- IO-Link
- Technologie
- Sécurité fonctionnelle
Qu’est-ce que la sécurité fonctionnelle ?
La sécurité fonctionnelle désigne le principe consistant à garantir la sécurité grâce au bon fonctionnement d’un système. Il garantit qu’un système ou une installation fonctionne de manière à réduire le risque d’accidents ou de dommages à un niveau acceptable, conformément à sa classification de sécurité.
Sécurité active
La sécurité active englobe les mesures et les systèmes conçus pour prévenir les accidents et les situations dangereuses. Il s’agit de mesures préventives qui interviennent activement dans le fonctionnement du système avant qu’une situation dangereuse ne se produise.
En matière de sécurité fonctionnelle, la sécurité active désigne la mise en œuvre de fonctions de sécurité qui surveillent en permanence l’état des capteurs, des actionneurs et des contrôleurs et, en cas de détection d’un défaut ou d’un danger, prennent des mesures pour éviter ce danger. Ces fonctions sont souvent intégrées dans les logiciels et le matériel et sont spécifiées par des normes telles que CEI 61508 ou ISO 26262.
Sécurité passive (arrêt non réactif)
La sécurité passive englobe les mesures et les systèmes qui contribuent à minimiser les effets d’un accident ou d’une situation dangereuse après qu’ils se sont produits. Il n’intervient pas de manière préventive, mais réduit plutôt les conséquences.
Dans le contexte de la sécurité fonctionnelle, la sécurité passive peut signifier que le système est conçu pour « tomber en panne en toute sécurité » en cas de défaillance. Un exemple serait qu’un appareil passe en mode veille ou s’éteigne lorsqu’un défaut est détecté. Les systèmes redondants qui prennent le relais en cas de défaillance d’un sous-système peuvent également être considérés comme faisant partie de la sécurité passive.
Le défi technique consiste à garantir qu’en cas de défaillance, un actionneur ne soit pas alimenté par inadvertance, par exemple en fournissant de l’énergie via US alors que l’alimentation électrique de sécurité UA a déjà été désactivée.
Pour résoudre ce problème, nous avons développé un concept cohérent pour l’arrêt sécurisé en cas de défaillance unique de l’alimentation de l’actionneur (UA) dans les systèmes IO-Link. Ce concept définit les exigences techniques relatives à l’utilisation de nos composants dans des applications soumises à des exigences de sécurité fonctionnelle. Tous les appareils concernés ont été adaptés en conséquence et leur conception a été révisée afin d’exclure de manière fiable les mécanismes de défaillance pertinents. Cela garantit que nos produits fonctionnent de manière fiable et sans effets indésirables, même dans des environnements où la sécurité est primordiale, tout en respectant toutes les normes et directives applicables.
Désactiver les modules IO-Link maître / Ethernet
L’animation montre la coupure sécurisée de la tension UA en tant que tension d’alimentation pour le maître IO-Link ou le module Ethernet. Si, par exemple, une zone de protection est franchie ou qu’un arrêt d’urgence est déclenché sur la machine ou le système, le relais de sécurité ou le F-PLC déconnecte cette tension UA pour le module. Un actionneur connecté ne peut alors plus être commuté via la vanne et se trouve dans un état sûr.
Désactiver les modules IO-Link
Outre les modules compatibles avec le bus, les exigences en matière de sécurité fonctionnelle ont également été mises en œuvre dans nos modules IO-Link. Dans cet exemple, nous utilisons un module IO-Link avec deux tensions UA différentes (UAL/UAR). Cela permet d’enregistrer deux conditions d’arrêt différentes dans le F-PLC. La fermeture de l’UAL ou de l’UAR empêche également la commutation de la vanne.
Le terme « sécurité passive » est souvent utilisé dans les discussions sur les systèmes IO-Link. Cependant, à notre avis, ce terme est trompeur car il donne l’impression qu’il s’agit de composants liés à la sécurité au sens de la directive Machines. En réalité, ni les maîtres IO-Link ni les modules IO-Link ne répondent aux exigences de sécurité fonctionnelle : Ils ne sont pas couverts par un diagnostic et n’ont pas été développés selon les processus de développement spécifiques aux produits liés à la sécurité.
Si de tels dispositifs sont utilisés dans des applications où les actionneurs doivent être désactivés en toute sécurité, il est essentiel que les composants utilisés n’altèrent pas ou n’annulent pas l’efficacité de la fonction de sécurité. C’est pourquoi nous ne parlons délibérément pas de « sécurité passive », mais plutôt de non-interférence et d’exclusion des défauts.
Le document téléchargeable décrit comment mettre en place un système permettant de déconnecter sans interférence la tension d’alimentation d’un actionneur à l’aide d’un relais de sécurité et de dispositifs adaptés issus des gammes de produits ifm AL1xxx (maître IO-Link) et AL2xxx (module d’entrée/sortie IO-Link), ainsi que des modules IO AL43xx.