de décalage mécanique (OFF). | Assurez-vous que la position de décalage (OFF) est la position de sécurité. | ||
| Usure interne provoquant des fuites | Impossible de prédéfinir car cela dépend de la conception de la vanne. | Assurez-vous que la conception de la vanne ne permet pas de conditions dangereuses. | ||
| De la saleté, des grains ou de la rouille pénètrent dans la vanne | La vanne peut coincer (voir vanne grippée). | Assurez-vous que les tuyaux sont propres, que les tuyaux ne sont pas abîmés, filtrez l'huile hydraulique et l'air. | ||
| Tiroir de vanne colle | La vanne ne revient pas à la position de décalage mécanique (OFF). La vanne peut être dans un certain nombre de conditions de croisement. |
*Nécessite que la 2e vanne soit utilisée et placée dans un circuit permettant aux deux de fonctionner correctement. | ||
| Défaillance de l'actionneur de vanne | Si l'actionneur tombe en panne en position désactivée, la vanne reviendra en position de décalage mécanique (OFF). Si l'actionneur tombe en panne en position actionnée, la vanne restera actionnée. |
*Nécessite que la 2e vanne soit utilisée et placée dans un circuit permettant aux deux de fonctionner correctement. | ||
| Défaillance de la bobine | La vanne reviendra à la position de décalage mécanique (OFF). | Assurez-vous que la position de décalage (OFF) est la position de sécurité. | ||
| Défaillance soumise à un débit excessif | La vanne peut se déplacer sans signal. | Assurez-vous que la vanne est conçue pour empêcher tout déplacement accidentel, en particulier dans le système hydraulique. | ||
| Modes de Défaillance Associés à Certaines Fonctions de Vanne | ||||
|---|---|---|---|---|
| Type de Vanne | Défauts | Résultat de Défaillance dans le Pire des Cas | ||
| 3/2 Normalement Fermée avec Retour à Ressort | L'air continue d'être fourni | |||
| 5/2 avec Retour à Ressort | Le mouvement continue à pleine puissance, ne s'inverse pas | |||
| 5/2 à détente | Le mouvement continuera jusqu'à la fin de la course ou s'inversera | |||
| 5/3 Centre Ouvert, Centre Fermé ou Centre Pressurisé | Pilote ou bâton de bobine, Composants cassés (ressort, joints, détente), Contamination |
Le mouvement continue à pleine force ou s'inverse | ||
| Contrôle Piloté | Mouvement dû à la pression ou à la gravité de l'extrémité opposée | |||
| Contrôle de Débit | Le contrôle de la vitesse n'est pas efficace, échappement restreint | |||
| Démarrage Progressif | Le contrôle de la vitesse n'est pas efficace, échappement restreint | |||
| Figure 5-1 *Identique à la vanne à contrôle fiable, sauf que vous devez également concevoir dans le moniteur. | ||||
Les vannes de catégories 3 et 4 sont utilisées pour éviter que ces types de défaillances n'entraînent la perte de la fonction de sécurité. La redondance (ou structure) et la surveillance créent des dispositifs de sécurité. En cas de dysfonctionnement d'un élément de vanne, le deuxième élément de vanne peut toujours remplir la fonction de sécurité. Cependant, d'autres facteurs affecteront le cas où une vanne de sécurité double présente un défaut, comme un temps d'arrêt plus long. Une modification du trajet d'écoulement normal d'une vanne défectueuse affectera le temps nécessaire pour évacuer la pression ou ajouter de la pression dans une fonction de retour sécurisé. Ceci doit être pris en compte dans tout calcul de distance de sécurité.
Risque Résiduel
Très souvent, les tentatives d’atténuation des risques peuvent aboutir à des niveaux inacceptables de risque résiduel. Pour cette raison, le processus d’évaluation des risques est itératif. La première tentative peut laisser un risque résiduel jugé inacceptable et nécessite donc au moins une deuxième tentative pour atteindre un niveau de risque acceptable. Le processus doit être répété jusqu'à ce qu'un niveau de risque acceptable soit atteint. Le tableau ci-dessous représente une liste des dangers courants et des risques résiduels associés pour chacune des quatre fonctions de sécurité. D'autres fonctions de sécurité peuvent être disponibles et peuvent être utilisées pour gérer les risques résiduels jusqu'à ce qu'un niveau de risque acceptable soit atteint.
| Cause du danger | Fonction de sécurité | Avantage | Risque Résiduel |
|---|---|---|---|
| Mouvement du vérin/point d'opération | Échappement sécurisé | Supprimer la force motrice des actionneurs Peut alimenter une zone ou une cellule |
Réapplication de pression, gravité |
| Retour sécurisé des vérins | Contrôle à actionneur unique | Mouvement de rétraction, perte de pression d'alimentation | |
| Arrêt de contrôle sécurisé | Contrôle à actionneur unique | Pression emprisonnée, fuite | |
| Serre-joint (Point de pincement) | Pression / Force réduite sécurisée | Réduire la force des actionneurs Peut alimenter une zone ou une cellule |
Les points de pincement restent à force / pression réduite |
| Risque Résiduel | Fonction de Sécurité | Nouveau Risque Résiduel |
|---|---|---|
| Réapplication de pression | Démarrage Progressif | Tout le système ne peut pas être sous pression (c'est-à-dire en aval de 5/3 CF) |
| Réapplication de pression | Contrôle de débit | Pas de contre-pression pour le premier coup |
| Gravité | Maintien de la charge | Fuite, mouvement lent, doit être bloquée pour la maintenance |
| Perte de pression d'alimentation | Clapet anti-retour sur l'alimentation | Fuite, mouvement lent, doit être bloquée pour la maintenance |
| Fuite | Test périodique du circuit de sécurité | Mouvement lent |
| Pression emprisonnée | Pression emprisonnée | Fuite, mouvement lent, doit être bloquée pour la maintenance |
Il existe quatre solutions principales pour réduire les risques associés aux actionneurs pneumatiques :
-
Bloquez l'alimentation en air de la vanne de régulation et, par conséquent, des actionneurs, avec une vanne d'échappement fiable à commande 3/2 (catégorie 3 ou 4). Utilisez une vanne de sécurité adaptée à la catégorie de contrôle déterminée par votre évaluation des risques. L'avantage de cette méthode est qu'une vanne d'échappement de sécurité peut être utilisée pour supprimer la pression d'alimentation d'un ou plusieurs distributeurs et actionneurs de commande directionnelle tout en contribuant à maintenir l'intégrité du contrôle du système de sécurité. Une vanne d'échappement de sécurité peut alimenter une machine, une cellule ou une zone.
Dans certains cas, la simple suppression de la pression d'alimentation peut laisser une charge libre de tomber ou de continuer à se déplacer en raison de la gravité ou de l'élan. En plus d'un échappement sécurisé, vous devez prendre en compte la force gravitationnelle et l'élan agissant sur la masse de la charge et appliquer une solution appropriée pour arrêter et maintenir la charge en place. Une fois la force motrice supprimée, la solution appropriée dépendra de la masse, de l'outillage et des modes de défaillance des dispositifs utilisés pour maintenir un état sécurisé. Les solutions peuvent inclure l'utilisation de clapets anti-retour pilotés pour emprisonner avantageusement la pression, et/ou de capteurs de sécurité ou de verrous de tige pour maintenir mécaniquement le(s) actionneur(s) sans emprisonner la pression dans le système. - Inversez le mouvement du vérin dans une position sécurisée en utilisant une double vanne 5/2 à commande fiable. Cela aboutira à un état sûr, à condition qu'une course de retour de l'actionneur ne présente aucun risque supplémentaire. Dans le cas d’applications de thermo scellage, cela pourrait être une très bonne solution. Cela retirerait l'élément chauffant de la pièce à travailler (carburant) et inverserait la direction du vérin en l'éloignant du point de pincement.
- Arrêter le mouvement en emprisonnant la pression aux deux extrémités du vérin peut être réalisé avec une vanne fermée certifiée pour la sécurité 4/3 ou 5/3. Seule une vanne à centre fermé de sécurité peut être utilisée pour atteindre un niveau de contrôle plus élevé, des systèmes de sécurité fiables sans l'ajout d'autres composants mentionnés dans la solution 1.
- Réduisez la force ou la pression à un niveau acceptable à l’aide d’une solution de sélection de pression. Cela fournira une pression plus élevée pendant les opérations normales, mais une pression réduite lorsqu'un accès sécurisé de l'opérateur est requis. Cela peut être utilisé pour alimenter les vannes en aval. Il est important de noter qu'une pression plus élevée peut toujours être en aval selon le type de vanne d'actionneur dans le circuit. Par exemple, une vanne 5/3 à centre fermé maintiendra la pression la plus élevée jusqu'à son déplacement, permettant ainsi à la pression la plus basse d'entrer dans le système.
Exclusion de Panne
Beaucoup d’entre eux sont simplement basés sur de bonnes pratiques d’ingénierie requises dans d’autres normes. Ces annexes A à D de la norme ISO 13849-2 fournissent des informations sur les exclusions de défauts pour les systèmes mécaniques, pneumatiques, hydrauliques et électriques respectivement. Chacune de ces sections examine les principes de sécurité de base, puis les défauts et exclusions de défauts qui sont divisés en fonction de la vanne et en modes de défaillance spécifiques. Pour des raisons de concision, les figures présentées ci-dessous sont des extraits des tableaux et non les tableaux complets.
Un exemple d'exclusion de panne est que vous pouvez exclure qu'une vanne éclate lorsqu'elle est utilisée conformément à ses spécifications. Le fabricant aura réalisé la conception et les tests du produit. Si la vanne est certifiée par un tiers, ces tests feront partie de la documentation et du dossier technique requis pour le marquage CE. Il s’agit d’une exclusion de faute tout à fait raisonnable.
La norme ISO 13849-2 ne permet pas d'exclure les défauts des flexibles dans les systèmes de transmission de puissance hydraulique.
Un problème hydraulique supplémentaire à noter concerne la fixation appropriée. Il mentionne spécifiquement les notes d’application des fabricants et le couple approprié. Les notes mentionneront fréquemment une qualité spécifique de boulon et une exigence de couple qui est cruciale pour répondre à la pression nominale des appareils.
Certaines exclusions de fautes pourraient conduire à des décisions de conception dangereuses. Le tableau B3 ISO 13849-2 pour les distributeurs pneumatiques répertorie la « modification du temps de commutation » et la « non-commutation » (c'est-à-dire le collage) comme éléments qui peuvent être exclus sur la base du tableau A2 de la norme ISO 13849-2, Principes de sécurité éprouvés. Bien que ces principes soient généralement utilisés par les fabricants, de nombreux facteurs peuvent influencer les résultats réels.
Le tableau C.4 de l'ISO 13849-2 pour les distributeurs hydrauliques répertorie les mêmes problèmes de défaillance que le tableau B3 pour les distributeurs pneumatiques, ainsi que les fuites, mais comporte des détails très spécifiques dans les remarques. Ces détails spécifiques peuvent être connus du fabricant de vannes mais ne seraient pas facilement compris par le concepteur type de systèmes de sécurité. Pour créer la justification détaillée requise, il faudrait obtenir et documenter le niveau de détail indiqué dans les remarques.
Les tableaux B.5 et C.5 de la norme ISO 13849-2 concernent spécifiquement les vannes d'arrêt, de contrôle, d'échappement rapide et les vannes navettes et contiennent une liste similaire d'exclusions de défauts, y compris les fuites. Le seul but d’un clapet anti-retour est d’emprisonner la pression en le fermant complètement sans fuite. Les remarques mentionnent qu’une filtration doit être prévue et que les conditions du fabricant doivent également être respectées. Avoir de l'air propre et sec améliorera la durée de vie de tous les systèmes pneumatiques, mais la réalité est qu'il y aura de la condensation et de l'infiltration de contaminants qui affecteront la durée de vie et induiront potentiellement des modes de défaillance, tels que des fuites, au niveau du siège du clapet anti-retour.
Toutes les vannes tomberont en panne à un moment donné. Le concept de sécurité fonctionnelle est qu'un système de sécurité à contrôle fiable échouera en toute sécurité et que la panne sera détectée avant la prochaine demande de la fonction de sécurité. Pour cette raison, les exclusions de défauts doivent être utilisées avec le plus grand soin et la justification doit faire partie de la documentation technique. Un système de sécurité bien conçu utilisant des principes éprouvés, un système à double canal et un niveau élevé de diagnostic ne nécessitera pas d'exclusions de pannes et conduira à la solution la plus sûre.