8 bannière

 

58. Demandes de sécurité

Éditeurs de chapitre : Kenneth Gerecke et Charles T. Pope


Table des matières

Tableaux et figures

Analyse des Systèmes
Manh Trung Ho  

Sécurité des outils électriques portatifs et manuels
Département du travail des États-Unis—Administration de la sécurité et de la santé au travail ; édité par Kenneth Gerecke

Pièces mobiles de machines
Tomas Backström et Marianne Döos

Protection de la machine
Département du travail des États-Unis—Administration de la sécurité et de la santé au travail ; édité par Kenneth Gerecke

Détecteurs de présence
Paul Schreber

Dispositifs de contrôle, d'isolement et de commutation d'énergie
René Troxler

Applications liées à la sécurité
Dietmar Reinert et Karlheinz Meffert

Logiciels et ordinateurs : systèmes automatisés hybrides
Waldemar Karwowski et Jozef Zurada

Principes de conception de systèmes de commande sûrs
Georg Vondracek

Principes de sécurité pour les machines-outils à commande numérique
Toni Retsch, Guido Schmitter et Albert Marty

Principes de sécurité pour les robots industriels
Toni Retsch, Guido Schmitter et Albert Marty

Systèmes de commande électriques, électroniques et électroniques programmables liés à la sécurité
Ron Bell

Exigences techniques pour les systèmes liés à la sécurité basés sur des dispositifs électriques, électroniques et électroniques programmables
John Brazendale et Ron Bell

rollover
Bengt Springfeldt

Chutes d'altitude
Jean Arteau

Espaces confinés
Neil Mc Manus

Principes de prévention : manutention et circulation interne
Kari Häkkinen

Tables

Cliquez sur un lien ci-dessous pour afficher le tableau dans le contexte de l'article.

1. Dysfonctionnements possibles d'un circuit de commande à deux boutons
2. Protecteurs de machine
3. Compatibles
4. Méthodes d'alimentation et d'éjection
5. Combinaisons de structures de circuits dans les commandes de machines
6. Niveaux d'intégrité de sécurité pour les systèmes de protection
7. Conception et développement de logiciels
8. Niveau d'intégrité de sécurité : composants de type B
9. Exigences d'intégrité : architectures de systèmes électroniques
10. Chutes d'altitude : Québec 1982-1987
11.Systèmes typiques de prévention et d'arrêt des chutes
12. Différences entre la prévention des chutes et l'arrêt des chutes
13. Modèle de formulaire pour l'évaluation des conditions dangereuses
14. Un exemple de permis d'entrée

Figures

Pointez sur une vignette pour voir la légende de la figure, cliquez pour voir la figure dans le contexte de l'article.

SAF020F1SAF020F2SAF020F4SAF020F5MAC240F2MAC240F3

MAC080F1MAC080F2MAC080F3MAC080F4MAC080F5MAC080F6MAC080F7MAC080F8MAC080F9MAC80F10MAC80F11MAC80F12MAC80F13MAC80F14MAC80F15MAC80F16MAC80F17MAC80F18MAC80F19MAC80F20MAC80F21MAC80F23MAC80F24MAC80F25MAC80F26MAC80F27MAC80F28MAC80F29MAC80F30MAC80F31MAC80F32MAC80F33MAC80F34MAC80F35MAC80F36MAC80F37

  SAF064F1SAF064F2SAF064F3SAF064F4SAF064F5SAF064F6SAF064F7

   SAF062F1SAF062F2SAF062F3SAF062F4SAF062F5SAF062F6SAF062F7SAF062F8SAF062F9SAF62F10SAF62F11SAF62F14SAF62F13SAF62F15SAF62F16SAF62F17SAF62F18 SAF059F1SAF059F2SAF059F3SAF059F4SAF059F5SAF059F6SAF059F8SAF059F9SA059F10SAF060F1SAF060F2SAF060F3SAF060F4


Cliquez pour revenir en haut de la page

Lundi, Avril 04 2011 16: 56

Analyse des Systèmes

A combustion propre peut être défini comme un ensemble de composants interdépendants combinés de manière à remplir une fonction donnée dans des conditions spécifiées. Une machine est un exemple concret et particulièrement net de système en ce sens, mais il existe d'autres systèmes, impliquant des hommes et des femmes dans une équipe ou dans un atelier ou une usine, qui sont beaucoup plus complexes et moins faciles à définir. Sécurité suggère l'absence de danger ou de risque d'accident ou de blessure. Afin d'éviter toute ambiguïté, le concept général de événement indésirable seront employés. La sécurité absolue, au sens de l'impossibilité qu'un incident plus ou moins malheureux se produise, n'est pas atteignable ; de manière réaliste, il faut viser une probabilité très faible plutôt qu'une probabilité nulle d'occurrences indésirables.

Un système donné peut être considéré comme sûr ou non sûr uniquement en ce qui concerne les performances qui en sont réellement attendues. Dans cette optique, le niveau de sécurité d'un système peut être défini comme suit : "Pour tout ensemble donné d'événements indésirables, le niveau de sécurité (ou d'insécurité) d'un système est déterminé par la probabilité que ces événements se produisent sur une période donnée. période de temps". Parmi les exemples d'événements indésirables qui seraient intéressants dans le cadre du présent rapport, citons : les décès multiples, la mort d'une ou plusieurs personnes, les blessures graves, les blessures légères, les dommages à l'environnement, les effets néfastes sur les êtres vivants, la destruction d'usines ou de bâtiments, et les ou des dommages matériels ou matériels limités.

Objectif de l'analyse du système de sécurité

L'objet d'une analyse de sécurité du système est de déterminer les facteurs qui influent sur la probabilité des événements indésirables, d'étudier la manière dont ces événements se produisent et, finalement, de développer des mesures préventives pour réduire leur probabilité.

La phase analytique du problème peut être divisée en deux aspects principaux :

  1. l'identification et la description de la types de dysfonctionnement ou d'inadaptation
  2. identification de la séquences des dysfonctionnements qui se combinent les uns avec les autres (ou avec des occurrences plus « normales ») pour aboutir in fine à l'occurrence non désirée elle-même, et l'évaluation de leur probabilité.

 

Une fois les différents dysfonctionnements et leurs conséquences étudiés, les analystes de la sécurité du système peuvent porter leur attention sur les mesures préventives. La recherche dans ce domaine s'appuiera directement sur les découvertes antérieures. Cette investigation des moyens préventifs suit les deux principaux aspects de l'analyse de sûreté du système.

Méthodes d'analyse

L'analyse de sécurité du système peut être réalisée avant ou après l'événement (a priori ou a posteriori) ; dans les deux cas, la méthode utilisée peut être directe ou inverse. Une analyse a priori a lieu avant l'événement indésirable. L'analyste prend un certain nombre de ces occurrences et s'attache à découvrir les différentes étapes qui peuvent y conduire. En revanche, une analyse a posteriori est effectuée après que l'événement indésirable s'est produit. Son objectif est de fournir des orientations pour l'avenir et, en particulier, de tirer toutes les conclusions qui peuvent être utiles pour d'éventuelles analyses a priori ultérieures.

S'il peut sembler qu'une analyse a priori serait bien plus précieuse qu'une analyse a posteriori, puisqu'elle précède l'incident, les deux sont en fait complémentaires. La méthode utilisée dépend de la complexité du système impliqué et de ce que l'on sait déjà sur le sujet. Dans le cas de systèmes tangibles tels que des machines ou des installations industrielles, l'expérience antérieure peut généralement servir à préparer une analyse a priori assez détaillée. Cependant, même dans ce cas, l'analyse n'est pas forcément infaillible et ne manquera pas de bénéficier d'une analyse ultérieure a posteriori basée essentiellement sur l'étude des incidents survenus en cours d'exploitation. Quant aux systèmes plus complexes impliquant des personnes, tels que les équipes de travail, les ateliers ou les usines, l'analyse a posteriori est encore plus importante. Dans de tels cas, l'expérience passée n'est pas toujours suffisante pour permettre une analyse a priori détaillée et fiable.

Une analyse a posteriori peut évoluer vers une analyse a priori lorsque l'analyste va au-delà du seul processus qui a conduit à l'incident en question et commence à examiner les différents événements qui pourraient raisonnablement conduire à un tel incident ou à des incidents similaires.

Une autre manière dont une analyse a posteriori peut devenir une analyse a priori consiste à mettre l'accent non pas sur l'événement (dont la prévention est l'objectif principal de l'analyse actuelle) mais sur des incidents moins graves. Ces incidents, tels que les incidents techniques, les dégâts matériels et les accidents potentiels ou mineurs, relativement peu importants en eux-mêmes, peuvent être identifiés comme des signes annonciateurs d'événements plus graves. Dans de tels cas, bien que réalisée après la survenance d'incidents mineurs, l'analyse sera une analyse a priori sur des événements plus graves qui n'ont pas encore eu lieu.

Il existe deux méthodes possibles pour étudier le mécanisme ou la logique derrière la séquence de deux événements ou plus :

  1. La ou inductif, la méthode part des causes pour prédire leurs effets.
  2. La inverserou déductif, la méthode examine les effets et remonte jusqu'aux causes.

 

La figure 1 est un schéma d'un circuit de commande nécessitant deux boutons (B1 et B2) à appuyer simultanément pour activer la bobine de relais (R) et démarrer la machine. Cet exemple peut être utilisé pour illustrer, en termes pratiques, la et inverser méthodes utilisées dans l'analyse de la sécurité des systèmes.

Figure 1. Circuit de commande à deux boutons

SAF020F1

Méthode directe

Dans le méthode directe, l'analyste commence par (1) répertorier les défauts, dysfonctionnements et inadaptations, (2) étudier leurs effets et (3) déterminer si ces effets constituent ou non une menace pour la sécurité. Dans le cas de la figure 1, les défauts suivants peuvent se produire :

  • une rupture de fil entre 2 et 2´
  • contact involontaire en C1 (ou C2) suite à un blocage mécanique
  • fermeture accidentelle de B1 (ou B2)
  • court-circuit entre 1 et 1´.

L'analyste peut alors déduire les conséquences de ces défauts, et les constatations peuvent être présentées sous forme de tableau (tableau 1).

Tableau 1. Dysfonctionnements possibles d'un circuit de commande à deux boutons et leurs conséquences

Défauts

Conséquences

Rupture du fil entre 2 et 2'

Impossible de démarrer la machine*

Fermeture accidentelle de B1 (ou B2 )

Pas de conséquence immédiate

Contacter chez C1 (ou C2 ) en conséquence de
blocage mécanique

Pas de conséquence immédiate mais possibilité de
démarrage de la machine par simple pression sur 
bouton B2 (ou B1 ) **

Court-circuit entre 1 et 1'

Activation de la bobine de relais R—démarrage accidentel de
la machine***

* Occurrence ayant une influence directe sur la fiabilité du système
** Occurrence responsable d'une baisse importante du niveau de sécurité du système
*** Événement dangereux à éviter

Voir texte et figure 1.

Dans le tableau 1, les conséquences dangereuses ou susceptibles de réduire gravement le niveau de sécurité du système peuvent être désignées par des signes conventionnels tels que ***.

Remarque: Dans le tableau 1, une rupture de câble entre 2 et 2´ (illustrée à la figure 1) entraîne un événement qui n'est pas considéré comme dangereux. Il n'a pas d'effet direct sur la sécurité du système ; cependant, la probabilité qu'un tel incident se produise a une incidence directe sur la fiabilité du système.

La méthode directe est particulièrement adaptée à la simulation. La figure 2 montre un simulateur analogique conçu pour étudier la sécurité des circuits de commande de presse. La simulation du circuit de commande permet de vérifier que, tant qu'il n'y a pas de défaut, le circuit est effectivement capable d'assurer la fonction requise sans enfreindre les critères de sécurité. De plus, le simulateur peut permettre à l'analyste d'introduire des défauts dans les différents composants du circuit, d'observer leurs conséquences et ainsi de distinguer les circuits bien conçus (avec peu ou pas de défauts dangereux) de ceux qui sont mal conçus. Ce type d'analyse de sécurité peut également être effectué à l'aide d'un ordinateur.

Figure 2. Simulateur pour l'étude des circuits de commande de presse

SAF020F2

Méthode inverse

Dans le méthode inverse, l'analyste remonte de l'occurrence, incident ou accident indésirable, vers les différents événements antérieurs pour déterminer lesquels sont susceptibles d'entraîner les occurrences à éviter. Dans la figure 1, l'événement ultime à éviter serait le démarrage intempestif de la machine.

  • Le démarrage de la machine peut être provoqué par une activation incontrôlée de la bobine de relais (R).
  • L'activation de la bobine peut, quant à elle, résulter d'un court-circuit entre 1 et 1´ ou d'une fermeture intempestive et simultanée des interrupteurs C1 et C2.
  • Fermeture intempestive de C1 peut être la conséquence d'un blocage mécanique de C1 ou de l'appui accidentel sur B1. Un raisonnement similaire s'applique à C2.

 

Les résultats de cette analyse peuvent être représentés dans un diagramme qui ressemble à un arbre (pour cette raison, la méthode inverse est connue sous le nom d'"analyse par arbre de défaillance"), comme illustré à la figure 3.

Figure 3. Chaîne d'événements possible

SAF020F4

Le diagramme suit des opérations logiques, dont les plus importantes sont les opérations "OU" et "ET". L'opération "OU" signifie que [X1] se produira si [A] ou [B] (ou les deux) se produisent. L'opération "ET" signifie qu'avant [X2] peut se produire, [C] et [D] doivent avoir eu lieu (voir figure 4).

Figure 4. Représentation de deux opérations logiques

SAF020F5

La méthode inverse est très souvent utilisée dans l'analyse a priori de systèmes tangibles, notamment dans les industries chimiques, aéronautiques, spatiales et nucléaires. Il s'est également avéré extrêmement utile comme méthode d'enquête sur les accidents industriels.

Bien que très différentes, les méthodes directe et inverse sont complémentaires. La méthode directe repose sur un ensemble de défauts ou de dysfonctionnements, et la valeur d'une telle analyse dépend donc largement de la pertinence des différents dysfonctionnements pris en compte au départ. Vue sous cet angle, la méthode inverse semble plus systématique. Connaissant les types d'accidents ou d'incidents susceptibles de se produire, l'analyste peut en théorie appliquer cette méthode pour remonter vers tous les dysfonctionnements ou combinaisons de dysfonctionnements susceptibles de les provoquer. Cependant, tous les comportements dangereux d'un système n'étant pas nécessairement connus à l'avance, ils peuvent être découverts par la méthode directe, appliquée par simulation par exemple. Une fois ceux-ci découverts, les dangers peuvent être analysés plus en détail par la méthode inverse.

Problèmes d'analyse de la sécurité du système

Les méthodes analytiques décrites ci-dessus ne sont pas seulement des processus mécaniques qui doivent seulement être appliqués automatiquement afin de parvenir à des conclusions utiles pour améliorer la sécurité du système. Au contraire, les analystes rencontrent un certain nombre de problèmes au cours de leur travail, et l'utilité de leurs analyses dépendra largement de la manière dont ils s'y prendront pour les résoudre. Certains des problèmes typiques qui peuvent survenir sont décrits ci-dessous.

Comprendre le système à étudier et ses conditions de fonctionnement

Les problèmes fondamentaux de toute analyse de sûreté d'un système sont la définition du système à étudier, ses limites et les conditions dans lesquelles il est censé fonctionner tout au long de son existence.

Si l'analyste prend en compte un sous-système trop limité, le résultat peut être l'adoption d'une série de mesures préventives aléatoires (situation dans laquelle tout est conçu pour prévenir certains types d'événements particuliers, tandis que des risques tout aussi graves sont ignorés ou sous-estimés ). Si, en revanche, le système considéré est trop complet ou général par rapport à un problème donné, il peut en résulter un trop grand flou de concept et de responsabilités, et l'analyse peut ne pas conduire à l'adoption de mesures préventives appropriées.

Un exemple typique qui illustre le problème de la définition du système à étudier est la sécurité des machines ou installations industrielles. Dans ce genre de situation, l'analyste peut être tenté de ne considérer que l'équipement lui-même, négligeant le fait qu'il doit être opéré ou contrôlé par une ou plusieurs personnes. Une telle simplification est parfois valable. Cependant, ce qui doit être analysé n'est pas seulement le sous-système de la machine, mais l'ensemble du système travailleur plus machine aux différentes étapes de la vie de l'équipement (y compris, par exemple, le transport et la manutention, l'assemblage, les essais et les réglages, le fonctionnement normal , entretien, démontage et, dans certains cas, destruction). A chaque étape la machine fait partie d'un système spécifique dont la finalité et les modes de fonctionnement et de dysfonctionnement sont totalement différents de ceux du système aux autres étapes. Il doit donc être conçu et fabriqué de manière à permettre l'exécution de la fonction requise dans de bonnes conditions de sécurité à chacun des étages.

Plus généralement, en matière d'études de sécurité dans les entreprises, il existe plusieurs niveaux de système : la machine, le poste de travail, l'équipe, le service, l'usine et l'entreprise dans son ensemble. Selon le niveau du système considéré, les types de dysfonctionnement possibles et les mesures préventives pertinentes sont assez différents. Une bonne politique de prévention doit tenir compte des dysfonctionnements qui peuvent survenir à différents niveaux.

Les conditions de fonctionnement du système peuvent être définies en fonction de la manière dont le système est censé fonctionner, et des conditions environnementales auxquelles il peut être soumis. Cette définition doit être suffisamment réaliste pour tenir compte des conditions réelles dans lesquelles le système est susceptible de fonctionner. Un système qui n'est très sûr que dans une plage de fonctionnement très restreinte peut ne pas l'être si l'utilisateur est incapable de rester dans la plage de fonctionnement théorique prescrite. Un système sûr doit donc être suffisamment robuste pour supporter des variations raisonnables de ses conditions de fonctionnement, et tolérer certaines erreurs simples mais prévisibles de la part des opérateurs.

Modélisation du système

Il est souvent nécessaire de développer un modèle pour analyser la sécurité d'un système. Cela peut soulever certains problèmes qui méritent d'être examinés.

Pour un système concis et relativement simple comme une machine conventionnelle, le modèle est presque directement déduit des descriptions des composants matériels et de leurs fonctions (moteurs, transmission, etc.) et de la manière dont ces composants sont interdépendants. Le nombre de modes de défaillance possibles des composants est également limité.

Les machines modernes comme les ordinateurs et les robots, qui contiennent des composants complexes comme des microprocesseurs et des circuits électroniques à très grande échelle d'intégration, posent un problème particulier. Ce problème n'est pas totalement résolu ni en termes de modélisation ni de prédiction des différents modes de défaillance possibles, du fait de la multiplicité des transistors élémentaires dans chaque puce et de l'utilisation de logiciels divers.

Lorsque le système à analyser est une organisation humaine, un problème intéressant rencontré en modélisation réside dans le choix et la définition de certains composants immatériels ou non entièrement matériels. Un poste de travail particulier peut être représenté, par exemple, par un système comprenant des travailleurs, des logiciels, des tâches, des machines, des matériaux et un environnement. (La composante « tâche » peut s'avérer difficile à définir, car ce n'est pas la tâche prescrite qui compte mais la tâche telle qu'elle est effectivement réalisée).

Lors de la modélisation des organisations humaines, l'analyste peut choisir de décomposer le système considéré en un sous-système d'information et un ou plusieurs sous-systèmes d'action. L'analyse des défaillances aux différentes étapes du sous-système informationnel (acquisition, transmission, traitement et utilisation de l'information) peut être très instructive.

Problèmes associés aux multiples niveaux d'analyse

Les problèmes associés aux multiples niveaux d'analyse se développent souvent car partant d'un événement indésirable, l'analyste peut remonter vers des incidents de plus en plus éloignés dans le temps. Selon le niveau d'analyse considéré, la nature des dysfonctionnements qui surviennent varie ; il en va de même pour les mesures préventives. Il est important de pouvoir décider à quel niveau l'analyse doit être arrêtée et à quel niveau une action préventive doit être entreprise. Un exemple est le cas simple d'un accident résultant d'une défaillance mécanique causée par l'utilisation répétée d'une machine dans des conditions anormales. Cela peut être dû à un manque de formation des opérateurs ou à une mauvaise organisation du travail. Selon le niveau d'analyse considéré, l'action préventive requise peut être le remplacement de la machine par une autre machine capable de supporter des conditions d'utilisation plus sévères, l'utilisation de la machine uniquement dans des conditions normales, une modification de la formation du personnel ou une réorganisation des travail.

L'efficacité et la portée d'une mesure préventive dépendent du niveau auquel elle est introduite. Une action préventive à proximité immédiate de l'événement indésirable est plus susceptible d'avoir un impact direct et rapide, mais ses effets peuvent être limités ; d'autre part, en travaillant raisonnablement à rebours dans l'analyse des événements, il devrait être possible de retrouver des types de dysfonctionnements communs à de nombreux accidents. Toute action préventive entreprise à ce niveau aura une portée beaucoup plus large, mais son efficacité risque d'être moins directe.

Sachant qu'il existe plusieurs niveaux d'analyse, il peut également exister de nombreux schémas d'action préventive, chacun portant sa part du travail de prévention. C'est là un point extrêmement important, et il suffit de revenir à l'exemple de l'accident actuellement considéré pour s'en rendre compte. Proposer le remplacement de la machine par une autre machine capable de supporter des conditions d'utilisation plus sévères fait peser sur la machine la charge de la prévention. Décider que la machine ne doit être utilisée que dans des conditions normales revient à en imposer la responsabilité à l'utilisateur. De même, la charge peut être mise sur la formation du personnel, l'organisation du travail ou à la fois sur la machine, l'utilisateur, la fonction formation et la fonction organisation.

A un niveau d'analyse donné, un accident apparaît souvent comme la conséquence de la conjonction de plusieurs dysfonctionnements ou inadaptations. Selon que l'on agit sur un dysfonctionnement ou sur un autre, ou sur plusieurs simultanément, le schéma d'action préventive adopté sera différent.

 

Retour

Les outils font tellement partie de nos vies qu'il est parfois difficile de se rappeler qu'ils peuvent présenter des dangers. Tous les outils sont fabriqués dans un souci de sécurité, mais il peut arriver qu'un accident se produise avant que les dangers liés à l'outil ne soient reconnus. Les travailleurs doivent apprendre à reconnaître les dangers associés aux différents types d'outils et les mesures de sécurité nécessaires pour prévenir ces dangers. Un équipement de protection individuelle approprié, tel que des lunettes de sécurité ou des gants, doit être porté pour se protéger des dangers potentiels pouvant être rencontrés lors de l'utilisation d'outils électriques portatifs et d'outils à main.

Outils

Les outils à main ne sont pas motorisés et comprennent tout, des haches aux clés. Les plus grands dangers posés par les outils à main résultent d'une mauvaise utilisation, de l'utilisation d'un outil inapproprié pour le travail et d'un entretien inapproprié. Certains des dangers associés à l'utilisation d'outils à main comprennent, mais sans s'y limiter, les suivants :

  • L'utilisation d'un tournevis comme burin peut entraîner la rupture et la projection de la pointe du tournevis, frappant l'utilisateur ou d'autres employés.
  • Si le manche en bois d'un outil tel qu'un marteau ou une hache est desserré, éclaté ou fissuré, la tête de l'outil peut s'envoler et heurter l'utilisateur ou un autre travailleur.
  • Une clé ne doit pas être utilisée si ses mâchoires sont suspendues, car elle pourrait glisser.
  • Les outils à impact tels que les burins, les coins ou les goupilles d'entraînement ne sont pas sûrs s'ils ont des têtes en forme de champignon qui pourraient se briser lors de l'impact, envoyant voler des fragments pointus.

 

L'employeur est responsable de l'état sécuritaire des outils et de l'équipement fournis aux employés, mais les employés ont la responsabilité d'utiliser et d'entretenir correctement les outils. Les travailleurs doivent éloigner les lames de scie, les couteaux ou les autres outils des allées et des autres employés travaillant à proximité. Les couteaux et les ciseaux doivent être aiguisés, car les outils émoussés peuvent être plus dangereux que les outils tranchants. (Voir figure 1.)

Figure 1. Un tournevis

MAC240F1

La sécurité exige que les sols soient maintenus aussi propres et secs que possible pour éviter les glissades accidentelles lors du travail avec ou autour d'outils à main dangereux. Bien que les étincelles produites par les outils à main en fer et en acier ne soient normalement pas assez chaudes pour être des sources d'inflammation, lorsque vous travaillez avec ou autour de matériaux inflammables, des outils résistants aux étincelles en laiton, en plastique, en aluminium ou en bois peuvent être utilisés pour empêcher la formation d'étincelles.

Outils électriques

Les outils électriques sont dangereux lorsqu'ils sont mal utilisés. Il existe plusieurs types d'outils électriques, généralement classés en fonction de la source d'alimentation (électrique, pneumatique, à combustible liquide, hydraulique, à vapeur et à poudre explosive). Les employés doivent être qualifiés ou formés à l'utilisation de tous les outils électriques utilisés dans leur travail. Ils doivent comprendre les dangers potentiels associés à l'utilisation d'outils électriques et observer les consignes de sécurité générales suivantes pour éviter que ces dangers ne se produisent :

    • Ne transportez jamais un outil par le cordon ou le tuyau.
    • Ne tirez jamais sur le cordon ou le tuyau pour le débrancher de la prise.
    • Gardez les cordons et les tuyaux à l'écart de la chaleur, de l'huile et des arêtes vives.
    • Débranchez les outils lorsqu'ils ne sont pas utilisés, avant l'entretien et lors du changement d'accessoires tels que les lames, les mèches et les couteaux.
    • Tous les observateurs doivent rester à une distance de sécurité de la zone de travail.
    • Sécurisez le travail avec des pinces ou un étau, libérant les deux mains pour faire fonctionner l'outil.
    • Évitez les démarrages accidentels. Le travailleur ne doit pas tenir un doigt sur le bouton de l'interrupteur lorsqu'il transporte un outil branché. Les outils dotés de commandes verrouillées doivent être désengagés lorsque l'alimentation est interrompue afin qu'ils ne démarrent pas automatiquement lors du rétablissement de l'alimentation.
    • Les outils doivent être entretenus avec soin et maintenus aiguisés et propres pour une meilleure performance. Les instructions du manuel d'utilisation doivent être suivies pour la lubrification et le changement d'accessoires.
    • Les travailleurs doivent s'assurer qu'ils ont une bonne assise et un bon équilibre lorsqu'ils utilisent des outils électriques. Des vêtements appropriés doivent être portés, car des vêtements amples, des cravates ou des bijoux peuvent se coincer dans les pièces mobiles.
    • Tous les outils électriques portatifs endommagés doivent être retirés de l'utilisation et étiquetés « Ne pas utiliser » pour éviter les chocs électriques.

                     

                    Gardes de protection

                    Les pièces mobiles dangereuses des outils électriques doivent être protégées. Par exemple, les courroies, les engrenages, les arbres, les poulies, les pignons, les broches, les tambours, les volants d'inertie, les chaînes ou autres pièces d'équipement à mouvement alternatif, rotatif ou mobile doivent être protégés si ces pièces sont exposées au contact des travailleurs. Si nécessaire, des protections doivent être fournies pour protéger l'opérateur et les autres contre les dangers associés à :

                      • le point d'opération
                      • points de pincement en cours d'exécution
                      • pièces rotatives et alternatives
                      • projections de copeaux et d'étincelles, et brouillard ou pulvérisation de fluides de travail des métaux.

                             

                            Les protections de sécurité ne doivent jamais être retirées lorsqu'un outil est utilisé. Par exemple, les scies circulaires portatives doivent être équipées de protections. Une protection supérieure doit recouvrir toute la lame de la scie. Un protecteur inférieur escamotable doit recouvrir les dents de la scie, sauf lorsqu'il entre en contact avec le matériau à travailler. Le protecteur inférieur doit revenir automatiquement en position de recouvrement lorsque l'outil est retiré du travail. Remarquez les protège-lames sur l'illustration d'une scie électrique (figure 2).

                            Figure 2. Une scie circulaire avec protection

                            MAC240F2

                            Interrupteurs et commandes de sécurité

                            Voici des exemples d'outils électriques portatifs qui doivent être équipés d'un interrupteur de commande « marche-arrêt » à contact momentané :

                              • perceuses, taraudeuses et visseuses
                              • meuleuses horizontales, verticales et angulaires avec meules de plus de 2 pouces (5.1 cm) de diamètre
                              • ponceuses à disque et à bande
                              • scies alternatives et sabres.

                                     

                                    Ces outils peuvent également être équipés d'une commande de verrouillage, à condition que l'arrêt puisse être accompli par un seul mouvement du même doigt ou des doigts qui l'ont mis en marche.

                                    Les outils électriques portatifs suivants peuvent être équipés uniquement d'un interrupteur de commande positif « marche-arrêt » :

                                      • ponceuses à plateau
                                      • ponceuses à disque avec disques de 2 pouces (5.1 cm) ou moins de diamètre
                                      • meuleuses avec roues de 2 pouces (5.1 cm) ou moins de diamètre
                                      • toupies et raboteuses
                                      • coupe-feuilles, grignoteuses et cisailles
                                      • les scies à chantourner et les scies sauteuses avec des tiges de lame de ¼ de pouce (0.64 cm) de large ou moins.

                                                 

                                                Les autres outils électriques portatifs qui doivent être équipés d'un interrupteur à pression constante qui coupe l'alimentation lorsque la pression est relâchée comprennent :

                                                  • scies circulaires dont le diamètre de la lame est supérieur à 2 pouces (5.1 cm)
                                                  • tronçonneuses
                                                  • outils à percussion sans moyen de maintien positif des accessoires.

                                                       

                                                      Outils électriques

                                                      Les travailleurs utilisant des outils électriques doivent être conscients de plusieurs dangers. Le plus grave d'entre eux est la possibilité d'électrocution, suivie de brûlures et de légers chocs. Dans certaines conditions, même une petite quantité de courant peut entraîner une fibrillation du cœur pouvant entraîner la mort. Un choc peut également faire tomber un travailleur d'une échelle ou d'autres surfaces de travail surélevées.

                                                      Pour réduire le risque de blessure des travailleurs par choc électrique, les outils doivent être protégés par au moins l'un des moyens suivants :

                                                        • Grounded par un cordon à trois fils (avec un fil de terre). Les cordons à trois fils contiennent deux conducteurs porteurs de courant et un conducteur de mise à la terre. Une extrémité du conducteur de mise à la terre se connecte au boîtier métallique de l'outil. L'autre extrémité est mise à la terre via une broche de la fiche. Chaque fois qu'un adaptateur est utilisé pour accueillir une prise à deux trous, le fil de l'adaptateur doit être relié à une terre connue. La troisième broche ne doit jamais être retirée de la fiche. (Voir figure 3.)
                                                        • Double isolation. Le travailleur et les outils sont protégés de deux manières : (1) par une isolation normale sur les fils à l'intérieur, et (2) par un boîtier qui ne peut pas conduire l'électricité à l'opérateur en cas de dysfonctionnement.
                                                        • Alimenté par un transformateur d'isolement basse tension.
                                                        • Connecté via des disjoncteurs de fuite à la terre. Ce sont des dispositifs permanents et portables qui déconnectent instantanément un circuit lorsqu'il cherche la terre à travers le corps d'un travailleur ou à travers des objets mis à la terre.

                                                               

                                                              Figure 3. Une perceuse électrique

                                                              MAC240F3

                                                               

                                                              Ces pratiques générales de sécurité doivent être suivies lors de l'utilisation d'outils électriques :

                                                                • Les outils électriques doivent être utilisés dans les limites de leur conception.
                                                                • Des gants et des chaussures de sécurité sont recommandés lors de l'utilisation d'outils électriques.
                                                                • Lorsqu'ils ne sont pas utilisés, les outils doivent être rangés dans un endroit sec.
                                                                • Les outils ne doivent pas être utilisés si les fils ou les connecteurs sont effilochés, pliés ou endommagés.
                                                                • Les outils électriques ne doivent pas être utilisés dans des endroits humides ou mouillés.
                                                                • Les zones de travail doivent être bien éclairées.

                                                                 

                                                                Meules abrasives motorisées

                                                                Les meules de meulage, de coupe, de polissage et de polissage à l'abrasif motorisé créent des problèmes de sécurité particuliers car les meules peuvent se désintégrer et projeter des fragments volants.

                                                                Avant de monter les meules abrasives, elles doivent être inspectées de près et sonorisées (ou sonorisées) en tapotant doucement avec un instrument léger non métallique pour s'assurer qu'elles sont exemptes de fissures ou de défauts. Si les roues sont fissurées ou semblent mortes, elles pourraient voler en éclats en cours de fonctionnement et ne doivent pas être utilisées. Une roue saine et en bon état donnera une tonalité métallique claire ou un "sonnerie".

                                                                Pour éviter que la roue ne se fissure, l'utilisateur doit s'assurer qu'elle s'adapte librement sur l'axe. L'écrou de fusée doit être suffisamment serré pour maintenir la roue en place sans déformer le flasque. Suivez les recommandations du fabricant. Des précautions doivent être prises pour s'assurer que la meule de broche ne dépassera pas les spécifications de la meule abrasive. En raison de la possibilité qu'une roue se désintègre (explose) lors du démarrage, le travailleur ne doit jamais se tenir directement devant la roue lorsqu'elle accélère à pleine vitesse de fonctionnement. Les outils de meulage portatifs doivent être équipés de protections de sécurité pour protéger les travailleurs non seulement de la surface de la meule en mouvement, mais également des éclats projetés en cas de bris. De plus, lors de l'utilisation d'une meuleuse électrique, ces précautions doivent être respectées :

                                                                  • Utilisez toujours une protection oculaire.
                                                                  • Coupez l'alimentation lorsque l'outil n'est pas utilisé.
                                                                  • Ne serrez jamais une meuleuse à main dans un étau.

                                                                       

                                                                      Outils pneumatiques

                                                                      Les outils pneumatiques sont alimentés par de l'air comprimé et comprennent des déchiqueteuses, des perceuses, des marteaux et des ponceuses. Bien qu'il existe plusieurs dangers potentiels liés à l'utilisation d'outils pneumatiques, le principal est le risque d'être heurté par l'un des accessoires de l'outil ou par une sorte de fixation que le travailleur utilise avec l'outil. Une protection oculaire est requise et une protection faciale est recommandée lorsque vous travaillez avec des outils pneumatiques. Le bruit est un autre danger. Travailler avec des outils bruyants tels que des marteaux-piqueurs nécessite une utilisation appropriée et efficace d'une protection auditive appropriée.

                                                                      Lors de l'utilisation d'un outil pneumatique, le travailleur doit s'assurer qu'il est solidement fixé au tuyau pour éviter une déconnexion. Un fil court ou un dispositif de verrouillage positif fixant le tuyau d'air à l'outil servira de protection supplémentaire. Si un tuyau d'air a plus de ½ pouce (1.27 cm) de diamètre, une soupape de sécurité en excès de débit doit être installée à la source de l'alimentation en air pour couper automatiquement l'air en cas de rupture du tuyau. En général, les mêmes précautions doivent être prises avec un tuyau d'air que celles recommandées pour les cordons électriques, car le tuyau est sujet au même type de dommages ou de chocs accidentels, et il présente également un risque de trébuchement.

                                                                      Les pistolets à air comprimé ne doivent jamais être pointés vers qui que ce soit. Les travailleurs ne doivent jamais « culbuter » la buse contre eux-mêmes ou contre quelqu'un d'autre. Un clip ou un dispositif de retenue de sécurité doit être installé pour empêcher les accessoires, tels qu'un ciseau sur un marteau à piquer, d'être accidentellement tirés du canon. Des écrans doivent être installés pour protéger les travailleurs à proximité contre les impacts de fragments volants autour des déchiqueteuses, des pistolets à riveter, des marteaux pneumatiques, des agrafeuses ou des perceuses pneumatiques.

                                                                      Les pistolets pulvérisateurs sans air qui atomisent les peintures et les fluides à haute pression (1,000 XNUMX livres ou plus par pouce carré) doivent être équipés de dispositifs de sécurité visuels automatiques ou manuels qui empêcheront l'activation jusqu'à ce que le dispositif de sécurité soit relâché manuellement. Les marteaux-piqueurs lourds peuvent causer de la fatigue et des tensions qui peuvent être réduites par l'utilisation de poignées en caoutchouc lourdes qui offrent une prise en main sûre. Un travailleur qui utilise un marteau-piqueur doit porter des lunettes de sécurité et des chaussures de sécurité pour se protéger contre les blessures si le marteau glisse ou tombe. Un écran facial doit également être utilisé.

                                                                      Outils à essence

                                                                      Les outils à essence fonctionnent généralement à l'aide de petits moteurs à combustion interne à essence. Les dangers potentiels les plus graves associés à l'utilisation d'outils à carburant proviennent des vapeurs de carburant dangereuses qui peuvent brûler ou exploser et dégager des gaz d'échappement dangereux. Le travailleur doit veiller à manipuler, transporter et entreposer l'essence ou le carburant uniquement dans des contenants de liquides inflammables approuvés, conformément aux procédures appropriées pour les liquides inflammables. Avant de remplir le réservoir d'un outil à essence, l'utilisateur doit arrêter le moteur et le laisser refroidir pour éviter l'inflammation accidentelle de vapeurs dangereuses. Si un outil à essence est utilisé à l'intérieur d'une zone fermée, une ventilation efficace et/ou un équipement de protection est nécessaire pour éviter l'exposition au monoxyde de carbone. Des extincteurs doivent être disponibles dans la zone.

                                                                      Outils à poudre explosive

                                                                      Les outils explosifs à poudre fonctionnent comme un pistolet chargé et doivent être traités avec le même respect et les mêmes précautions. En fait, ils sont si dangereux qu'ils ne doivent être utilisés que par des employés spécialement formés ou qualifiés. Une protection appropriée des oreilles, des yeux et du visage est essentielle lors de l'utilisation d'un pistolet à poudre. Tous les outils actionnés par poudre doivent être conçus pour des charges de poudre variables afin que l'utilisateur puisse sélectionner un niveau de poudre nécessaire pour effectuer le travail sans force excessive.

                                                                      L'extrémité de la bouche de l'outil doit être munie d'un bouclier protecteur ou d'une garde centré perpendiculairement sur le canon pour protéger l'utilisateur de tout éclat ou particule volante qui pourrait créer un danger lorsque l'outil est tiré. L'outil doit être conçu de manière à ne pas tirer s'il n'est pas équipé de ce type de dispositif de sécurité. Pour éviter que l'outil ne tire accidentellement, deux mouvements distincts sont nécessaires pour le tir : un pour amener l'outil en position et un autre pour appuyer sur la gâchette. Les outils ne doivent pas pouvoir fonctionner tant qu'ils ne sont pas pressés contre la surface de travail avec une force d'au moins 5 livres supérieure au poids total de l'outil.

                                                                      Si un outil à poudre a des ratés, l'utilisateur doit attendre au moins 30 secondes avant d'essayer de le tirer à nouveau. Si elle ne se déclenche toujours pas, l'utilisateur doit attendre au moins 30 secondes supplémentaires afin que la cartouche défectueuse soit moins susceptible d'exploser, puis retirer soigneusement la charge. La cartouche défectueuse doit être mise dans l'eau ou autrement éliminée en toute sécurité conformément aux procédures de l'employeur.

                                                                      Si un pistolet à poudre présente un défaut pendant son utilisation, il doit être étiqueté et mis hors service immédiatement jusqu'à ce qu'il soit correctement réparé. Les précautions à prendre pour une utilisation et une manipulation en toute sécurité des pistolets à poudre comprennent les suivantes :

                                                                        • Les outils à poudre ne doivent pas être utilisés dans des atmosphères explosives ou inflammables, sauf sur délivrance d'un permis de travail à chaud par une personne autorisée.
                                                                        • Avant d'utiliser l'outil, le travailleur doit l'inspecter pour s'assurer qu'il est propre, que toutes les pièces mobiles fonctionnent librement et que le canon n'est pas obstrué.
                                                                        • L'outil ne doit jamais être pointé vers qui que ce soit.
                                                                        • L'outil ne doit pas être chargé sauf s'il doit être utilisé immédiatement. Un outil chargé ne doit pas être laissé sans surveillance, en particulier lorsqu'il peut être accessible à des personnes non autorisées.
                                                                        • Les mains doivent être tenues à l'écart de l'extrémité du canon.

                                                                         

                                                                        Lors de l'utilisation d'outils à poudre pour appliquer des fixations, les précautions de sécurité suivantes doivent être prises en compte :

                                                                          • Ne tirez pas les attaches dans un matériau qui les laisserait passer de l'autre côté.
                                                                          • Ne pas enfoncer de fixations dans des matériaux comme la brique ou le béton à moins de 3 pouces (7.6 cm) d'un bord ou d'un coin, ou dans l'acier à moins de ½ pouce (1.27 cm) d'un coin ou d'un bord.
                                                                          • N'enfoncez pas les fixations dans des matériaux très durs ou cassants qui pourraient s'écailler, se briser ou faire ricocher les fixations.
                                                                          • Utilisez un guide d'alignement lorsque vous vissez des fixations dans des trous existants. Ne pas enfoncer les fixations dans une zone écaillée causée par une fixation insatisfaisante.

                                                                                 

                                                                                Outils hydrauliques

                                                                                Le fluide utilisé dans les outils électriques hydrauliques doit être approuvé pour l'utilisation prévue et doit conserver ses caractéristiques de fonctionnement aux températures les plus extrêmes auxquelles il sera exposé. La pression de fonctionnement sécuritaire recommandée par le fabricant pour les tuyaux, vannes, tuyaux, filtres et autres raccords ne doit pas être dépassée. Lorsqu'il existe un risque de fuite sous haute pression dans une zone où des sources d'inflammation, telles que des flammes nues ou des surfaces chaudes, peuvent être présentes, l'utilisation de fluides résistants au feu comme fluide hydraulique doit être envisagée.

                                                                                Jacks

                                                                                Tous les crics - crics à levier et à cliquet, crics à vis et crics hydrauliques - doivent être munis d'un dispositif qui les empêche de monter trop haut. La limite de charge du fabricant doit être marquée de manière permanente à un endroit bien en vue sur le cric et ne doit pas être dépassée. Utilisez des cales en bois sous la base si nécessaire pour niveler et sécuriser le cric. Si la surface de levage est en métal, placez un bloc de bois dur de 1 pouce d'épaisseur (2.54 cm) ou l'équivalent entre le dessous de la surface et la tête du cric en métal pour réduire le risque de glissement. Un cric ne doit jamais être utilisé pour supporter une charge soulevée. Une fois la charge soulevée, elle doit être immédiatement soutenue par des cales.

                                                                                Pour mettre en place un cric, assurez-vous des conditions suivantes :

                                                                                  1. La base repose sur une surface ferme et plane.
                                                                                  2. Le cric est correctement centré.
                                                                                  3. La tête du cric s'appuie contre une surface plane.
                                                                                  4. La force de levage est appliquée uniformément.

                                                                                         

                                                                                        Un bon entretien des vérins est essentiel pour la sécurité. Tous les crics doivent être inspectés avant chaque utilisation et lubrifiés régulièrement. Si un cric est soumis à une charge ou à un choc anormal, il doit être soigneusement examiné pour s'assurer qu'il n'a pas été endommagé. Les vérins hydrauliques exposés au gel doivent être remplis d'un liquide antigel adéquat.

                                                                                        Résumé

                                                                                        Les travailleurs qui utilisent des outils manuels et électriques et qui sont exposés aux risques de chute, de vol, d'objets et de matériaux abrasifs et d'éclaboussures, ou aux risques de poussières, fumées, brouillards, vapeurs ou gaz nocifs, doivent disposer de l'équipement personnel approprié nécessaire pour les protéger du danger. Tous les risques liés à l'utilisation d'outils électriques peuvent être évités par les travailleurs en suivant cinq règles de sécurité de base :

                                                                                          1. Gardez tous les outils en bon état avec un entretien régulier.
                                                                                          2. Utilisez le bon outil pour le travail.
                                                                                          3. Examinez chaque outil pour les dommages avant utilisation.
                                                                                          4. Utiliser les outils conformément aux instructions du fabricant.
                                                                                          5. Choisir et utiliser un équipement de protection approprié.

                                                                                                   

                                                                                                  Les employés et les employeurs ont la responsabilité de travailler ensemble pour maintenir les pratiques de travail sécuritaires établies. Si un outil dangereux ou une situation dangereuse est rencontré, il doit être immédiatement porté à l'attention de la personne appropriée.

                                                                                                   

                                                                                                  Retour

                                                                                                  Lundi, Avril 04 2011 17: 11

                                                                                                  Pièces mobiles de machines

                                                                                                  Cet article traite des situations et enchaînements d'événements conduisant à des accidents imputables au contact avec la partie mobile des machines. Les personnes qui utilisent et entretiennent des machines courent le risque d'être impliquées dans des accidents graves. Les statistiques américaines suggèrent que 18,000 800 amputations et plus de 1979 décès aux États-Unis chaque année sont attribuables à de telles causes. Selon le National Institute for Occupational Safety and Health (NIOSH) des États-Unis, la catégorie de blessures « pris dans, sous ou entre » dans leur classification se classait au premier rang parmi les types de blessures professionnelles les plus importants en 1990. Ces blessures impliquaient généralement des machines ( Etherton et Myers 10). Le « contact avec une pièce mobile de la machine » a été signalé comme le principal événement traumatisant dans un peu plus de 1979 % des accidents du travail depuis que cette catégorie a été introduite dans les statistiques suédoises sur les accidents du travail en XNUMX.

                                                                                                  La plupart des machines ont des pièces mobiles qui peuvent causer des blessures. De telles pièces mobiles peuvent être trouvées au point de fonctionnement où le travail est effectué sur le matériau, tel que là où la coupe, la mise en forme, le perçage ou la déformation a lieu. On les trouve dans les appareils qui transmettent l'énergie aux parties de la machine effectuant le travail, telles que les volants d'inertie, les poulies, les bielles, les coupleurs, les cames, les broches, les chaînes, les manivelles et les engrenages. Ils peuvent se trouver dans d'autres parties mobiles de la machine telles que les roues des équipements mobiles, les moteurs à engrenages, les pompes, les compresseurs, etc. Les mouvements dangereux des machines peuvent également être trouvés parmi d'autres types de machines, en particulier dans les équipements auxiliaires qui manipulent et transportent des charges telles que des pièces, des matériaux, des déchets ou des outils.

                                                                                                  Toutes les pièces d'une machine qui bougent au cours de l'exécution du travail peuvent contribuer à des accidents causant des blessures et des dommages. Les mouvements rotatifs et linéaires des machines, ainsi que leurs sources d'énergie, peuvent être dangereux :

                                                                                                  Mouvement de rotation. Même les arbres rotatifs lisses peuvent saisir un vêtement et, par exemple, entraîner le bras d'une personne dans une position dangereuse. Le danger dans un arbre en rotation augmente s'il présente des parties saillantes ou des surfaces inégales ou tranchantes, telles que des vis de réglage, des boulons, des fentes, des encoches ou des arêtes coupantes. Les pièces rotatives de la machine génèrent des « points de pincement » de trois manières différentes :

                                                                                                  1. Ce sont les points entre deux pièces rotatives qui tournent dans des directions opposées et ont des axes parallèles, tels que des engrenages ou des roues dentées, des rouleaux de chariot ou des mangles.
                                                                                                  2. Il y a les points de contact entre les pièces rotatives et les pièces en mouvement linéaire, comme on en trouve entre une courroie de transmission de puissance et sa poulie, une chaîne et un pignon, ou une crémaillère et un pignon.
                                                                                                  3. Les mouvements de la machine en rotation peuvent entraîner des risques de coupures et de blessures par écrasement lorsqu'ils se produisent à proximité d'objets fixes - ce type de condition existe entre un convoyeur à vis sans fin et son boîtier, entre les rayons d'une roue et le banc de la machine, ou entre une meule et un gabarit d'outil.

                                                                                                   

                                                                                                  Mouvements linéaires. Les mouvements verticaux, horizontaux et alternatifs peuvent causer des blessures de plusieurs manières : une personne peut recevoir une poussée ou un coup d'une pièce de la machine et peut être coincée entre la pièce de la machine et un autre objet, ou peut être coupée par un bord tranchant, ou une pincement en étant coincé entre la pièce mobile et un autre objet (figure 1).

                                                                                                  Figure 1. Exemples de mouvements mécaniques pouvant blesser une personne

                                                                                                  ACC050F1

                                                                                                  Sources d'énergie. Fréquemment, des sources d'énergie externes sont utilisées pour faire fonctionner une machine qui peut impliquer des quantités considérables d'énergie. Ceux-ci comprennent les systèmes électriques, à vapeur, hydrauliques, pneumatiques et mécaniques, qui, s'ils sont libérés ou non contrôlés, peuvent entraîner des blessures graves ou des dommages. Une étude d'accidents survenus pendant un an (1987 à 1988) chez des agriculteurs de neuf villages du nord de l'Inde a montré que les machines à couper le fourrage, toutes par ailleurs de même conception, sont plus dangereuses lorsqu'elles sont alimentées par un moteur ou un tracteur. La fréquence relative des accidents impliquant plus qu'une blessure mineure (par machine) était de 5.1 pour mille pour les coupeurs manuels et de 8.6 pour mille pour les coupeurs motorisés (Mohan et Patel 1992).

                                                                                                  Blessures associées aux mouvements de la machine

                                                                                                  Étant donné que les forces associées aux mouvements de la machine sont souvent assez importantes, on peut supposer que les blessures qu'elles provoquent seront graves. Cette présomption est confirmée par plusieurs sources. Selon les statistiques britanniques (HSE 5), le « contact avec des machines en mouvement ou du matériel en cours d'usinage » ne représente que 10 % de tous les accidents du travail, mais jusqu'à 1989 % des accidents mortels et majeurs (fractures, amputations, etc.). Des études portant sur deux lieux de travail de fabrication de véhicules en Suède vont dans le même sens. Les accidents causés par des mouvements de machines ont donné lieu à deux fois plus de jours d'arrêt de travail, mesurés par des valeurs médianes, par rapport aux accidents non liés aux machines. Les accidents liés aux machines se distinguent également des autres accidents par la partie du corps lésée : les résultats indiquent que 80 % des blessures subies dans les accidents « machines » sont aux mains et aux doigts, alors que la proportion correspondante pour les « autres » accidents est 40 % (Backström et Döös 1995).

                                                                                                  La situation des risques dans les installations automatisées s'est avérée à la fois différente (en termes de type d'accident, de séquence d'événements et de degré de gravité des blessures) et plus compliquée (à la fois en termes techniques et en ce qui concerne le besoin de compétences spécialisées) qu'au installations où des machines conventionnelles sont utilisées. Le terme automatisé désigne ici un équipement qui, sans l'intervention directe d'un être humain, peut soit initier un mouvement de la machine, soit modifier sa direction ou sa fonction. Un tel équipement nécessite des dispositifs de détection (par exemple, des capteurs de position ou des micro-interrupteurs) et/ou une certaine forme de commandes séquentielles (par exemple, un programme informatique) pour diriger et surveiller leurs activités. Au cours des dernières décennies, une Programmable Logic Controller (PLC) est de plus en plus utilisé comme unité de contrôle dans les systèmes de production. Les petits ordinateurs sont désormais les moyens les plus couramment utilisés pour contrôler les équipements de production dans le monde industrialisé, tandis que d'autres moyens de contrôle, tels que les unités électromécaniques, deviennent de moins en moins courants. Dans l'industrie manufacturière suédoise, l'utilisation de machines à commande numérique (NC) a augmenté de 11 à 12 % par an au cours des années 1980 (Hörte et Lindberg 1989). Dans la production industrielle moderne, être blessé par des "pièces mobiles de machines" équivaut de plus en plus à être blessé par des "mouvements de machines commandés par ordinateur".

                                                                                                  Les installations automatisées se retrouvent dans de plus en plus de secteurs de l'industrie, et elles ont un nombre croissant de fonctions. La gestion des magasins, la manutention, le traitement, l'assemblage et l'emballage sont tous automatisés. La production en série ressemble désormais à la production en processus. Si l'alimentation, l'usinage et l'éjection des pièces sont mécanisés, l'opérateur n'a plus besoin de se trouver dans la zone à risque au cours d'une production régulière et non perturbée. Des études de recherche sur la fabrication automatisée ont montré que les accidents se produisent principalement dans la gestion des perturbations affectant la production. Cependant, les personnes peuvent également gêner les mouvements de la machine lors de l'exécution d'autres tâches, telles que le nettoyage, le réglage, la réinitialisation, le contrôle et la réparation.

                                                                                                  Lorsque la production est automatisée et que le processus n'est plus sous le contrôle direct de l'être humain, le risque de mouvements imprévus de la machine augmente. La plupart des opérateurs qui travaillent avec des groupes ou des lignes de machines interconnectées ont été confrontés à de tels mouvements de machine inattendus. De nombreux accidents d'automatisation surviennent à la suite de tels mouvements. Un accident d'automatisation est un accident dans lequel l'équipement automatique a contrôlé (ou aurait dû contrôler) l'énergie à l'origine de la blessure. Cela signifie que la force qui blesse la personne provient de la machine elle-même (par exemple, l'énergie d'un mouvement de machine). Dans une étude de 177 accidents d'automatisation en Suède, il a été constaté que les blessures étaient causées par le «démarrage inattendu» d'une partie d'une machine dans 84% ​​des cas (Backström et Harms-Ringdahl 1984). Un exemple typique de blessure causée par un mouvement de machine contrôlé par ordinateur est illustré à la figure 2.

                                                                                                  Figure 2. Exemple typique d'une blessure causée par un mouvement de machine contrôlé par ordinateur

                                                                                                  ACC050F2

                                                                                                  L'une des études mentionnées ci-dessus (Backström et Döös 1995) a montré que les mouvements de machines contrôlés automatiquement étaient causalement liés à des périodes d'arrêt de travail plus longues que les blessures dues à d'autres types de mouvements de machines, la valeur médiane étant quatre fois plus élevée sur l'un des lieux de travail. . Le schéma des blessures des accidents d'automatisation était similaire à celui des autres accidents de machine (impliquant principalement les mains et les doigts), mais la tendance était que le premier type de blessures était plus grave (amputations, écrasements et fractures).

                                                                                                  Le contrôle par ordinateur, comme le manuel, présente des faiblesses du point de vue de la fiabilité. Il n'y a aucune garantie qu'un programme informatique fonctionnera sans erreur. L'électronique, avec ses faibles niveaux de signal, peut être sensible aux interférences si elle n'est pas correctement protégée, et les conséquences des pannes qui en résultent ne sont pas toujours prévisibles. De plus, les changements de programmation ne sont souvent pas documentés. Une méthode utilisée pour pallier cette faiblesse consiste par exemple à exploiter des systèmes « doubles » dans lesquels il y a deux chaînes indépendantes de composants fonctionnels et une méthode de contrôle telle que les deux chaînes affichent la même valeur. Si les systèmes affichent des valeurs différentes, cela indique une défaillance de l'un d'entre eux. Mais il est possible que les deux chaînes de composants souffrent du même défaut et qu'elles soient toutes les deux mises hors service par la même perturbation, donnant ainsi une lecture faussement positive (comme les deux systèmes sont d'accord). Cependant, seuls quelques-uns des cas enquêtés ont permis d'attribuer un accident à une panne informatique (voir ci-dessous), alors qu'il est courant qu'un seul ordinateur contrôle toutes les fonctions d'une installation (même l'arrêt des une machine à la suite de l'activation d'un dispositif de sécurité). Comme alternative, on peut envisager de fournir un système éprouvé avec des composants électromécaniques pour les fonctions de sécurité.

                                                                                                  Problèmes techniques

                                                                                                  De manière générale, on peut dire qu'un même accident a de nombreuses causes, notamment techniques, individuelles, environnementales et organisationnelles. À des fins préventives, il vaut mieux considérer un accident non pas comme un événement isolé, mais comme un séquence d'événements ou d'un processus (Backström 1996). Dans le cas des accidents d'automatisation, il a été démontré que les problèmes techniques font souvent partie d'une telle séquence et surviennent soit à l'un des premiers stades du processus, soit à proximité de l'événement traumatisant de l'accident. Les études dans lesquelles les problèmes techniques impliqués dans les accidents d'automatisation ont été examinés suggèrent que ceux-ci sont à l'origine de 75 à 85 % des accidents. Dans le même temps, dans tout cas spécifique, il existe généralement d'autres causes, telles que celles de nature organisationnelle. Ce n'est que dans un cas sur dix qu'il a été constaté que la source directe d'énergie à l'origine d'une blessure pouvait être attribuée à une défaillance technique, par exemple un mouvement de la machine se produisant alors que la machine était en position d'arrêt. Des chiffres similaires ont été rapportés dans d'autres études. Habituellement, un problème technique entraînait des problèmes avec l'équipement, de sorte que l'opérateur devait changer de tâche (par exemple, repositionner une pièce qui était dans une position tordue). L'accident s'est ensuite produit lors de l'exécution de la tâche, provoqué par la défaillance technique. Un quart des accidents d'automatisation ont été précédés d'une perturbation du flux de matériaux, telle qu'une pièce se coinçant ou se mettant dans une position tordue ou autrement défectueuse (voir figure 3).

                                                                                                  Figure 3. Types de problèmes techniques impliqués dans les accidents d'automatisation (nombre d'accidents = 127)

                                                                                                  ACC050T1

                                                                                                  Dans une étude de 127 accidents impliquant l'automatisation, 28 de ces accidents, décrits dans la figure 4, ont fait l'objet d'une enquête plus approfondie pour déterminer les types de problèmes techniques impliqués comme facteurs de causalité (Backström et Döös, sous presse). Les problèmes spécifiés dans les enquêtes sur les accidents étaient le plus souvent causés par des composants bloqués, défectueux ou usés. Dans deux cas, un problème a été causé par une erreur de programme informatique et dans un cas par des interférences électromagnétiques. Dans plus de la moitié des cas (17 sur 28), les défauts étaient présents depuis un certain temps mais n'avaient pas été corrigés. Ce n'est que dans 5 des 28 cas où une défaillance ou une déviation technique a été mentionnée que le défaut ne sauraient s'est manifesté auparavant. Certains défauts avaient été réparés pour réapparaître plus tard. Certains défauts étaient présents dès l'installation, tandis que d'autres résultaient de l'usure et de l'impact de l'environnement.

                                                                                                  La proportion d'accidents d'automatismes survenant au cours de la correction d'un dysfonctionnement de la production se situe entre un tiers et deux tiers des cas selon la plupart des études. En d'autres termes, il est généralement admis que la gestion des perturbations de la production est une tâche professionnelle dangereuse. La variation de l'ampleur de ces accidents a de nombreuses explications, dont celles liées au type de production et à la classification des tâches professionnelles. Dans certaines études de perturbations, seuls les problèmes et les arrêts de machine au cours de la production régulière ont été pris en compte ; dans d'autres, un éventail plus large de problèmes a été traité, par exemple ceux liés à l'installation du travail.

                                                                                                  Une mesure très importante dans la prévention des accidents d'automatisation consiste à préparer des procédures pour éliminer les causes des perturbations de la production afin qu'elles ne se répètent pas. Dans une étude spécialisée sur les perturbations de la production au moment de l'accident (Döös et Backström 1994), il a été constaté que la tâche la plus courante à laquelle les perturbations donnaient lieu était le dégagement ou la correction de la position d'une pièce qui s'était bloquée ou avait été mal positionnée. mis. Ce type de problème a déclenché l'une des deux séquences d'événements assez similaires : (1) la pièce a été libérée et est venue dans sa position correcte, la machine a reçu un signal automatique de démarrage et la personne a été blessée par le mouvement de la machine initié, (2 ), la pièce n'a pas eu le temps de se libérer ou de se repositionner avant que la personne ne soit blessée par un mouvement de la machine qui s'est produit de manière inattendue, plus rapidement ou avec une force supérieure à celle prévue par l'opérateur. Une autre gestion des perturbations impliquait de déclencher une impulsion de capteur, de libérer une pièce de machine coincée, d'effectuer des types simples de recherche de pannes et d'organiser le redémarrage (voir figure 4).

                                                                                                  Figure 4. Type de gestion des perturbations au moment de l'accident (nombre d'accidents = 76)

                                                                                                  ACC050T2

                                                                                                  Sécurité des travailleurs

                                                                                                  Les catégories de personnel qui ont tendance à être blessées dans les accidents d'automatisation dépendent de la manière dont le travail est organisé, c'est-à-dire du groupe professionnel qui exécute les tâches dangereuses. En pratique, il s'agit de savoir quelle personne sur le lieu de travail est chargée de traiter les problèmes et les perturbations de façon routinière. Dans l'industrie suédoise moderne, des interventions actives sont généralement exigées des personnes qui utilisent la machine. C'est pourquoi, dans l'étude sur le lieu de travail de la fabrication de véhicules en Suède mentionnée précédemment (Backström et Döös, acceptée pour publication), il a été constaté que 82 % des personnes qui ont subi des blessures causées par des machines automatisées étaient des ouvriers ou des opérateurs de production. Les opérateurs avaient également une fréquence relative d'accidents plus élevée (15 accidents d'automatisation pour 1,000 6 opérateurs par an) que les travailleurs de maintenance (1,000 pour XNUMX XNUMX). Les résultats d'études qui indiquent que les ouvriers de maintenance sont plus touchés s'expliquent au moins en partie par le fait que les opérateurs ne sont pas autorisés à pénétrer dans les zones d'usinage dans certaines entreprises. Dans les organisations avec un autre type de répartition des tâches, d'autres catégories de personnel - les poseurs, par exemple - peuvent être chargées de résoudre les problèmes de production qui se posent.

                                                                                                  La mesure corrective la plus courante prise à cet égard afin d'élever le niveau de sécurité des personnes consiste à protéger la personne contre les mouvements dangereux de la machine en utilisant un type de dispositif de sécurité, tel qu'une protection de la machine. Le principe fondamental ici est celui de la sécurité « passive », c'est-à-dire la fourniture d'une protection qui ne nécessite aucune action de la part du travailleur. Il est cependant impossible de juger de l'efficacité des dispositifs de protection sans une très bonne connaissance des exigences réelles de travail sur la machine en question, une connaissance qui n'est normalement possédée que par les opérateurs de machines eux-mêmes.

                                                                                                  De nombreux facteurs peuvent mettre hors service même ce qui est apparemment une bonne protection de la machine. Pour effectuer leur travail, les opérateurs peuvent avoir besoin de désengager ou de contourner un dispositif de sécurité. Dans une étude (Döös et Backström 1993), il a été constaté qu'un tel désengagement ou contournement avait eu lieu dans 12 des 75 accidents d'automatisation couverts. Il s'agit souvent d'un opérateur ambitieux, qui n'accepte plus ni les problèmes de production, ni le retard de production qu'implique la correction des dysfonctionnements conformément aux consignes. Une façon d'éviter ce problème est de rendre le dispositif de protection imperceptible, afin qu'il n'affecte pas le rythme de production, la qualité du produit ou l'exécution des tâches. Mais ce n'est pas toujours possible ; et en cas de perturbations répétées de la production, même des désagréments mineurs peuvent inciter les personnes à ne pas utiliser les dispositifs de sécurité. Encore une fois, des routines doivent être mises à disposition pour supprimer les causes des perturbations de la production afin que celles-ci ne se répètent pas. L'absence de moyen de confirmer que les dispositifs de sécurité fonctionnent réellement conformément aux spécifications est un autre facteur de risque important. Des connexions défectueuses, des signaux de démarrage qui restent dans le système et provoquent plus tard des démarrages inattendus, une accumulation de pression d'air et des capteurs qui se sont détachés peuvent tous entraîner une défaillance de l'équipement de protection.

                                                                                                  Résumé

                                                                                                  Comme on l'a vu, les solutions techniques aux problèmes peuvent engendrer de nouveaux problèmes. Bien que les blessures soient causées par des mouvements de machines, qui sont essentiellement de nature technique, cela ne signifie pas automatiquement que le potentiel de leur éradication réside dans des facteurs purement techniques. Les systèmes techniques continueront à mal fonctionner et les hommes ne parviendront pas à gérer les situations auxquelles ces dysfonctionnements donnent lieu. Les risques continueront d'exister et ne pourront être maîtrisés que par une grande variété de moyens. Législation et contrôle, mesures organisationnelles au niveau des entreprises (sous forme de formations, rondes de sécurité, analyse des risques et signalement des perturbations et des quasi-accidents), et accent mis sur des améliorations régulières et continues sont nécessaires en complément du développement purement technique.

                                                                                                   

                                                                                                  Retour

                                                                                                  Lundi, Avril 04 2011 17: 19

                                                                                                  Protection de la machine

                                                                                                  Il semble qu'il y ait autant de dangers potentiels créés par les pièces mobiles d'une machine qu'il existe différents types de machines. Les garanties sont essentielles pour protéger les travailleurs contre les blessures inutiles et évitables liées aux machines. Par conséquent, toute pièce, fonction ou processus de la machine susceptible de causer des blessures doit être protégé. Lorsque le fonctionnement d'une machine ou un contact accidentel avec celle-ci peut blesser l'opérateur ou d'autres personnes se trouvant à proximité, le danger doit être maîtrisé ou éliminé.

                                                                                                  Mouvements et actions mécaniques

                                                                                                  Les risques mécaniques impliquent généralement des pièces mobiles dangereuses dans les trois domaines de base suivants :

                                                                                                    • le point d'opération, le point où le travail est effectué sur le matériau, tel que le découpage, le façonnage, le poinçonnage, l'estampage, le perçage ou le formage de la matière première
                                                                                                    • appareil de transmission de puissance, tous les composants du système mécanique qui transmettent de l'énergie aux parties de la machine effectuant le travail. Ces composants comprennent les volants d'inertie, les poulies, les courroies, les bielles, les accouplements, les cames, les broches, les chaînes, les manivelles et les engrenages
                                                                                                    • autres pièces mobiles, toutes les pièces de la machine qui se déplacent pendant le fonctionnement de la machine, telles que les pièces à mouvement alternatif, rotatif et à déplacement transversal, ainsi que les mécanismes d'alimentation et les pièces auxiliaires de la machine.

                                                                                                        Une grande variété de mouvements et d'actions mécaniques qui peuvent présenter des risques pour les travailleurs comprennent le mouvement des éléments rotatifs, des bras alternatifs, des courroies mobiles, des engrenages en prise, des dents coupantes et de toutes les pièces qui heurtent ou cisaillent. Ces différents types de mouvements et d'actions mécaniques sont à la base de presque toutes les machines, et les reconnaître est la première étape vers la protection des travailleurs contre les dangers qu'ils peuvent présenter.

                                                                                                        motions

                                                                                                        Il existe trois types de mouvement de base : rotatif, alternatif et transversal.

                                                                                                        Mouvement de rotation peut-être dangereux; même les tiges lisses et à rotation lente peuvent saisir les vêtements et forcer un bras ou une main dans une position dangereuse. Les blessures dues au contact avec des pièces en rotation peuvent être graves (voir figure 1).

                                                                                                        Figure 1. Poinçonneuse mécanique

                                                                                                        MAC080F1

                                                                                                        Les colliers, les accouplements, les cames, les embrayages, les volants, les bouts d'arbre, les broches et les arbres horizontaux ou verticaux sont quelques exemples de mécanismes de rotation courants qui peuvent être dangereux. Il y a un danger supplémentaire lorsque des boulons, des entailles, des abrasions et des clavettes saillantes ou des vis de réglage sont exposés sur des pièces rotatives de machines, comme illustré à la figure 2.

                                                                                                        Figure 2. Exemples de projections dangereuses sur des pièces en rotation

                                                                                                        MAC080F2

                                                                                                        Point de pincement en cours d'exécutions sont créés par des pièces en rotation sur des machines. Il existe trois principaux types de points de pincement en cours d'exécution :

                                                                                                          1. Les pièces avec des axes parallèles peuvent tourner dans des directions opposées. Ces pièces peuvent être en contact (produisant ainsi un point de pincement) ou à proximité l'une de l'autre, auquel cas la matière alimentée entre les rouleaux produit les points de pincement. Ce danger est courant sur les machines à engrenages engrenés, les laminoirs et les calandres, comme le montre la figure 3.
                                                                                                          2. Un autre type de pincement est créé entre les pièces rotatives et mobiles tangentiellement, comme le point de contact entre une courroie de transmission de puissance et sa poulie, une chaîne et un pignon, ou une crémaillère et un pignon, comme illustré à la figure 4.
                                                                                                          3. Des points de pincement peuvent également se produire entre les pièces rotatives et fixes, ce qui crée une action de cisaillement, d'écrasement ou d'abrasion. Les exemples incluent des volants ou des volants à rayons, des convoyeurs à vis ou la périphérie d'une meule abrasive et un support de travail mal réglé, comme illustré à la figure 5.

                                                                                                           

                                                                                                          Figure 3. Points de pincement courants sur les pièces rotatives

                                                                                                              MAC080F3

                                                                                                               

                                                                                                              Figure 4. Points de pincement entre les éléments rotatifs et les pièces avec des mouvements longitudinaux

                                                                                                              MAC080F4

                                                                                                               

                                                                                                              Figure 5. Points de pincement entre les composants rotatifs de la machine

                                                                                                              MAC080F5

                                                                                                              Mouvements alternatifs peut être dangereux parce que pendant le mouvement de va-et-vient ou de haut en bas, un travailleur peut être heurté ou coincé entre une pièce mobile et une pièce fixe. Un exemple est illustré à la figure 6.

                                                                                                              Figure 6. Mouvement alternatif dangereux

                                                                                                              MAC080F6

                                                                                                              Mouvement transversal (mouvement en ligne droite et continue) crée un danger parce qu'un travailleur peut être heurté ou pris dans un point de pincement ou de cisaillement par une pièce mobile. Un exemple de mouvement transversal est illustré à la figure 7.

                                                                                                              Figure 7. Exemple de mouvement transversal

                                                                                                              MAC080F7

                                                                                                              Actions

                                                                                                              Il existe quatre types d'action de base : couper, poinçonner, cisailler et plier.

                                                                                                              Action de coupe implique un mouvement rotatif, alternatif ou transversal. L'action de coupe crée des dangers au point d'opération où des blessures aux doigts, à la tête et aux bras peuvent se produire et où des copeaux ou des chutes de matériaux peuvent frapper les yeux ou le visage. Des exemples typiques de machines présentant des risques de coupure comprennent les scies à ruban, les scies circulaires, les aléseuses ou perceuses, les tours (tours) et les fraiseuses. (Voir figure 8.)

                                                                                                              Figure 8. Exemples de risques de coupure

                                                                                                              MAC080F8

                                                                                                              Coup de poing résultats lorsque la puissance est appliquée à une glissière (bélier) dans le but de découper, d'étirer ou d'emboutir du métal ou d'autres matériaux. Le danger de ce type d'action se produit au point d'opération où le stock est inséré, tenu et retiré à la main. Les machines typiques qui utilisent l'action de poinçonnage sont les presses mécaniques et les serruriers. (Voir figure 9.)

                                                                                                              Figure 9. Opération de poinçonnage typique

                                                                                                              MAC080F9

                                                                                                              Cisaillement consiste à appliquer de la puissance à une glissière ou à un couteau afin de tailler ou de cisailler du métal ou d'autres matériaux. Un danger survient au point d'opération où le stock est réellement inséré, retenu et retiré. Des exemples typiques de machines utilisées pour les opérations de cisaillement sont les cisailles à entraînement mécanique, hydraulique ou pneumatique. (Voir figure 10.)

                                                                                                              Figure 10. Opération de cisaillement

                                                                                                              MAC80F10

                                                                                                              Action de flexion se produit lorsque la puissance est appliquée à une lame afin de façonner, dessiner ou estamper du métal ou d'autres matériaux. Le danger survient au point d'opération où le stock est inséré, retenu et retiré. L'équipement qui utilise l'action de flexion comprend les presses électriques, les presses plieuses et les cintreuses de tubes. (Voir figure 11.)

                                                                                                              Figure 11. Opération de pliage

                                                                                                              MAC80F11

                                                                                                              Exigences relatives aux garanties

                                                                                                              Les dispositifs de protection doivent répondre aux exigences générales minimales suivantes pour protéger les travailleurs contre les risques mécaniques :

                                                                                                              Empêcher tout contact. La protection doit empêcher les mains, les bras ou toute partie du corps ou des vêtements d'un travailleur d'entrer en contact avec des pièces mobiles dangereuses en éliminant la possibilité que les opérateurs ou d'autres travailleurs placent des parties de leur corps à proximité de pièces mobiles dangereuses.

                                                                                                              Assurer la sécurité. Les travailleurs ne doivent pas pouvoir facilement retirer ou altérer la protection. Les protections et les dispositifs de sécurité doivent être fabriqués dans un matériau durable qui résiste aux conditions d'utilisation normales et qui sont solidement fixés à la machine.

                                                                                                              Protéger des chutes d'objets. La protection doit garantir qu'aucun objet ne peut tomber dans les pièces mobiles et endommager l'équipement ou devenir un projectile qui pourrait heurter et blesser quelqu'un.

                                                                                                              Ne pas créer de nouveaux dangers. Une protection va à l'encontre de son objectif si elle crée un danger qui lui est propre, comme un point de cisaillement, un bord dentelé ou une surface non finie. Les bords des protections, par exemple, doivent être roulés ou boulonnés de manière à éliminer les arêtes vives.

                                                                                                              Ne pas créer d'interférence. Les garanties qui empêchent les travailleurs d'accomplir leur travail pourraient bientôt être annulées ou ignorées. Si possible, les travailleurs devraient être en mesure de lubrifier les machines sans désengager ni retirer les protections. Par exemple, placer les réservoirs d'huile à l'extérieur de la protection, avec une ligne menant au point de lubrification, réduira la nécessité d'entrer dans la zone dangereuse.

                                                                                                              Formation à la sauvegarde

                                                                                                              Même le système de protection le plus élaboré ne peut offrir une protection efficace que si les travailleurs savent comment l'utiliser et pourquoi. Une formation spécifique et détaillée est un élément important de tout effort visant à mettre en œuvre une protection contre les risques liés aux machines. Une protection adéquate peut améliorer la productivité et accroître l'efficacité, car elle peut soulager les appréhensions des travailleurs au sujet des blessures. Une formation en matière de protection est nécessaire pour les nouveaux opérateurs et le personnel de maintenance ou de configuration, lorsque des mesures de protection nouvelles ou modifiées sont mises en service, ou lorsque des travailleurs sont affectés à une nouvelle machine ou opération ; il devrait impliquer des instructions ou une formation pratique dans les domaines suivants :

                                                                                                                • une description et une identification des dangers associés à des machines particulières et les mesures de protection spécifiques contre chaque danger
                                                                                                                • comment les sauvegardes assurent la protection ; comment utiliser les garanties et pourquoi
                                                                                                                • comment et dans quelles circonstances les protections peuvent être supprimées, et par qui (dans la plupart des cas, le personnel de réparation ou d'entretien uniquement)
                                                                                                                • que faire (par exemple, contacter le superviseur) si une protection est endommagée, manquante ou incapable de fournir une protection adéquate.

                                                                                                                       

                                                                                                                      Méthodes de protection des machines

                                                                                                                      Il existe de nombreuses façons de protéger les machines. Le type d'opération, la taille ou la forme du stock, la méthode de manutention, l'aménagement physique de la zone de travail, le type de matériel et les exigences ou limitations de production aideront à déterminer la méthode de protection appropriée pour la machine individuelle. Le concepteur de la machine ou le professionnel de la sécurité doit choisir la protection disponible la plus efficace et la plus pratique.

                                                                                                                      Les garanties peuvent être classées en cinq catégories générales : (1) gardes, (2) dispositifs, (3) séparation, (4) opérations et (5) autres.

                                                                                                                      Sécurisation avec des gardes

                                                                                                                      Il existe quatre types généraux de protecteurs (barrières qui empêchent l'accès aux zones dangereuses), comme suit :

                                                                                                                      Gardes fixes. Un protecteur fixe est une partie permanente de la machine et ne dépend pas de pièces mobiles pour remplir sa fonction prévue. Il peut être construit en tôle, écran, toile métallique, barres, plastique ou tout autre matériau suffisamment solide pour résister à tout impact qu'il peut recevoir et pour supporter une utilisation prolongée. Les protecteurs fixes sont généralement préférables à tous les autres types en raison de leur simplicité relative et de leur permanence (voir tableau 1).

                                                                                                                      Tableau 1. Protections de la machine

                                                                                                                      Method

                                                                                                                      Action de sauvegarde

                                                                                                                      Avantages

                                                                                                                      Limites

                                                                                                                      Fixé

                                                                                                                      · Fournit une barrière

                                                                                                                      · Convient à de nombreuses applications spécifiques
                                                                                                                      · La construction en usine est souvent possible
                                                                                                                      · Fournit une protection maximale
                                                                                                                      · Nécessite généralement un minimum d'entretien
                                                                                                                      · Adapté aux opérations à haute production et répétitives

                                                                                                                      · Peut gêner la visibilité
                                                                                                                      · Limité à des opérations spécifiques
                                                                                                                      · Le réglage et la réparation de la machine nécessitent souvent son retrait, ce qui nécessite d'autres moyens de protection pour l'entretien
                                                                                                                      personnel

                                                                                                                      Entrelacé

                                                                                                                      · Coupe ou désengage l'alimentation et empêche le démarrage de la machine lorsque la protection est ouverte ; doit exiger que la machine soit arrêtée avant que le travailleur ne puisse accéder à la zone dangereuse

                                                                                                                      · Fournit une protection maximale
                                                                                                                      · Permet d'accéder à la machine pour éliminer les bourrages sans retirer les protections fixes, ce qui prend beaucoup de temps

                                                                                                                      · Nécessite un réglage et un entretien minutieux
                                                                                                                      · Peut être facile à désengager ou à contourner

                                                                                                                      Ajustable

                                                                                                                      · Fournit une barrière qui peut être ajustée pour faciliter une variété d'opérations de production

                                                                                                                      · Peut être construit pour convenir à de nombreuses applications spécifiques
                                                                                                                      · Peut être ajusté pour admettre différentes tailles de stock

                                                                                                                      · L'opérateur peut entrer dans la zone dangereuse : la protection peut ne pas être complète à tout moment
                                                                                                                      · Peut nécessiter un entretien et/ou un réglage fréquents
                                                                                                                      · Peut être rendu inefficace par l'opérateur
                                                                                                                      · Peut gêner la visibilité

                                                                                                                      Auto-ajustement

                                                                                                                      · Fournit une barrière qui se déplace en fonction de la taille du stock entrant dans la zone dangereuse

                                                                                                                      · Des protecteurs prêts à l'emploi sont disponibles dans le commerce

                                                                                                                      · N'offre pas toujours une protection maximale
                                                                                                                      · Peut gêner la visibilité
                                                                                                                      · Peut nécessiter un entretien et un réglage fréquents

                                                                                                                       

                                                                                                                      Dans la figure 12, une protection fixe sur une presse mécanique enferme complètement le point d'opération. Le stock est introduit par le côté du protecteur dans la zone de la matrice, le stock de rebut sortant du côté opposé.

                                                                                                                      Figure 12. Protection fixe sur la presse mécanique

                                                                                                                      MAC80F12

                                                                                                                      La figure 13 représente une protection d'enceinte fixe qui protège la courroie et la poulie d'une unité de transmission de puissance. Un panneau d'inspection est prévu sur le dessus pour minimiser le besoin de retirer la protection.

                                                                                                                      Figure 13. Protecteur fixe renfermant les courroies et les poulies

                                                                                                                      MAC80F13

                                                                                                                      Dans la figure 14, des protections d'enceinte fixes sont représentées sur une scie à ruban. Ces protections protègent les opérateurs des roues qui tournent et de la lame de scie en mouvement. Normalement, le seul moment où les protections seraient ouvertes ou retirées serait pour un changement de lame ou pour l'entretien. Il est très important qu'ils soient solidement fixés lorsque la scie est en cours d'utilisation.

                                                                                                                      Figure 14. Protections fixes sur la scie à ruban

                                                                                                                      MAC80F14

                                                                                                                      Gardes verrouillés. Lorsque les protections verrouillées sont ouvertes ou retirées, le mécanisme de déclenchement et/ou l'alimentation s'arrêtent ou se désengagent automatiquement, et la machine ne peut pas démarrer ou démarrer tant que la protection de verrouillage n'est pas remise en place. Cependant, le remplacement du protecteur de verrouillage ne devrait pas automatiquement redémarrer la machine. Les protections verrouillées peuvent utiliser une alimentation électrique, mécanique, hydraulique ou pneumatique, ou toute combinaison de celles-ci. Les verrouillages ne doivent pas empêcher le « marche par à-coups » (c'est-à-dire les mouvements progressifs graduels) par télécommande, si nécessaire.

                                                                                                                      Un exemple de protection à verrouillage est illustré à la figure 15. Dans cette figure, le mécanisme de batteur d'une machine de prélèvement (utilisée dans l'industrie textile) est recouvert d'une protection à barrière verrouillée. Cette protection ne peut pas être relevée pendant que la machine est en marche, et la machine ne peut pas non plus être redémarrée avec la protection en position relevée.

                                                                                                                      Figure 15. Protecteur verrouillé sur la machine de prélèvement

                                                                                                                      MAC80F15

                                                                                                                      Gardes réglables. Les protections réglables permettent une flexibilité pour s'adapter à différentes tailles de stock. La figure 16 montre une protection de boîtier réglable sur une scie à ruban.

                                                                                                                      Figure 16. Protecteur réglable sur la scie à ruban

                                                                                                                      MAC80F16

                                                                                                                      Gardes auto-ajustables. Les ouvertures des protecteurs autoréglables sont déterminées par le mouvement du stock. Au fur et à mesure que l'opérateur déplace le stock dans la zone dangereuse, la protection est repoussée, fournissant une ouverture suffisamment grande pour n'admettre que le stock. Une fois la crosse retirée, le protecteur revient en position de repos. Ce protecteur protège l'opérateur en plaçant une barrière entre la zone dangereuse et l'opérateur. Les protections peuvent être construites en plastique, en métal ou en un autre matériau substantiel. Les protections auto-ajustables offrent différents degrés de protection.

                                                                                                                      La figure 17 montre une scie à bras radial avec une protection auto-ajustable. Au fur et à mesure que la lame est tirée sur la crosse, la protection monte, restant en contact avec la crosse.

                                                                                                                      Figure 17. Protection auto-ajustable sur scie radiale

                                                                                                                      MAC80F17

                                                                                                                      Sécurisation avec des appareils

                                                                                                                      Les dispositifs de sécurité peuvent arrêter la machine si une main ou une partie du corps est placée par inadvertance dans la zone dangereuse, peuvent retenir ou retirer les mains de l'opérateur de la zone dangereuse pendant le fonctionnement, peuvent obliger l'opérateur à utiliser simultanément les deux mains sur les commandes de la machine ( gardant ainsi les mains et le corps hors de danger) ou peut fournir une barrière qui est synchronisée avec le cycle de fonctionnement de la machine afin d'empêcher l'entrée dans la zone dangereuse pendant la partie dangereuse du cycle. Il existe cinq types de dispositifs de sécurité de base, comme suit :

                                                                                                                      Dispositifs de détection de présence

                                                                                                                      Trois types de dispositifs de détection qui arrêtent la machine ou interrompent le cycle de travail ou l'opération si un travailleur se trouve dans la zone dangereuse sont décrits ci-dessous :

                                                                                                                      La dispositif de détection de présence photoélectrique (optique) utilise un système de sources lumineuses et de commandes qui peuvent interrompre le cycle de fonctionnement de la machine. Si le champ lumineux est cassé, la machine s'arrête et ne cyclera pas. Ce dispositif ne doit être utilisé que sur des machines qui peuvent être arrêtées avant que le travailleur n'atteigne la zone dangereuse. La figure 18 montre un dispositif de détection de présence photoélectrique utilisé avec une presse plieuse. L'appareil peut être basculé vers le haut ou vers le bas pour s'adapter aux différentes exigences de production.

                                                                                                                      Figure 18. Dispositif photoélectrique de détection de présence sur une presse plieuse

                                                                                                                      MAC80F18

                                                                                                                      La dispositif de détection de présence à radiofréquence (capacité) utilise un faisceau radio qui fait partie du circuit de commande. Lorsque le champ capacitif est rompu, la machine s'arrête ou ne s'active pas. Ce dispositif ne doit être utilisé que sur des machines qui peuvent être arrêtées avant que le travailleur n'atteigne la zone dangereuse. Cela nécessite que la machine soit équipée d'un embrayage à friction ou d'un autre moyen fiable d'arrêt. La figure 19 montre un dispositif de détection de présence par radiofréquence monté sur une presse électrique à révolution partielle.

                                                                                                                      Figure 19. Dispositif de détection de présence par radiofréquence sur une scie électrique

                                                                                                                      MAC80F19

                                                                                                                      La dispositif de détection électromécanique a une sonde ou une barre de contact qui descend à une distance prédéterminée lorsque l'opérateur lance le cycle de la machine. S'il y a un obstacle l'empêchant de descendre toute sa distance prédéterminée, le circuit de commande n'actionne pas le cycle de la machine. La figure 20 montre un dispositif de détection électromécanique sur un œillet. La sonde de détection en contact avec le doigt de l'opérateur est également représentée.

                                                                                                                      Figure 20. Dispositif de détection électromécanique sur une machine à lettres oculaires

                                                                                                                      MAC80F20

                                                                                                                      Dispositifs de rappel

                                                                                                                      Les dispositifs de recul utilisent une série de câbles attachés aux mains, aux poignets et/ou aux bras de l'opérateur et sont principalement utilisés sur les machines à action de caresse. Lorsque le coulisseau/bélier est relevé, l'opérateur est autorisé à accéder au point d'opération. Lorsque le coulisseau/bélier commence à descendre, une tringlerie mécanique assure automatiquement le retrait des mains du point d'opération. La figure 21 montre un dispositif de retrait sur une petite presse.

                                                                                                                      Figure 21. Dispositif de rappel sur la presse électrique

                                                                                                                      MAC80F21

                                                                                                                      Dispositifs de retenue

                                                                                                                      Des dispositifs de retenue, qui utilisent des câbles ou des sangles attachés entre un point fixe et les mains de l'opérateur, ont été utilisés dans certains pays. Ces dispositifs ne sont généralement pas considérés comme des protections acceptables car ils sont facilement contournés par l'opérateur, ce qui permet de placer les mains dans la zone dangereuse. (Voir tableau 2.)

                                                                                                                      Tableau 2. Périphériques

                                                                                                                      Method

                                                                                                                      Action de sauvegarde

                                                                                                                      Avantages

                                                                                                                      Limites

                                                                                                                      Photoélectrique
                                                                                                                      (optique)

                                                                                                                      · La machine ne démarre pas le cycle lorsque le champ lumineux est interrompu
                                                                                                                      · Lorsque le champ lumineux est interrompu par une partie quelconque du corps de l'opérateur pendant le processus de cycle, le freinage immédiat de la machine est activé

                                                                                                                      · Peut permettre un mouvement plus libre pour l'opérateur

                                                                                                                      · Ne protège pas contre les pannes mécaniques
                                                                                                                      · Peut nécessiter un alignement et un étalonnage fréquents
                                                                                                                      · Des vibrations excessives peuvent endommager le filament de la lampe et l'épuiser prématurément
                                                                                                                      · Limité aux machines qui peuvent être arrêtées sans terminer le cycle

                                                                                                                      Radiofréquence
                                                                                                                      (capacitance)

                                                                                                                      · Le cycle de la machine ne démarre pas lorsque le champ de capacité est interrompu
                                                                                                                      · Lorsque le champ capacitif est perturbé par une partie quelconque du corps de l'opérateur pendant le processus de cyclage, le freinage immédiat de la machine est activé

                                                                                                                      · Peut permettre un mouvement plus libre pour l'opérateur

                                                                                                                      · Ne protège pas contre les pannes mécaniques
                                                                                                                      · La sensibilité de l'antenne doit être correctement réglée
                                                                                                                      · Limité aux machines qui peuvent être arrêtées sans terminer le cycle

                                                                                                                      Électromécanique

                                                                                                                      · La barre de contact ou la sonde parcourt une distance prédéterminée entre l'opérateur et la zone dangereuse
                                                                                                                      · L'interruption de ce mouvement empêche le démarrage du cycle de la machine

                                                                                                                      · Peut permettre l'accès au point d'opération

                                                                                                                      · La barre de contact ou la sonde doit être correctement ajustée pour chaque application ; ce réglage doit être maintenu correctement

                                                                                                                      Recul

                                                                                                                      · Lorsque la machine commence à tourner, les mains de l'opérateur sont retirées de la zone dangereuse

                                                                                                                      · Élimine le besoin de barrières auxiliaires ou d'autres interférences dans la zone de danger

                                                                                                                      · Limite les mouvements de l'opérateur
                                                                                                                      · Peut obstruer l'espace de travail autour de l'opérateur
                                                                                                                      · Des ajustements doivent être faits pour des opérations spécifiques et pour chaque individu
                                                                                                                      · Nécessite des inspections fréquentes et un entretien régulier
                                                                                                                      · Nécessite une surveillance étroite de l'utilisation de l'équipement par l'opérateur

                                                                                                                      Commandes de déclenchement de sécurité :
                                                                                                                      · Sensible à la pression
                                                                                                                      barre de corps
                                                                                                                      · Tige de déclenchement de sécurité
                                                                                                                      · Fil de sécurité

                                                                                                                      · Arrête la machine en cas de déclenchement

                                                                                                                      · Simplicité d'utilisation

                                                                                                                      · Toutes les commandes doivent être activées manuellement
                                                                                                                      · Peut être difficile d'activer les commandes en raison de leur emplacement
                                                                                                                      · Protège uniquement l'opérateur
                                                                                                                      · Peut nécessiter des appareils spéciaux pour tenir le travail
                                                                                                                      · Peut nécessiter un frein machine

                                                                                                                      Commande à deux mains

                                                                                                                      · L'utilisation simultanée des deux mains est nécessaire, empêchant l'opérateur d'entrer dans la zone de danger

                                                                                                                      · Les mains de l'opérateur sont à un endroit prédéterminé loin de la zone de danger
                                                                                                                      · Les mains de l'opérateur sont libres de prendre une nouvelle pièce une fois la première moitié du cycle terminée

                                                                                                                      · Nécessite une machine à cycle partiel avec frein
                                                                                                                      · Certaines commandes à deux mains peuvent être rendues dangereuses en les tenant avec le bras ou en les bloquant, permettant ainsi une utilisation à une seule main
                                                                                                                      · Protège uniquement l'opérateur

                                                                                                                      Voyage à deux mains

                                                                                                                      · L'utilisation simultanée de deux mains sur des commandes séparées empêche les mains d'être dans la zone de danger lorsque le cycle de la machine démarre

                                                                                                                      · Les mains de l'opérateur sont éloignées de la zone de danger
                                                                                                                      · Peut être adapté à de multiples opérations
                                                                                                                      · Aucune obstruction à l'alimentation manuelle
                                                                                                                      · Ne nécessite pas de réglage à chaque opération

                                                                                                                      · L'opérateur peut essayer d'atteindre la zone dangereuse après avoir déclenché la machine
                                                                                                                      · Certains trajets peuvent être rendus dangereux en tenant avec le bras ou en bloquant, permettant ainsi une utilisation à une seule main
                                                                                                                      · Protège uniquement l'opérateur
                                                                                                                      · Peut nécessiter des luminaires spéciaux

                                                                                                                      Portail

                                                                                                                      · Fournit une barrière entre la zone de danger et l'opérateur ou tout autre personnel

                                                                                                                      · Peut empêcher d'atteindre ou de marcher dans la zone de danger

                                                                                                                      · Peut nécessiter une inspection fréquente et un entretien régulier
                                                                                                                      · Peut interférer avec la capacité de l'opérateur à voir le travail

                                                                                                                       

                                                                                                                      Dispositifs de contrôle de sécurité

                                                                                                                      Tous ces dispositifs de contrôle de sécurité sont activés manuellement et doivent être réinitialisés manuellement pour redémarrer la machine :

                                                                                                                      • Commandes de déclenchement de sécurité tels que les barres de pression, les tiges de déclenchement et les fils de déclenchement sont des commandes manuelles qui fournissent un moyen rapide de désactiver la machine en cas d'urgence.
                                                                                                                      • Barres corporelles sensibles à la pression, lorsqu'il est enfoncé, désactive la machine si l'opérateur ou quelqu'un trébuche, perd l'équilibre ou est attiré vers la machine. Le positionnement de la barre est critique car elle doit arrêter la machine avant qu'une partie du corps n'atteigne la zone dangereuse. La figure 22 montre une barre de carrosserie sensible à la pression située à l'avant d'une usine de caoutchouc.

                                                                                                                       

                                                                                                                      Figure 22. Barre de carrosserie sensible à la pression sur une usine de caoutchouc

                                                                                                                      MAC80F23

                                                                                                                      • Dispositifs de déclenchement de sécurité désactiver la machine lorsqu'il est pressé à la main. Parce qu'ils doivent être actionnés par l'opérateur lors d'une situation d'urgence, leur position correcte est essentielle. La figure 23 montre une tige de déclenchement située au-dessus de l'usine de caoutchouc.

                                                                                                                       

                                                                                                                      Figure 23. Tige de déclenchement de sécurité sur une usine de caoutchouc

                                                                                                                      MAC80F24

                                                                                                                      • Câbles de déclenchement de sécurité sont situés autour du périmètre ou à proximité de la zone de danger. L'opérateur doit pouvoir atteindre le câble avec l'une ou l'autre main pour arrêter la machine. La figure 24 montre une calandre équipée de ce type de commande.

                                                                                                                       

                                                                                                                      Figure 24. Câble de déclenchement de sécurité sur la calandre

                                                                                                                      MAC80F25

                                                                                                                      • Commandes à deux mains nécessitent une pression constante et simultanée pour que l'opérateur active la machine. Lorsqu'elles sont installées sur des presses mécaniques, ces commandes utilisent un embrayage à rotation partielle et un contrôleur de freinage, comme illustré à la figure 25. Avec ce type d'appareil, les mains de l'opérateur doivent être à un endroit sûr (sur les boutons de commande) et à une distance distance de sécurité de la zone dangereuse pendant que la machine termine son cycle de fermeture.

                                                                                                                       

                                                                                                                      Figure 25. Boutons de commande bimanuelle sur la presse à embrayage à rotation partielle

                                                                                                                       MAC80F26

                                                                                                                      • Voyage à deux mains. Le déclenchement à deux mains illustré à la figure 26 est généralement utilisé avec des machines équipées d'embrayages à révolution complète. Il nécessite l'application simultanée des deux boutons de commande de l'opérateur pour activer le cycle de la machine, après quoi les mains sont libres. Les déclencheurs doivent être placés suffisamment loin du point de fonctionnement pour empêcher les opérateurs de déplacer leurs mains des boutons ou des poignées de déclenchement vers le point de fonctionnement avant la fin de la première moitié du cycle. Les mains de l'opérateur sont maintenues suffisamment éloignées pour éviter qu'elles ne soient accidentellement placées dans la zone de danger avant que le coulisseau/bélier ou la lame n'atteigne la position complètement abaissée.

                                                                                                                       

                                                                                                                      Figure 26. Boutons de commande bimanuelle sur la presse à embrayage à révolution complète

                                                                                                                      MAC80F27

                                                                                                                      • Portes sont des dispositifs de contrôle de sécurité qui fournissent une barrière mobile qui protège l'opérateur au point de fonctionnement avant que le cycle de la machine ne puisse démarrer. Les barrières sont souvent conçues pour être actionnées à chaque cycle de la machine. La figure 27 montre une porte sur une presse mécanique. Si la porte n'est pas autorisée à descendre en position complètement fermée, la presse ne fonctionnera pas. Une autre application des barrières est leur utilisation en tant que composant d'un système de protection de périmètre, où les barrières assurent la protection des opérateurs et de la circulation des piétons.

                                                                                                                       

                                                                                                                      Figure 27. Presse électrique avec porte

                                                                                                                      MAC80F28

                                                                                                                      Sauvegarde par emplacement ou distance

                                                                                                                      Pour protéger une machine par emplacement, la machine ou ses pièces mobiles dangereuses doivent être positionnées de manière à ce que les zones dangereuses ne soient pas accessibles ou ne présentent pas de danger pour un travailleur pendant le fonctionnement normal de la machine. Cela peut être accompli avec des murs d'enceinte ou des clôtures qui restreignent l'accès aux machines, ou en plaçant une machine de sorte qu'un élément de conception de l'usine, tel qu'un mur, protège le travailleur et les autres membres du personnel. Une autre possibilité est d'avoir des parties dangereuses situées suffisamment haut pour être hors de portée normale de tout travailleur. Une analyse approfondie des risques de chaque machine et situation particulière est essentielle avant d'essayer cette technique de protection. Les exemples cités ci-dessous sont quelques-unes des nombreuses applications du principe de sauvegarde par localisation/distance.

                                                                                                                      Processus d'alimentation. Le processus d'alimentation peut être protégé par emplacement si une distance de sécurité peut être maintenue pour protéger les mains du travailleur. Les dimensions de la matière sur laquelle on travaille peuvent fournir une sécurité adéquate. Par exemple, lors de l'utilisation d'une poinçonneuse à une extrémité, si le stock mesure plusieurs pieds de long et qu'une seule extrémité du stock est en cours de traitement, l'opérateur peut être en mesure de tenir l'extrémité opposée pendant l'exécution du travail. Cependant, selon la machine, une protection peut toujours être nécessaire pour d'autres personnes.

                                                                                                                      Commandes de positionnement. Le positionnement du poste de commande de l'opérateur offre une approche potentielle de la sécurisation par emplacement. Les commandes de l'opérateur peuvent être situées à une distance de sécurité de la machine s'il n'y a aucune raison pour que l'opérateur soit présent à la machine.

                                                                                                                      Méthodes de sauvegarde de l'alimentation et de l'éjection

                                                                                                                      De nombreuses méthodes d'alimentation et d'éjection ne nécessitent pas que les opérateurs placent leurs mains dans la zone de danger. Dans certains cas, aucune intervention de l'opérateur n'est nécessaire après la configuration de la machine, alors que dans d'autres situations, les opérateurs peuvent alimenter manuellement le stock à l'aide d'un mécanisme d'alimentation. En outre, des méthodes d'éjection peuvent être conçues qui ne nécessitent aucune intervention de l'opérateur après le démarrage de la machine. Certaines méthodes d'alimentation et d'éjection peuvent même créer des dangers eux-mêmes, comme un robot qui peut éliminer le besoin pour un opérateur d'être près de la machine mais peut créer un nouveau danger par le mouvement de son bras. (Voir tableau 3.)

                                                                                                                      Tableau 3. Méthodes d'alimentation et d'éjection

                                                                                                                      Method

                                                                                                                      Action de sauvegarde

                                                                                                                      Avantages

                                                                                                                      Limites

                                                                                                                      Flux automatique

                                                                                                                      · Le stock est alimenté à partir de rouleaux, indexé par un mécanisme de machine, etc.

                                                                                                                      · Élimine le besoin d'intervention de l'opérateur dans la zone de danger

                                                                                                                      · D'autres protections sont également nécessaires pour la protection de l'opérateur, généralement des barrières de protection fixes
                                                                                                                      · Nécessite un entretien fréquent
                                                                                                                      · Peut ne pas être adaptable à la variation des stocks

                                                                                                                      Semi-automatique
                                                                                                                      nourrir

                                                                                                                      · Le stock est alimenté par des goulottes, des matrices mobiles, un cadran
                                                                                                                      alimentation, pistons ou traversin coulissant

                                                                                                                      · Élimine le besoin d'intervention de l'opérateur dans la zone de danger

                                                                                                                      · D'autres protections sont également nécessaires pour la protection de l'opérateur, généralement des barrières de protection fixes
                                                                                                                      · Nécessite un entretien fréquent
                                                                                                                      · Peut ne pas être adaptable à la variation des stocks

                                                                                                                      Automatique
                                                                                                                      éjection

                                                                                                                      · Les pièces sont éjectées par voie aérienne ou mécanique

                                                                                                                      · Élimine le besoin d'intervention de l'opérateur dans la zone de danger

                                                                                                                      · Peut créer un risque de projection de copeaux ou de débris
                                                                                                                      · La taille du stock limite l'utilisation de cette méthode
                                                                                                                      · L'éjection d'air peut présenter un risque de bruit

                                                                                                                      Semi-automatique
                                                                                                                      éjection

                                                                                                                      · Les pièces à usiner sont éjectées par des
                                                                                                                      moyens déclenchés par l'opérateur

                                                                                                                      · L'opérateur n'a pas besoin d'entrer dans la zone dangereuse pour enlever le travail fini

                                                                                                                      · D'autres protections sont nécessaires pour l'opérateur
                                                                                                                      protection
                                                                                                                      · Peut ne pas être adaptable à la variation des stocks

                                                                                                                      Robots

                                                                                                                      · Ils effectuent des travaux habituellement effectués par l'opérateur

                                                                                                                      · L'opérateur n'a pas à entrer dans la zone de danger
                                                                                                                      · Sont adaptés aux opérations où des facteurs de stress élevés sont présents, tels que la chaleur et le bruit

                                                                                                                      · Peut créer des dangers eux-mêmes
                                                                                                                      · Nécessite un maximum d'entretien
                                                                                                                      · Ne conviennent qu'à des opérations spécifiques

                                                                                                                       

                                                                                                                      L'utilisation de l'une des cinq méthodes d'alimentation et d'éjection suivantes pour protéger les machines n'élimine pas le besoin de protections et d'autres dispositifs, qui doivent être utilisés si nécessaire pour fournir une protection contre l'exposition aux dangers.

                                                                                                                      Flux automatique. Les avances automatiques réduisent l'exposition de l'opérateur pendant le processus de travail et ne nécessitent souvent aucun effort de la part de l'opérateur une fois la machine configurée et en marche. La presse mécanique de la figure 28 est dotée d'un mécanisme d'alimentation automatique avec une protection d'enceinte fixe transparente au niveau de la zone de danger.

                                                                                                                      Figure 28. Presse mécanique avec avance automatique

                                                                                                                      MAC80F29

                                                                                                                      Alimentation semi-automatique. Avec une alimentation semi-automatique, comme dans le cas d'une presse mécanique, l'opérateur utilise un mécanisme pour placer la pièce en cours de traitement sous le vérin à chaque coup. L'opérateur n'a pas besoin d'atteindre la zone dangereuse et la zone dangereuse est complètement fermée. La figure 29 montre une goulotte d'alimentation dans laquelle chaque pièce est placée à la main. L'utilisation d'une alimentation par goulotte sur une presse inclinée aide non seulement à centrer la pièce lors de son glissement dans la matrice, mais peut également simplifier le problème de l'éjection.

                                                                                                                      Figure 29. Presse mécanique avec alimentation par goulotte

                                                                                                                      MAC80F30

                                                                                                                      Éjection automatique. L'éjection automatique peut utiliser une pression d'air ou un appareil mécanique pour retirer la pièce terminée d'une presse, et peut être verrouillée avec les commandes de fonctionnement pour empêcher le fonctionnement jusqu'à ce que l'éjection de la pièce soit terminée. Le mécanisme de navette panoramique illustré à la figure 30 se déplace sous la pièce finie lorsque la glissière se déplace vers la position haute. La navette attrape alors la pièce retirée de la glissière par les goupilles défonçables et la dévie dans une goulotte. Lorsque le vérin descend vers le prochain flan, la navette panoramique s'éloigne de la zone de la matrice.

                                                                                                                      Figure 30. Système d'éjection de la navette

                                                                                                                      MAC80F31

                                                                                                                      Éjection semi-automatique. La figure 31 montre un mécanisme d'éjection semi-automatique utilisé sur une presse mécanique. Lorsque le piston est retiré de la zone de la matrice, la jambe d'éjection, qui est couplée mécaniquement au piston, lance le travail terminé.

                                                                                                                      Figure 31. Mécanisme d'éjection semi-automatique

                                                                                                                      MAC80F32

                                                                                                                      Robots. Les robots sont des dispositifs complexes qui chargent et déchargent des stocks, assemblent des pièces, transfèrent des objets ou effectuent des travaux autrement effectués par un opérateur, éliminant ainsi l'exposition de l'opérateur aux dangers. Ils sont mieux utilisés dans les processus de production élevée nécessitant des routines répétées, où ils peuvent se prémunir contre d'autres risques pour les employés. Les robots peuvent créer des dangers et des protections appropriées doivent être utilisées. La figure 32 montre un exemple de robot alimentant une presse.

                                                                                                                      Figure 32. Utilisation de barrières de protection pour protéger l'enveloppe du robot

                                                                                                                      MAC80F33

                                                                                                                      Aides diverses à la sauvegarde

                                                                                                                      Bien que divers dispositifs de protection n'offrent pas une protection complète contre les dangers de la machine, ils peuvent fournir aux opérateurs une marge de sécurité supplémentaire. Un bon jugement est nécessaire dans leur application et leur utilisation.

                                                                                                                      Obstacles à la sensibilisation. Les barrières de sensibilisation ne fournissent pas de protection physique, mais servent uniquement à rappeler aux opérateurs qu'ils approchent de la zone dangereuse. En règle générale, les barrières de sensibilisation ne sont pas considérées comme adéquates lorsqu'il existe une exposition continue au danger. La figure 33 montre une corde utilisée comme barrière de sensibilisation à l'arrière d'une cisaille d'équerrage électrique. Les barrières n'empêchent pas physiquement les personnes d'entrer dans les zones dangereuses, mais ne font que sensibiliser au danger.

                                                                                                                      Figure 33. Vue arrière du carré de cisaillement de puissance

                                                                                                                      MAC80F34

                                                                                                                      Shields. Des écrans peuvent être utilisés pour fournir une protection contre les particules volantes, les éclaboussures de fluides de travail des métaux ou de liquides de refroidissement. La figure 34 montre deux applications potentielles.

                                                                                                                      Figure 34. Applications des boucliers

                                                                                                                      MAC80F35

                                                                                                                      Outils de maintien. Les outils de maintien placent et enlèvent le stock. Une utilisation typique serait d'atteindre la zone dangereuse d'une presse ou d'une presse plieuse. La figure 35 montre un assortiment d'outils à cet effet. Les outils de maintien ne doivent pas être utilisés plutôt ; d'autres dispositifs de protection des machines ; ils ne sont qu'un complément à la protection offerte par d'autres gardes.

                                                                                                                      Figure 35. Outils de maintien

                                                                                                                      MAC80F36

                                                                                                                      Poussoirs ou blocs, tel qu'illustré à la figure 36, peut être utilisé lors de l'introduction de matière dans une machine, telle qu'une lame de scie. Lorsqu'il devient nécessaire que les mains soient à proximité de la lame, le poussoir ou le bloc peut fournir une marge de sécurité et éviter les blessures.

                                                                                                                      Figure 36. Utilisation du poussoir ou du bloc poussoir

                                                                                                                      MAC80F37

                                                                                                                       

                                                                                                                      Retour

                                                                                                                      Lundi, Avril 04 2011 17: 47

                                                                                                                      Détecteurs de présence

                                                                                                                      Les développements généraux de la microélectronique et de la technologie des capteurs permettent d'espérer qu'une amélioration de la sécurité au travail peut être obtenue grâce à la disponibilité de détecteurs de présence et d'approche fiables, robustes, nécessitant peu d'entretien et peu coûteux. Cet article décrira la technologie des capteurs, les différentes procédures de détection, les conditions et restrictions applicables à l'utilisation des systèmes de capteurs, ainsi que certaines études et travaux de normalisation réalisés en Allemagne.

                                                                                                                      Critères du détecteur de présence

                                                                                                                      Le développement et les tests pratiques des détecteurs de présence est l'un des plus grands défis futurs pour les efforts techniques visant à améliorer la sécurité au travail et à la protection du personnel en général. Détecteurs de présence sont des capteurs qui signalent de manière fiable et sûre proximité ou approche d'une personne. De plus, cet avertissement doit se produire rapidement afin qu'une action d'évitement, un freinage ou l'arrêt d'une machine à l'arrêt puisse avoir lieu avant que le contact prévu ne se produise. Que les personnes soient grandes ou petites, quelle que soit leur posture ou leur tenue vestimentaire ne devrait pas avoir d'incidence sur la fiabilité du capteur. De plus, le capteur doit posséder une certitude de fonctionnement et être robuste et peu coûteux, de sorte qu'il puisse être utilisé dans les conditions les plus exigeantes, comme sur les chantiers de construction et pour des applications mobiles, avec un minimum d'entretien. Les capteurs doivent être comme un airbag en ce sens qu'ils ne nécessitent aucun entretien et sont toujours prêts. Étant donné la réticence de certains utilisateurs à entretenir ce qu'ils considèrent comme un équipement non essentiel, les capteurs peuvent être laissés sans entretien pendant des années. Une autre caractéristique des détecteurs de présence, qui est beaucoup plus susceptible d'être demandée, est qu'ils détectent également les obstacles autres que les êtres humains et alertent l'opérateur à temps pour prendre des mesures défensives, réduisant ainsi les coûts de réparation et les dommages matériels. C'est une raison d'installer des détecteurs de présence qu'il ne faut pas sous-estimer.

                                                                                                                      Applications du détecteur

                                                                                                                      D'innombrables accidents mortels et blessures graves qui ressemblent à des actes du destin inévitables et individuels peuvent être évités ou minimisés à condition que les détecteurs de présence soient mieux acceptés comme mesure de prévention dans le domaine de la sécurité au travail. Les journaux rapportent trop souvent ces accidents : ici une personne a été heurtée par une chargeuse qui reculait, là l'opérateur n'a pas vu quelqu'un qui s'est fait renverser par la roue avant d'une pelle mécanique. Les camions qui reculent dans les rues, les locaux de l'entreprise et les chantiers de construction sont à l'origine de nombreux accidents de personnes. Aujourd'hui, les entreprises complètement rationalisées ne fournissent plus de co-conducteurs ou d'autres personnes pour servir de guides au conducteur qui recule un camion. Ces exemples d'accidents mobiles peuvent être facilement étendus à d'autres équipements mobiles, tels que les chariots élévateurs. Cependant, l'utilisation de capteurs est nécessaire de toute urgence pour prévenir les accidents impliquant des équipements semi-mobiles et purement fixes. Un exemple est les zones arrière des grandes machines de chargement, qui ont été identifiées par le personnel de sécurité comme des zones potentiellement dangereuses qui pourraient être améliorées grâce à l'utilisation de capteurs peu coûteux. De nombreuses variantes de détecteurs de présence peuvent être adaptées de manière innovante à d'autres véhicules et à de gros équipements mobiles pour se protéger contre les types d'accidents abordés dans cet article, qui causent généralement des dommages importants et des blessures graves, voire mortelles.

                                                                                                                      La tendance à la généralisation des solutions innovantes laisse présager que les détecteurs de présence deviendront la technologie de sécurité standard dans d'autres applications ; cependant, ce n'est le cas nulle part. La percée, motivée par les accidents et les dommages matériels importants, est attendue dans la surveillance derrière les camionnettes de livraison et les poids lourds et pour les domaines les plus innovants des «nouvelles technologies» - les robots mobiles du futur.

                                                                                                                      La variation des domaines d'application des détecteurs de présence et la variabilité des tâches - par exemple, tolérer des objets (même en mouvement, sous certaines conditions) qui appartiennent à un champ de détection et qui ne doivent pas déclencher de signal - nécessitent des capteurs dans lesquels " La technologie d'évaluation «intelligente» prend en charge les mécanismes de fonctionnement du capteur. Cette technologie, qui fait l'objet de développements futurs, peut être élaborée à partir de méthodes relevant du domaine de l'intelligence artificielle (Schreiber et Kuhn 1995). A ce jour, une universalité limitée a fortement restreint les usages actuels des capteurs. Il y a des rideaux de lumière ; barres lumineuses; tapis de contact; capteurs infrarouges passifs; détecteurs de mouvement à ultrasons et radar utilisant l'effet Doppler; capteurs qui mesurent le temps écoulé des impulsions ultrasonores, radar et lumineuses; et scanners laser. Les caméras de télévision normales connectées à des moniteurs ne sont pas incluses dans cette liste car ce ne sont pas des détecteurs de présence. Cependant, les caméras qui s'activent automatiquement lors de la détection de la présence d'une personne sont incluses.

                                                                                                                      Techniques de détection

                                                                                                                      Aujourd'hui, les principaux enjeux des capteurs sont (1) l'optimisation de l'utilisation des effets physiques (infrarouge, lumière, ultrasons, radar, etc.) et (2) l'autocontrôle. Les scanners laser sont développés intensivement pour être utilisés comme instruments de navigation pour les robots mobiles. Pour cela, deux tâches, en partie différentes dans leur principe, doivent être résolues : la navigation du robot et la protection des personnes (et du matériel ou équipement) présentes afin qu'elles ne soient pas heurtées, écrasées ou empoignées (Freund, Dierks et Rossman 1993 ). Les futurs robots mobiles ne peuvent pas conserver la même philosophie de sécurité de « séparation spatiale du robot et de la personne » qui est strictement appliquée aux robots industriels stationnaires d'aujourd'hui. Cela implique d'accorder une grande importance au fonctionnement fiable du détecteur de présence à utiliser.

                                                                                                                      L'utilisation des "nouvelles technologies" est souvent liée à des problèmes d'acceptation, et l'on peut supposer que l'utilisation généralisée de robots mobiles capables de se déplacer et de saisir, parmi les personnes dans les usines, dans les zones de circulation publique, ou même dans les maisons ou les zones de loisirs , ne seront acceptés que s'ils sont équipés de détecteurs de présence très évolués, sophistiqués et fiables. Les accidents spectaculaires doivent être évités à tout prix afin de ne pas exacerber un éventuel problème d'acceptation. Le niveau actuel des dépenses pour le développement de ce type de capteurs de protection professionnelle est loin de prendre en compte cette considération. Pour économiser beaucoup de coûts, les détecteurs de présence doivent être développés et testés simultanément avec les robots mobiles et les systèmes de navigation, pas après.

                                                                                                                      En ce qui concerne les véhicules à moteur, les questions de sécurité ont pris une importance croissante. La sécurité innovante des passagers dans les automobiles comprend des ceintures de sécurité à trois points, des sièges pour enfants, des airbags et le système de freinage antiblocage vérifié par des tests de collision en série. Ces mesures de sécurité représentent une part relativement croissante des coûts de production. Les systèmes d'airbags latéraux et de capteurs radar pour mesurer la distance à la voiture qui précède sont des développements évolutifs dans la protection des passagers.

                                                                                                                      La sécurité extérieure des véhicules à moteur, c'est-à-dire la protection des tiers, fait l'objet d'une attention accrue. Récemment, des protections latérales ont été requises, principalement pour les camions, afin d'empêcher les motocyclistes, les cyclistes et les piétons de tomber sous les roues arrière. Une prochaine étape logique serait de surveiller la zone derrière les gros véhicules avec des détecteurs de présence et d'installer un équipement d'avertissement de zone arrière. Cela aurait pour effet secondaire positif de fournir le financement nécessaire pour développer, tester et mettre à disposition des capteurs performants, auto-surveillés, sans entretien et fonctionnant de manière fiable, peu coûteux à des fins de sécurité au travail. Le processus d'essai qui accompagnerait la mise en œuvre à grande échelle de capteurs ou de systèmes de capteurs faciliterait considérablement l'innovation dans d'autres domaines, tels que les pelles mécaniques, les chargeuses lourdes et autres gros engins mobiles qui reculent jusqu'à la moitié du temps pendant leur fonctionnement. Le processus d'évolution des robots stationnaires vers les robots mobiles est une voie de développement supplémentaire pour les détecteurs de présence. Par exemple, des améliorations pourraient être apportées aux capteurs actuellement utilisés sur les robots de manutention mobiles ou les « tracteurs d'usine sans conducteur », qui suivent des trajectoires fixes et ont donc des exigences de sécurité relativement faibles. L'utilisation de détecteurs de présence est la prochaine étape logique dans l'amélioration de la sécurité dans le domaine du transport de matériel et de personnes.

                                                                                                                      Procédures de détection

                                                                                                                      Divers principes physiques, disponibles en relation avec des méthodes électroniques de mesure et d'autocontrôle et, dans une certaine mesure, des procédures de calcul à haute performance, peuvent être utilisés pour évaluer et résoudre les tâches susmentionnées. Le fonctionnement apparemment sans effort et sûr des machines automatisées (robots) si courantes dans les films de science-fiction, sera peut-être accompli dans le monde réel grâce à l'utilisation de techniques d'imagerie et d'algorithmes de reconnaissance de formes à haute performance en combinaison avec des méthodes de mesure de distance analogues à celles utilisé par les scanners laser. La situation paradoxale que tout ce qui semble simple pour les gens est difficile pour les automates, doit être reconnue. Par exemple, une tâche difficile telle qu'un excellent jeu d'échecs (qui nécessite une activité du cerveau antérieur) peut être plus facilement simulée et exécutée par des machines automatisées qu'une tâche simple telle que marcher debout ou effectuer une coordination œil-main et d'autres mouvements (médiée par le mésencéphale et le cerveau postérieur). Quelques-uns de ces principes, méthodes et procédures applicables aux applications de capteurs sont décrits ci-dessous. En plus de ceux-ci, il existe un grand nombre de procédures spéciales pour des tâches très spéciales qui fonctionnent en partie avec une combinaison de divers types d'effets physiques.

                                                                                                                      Rideaux et barreaux de barrière lumineuse. Parmi les premiers détecteurs de présence figuraient des barrières lumineuses et des barreaux. Ils ont une géométrie de surveillance plate ; c'est-à-dire que celui qui a franchi la barrière ne sera plus détecté. La main d'un opérateur, ou la présence d'outils ou de pièces tenus dans la main d'un opérateur, par exemple, peuvent être détectés rapidement et de manière fiable avec ces dispositifs. Ils offrent une contribution importante à la sécurité au travail pour les machines (comme les presses et les poinçonneuses) qui nécessitent que le matériau soit introduit à la main. La fiabilité doit être statistiquement extrêmement élevée, car lorsque la main atteint seulement deux à trois fois par minute, environ un million d'opérations sont effectuées en quelques années seulement. L'autosurveillance mutuelle des composants émetteurs et récepteurs a été développée à un niveau technique si élevé qu'elle représente un standard pour toutes les autres procédures de détection de présence.

                                                                                                                      Tapis de contact (tapis de commutation). Il existe à la fois des types passifs et actifs (pompe) de tapis et de sols de contact électriques et pneumatiques, qui étaient initialement utilisés en grand nombre dans les fonctions de service (ouvre-portes), jusqu'à ce qu'ils soient remplacés par des détecteurs de mouvement. Le développement se poursuit avec l'utilisation de détecteurs de présence dans toutes sortes de zones dangereuses. Par exemple, le développement de la fabrication automatisée avec un changement dans la fonction du travailleur - de l'utilisation de la machine à la surveillance stricte de son fonctionnement - a produit une demande correspondante de détecteurs appropriés. La standardisation de cet usage est bien avancée (DIN 1995a), et des contraintes particulières (implantation, taille, zones « mortes » maximales autorisées) ont nécessité le développement d'une expertise d'installation dans ce domaine d'usage.

                                                                                                                      Des utilisations possibles intéressantes des tapis de contact se présentent en conjonction avec des systèmes de robots multiples contrôlés par ordinateur. Un opérateur commute un ou deux éléments pour que le détecteur de présence capte sa position exacte et informe l'ordinateur, qui gère les systèmes de contrôle du robot avec un système anticollision intégré. Dans un test avancé par l'institut fédéral de sécurité allemand (BAU), un sol à tapis de contact, composé de petits tapis d'interrupteurs électriques, a été construit sous la zone de travail du bras du robot à cette fin (Freund, Dierks et Rossman 1993). Ce détecteur de présence avait la forme d'un échiquier. Le champ de tapis respectivement activé indiquait à l'ordinateur la position de l'opérateur (figure 1) et lorsque l'opérateur s'approchait trop près du robot, il s'éloignait. Sans le détecteur de présence, le système de robot ne serait pas en mesure de déterminer la position de l'opérateur, et l'opérateur ne pourrait alors pas être protégé.

                                                                                                                      Figure 1. Une personne (à droite) et deux robots dans des enveloppes calculées

                                                                                                                      ACC290F1

                                                                                                                      Réflecteurs (capteurs de mouvement et détecteurs de présence). Aussi méritoires que soient les capteurs évoqués jusqu'à présent, ce ne sont pas des détecteurs de présence au sens large. Leur adéquation, principalement pour des raisons de sécurité au travail, aux gros véhicules et aux gros équipements mobiles suppose deux caractéristiques importantes : (1) la capacité de surveiller une zone à partir d'une position, et (2) un fonctionnement sans erreur sans nécessiter de mesures supplémentaires sur la part de—par exemple, l'utilisation de dispositifs réflecteurs. La détection de la présence d'une personne pénétrant dans la zone surveillée et restant à l'arrêt jusqu'au départ de cette personne implique également la nécessité de détecter une personne immobile. Ceci distingue les détecteurs dits de mouvement des détecteurs de présence, du moins en relation avec des équipements mobiles ; les détecteurs de mouvement sont presque toujours déclenchés lorsque le véhicule est mis en mouvement.

                                                                                                                      Détecteurs de mouvement. Les deux principaux types de détecteurs de mouvement sont : (1) les "capteurs infrarouges passifs" (PIRS), qui réagissent au moindre changement du faisceau infrarouge dans la zone surveillée (le plus petit faisceau détectable est d'environ 10-9 W avec une gamme de longueurs d'onde d'environ 7 à 20 μm); et (2) des capteurs à ultrasons et micro-ondes utilisant le principe Doppler, qui détermine les caractéristiques du mouvement d'un objet en fonction des changements de fréquence. Par exemple, l'effet Doppler augmente la fréquence du klaxon d'une locomotive pour un observateur lorsqu'il s'approche et réduit la fréquence lorsque la locomotive s'éloigne. L'effet Doppler rend possible la construction de capteurs d'approche relativement simples, car le récepteur n'a qu'à surveiller la fréquence du signal des bandes de fréquences voisines pour l'apparition de la fréquence Doppler.

                                                                                                                      Au milieu des années 1970, l'utilisation de détecteurs de mouvement est devenue courante dans les applications de fonction de service telles que les ouvre-portes, la sécurité contre le vol et la protection des objets. Pour une utilisation stationnaire, la détection d'une personne s'approchant d'un point dangereux était suffisante pour donner un avertissement en temps opportun ou pour éteindre une machine. Cela a servi de base à l'étude de l'adéquation des détecteurs de mouvement à leur utilisation en sécurité au travail, notamment au moyen du PIRS (Mester et al. 1980). Parce qu'une personne habillée a généralement une température plus élevée que la zone environnante (tête 34°C, mains 31°C), détecter une personne qui s'approche est un peu plus facile que de détecter des objets inanimés. Dans une mesure limitée, des pièces de machine peuvent se déplacer dans la zone surveillée sans déclencher le détecteur.

                                                                                                                      La méthode passive (sans émetteur) présente des avantages et des inconvénients. L'avantage est qu'un PIRS n'augmente pas les problèmes de bruit et de smog électrique. Pour la sécurité antivol et la protection des objets, il est particulièrement important que le détecteur ne soit pas facile à trouver. Un capteur qui n'est qu'un récepteur, cependant, peut difficilement surveiller sa propre efficacité, qui est essentielle pour la sécurité au travail. Une méthode pour pallier cet inconvénient consistait à tester de petits émetteurs infrarouges modulés (5 à 20 Hz) qui étaient installés dans la zone surveillée et qui ne déclenchaient pas le capteur, mais dont les faisceaux étaient enregistrés avec une amplification électronique fixe réglée sur la fréquence de modulation. Cette modification l'a transformé d'un capteur "passif" en un capteur "actif". De cette manière, il était également possible de vérifier la précision géométrique de la zone surveillée. Les miroirs peuvent avoir des angles morts et la direction d'un capteur passif peut être perturbée par l'activité brutale d'une plante. La figure 2 montre une disposition de test avec un PIRS avec une géométrie surveillée sous la forme d'un manteau pyramidal. En raison de leur grande portée, des capteurs infrarouges passifs sont installés, par exemple, dans les passages des zones de stockage des étagères.

                                                                                                                      Figure 2. Capteur infrarouge passif comme détecteur d'approche dans une zone dangereuse

                                                                                                                      ACC290F2

                                                                                                                      Dans l'ensemble, les tests ont montré que les détecteurs de mouvement ne sont pas adaptés à la sécurité au travail. Le sol d'un musée de nuit n'est pas comparable aux zones dangereuses d'un lieu de travail.

                                                                                                                      Détecteurs à ultrasons, radars et impulsions lumineuses. Les capteurs qui utilisent le principe impulsion/écho, c'est-à-dire les mesures de temps écoulé des impulsions ultrasonores, radar ou lumineuses, ont un grand potentiel en tant que détecteurs de présence. Avec les scanners laser, les impulsions lumineuses peuvent balayer en succession rapide (généralement de manière rotative), par exemple horizontalement, et à l'aide d'un ordinateur, on peut obtenir un profil de distance des objets sur un plan qui réfléchissent la lumière. Si, par exemple, on ne souhaite pas seulement une seule ligne, mais l'intégralité de ce qui se trouve devant le robot mobile dans la zone jusqu'à une hauteur de 2 mètres, alors de grandes quantités de données doivent être traitées pour représenter la zone environnante. Un futur détecteur de présence « idéal » consistera en une combinaison des deux processus suivants :

                                                                                                                      1. Un processus de reconnaissance de formes sera utilisé, composé d'une caméra et d'un ordinateur. Ce dernier peut aussi être un « réseau neuronal ».
                                                                                                                      2. Un processus de balayage laser est en outre nécessaire pour mesurer les distances; cela prend un relèvement dans un espace tridimensionnel à partir d'un certain nombre de points individuels sélectionnés par le processus de reconnaissance de formes, établi pour obtenir la distance et le mouvement en fonction de la vitesse et de la direction.

                                                                                                                       

                                                                                                                      La figure 3 montre, à partir du projet BAU précédemment cité (Freund, Dierks et Rossman 1993), l'utilisation d'un scanner laser sur un robot mobile qui assume également des tâches de navigation (via un faisceau de détection de direction) et une protection contre les collisions pour les objets dans l'immédiat. voisinage (via un faisceau de mesure au sol pour la détection de présence). Compte tenu de ces caractéristiques, le robot mobile a la capacité de conduite libre automatisée active (c'est-à-dire la capacité de contourner les obstacles). Techniquement, ceci est réalisé en utilisant l'angle de rotation de 45° du scanner vers l'arrière des deux côtés (à bâbord et à tribord du robot) en plus de l'angle de 180° vers l'avant. Ces faisceaux sont reliés à un miroir spécial qui agit comme une barrière immatérielle au sol devant le robot mobile (fournissant une ligne de vision au sol). Si une réflexion laser vient de là, le robot s'arrête. Alors que des scanners laser et lumineux certifiés pour la sécurité au travail sont sur le marché, ces détecteurs de présence ont un grand potentiel de développement.

                                                                                                                      Figure 3. Robot mobile avec scanner laser pour la navigation et la détection de présence

                                                                                                                      ACC290F3

                                                                                                                      Les capteurs à ultrasons et radar, qui utilisent le temps écoulé entre le signal et la réponse pour déterminer la distance, sont moins exigeants d'un point de vue technique et peuvent donc être produits à moindre coût. La zone de capteur est en forme de massue et possède une ou plusieurs massues latérales plus petites, qui sont disposées de manière symétrique. La vitesse de propagation du signal (son : 330 m/s ; onde électromagnétique : 300,000 XNUMX km/s) détermine la vitesse requise de l'électronique utilisée.

                                                                                                                      Dispositifs d'avertissement de zone arrière. Lors de l'exposition de Hanovre de 1985, BAU a présenté les résultats d'un premier projet sur l'utilisation de capteurs à ultrasons pour sécuriser la zone derrière les gros véhicules (Langer et Kurfürst 1985). Un modèle grandeur nature d'une tête de détection composée de capteurs Polaroid™ a été installé sur la paroi arrière d'un camion de ravitaillement. La figure 4 montre schématiquement son fonctionnement. Le grand diamètre de ce capteur produit des zones de mesure en forme de massue relativement petites (environ 18°) et à longue portée, disposées les unes à côté des autres et réglées sur différentes plages de signal maximales. En pratique, il permet de définir n'importe quelle géométrie surveillée souhaitée, qui est balayée par les capteurs environ quatre fois par seconde pour la présence ou l'entrée de personnes. D'autres systèmes d'avertissement de zone arrière démontrés avaient plusieurs capteurs en réseau individuels parallèles.

                                                                                                                      Figure 4. Disposition de la tête de mesure et zone surveillée à l'arrière d'un camion

                                                                                                                      ACC290F4

                                                                                                                      Cette démonstration vivante a été un grand succès à l'exposition. Il a montré que la sécurisation de la zone arrière des gros véhicules et équipements est étudiée dans de nombreux endroits, par exemple par des comités spécialisés des associations professionnelles industrielles (Berufsgenossenschaften), les assureurs accident municipaux (qui sont responsables des véhicules municipaux), les responsables de la surveillance de l'industrie de l'État et les producteurs de capteurs, qui pensaient plutôt en termes d'automobiles en tant que véhicules de service (au sens de se concentrer sur les systèmes de stationnement pour se protéger contre dommages à la carrosserie). Un comité ad hoc issu des groupes pour la promotion des avertisseurs de zone arrière s'est formé spontanément et s'est donné comme première tâche l'élaboration d'une liste d'exigences du point de vue de la sécurité au travail. Dix ans se sont écoulés au cours desquels beaucoup a été travaillé dans la surveillance de la zone arrière - peut-être la tâche la plus importante des détecteurs de présence ; mais la grande percée manque toujours.

                                                                                                                      De nombreux projets ont été menés avec des capteurs à ultrasons, par exemple sur des grues de triage de bois rond, des pelles hydrauliques, des véhicules municipaux spéciaux et d'autres véhicules utilitaires, ainsi que sur des chariots élévateurs et des chargeurs (Schreiber 1990). Les dispositifs d'avertissement de zone arrière sont particulièrement importants pour les grosses machines qui reculent la plupart du temps. Les détecteurs de présence à ultrasons sont utilisés, par exemple, pour la protection des véhicules spécialisés sans conducteur tels que les robots de manutention. Par rapport aux pare-chocs en caoutchouc, ces capteurs ont une plus grande zone de détection qui permet de freiner avant que le contact ne soit établi entre la machine et un objet. Les capteurs correspondants pour les automobiles sont des développements appropriés et impliquent des exigences considérablement moins strictes.

                                                                                                                      Entre-temps, le Comité des normes techniques du système de transport du DIN a élaboré la norme 75031, «Dispositifs de détection d'obstacles en marche arrière» (DIN 1995b). Les exigences et les tests ont été définis pour deux plages : 1.8 m pour les camions de ravitaillement et 3.0 m - une zone d'avertissement supplémentaire - pour les camions plus gros. La zone surveillée est définie par la reconnaissance de corps d'épreuve cylindriques. La portée de 3 m est également à la limite de ce qui est actuellement techniquement possible, car les capteurs à ultrasons doivent avoir des membranes métalliques fermées, compte tenu de leurs conditions de travail difficiles. Les exigences pour l'auto-surveillance du système de capteurs sont définies, car la géométrie surveillée requise ne peut être obtenue qu'avec un système de trois capteurs ou plus. La figure 5 montre un dispositif d'avertissement de zone arrière composé de trois capteurs à ultrasons (Microsonic GmbH 1996). Il en va de même pour le dispositif de notification dans la cabine du conducteur et le type de signal d'avertissement. Le contenu de la norme DIN 75031 est également présenté dans le rapport technique international ISO TR 12155, "Véhicules utilitaires - Dispositif de détection d'obstacles en marche arrière" (ISO 1994). Différents fabricants de capteurs ont développé des prototypes conformément à cette norme.

                                                                                                                      Figure 5. Camion de taille moyenne équipé d'un dispositif d'avertissement de zone arrière (photo Microsonic).

                                                                                                                      ACC290F5

                                                                                                                      Conclusion

                                                                                                                      Depuis le début des années 1970, plusieurs institutions et fabricants de capteurs ont travaillé au développement et à la mise en place de « détecteurs de présence ». Dans l'application spéciale des "dispositifs d'avertissement de zone arrière", il existe la norme DIN 75031 et le rapport ISO TR 12155. À l'heure actuelle, Deutsche Post AG effectue un test majeur. Plusieurs fabricants de capteurs ont chacun équipé cinq camions de taille moyenne de tels dispositifs. Un résultat positif de ce test est tout à fait dans l'intérêt de la sécurité au travail. Comme cela a été souligné au début, les détecteurs de présence en nombre requis représentent un grand défi pour la technique de sécurité dans les nombreux domaines d'application mentionnés. Ils doivent donc être réalisables à moindre coût si l'on veut que les dommages aux équipements, aux machines et aux matériaux, et surtout les blessures aux personnes, souvent très graves, soient reléguées au passé.

                                                                                                                       

                                                                                                                      Retour

                                                                                                                      Les dispositifs de commande et les dispositifs utilisés pour le sectionnement et la commutation doivent toujours être discutés en relation avec systèmes techniques, terme utilisé dans cet article pour désigner les machines, installations et équipements. Chaque système technique remplit une tâche pratique spécifique et assignée. Des dispositifs de commande et de commutation de sécurité appropriés sont nécessaires si cette tâche pratique doit être réalisable ou même possible dans des conditions sûres. De tels dispositifs sont utilisés pour initier le contrôle, interrompre ou retarder le courant et/ou les impulsions d'énergies électriques, hydrauliques, pneumatiques ou encore potentielles.

                                                                                                                      Isolation et réduction d'énergie

                                                                                                                      Les dispositifs d'isolement sont utilisés pour isoler l'énergie en déconnectant la ligne d'alimentation entre la source d'énergie et le système technique. Le dispositif de sectionnement doit normalement produire une déconnexion réelle déterminable sans équivoque de l'alimentation en énergie. La déconnexion de l'alimentation en énergie doit également toujours être associée à la réduction de l'énergie stockée dans toutes les parties du système technique. Si le système technique est alimenté par plusieurs sources d'énergie, toutes ces lignes d'alimentation doivent pouvoir être isolées de manière fiable. Les personnes formées pour manipuler le type d'énergie concerné et qui travaillent à la partie énergie du système technique, utilisent des dispositifs d'isolement pour se protéger des dangers de l'énergie. Pour des raisons de sécurité, ces personnes vérifieront toujours qu'aucune énergie potentiellement dangereuse ne reste dans le système technique, par exemple en vérifiant l'absence de potentiel électrique dans le cas de l'énergie électrique. La manipulation sans risque de certains dispositifs d'isolement n'est possible que pour des spécialistes formés ; dans ce cas, le dispositif d'isolement doit être rendu inaccessible aux personnes non autorisées. (Voir figure 1.)

                                                                                                                      Figure 1. Principes des dispositifs d'isolement électriques et pneumatiques

                                                                                                                      SAF064F1

                                                                                                                      Le commutateur principal

                                                                                                                      Un dispositif interrupteur principal déconnecte le système technique de l'alimentation en énergie. Contrairement au dispositif de sectionnement, il peut être manœuvré sans danger même par des « non énergéticiens ». Le dispositif interrupteur général est utilisé pour déconnecter des systèmes techniques non utilisés à un moment donné si, par exemple, leur fonctionnement est entravé par des tiers non autorisés. Il est également utilisé pour effectuer une déconnexion à des fins telles que l'entretien, la réparation de dysfonctionnements, le nettoyage, la réinitialisation et le réaménagement, à condition que ces travaux puissent être effectués sans énergie dans le système. Bien entendu, lorsqu'un dispositif interrupteur général possède également les caractéristiques d'un dispositif de sectionnement, il peut également assumer et/ou partager sa fonction. (Voir figure 2.)

                                                                                                                      Figure 2. Exemple d'illustration d'interrupteurs principaux électriques et pneumatiques

                                                                                                                      SAF064F2

                                                                                                                      Dispositif de déconnexion de sécurité

                                                                                                                      Un dispositif de déconnexion de sécurité ne déconnecte pas l'ensemble du système technique de la source d'énergie ; au lieu de cela, il supprime l'énergie des parties du système critiques pour un sous-système opérationnel particulier. Des interventions de courte durée peuvent être désignées pour des sous-systèmes opérationnels - par exemple, pour la configuration ou la réinitialisation/réinstallation du système, pour la réparation de dysfonctionnements, pour le nettoyage régulier, et pour les mouvements essentiels et désignés et les séquences de fonctions requises pendant le cours de configuration, de réinitialisation/réinstallation ou de tests. Dans ces cas, les équipements de production complexes et les usines ne peuvent pas simplement être arrêtés avec un interrupteur principal, car l'ensemble du système technique ne pourrait pas redémarrer là où il s'était arrêté après la réparation d'un dysfonctionnement. De plus, le dispositif interrupteur général est rarement situé, dans les systèmes techniques les plus étendus, à l'endroit où l'intervention doit être faite. Ainsi, le dispositif de déconnexion de sécurité est obligé de remplir un certain nombre d'exigences, telles que les suivantes :

                                                                                                                      • Il interrompt le flux d'énergie de manière fiable et de manière à ce que des mouvements ou processus dangereux ne soient pas déclenchés par des signaux de commande entrés par erreur ou générés par erreur.
                                                                                                                      • Il est installé précisément là où des interruptions doivent être effectuées dans les zones dangereuses des sous-systèmes opérationnels du système technique. Si nécessaire, l'installation peut se faire à plusieurs endroits (par exemple, à différents étages, dans différentes pièces ou à différents points d'accès sur des machines ou des équipements).
                                                                                                                      • Son dispositif de contrôle a une position "off" clairement marquée qui ne s'enregistre qu'une seule fois après que le flux d'énergie a été coupé de manière fiable.
                                                                                                                      • Une fois en position "arrêt", son dispositif de commande peut être sécurisé contre un redémarrage sans autorisation (a) si les zones dangereuses en question ne peuvent pas être surveillées de manière fiable depuis la zone de contrôle et (b) si les personnes situées dans la zone dangereuse ne peuvent pas elles-mêmes voir le dispositif de contrôle facilement et constamment, ou (c) si le verrouillage/l'étiquetage est requis par la réglementation ou les procédures de l'organisation.
                                                                                                                      • Il ne doit déconnecter qu'une seule unité fonctionnelle d'un système technique étendu, si les autres unités fonctionnelles sont en mesure de continuer à fonctionner par elles-mêmes sans danger pour l'intervenant.

                                                                                                                       

                                                                                                                      Lorsque l'interrupteur principal utilisé dans un système technique donné est en mesure de remplir toutes les exigences d'un dispositif de sectionnement de sécurité, il peut également assumer cette fonction. Mais ce ne sera bien sûr un expédient fiable que dans des systèmes techniques très simples. (Voir figure 3.)

                                                                                                                      Figure 3. Illustration des principes élémentaires d'un dispositif de déconnexion de sécurité

                                                                                                                      SAF064F3

                                                                                                                      Équipements de commande pour sous-systèmes opérationnels

                                                                                                                      Les appareillages de commande permettent de mettre en œuvre et de contrôler en toute sécurité les mouvements et les séquences fonctionnelles nécessaires à la mise en œuvre et à la commande des sous-systèmes opérationnels du système technique. Des appareillages de commande pour les sous-systèmes opérationnels peuvent être nécessaires pour la configuration (lorsque des essais de fonctionnement doivent être exécutés) ; pour la régulation (lorsque des dysfonctionnements dans le fonctionnement du système doivent être réparés ou lorsque des blocages doivent être éliminés) ; ou à des fins de formation (démonstration d'opérations). Dans de tels cas, le fonctionnement normal du système ne peut pas simplement être redémarré, car la personne intervenante serait mise en danger par des mouvements et des processus déclenchés par des signaux de commande entrés par erreur ou générés par erreur. Un appareillage de commande pour les sous-systèmes opérationnels doit être conforme aux exigences suivantes :

                                                                                                                      • Il doit permettre l'exécution en toute sécurité des mouvements et des processus requis pour les sous-systèmes opérationnels du système technique. Par exemple, certains mouvements seront exécutés à des vitesses réduites, progressivement ou à des niveaux de puissance inférieurs (selon ce qui est approprié), et les processus interrompus immédiatement, en règle générale, si le panneau de commande n'est plus surveillé.
                                                                                                                      • Ses panneaux de contrôle doivent être situés dans des zones où leur fonctionnement ne met pas en danger l'opérateur et d'où les processus contrôlés sont entièrement visibles.
                                                                                                                      • Si plusieurs panneaux de contrôle contrôlant divers processus sont présents à un même endroit, ceux-ci doivent être clairement marqués et disposés de manière distincte et compréhensible.
                                                                                                                      • L'appareillage de commande des sous-systèmes opérationnels ne devrait devenir efficace que lorsque le fonctionnement normal a été désengagé de manière fiable ; c'est-à-dire qu'il doit être garanti qu'aucune commande de contrôle ne peut être émise efficacement à partir d'un fonctionnement normal et prendre le pas sur l'appareillage de commande.
                                                                                                                      • L'utilisation non autorisée de l'appareillage de commande pour les sous-systèmes opérationnels devrait pouvoir être évitée, par exemple en exigeant l'utilisation d'une clé ou d'un code spécial pour libérer la fonction en question. (Voir figure 4.)

                                                                                                                       

                                                                                                                      Figure 4. Dispositifs d'actionnement dans les dispositifs de commande pour les sous-systèmes opérationnels mobiles et fixes

                                                                                                                      SAF064F4

                                                                                                                      L'interrupteur d'urgence

                                                                                                                      Les interrupteurs d'urgence sont nécessaires lorsque le fonctionnement normal des systèmes techniques peut entraîner des dangers que ni une conception appropriée du système ni la prise de mesures de sécurité appropriées ne sont en mesure d'empêcher. Dans les sous-systèmes opérationnels, l'interrupteur d'urgence fait souvent partie du dispositif de commande du sous-système opérationnel. Lorsqu'il est actionné en cas de danger, l'interrupteur d'urgence met en œuvre des processus qui ramènent le plus rapidement possible le système technique dans un état de fonctionnement sûr. Au regard des priorités de sécurité, la protection des personnes est au premier plan ; la prévention des dommages matériels est secondaire, à moins que ceux-ci ne soient susceptibles de mettre également en danger les personnes. L'interrupteur d'urgence doit répondre aux exigences suivantes :

                                                                                                                      • Elle doit aboutir le plus rapidement possible à un état de fonctionnement sûr du système technique.
                                                                                                                      • Son panneau de commande doit être facilement reconnaissable et placé et conçu de telle sorte qu'il puisse être actionné sans difficulté par les personnes en danger et qu'il puisse également être atteint par d'autres intervenants en cas d'urgence.
                                                                                                                      • Les processus d'urgence qu'il déclenche ne doivent pas entraîner de nouveaux risques ; par exemple, ils ne doivent pas desserrer les dispositifs de serrage ou déconnecter les fixations magnétiques ou bloquer les dispositifs de sécurité.
                                                                                                                      • Après le déclenchement d'un processus d'interrupteur d'urgence, le système technique ne doit pas pouvoir être redémarré automatiquement par la réinitialisation du panneau de commande de l'interrupteur d'urgence. Au lieu de cela, l'entrée consciente d'une nouvelle commande de contrôle de fonction doit être requise. (Voir figure 5.)

                                                                                                                       

                                                                                                                      Figure 5. Illustration des principes des panneaux de commande dans les interrupteurs d'urgence

                                                                                                                      SAF064F5

                                                                                                                      Dispositif de commande de commutateur de fonction

                                                                                                                      Les dispositifs de commande à commutation de fonction sont utilisés pour activer le système technique pour le fonctionnement normal et pour initier, mettre en œuvre et interrompre les mouvements et les processus désignés pour le fonctionnement normal. Le dispositif de commande de commutation de fonction est utilisé exclusivement dans le cadre du fonctionnement normal du système technique, c'est-à-dire lors de l'exécution non perturbée de toutes les fonctions attribuées. Il est utilisé en conséquence par les personnes qui gèrent le système technique. Les dispositifs de commande de commutation de fonction doivent répondre aux exigences suivantes :

                                                                                                                      • Leurs panneaux de contrôle doivent être accessibles et faciles à utiliser sans danger.
                                                                                                                      • Leurs panneaux de contrôle doivent être disposés de manière claire et rationnelle ; par exemple, les boutons de commande doivent fonctionner « rationnellement » en ce qui concerne les mouvements contrôlés de haut en bas, de droite et de gauche. (Les mouvements de contrôle « rationnels » et les effets correspondants peuvent être sujets à des variations locales et sont parfois définis par des stipulations.)
                                                                                                                      • Leurs panneaux de contrôle doivent être étiquetés de manière claire et intelligible, avec des symboles facilement compréhensibles.
                                                                                                                      • Les processus qui nécessitent toute l'attention de l'utilisateur pour leur exécution en toute sécurité ne doivent pas pouvoir être déclenchés soit par des signaux de commande générés par erreur, soit par un fonctionnement intempestif des organes de commande qui les régissent. Le traitement des signaux du panneau de commande doit être suffisamment fiable et le fonctionnement involontaire doit être empêché par une conception appropriée du dispositif de commande. (Voir figure 6).

                                                                                                                       

                                                                                                                      Figure 6. Représentation schématique d'un panneau de contrôle des opérations

                                                                                                                      SAF064F6

                                                                                                                      Commutateurs de surveillance

                                                                                                                      Les interrupteurs de surveillance empêchent le démarrage de l'installation technique tant que les conditions de sécurité surveillées ne sont pas remplies et interrompent le fonctionnement dès qu'une condition de sécurité n'est plus remplie. Ils sont utilisés, par exemple, pour surveiller les portes dans les compartiments de protection, pour vérifier la position correcte des protections ou pour s'assurer que les limites de vitesse ou de trajectoire ne sont pas dépassées. Les interrupteurs de surveillance doivent donc satisfaire aux exigences de sécurité et de fiabilité suivantes :

                                                                                                                      • L'appareillage de commutation utilisé à des fins de surveillance doit émettre le signal de protection de manière particulièrement fiable ; par exemple, un interrupteur de surveillance mécanique peut être conçu pour interrompre le flux de signal automatiquement et avec une fiabilité particulière.
                                                                                                                      • L'outil de commutation utilisé à des fins de surveillance doit être actionné de manière particulièrement fiable lorsque la condition de sécurité n'est pas remplie (par exemple, lorsque le poussoir d'un interrupteur de surveillance avec interruption automatique est forcé mécaniquement et automatiquement en position d'interruption).
                                                                                                                      • L'interrupteur de surveillance ne doit pas pouvoir être désactivé de manière incorrecte, du moins pas par inadvertance et sans effort ; cette condition peut être remplie, par exemple, par un interrupteur mécanique à commande automatique avec interruption automatique, lorsque l'interrupteur et l'élément de commande sont solidement fixés. (Voir figure 7).

                                                                                                                       

                                                                                                                      Figure 7. Schéma d'un interrupteur avec un fonctionnement mécanique positif et une déconnexion positive

                                                                                                                      SAF064F7

                                                                                                                      Circuits de contrôle de sécurité

                                                                                                                      Plusieurs des dispositifs de commutation de sécurité décrits ci-dessus n'exécutent pas directement la fonction de sécurité, mais plutôt en émettant un signal qui est ensuite transmis et traité par un circuit de commande de sécurité et atteint finalement les parties du système technique qui exercent la fonction de sécurité proprement dite. Le dispositif de déconnexion de sécurité, par exemple, provoque fréquemment la déconnexion de l'énergie à des points critiques de manière indirecte, alors qu'un interrupteur principal déconnecte généralement directement l'alimentation en courant du système technique.

                                                                                                                      Étant donné que les circuits de commande de sécurité doivent transmettre des signaux de sécurité de manière fiable, les principes suivants doivent donc être pris en considération :

                                                                                                                      • La sécurité doit être garantie même lorsque l'énergie extérieure fait défaut ou est insuffisante, par exemple lors de déconnexions ou de fuites.
                                                                                                                      • Les signaux de protection fonctionnent de manière plus fiable en interrompant le flux de signaux ; par exemple, des interrupteurs de sécurité avec contact d'ouverture ou un contact de relais ouvert.
                                                                                                                      • La fonction de protection des amplificateurs, transformateurs et similaires peut être réalisée de manière plus fiable sans énergie extérieure ; de tels mécanismes comprennent, par exemple, des dispositifs de commutation électromagnétique ou des évents qui sont fermés au repos.
                                                                                                                      • Les raccordements effectués par erreur et les fuites dans le circuit de commande de sécurité ne doivent pas entraîner de faux démarrages ou des entraves à l'arrêt ; en particulier en cas de court-circuit entre les conduits d'entrée et de sortie, de fuite à la terre ou de mise à la terre.
                                                                                                                      • Les influences extérieures affectant le système dans une mesure ne dépassant pas les attentes de l'utilisateur ne doivent pas interférer avec la fonction de sécurité du circuit de contrôle de sécurité.

                                                                                                                       

                                                                                                                      Les composants utilisés dans les circuits de commande de sécurité doivent exécuter la fonction de sécurité de manière particulièrement fiable. Les fonctions des composants ne répondant pas à cette exigence sont à mettre en oeuvre en ménageant une redondance la plus diversifiée possible et à surveiller.

                                                                                                                       

                                                                                                                      Retour

                                                                                                                      Lundi, Avril 04 2011 18: 00

                                                                                                                      Applications liées à la sécurité

                                                                                                                      Au cours des dernières années, les microprocesseurs ont joué un rôle de plus en plus important dans le domaine de la technologie de sécurité. Étant donné que des ordinateurs entiers (c'est-à-dire l'unité centrale de traitement, la mémoire et les composants périphériques) sont désormais disponibles dans un seul composant en tant qu '«ordinateurs à puce unique», la technologie des microprocesseurs est utilisée non seulement dans le contrôle de machines complexes, mais également dans des protections de conception relativement simple. (ex. barrières immatérielles, commandes bimanuelles et barres palpeuses). Le logiciel contrôlant ces systèmes comprend entre un millier et plusieurs dizaines de milliers de commandes simples et se compose généralement de plusieurs centaines de branches de programme. Les programmes fonctionnent en temps réel et sont principalement écrits dans le langage d'assemblage des programmeurs.

                                                                                                                      L'introduction de systèmes commandés par ordinateur dans le domaine de la technologie de sécurité s'est accompagnée dans tous les équipements techniques à grande échelle non seulement de projets de recherche et de développement coûteux, mais également de restrictions importantes destinées à améliorer la sécurité. (La technologie aérospatiale, la technologie militaire et la technologie de l'énergie atomique peuvent être citées ici comme exemples d'applications à grande échelle.) Le domaine collectif de la production industrielle de masse n'a jusqu'à présent été traité que de façon très limitée. Cela s'explique en partie par le fait que les cycles rapides d'innovation caractéristiques de la conception des machines industrielles rendent difficile la transmission, sauf d'une manière très restreinte, des connaissances pouvant découler de projets de recherche portant sur les essais finaux de machines à grande échelle. dispositifs de sécurité. Cela fait du développement de procédures d'évaluation rapides et peu coûteuses un desiderata (Reinert et Reuss 1991).

                                                                                                                      Cet article examine d'abord les machines et les installations dans lesquelles les systèmes informatiques exécutent actuellement des tâches de sécurité, en utilisant des exemples d'accidents survenus principalement dans le domaine des protections des machines pour décrire le rôle particulier que jouent les ordinateurs dans la technologie de sécurité. Ces accidents donnent des indications sur les précautions à prendre pour que les équipements de sécurité pilotés par ordinateur qui se généralisent actuellement n'entraînent pas une augmentation du nombre d'accidents. La dernière section de l'article esquisse une procédure qui permettra d'amener même de petits systèmes informatiques à un niveau approprié de sécurité technique à des frais justifiables et dans un délai acceptable. Les principes indiqués dans cette dernière partie sont actuellement introduits dans les procédures internationales de normalisation et auront des implications pour tous les domaines de la technologie de la sécurité dans lesquels les ordinateurs trouvent une application.

                                                                                                                      Exemples d'utilisation de logiciels et d'ordinateurs dans le domaine de la protection des machines

                                                                                                                      Les quatre exemples suivants montrent clairement que les logiciels et les ordinateurs entrent actuellement de plus en plus dans les applications liées à la sécurité dans le domaine commercial.

                                                                                                                      Les installations de signalisation d'urgence personnelle se composent, en règle générale, d'une station de réception centrale et d'un certain nombre d'appareils de signalisation d'urgence personnelle. Les appareils sont portés par des personnes travaillant seules sur site. Si l'une de ces personnes travaillant seule se trouve dans une situation d'urgence, elle peut utiliser l'appareil pour déclencher une alarme par signal radio dans la centrale de réception. Un tel déclencheur d'alarme dépendant de la volonté peut également être complété par un mécanisme de déclenchement indépendant de la volonté activé par des capteurs intégrés dans les dispositifs d'urgence personnels. Les appareils individuels et la station de réception centrale sont fréquemment contrôlés par des micro-ordinateurs. Il est concevable que la défaillance de certaines fonctions spécifiques de l'ordinateur intégré puisse conduire, dans une situation d'urgence, à l'échec du déclenchement de l'alarme. Des précautions doivent donc être prises pour percevoir et réparer cette perte de fonction dans le temps.

                                                                                                                      Les presses à imprimer utilisées aujourd'hui pour imprimer des magazines sont de grosses machines. Les bandes de papier sont normalement préparées par une machine séparée de manière à permettre une transition transparente vers un nouveau rouleau de papier. Les pages imprimées sont pliées par une plieuse et ensuite travaillées à travers une chaîne d'autres machines. Il en résulte des palettes chargées de magazines entièrement cousus. Bien que de telles installations soient automatisées, il y a deux points où des interventions manuelles doivent être faites : (1) dans le filetage des chemins de papier, et (2) dans le dégagement des obstructions causées par les déchirures de papier aux points dangereux sur les rouleaux rotatifs. Pour cette raison, une vitesse de fonctionnement réduite ou un mode pas à pas limité dans la trajectoire ou dans le temps doit être assuré par la technologie de commande pendant le réglage des presses. En raison de la complexité des procédures de pilotage, chaque poste d'impression doit être équipé de son propre automate programmable. Toute défaillance survenant dans la commande d'une imprimerie alors que les grilles de protection sont ouvertes doit être empêchée de conduire soit au démarrage intempestif d'une machine arrêtée, soit à un fonctionnement au-delà des vitesses réduites de manière appropriée.

                                                                                                                      Dans les grandes usines et les entrepôts, des robots guidés automatisés sans conducteur circulent sur des pistes spécialement balisées. Ces voies peuvent être piétinées à tout moment par des personnes, ou des matériaux et des équipements peuvent être laissés par inadvertance sur les voies, car elles ne sont pas séparées structurellement des autres voies de circulation. Pour cette raison, une sorte d'équipement de prévention des collisions doit être utilisé pour s'assurer que le véhicule sera arrêté avant qu'une collision dangereuse avec une personne ou un objet ne se produise. Dans des applications plus récentes, la prévention des collisions est effectuée au moyen de scanners à ultrasons ou à lumière laser utilisés en combinaison avec un pare-chocs de sécurité. Comme ces systèmes fonctionnent sous contrôle informatique, il est possible de configurer plusieurs zones de détection permanentes afin qu'un véhicule puisse modifier sa réaction en fonction de la zone de détection spécifique dans laquelle se trouve une personne. Les défaillances du dispositif de protection ne doivent pas entraîner de collision dangereuse avec une personne.

                                                                                                                      Les guillotines des dispositifs de contrôle de la coupe du papier sont utilisées pour presser puis couper des piles de papier épaisses. Ils sont déclenchés par un dispositif de commande à deux mains. L'utilisateur doit atteindre la zone dangereuse de la machine après chaque coupe. Une protection immatérielle, généralement une grille lumineuse, est utilisée en conjonction avec le dispositif de commande bimanuelle et un système de commande de machine sûr pour éviter les blessures lorsque le papier est alimenté pendant l'opération de coupe. Presque toutes les guillotines plus grandes et plus modernes utilisées aujourd'hui sont contrôlées par des systèmes de micro-ordinateurs multicanaux. La commande bimanuelle et la grille immatérielle doivent également être garanties pour fonctionner en toute sécurité.

                                                                                                                      Accidents avec des systèmes contrôlés par ordinateur

                                                                                                                      Dans presque tous les domaines d'application industrielle, des accidents avec des logiciels et des ordinateurs sont signalés (Neumann 1994). Dans la plupart des cas, les pannes informatiques n'entraînent pas de blessures aux personnes. De tels manquements ne sont en tout état de cause rendus publics que lorsqu'ils présentent un intérêt public général. Cela signifie que les cas de dysfonctionnement ou d'accident liés aux ordinateurs et aux logiciels entraînant des blessures corporelles représentent une proportion relativement élevée de tous les cas rendus publics. Malheureusement, les accidents qui ne provoquent pas beaucoup de sensations publiques ne font pas l'objet d'enquêtes quant à leurs causes avec la même intensité que les accidents plus importants, généralement dans les usines à grande échelle. Pour cette raison, les exemples qui suivent se réfèrent à quatre descriptions de dysfonctionnements ou d'accidents typiques des systèmes commandés par ordinateur en dehors du domaine de la sécurité des machines, qui sont utilisées pour suggérer ce qu'il faut prendre en compte lors des jugements concernant la technologie de sécurité.

                                                                                                                      Accidents causés par des pannes aléatoires du matériel

                                                                                                                      L'accident suivant a été causé par une concentration de pannes aléatoires dans le matériel combinées à un échec de programmation : Un réacteur surchauffé dans une usine chimique, après quoi des soupapes de décharge ont été ouvertes, permettant au contenu du réacteur d'être rejeté dans l'atmosphère. Cet incident s'est produit peu de temps après qu'un avertissement eut été donné indiquant que le niveau d'huile d'une boîte de vitesses était trop bas. Une enquête minutieuse sur l'accident a montré que peu de temps après que le catalyseur ait initié la réaction dans le réacteur - en conséquence de quoi le réacteur aurait nécessité plus de refroidissement - l'ordinateur, sur la base du rapport de faibles niveaux d'huile dans la boîte de vitesses, a gelé tout grandeurs sous son contrôle à une valeur fixe. Cela a maintenu le débit d'eau froide à un niveau trop bas et le réacteur a ainsi surchauffé. Une enquête plus approfondie a montré que l'indication de bas niveaux d'huile avait été signalée par un composant défectueux.

                                                                                                                      Le logiciel avait répondu conformément à la spécification avec le déclenchement d'une alarme et la fixation de toutes les variables opératoires. C'était une conséquence de l'étude HAZOP (analyse des dangers et de l'opérabilité) (Knowlton 1986) réalisée avant l'événement, qui exigeait que toutes les variables contrôlées ne soient pas modifiées en cas de défaillance. Le programmeur ne connaissant pas la procédure en détail, cette exigence a été interprétée comme signifiant que les actionneurs commandés (vannes de commande dans ce cas) ne devaient pas être modifiés ; aucune attention n'a été accordée à la possibilité d'une élévation de la température. Le programmeur n'a pas pris en considération qu'après avoir reçu un signal erroné le système pouvait se retrouver dans une situation dynamique d'un type nécessitant l'intervention active de l'ordinateur pour éviter un accident. La situation qui a conduit à l'accident était d'ailleurs si improbable qu'elle n'avait pas été analysée en détail dans l'étude HAZOP (Levenson 1986). Cet exemple permet de passer à une deuxième catégorie de causes d'accidents logiciels et informatiques. Ce sont les pannes systématiques qui sont dans le système depuis le début, mais qui ne se manifestent que dans certaines situations bien précises dont le développeur n'a pas tenu compte.

                                                                                                                      Accidents causés par des pannes de fonctionnement

                                                                                                                      Lors d'essais sur le terrain lors de l'inspection finale des robots, un technicien a emprunté la cassette d'un robot voisin et l'a remplacée par une autre sans en informer son collègue. De retour sur son lieu de travail, le collègue insère la mauvaise cassette. Comme il se tenait à côté du robot et s'attendait à une séquence particulière de mouvements de sa part - une séquence qui se déroulait différemment en raison du programme échangé - une collision s'est produite entre le robot et l'humain. Cet accident décrit l'exemple classique d'une panne de fonctionnement. Le rôle de ces défaillances dans les dysfonctionnements et les accidents augmente actuellement en raison de la complexité croissante de l'application des mécanismes de sécurité contrôlés par ordinateur.

                                                                                                                      Accidents causés par des défaillances systématiques du matériel ou des logiciels

                                                                                                                      Une torpille à ogive devait être tirée à des fins d'entraînement, depuis un navire de guerre en haute mer. En raison d'un défaut de l'appareil d'entraînement, la torpille est restée dans le tube lance-torpilles. Le capitaine a décidé de retourner au port d'attache afin de récupérer la torpille. Peu de temps après que le navire ait commencé à rentrer chez lui, la torpille a explosé. Une analyse de l'accident a révélé que les développeurs de la torpille avaient été obligés d'intégrer à la torpille un mécanisme destiné à empêcher qu'elle ne revienne sur la rampe de lancement après avoir été tirée et détruise ainsi le navire qui l'avait lancée. Le mécanisme choisi pour cela était le suivant : Après le tir de la torpille, on vérifiait, à l'aide de la centrale de navigation inertielle, si sa trajectoire s'était modifiée de 180°. Dès que la torpille a senti qu'elle avait tourné à 180 °, la torpille a explosé immédiatement, soi-disant à une distance de sécurité de la rampe de lancement. Ce mécanisme de détection a été actionné dans le cas de la torpille qui n'avait pas été correctement lancée, de sorte que la torpille a explosé après que le navire eut changé de cap de 180°. Il s'agit d'un exemple typique d'accident survenu en raison d'un défaut de spécification. L'exigence du cahier des charges selon laquelle la torpille ne devait pas détruire son propre navire en cas de changement de cap n'était pas formulée avec suffisamment de précision; la précaution a donc été programmée par erreur. L'erreur n'est apparue que dans une situation particulière, une situation que le programmeur n'avait pas considérée comme une possibilité.

                                                                                                                      Le 14 septembre 1993, un Airbus A 320 de la Lufthansa s'écrase lors de son atterrissage à Varsovie (figure 1). Une enquête minutieuse sur l'accident a montré que des modifications de la logique d'atterrissage de l'ordinateur de bord effectuées après un accident avec un Boeing 767 de Lauda Air en 1991 étaient en partie responsables de cet atterrissage forcé. Ce qui s'était passé lors de l'accident de 1991, c'est que la déviation de poussée, qui détourne une partie des gaz du moteur afin de freiner l'avion lors de l'atterrissage, s'était engagée alors qu'elle était encore en l'air, forçant ainsi la machine à piquer du nez incontrôlable. Pour cette raison, un verrouillage électronique de la déviation de poussée avait été intégré dans les machines Airbus. Ce mécanisme a permis à la déviation de poussée de n'entrer en vigueur qu'après que les capteurs des deux ensembles de trains d'atterrissage aient signalé la compression des amortisseurs sous la pression des roues touchant le sol. Sur la base d'informations erronées, les pilotes de l'avion à Varsovie ont anticipé un fort vent latéral.

                                                                                                                      Figure 1. Airbus de Lufthansa après un accident à Varsovie en 1993

                                                                                                                      ACC260F2

                                                                                                                      Pour cette raison, ils ont amené la machine avec une légère inclinaison et l'Airbus s'est posé avec la roue droite uniquement, laissant la gauche portant moins que le poids total. Du fait du verrouillage électronique du braquage de poussée, l'ordinateur de bord a refusé au pilote pendant neuf secondes les manœuvres qui auraient permis à l'avion d'atterrir en toute sécurité malgré des circonstances défavorables. Cet accident démontre très clairement que des modifications de systèmes informatiques peuvent conduire à des situations nouvelles et dangereuses si l'on ne considère pas à l'avance l'étendue de leurs conséquences possibles.

                                                                                                                       

                                                                                                                      L'exemple de dysfonctionnement suivant montre également les effets désastreux que la modification d'une seule commande peut avoir sur les systèmes informatiques. La teneur en alcool du sang est déterminée, par des tests chimiques, à l'aide de sérum sanguin clair dont les globules sanguins ont été préalablement centrifugés. La teneur en alcool du sérum est donc plus élevée (d'un facteur 1.2) que celle du sang total plus épais. Pour cette raison, les valeurs d'alcool dans le sérum doivent être divisées par un facteur de 1.2 afin d'établir les parties pour mille légalement et médicalement critiques. Lors du test inter-laboratoires organisé en 1984, les taux d'alcoolémie déterminés lors de tests identiques effectués dans différents instituts de recherche utilisant du sérum devaient être comparés les uns aux autres. Comme il ne s'agissait que de comparaison, l'ordre de diviser par 1.2 a d'ailleurs été effacé du programme d'un des établissements pour la durée de l'expérimentation. Après la fin de l'essai interlaboratoires, une commande de multiplication par 1.2 a été introduite par erreur dans le programme à cet endroit. En conséquence, environ 1,500 1984 valeurs incorrectes de parties pour mille ont été calculées entre août 1985 et mars 1.0. Cette erreur était critique pour la carrière professionnelle des camionneurs dont le taux d'alcoolémie se situait entre 1.3 et 1.3 pour mille, puisqu'une sanction légale entraînant la confiscation du permis de conduire pour une période prolongée est la conséquence d'une valeur de XNUMX pour mille.

                                                                                                                      Accidents causés par des influences de contraintes de fonctionnement ou de contraintes environnementales

                                                                                                                      Suite à une perturbation causée par la collecte de déchets dans la zone effective d'une poinçonneuse et grignoteuse CNC (commande numérique par ordinateur), l'utilisateur a déclenché "l'arrêt programmé". Alors qu'il tentait d'enlever les déchets avec ses mains, la tige de poussée de la machine s'est mise à bouger malgré l'arrêt programmé et a gravement blessé l'utilisateur. L'analyse de l'accident a révélé qu'il ne s'agissait pas d'une erreur de programme. Le démarrage inattendu n'a pas pu être reproduit. Des irrégularités similaires avaient été observées par le passé sur d'autres machines du même type. Il semble plausible d'en déduire que l'accident doit avoir été causé par des interférences électromagnétiques. Des accidents similaires avec des robots industriels sont signalés au Japon (Neumann 1987).

                                                                                                                      Un dysfonctionnement de la sonde spatiale Voyager 2 le 18 janvier 1986 rend encore plus claire l'influence des contraintes environnementales sur les systèmes contrôlés par ordinateur. Six jours avant l'approche la plus proche d'Uranus, de grands champs de lignes noires et blanches couvraient les images de Voyager 2. Une analyse précise a montré qu'un seul bit dans un mot de commande du sous-système de données de vol avait causé la panne, observée comme les images ont été compressées dans la sonde. Ce bit avait très probablement été déplacé dans la mémoire du programme par l'impact d'une particule cosmique. La transmission sans erreur des photographies compressées de la sonde n'a été effectuée que deux jours plus tard, en utilisant un programme de remplacement capable de contourner le point mémoire défaillant (Laeser, McLaughlin et Wolff 1987).

                                                                                                                      Résumé des accidents présentés

                                                                                                                      Les accidents analysés montrent que certains risques qui pourraient être négligés dans des conditions utilisant une technologie électromécanique simple, gagnent en importance avec l'utilisation d'ordinateurs. Les ordinateurs permettent le traitement de fonctions de sécurité complexes et spécifiques à la situation. Une spécification claire, sans erreur, complète et testable de toutes les fonctions de sécurité devient donc particulièrement importante. Les erreurs dans les spécifications sont difficiles à découvrir et sont souvent la cause d'accidents dans les systèmes complexes. Les commandes librement programmables sont généralement introduites dans le but de pouvoir réagir de manière flexible et rapide à l'évolution du marché. Cependant, les modifications, en particulier dans les systèmes complexes, ont des effets secondaires difficiles à prévoir. Toutes les modifications doivent donc être soumises à une procédure de gestion des modifications strictement formelle dans laquelle une séparation claire des fonctions de sécurité des systèmes partiels sans rapport avec la sécurité aidera à garder les conséquences des modifications pour la technologie de sécurité faciles à étudier.

                                                                                                                      Les ordinateurs fonctionnent avec de faibles niveaux d'électricité. Ils sont donc sensibles aux interférences provenant de sources de rayonnement externes. La modification d'un seul signal parmi des millions pouvant entraîner un dysfonctionnement, il convient de porter une attention particulière au thème de la compatibilité électromagnétique en lien avec les ordinateurs.

                                                                                                                      La maintenance des systèmes commandés par ordinateur devient actuellement de plus en plus complexe et donc de plus en plus floue. L'ergonomie logicielle des logiciels d'utilisation et de configuration devient donc plus intéressante du point de vue de la technique de sécurité.

                                                                                                                      Aucun système informatique n'est testable à 100 %. Un mécanisme de contrôle simple avec 32 ports d'entrée binaires et 1,000 4.3 chemins logiciels différents nécessite 10 × XNUMX12 tests pour un contrôle complet. A raison de 100 tests par seconde exécutés et évalués, un test complet prendrait 1,362 XNUMX ans.

                                                                                                                      Procédures et mesures pour l'amélioration des dispositifs de sécurité contrôlés par ordinateur

                                                                                                                      Des procédures ont été développées au cours des 10 dernières années qui permettent de maîtriser des enjeux spécifiques de sécurité liés à l'informatique. Ces procédures s'adressent aux pannes informatiques décrites dans cette section. Les exemples décrits de logiciels et d'ordinateurs dans la protection des machines et les accidents analysés montrent que l'étendue des dommages et donc aussi le risque encouru dans diverses applications sont extrêmement variables. Il est donc clair que les précautions nécessaires à l'amélioration des ordinateurs et des logiciels utilisés dans les techniques de sécurité doivent être établies en fonction du risque.

                                                                                                                      La figure 2 montre une procédure qualitative par laquelle la réduction de risque nécessaire pouvant être obtenue à l'aide de systèmes de sécurité peut être déterminée indépendamment de l'ampleur et de la fréquence des dommages (Bell et Reinert 1992). Les types de défaillances des systèmes informatiques analysés dans la section « Accidents avec des systèmes contrôlés par ordinateur » (ci-dessus) peuvent être mis en relation avec ce que l'on appelle les niveaux d'intégrité de sécurité, c'est-à-dire les installations techniques de réduction des risques.

                                                                                                                      Figure 2. Procédure qualitative de détermination des risques

                                                                                                                      ACC260F3

                                                                                                                      La figure 3 montre clairement que l'efficacité des mesures prises, dans un cas donné, pour réduire les erreurs dans les logiciels et les ordinateurs doit croître avec l'augmentation du risque (DIN 1994 ; IEC 1993).

                                                                                                                      Figure 3, Efficacité des précautions prises contre les erreurs indépendamment du risque

                                                                                                                      ACC260F4

                                                                                                                      L'analyse des accidents esquissée ci-dessus montre que la défaillance des sauvegardes pilotées par ordinateur est causée non seulement par des défauts aléatoires de composants, mais également par des conditions de fonctionnement particulières dont le programmeur n'a pas tenu compte. Les conséquences non immédiatement évidentes des modifications du programme effectuées au cours de la maintenance du système constituent une autre source d'erreur. Il s'ensuit qu'il peut y avoir des défaillances dans les systèmes de sécurité commandés par des microprocesseurs qui, bien que réalisées lors de la mise au point du système, ne peuvent conduire à une situation dangereuse qu'en cours de fonctionnement. Des précautions contre de telles défaillances doivent donc être prises pendant que les systèmes liés à la sécurité sont en phase de développement. Ces mesures dites d'évitement des pannes doivent être prises non seulement pendant la phase de conception, mais également pendant le processus de développement, d'installation et de modification. Certaines défaillances peuvent être évitées si elles sont découvertes et corrigées au cours de ce processus (DIN 1990).

                                                                                                                      Comme le montre clairement le dernier incident décrit, la panne d'un seul transistor peut entraîner la défaillance technique d'équipements automatisés très complexes. Étant donné que chaque circuit unique est composé de plusieurs milliers de transistors et d'autres composants, de nombreuses mesures d'évitement des pannes doivent être prises pour reconnaître de telles pannes qui se produisent en fonctionnement et pour initier une réaction appropriée dans le système informatique. La figure 4 décrit les types de pannes dans les systèmes électroniques programmables ainsi que des exemples de précautions qui peuvent être prises pour éviter et contrôler les pannes dans les systèmes informatiques (DIN 1990 ; CEI 1992).

                                                                                                                      Figure 4. Exemples de précautions prises pour contrôler et éviter les erreurs dans les systèmes informatiques

                                                                                                                      ACC260F5

                                                                                                                      Possibilités et perspectives des systèmes électroniques programmables dans les technologies de sécurité

                                                                                                                      Les machines et installations modernes deviennent de plus en plus complexes et doivent accomplir des tâches de plus en plus complètes dans des délais de plus en plus courts. Pour cette raison, les systèmes informatiques ont envahi presque tous les domaines de l'industrie depuis le milieu des années 1970. Cette augmentation de la complexité à elle seule a contribué de manière significative à l'augmentation des coûts impliqués dans l'amélioration de la technologie de sécurité dans de tels systèmes. Bien que les logiciels et les ordinateurs représentent un grand défi pour la sécurité sur le lieu de travail, ils permettent également la mise en œuvre de nouveaux systèmes sans erreur dans le domaine de la technologie de sécurité.

                                                                                                                      Un vers drôle mais instructif d'Ernst Jandl aidera à expliquer ce que l'on entend par le concept erreur facile. "Lichtung: Manche meinen lechts und rinks kann man nicht velwechsern, werch ein Illtum". ("Dilection: Beaucoup croient que la lumière et le repos ne peuvent pas être échangés, quel ellol".) Malgré l'échange des lettres r et l, cette phrase est facilement compréhensible par un humain adulte normal. Même quelqu'un avec une faible maîtrise de la langue anglaise peut le traduire en anglais. La tâche est cependant presque impossible pour un ordinateur de traduction seul.

                                                                                                                      Cet exemple montre qu'un être humain peut réagir d'une manière beaucoup plus favorable aux erreurs qu'un ordinateur de langage. Cela signifie que les humains, comme toutes les autres créatures vivantes, peuvent tolérer les échecs en les référant à l'expérience. Si l'on regarde les machines en usage aujourd'hui, on constate que la majorité des machines pénalisent les défaillances des utilisateurs non pas par un accident, mais par une baisse de production. Cette propriété conduit à la manipulation ou au contournement des garanties. La technologie informatique moderne met à la disposition de la sécurité au travail des systèmes capables de réagir intelligemment, c'est-à-dire de manière modifiée. De tels systèmes permettent ainsi un mode de comportement sans erreur dans les nouvelles machines. Ils avertissent d'abord les utilisateurs lors d'une mauvaise manipulation et n'arrêtent la machine que lorsque c'est le seul moyen d'éviter un accident. L'analyse des accidents montre qu'il existe dans ce domaine un potentiel considérable de réduction des accidents (Reinert et Reuss 1991).

                                                                                                                       

                                                                                                                      Retour

                                                                                                                      Un système automatisé hybride (HAS) vise à intégrer les capacités de machines artificiellement intelligentes (basées sur la technologie informatique) avec les capacités des personnes qui interagissent avec ces machines dans le cadre de leurs activités de travail. Les principales préoccupations de l'utilisation du HAS concernent la manière dont les sous-systèmes humains et machines doivent être conçus afin de tirer le meilleur parti des connaissances et des compétences des deux parties du système hybride, et la manière dont les opérateurs humains et les composants de la machine doivent interagir les uns avec les autres. assurer la complémentarité de leurs fonctions. De nombreux systèmes automatisés hybrides ont évolué en tant que produits d'applications de méthodologies modernes basées sur l'information et le contrôle pour automatiser et intégrer différentes fonctions de systèmes technologiques souvent complexes. HAS a été identifié à l'origine avec l'introduction de systèmes informatisés utilisés dans la conception et l'exploitation de systèmes de contrôle en temps réel pour les réacteurs nucléaires, pour les usines de traitement chimique et pour la technologie de fabrication de pièces discrètes. Le HAS se retrouve désormais également dans de nombreuses industries de services, telles que le contrôle du trafic aérien et les procédures de navigation aérienne dans le domaine de l'aviation civile, ainsi que dans la conception et l'utilisation de systèmes intelligents de navigation pour véhicules et autoroutes dans le transport routier.

                                                                                                                      Avec les progrès continus de l'automatisation assistée par ordinateur, la nature des tâches humaines dans les systèmes technologiques modernes passe de celles qui nécessitent des compétences perceptivo-motrices à celles qui nécessitent des activités cognitives, nécessaires à la résolution de problèmes, à la prise de décision dans la surveillance du système et à la tâches de contrôle de surveillance. Par exemple, les opérateurs humains dans les systèmes de fabrication intégrés par ordinateur agissent principalement en tant que moniteurs de système, résolveurs de problèmes et décideurs. Les activités cognitives du superviseur humain dans tout environnement HAS sont (1) la planification de ce qui doit être fait pour une période de temps donnée, (2) la conception de procédures (ou étapes) pour atteindre l'ensemble d'objectifs planifiés, (3) le suivi des progrès des processus (technologiques), (4) "enseigner" le système via un ordinateur interactif, (5) intervenir si le système se comporte de manière anormale ou si les priorités de contrôle changent et (6) apprendre par le retour d'information du système sur l'impact de actions de supervision (Sheridan 1987).

                                                                                                                      Conception de système hybride

                                                                                                                      Les interactions homme-machine dans un HAS impliquent l'utilisation de boucles de communication dynamiques entre les opérateurs humains et les machines intelligentes - un processus qui comprend la détection et le traitement de l'information et l'initiation et l'exécution des tâches de contrôle et la prise de décision - dans une structure donnée d'attribution de fonctions entre humains et machines. Au minimum, les interactions entre les personnes et l'automatisation doivent refléter la grande complexité des systèmes automatisés hybrides, ainsi que les caractéristiques pertinentes des opérateurs humains et les exigences des tâches. Par conséquent, le système automatisé hybride peut être formellement défini comme un quintuple dans la formule suivante :

                                                                                                                      A = (T, U, C, E, I)

                                                                                                                      De T = exigences de la tâche (physiques et cognitives) ; U = caractéristiques de l'utilisateur (physiques et cognitives) ; C = les caractéristiques de l'automatisation (matériel et logiciel, y compris les interfaces informatiques) ; E = l'environnement du système ; I = un ensemble d'interactions entre les éléments ci-dessus.

                                                                                                                      L'ensemble des interactions I incarne toutes les interactions possibles entre T, U et C in E quelle que soit leur nature ou leur force d'association. Par exemple, l'une des interactions possibles pourrait impliquer la relation entre les données stockées dans la mémoire de l'ordinateur et les connaissances correspondantes, le cas échéant, de l'opérateur humain. Les interactions I peut être élémentaire (c'est-à-dire limité à une association biunivoque) ou complexe, comme cela impliquerait des interactions entre l'opérateur humain, le logiciel particulier utilisé pour accomplir la tâche souhaitée et l'interface physique disponible avec l'ordinateur.

                                                                                                                      Les concepteurs de nombreux systèmes automatisés hybrides se concentrent principalement sur l'intégration assistée par ordinateur de machines sophistiquées et d'autres équipements dans le cadre de la technologie informatique, accordant rarement beaucoup d'attention au besoin primordial d'une intégration humaine efficace au sein de ces systèmes. Par conséquent, à l'heure actuelle, de nombreux systèmes (technologiques) intégrés à l'ordinateur ne sont pas entièrement compatibles avec les capacités inhérentes des opérateurs humains telles qu'exprimées par les compétences et les connaissances nécessaires au contrôle et à la surveillance efficaces de ces systèmes. Une telle incompatibilité survient à tous les niveaux du fonctionnement humain, machine et homme-machine, et peut être définie dans le cadre de l'individu et de l'ensemble de l'organisation ou de l'installation. Par exemple, les problèmes d'intégration des personnes et de la technologie dans les entreprises de fabrication de pointe surviennent tôt dans la phase de conception du HAS. Ces problèmes peuvent être conceptualisés en utilisant le modèle d'intégration de système suivant de la complexité des interactions, I, entre les concepteurs du système, D, opérateurs humains, H, ou les utilisateurs potentiels du système et la technologie, T:

                                                                                                                      Je (H, T) = F [ je (H, D), je (D, T)]

                                                                                                                      De I représente les interactions pertinentes ayant lieu dans la structure d'une HAS donnée, tandis que F indique les relations fonctionnelles entre les concepteurs, les opérateurs humains et la technologie.

                                                                                                                      Le modèle d'intégration de système ci-dessus met en évidence le fait que les interactions entre les utilisateurs et la technologie sont déterminées par le résultat de l'intégration des deux interactions précédentes, à savoir (1) celles entre les concepteurs de HAS et les utilisateurs potentiels et (2) celles entre les concepteurs. et la technologie HAS (au niveau des machines et de leur intégration). Il convient de noter que même si de fortes interactions existent généralement entre les concepteurs et la technologie, seuls très peu d'exemples d'interrelations aussi fortes entre les concepteurs et les opérateurs humains peuvent être trouvés.

                                                                                                                      On peut affirmer que même dans les systèmes les plus automatisés, le rôle humain reste essentiel à la performance réussie du système au niveau opérationnel. Bainbridge (1983) a identifié un ensemble de problèmes liés au fonctionnement de la HAS qui sont dus à la nature de l'automatisation elle-même, comme suit :

                                                                                                                        1. Opérateurs « hors de la boucle de régulation ». Les opérateurs humains sont présents dans le système pour exercer un contrôle en cas de besoin, mais en étant "hors de la boucle de contrôle", ils ne parviennent pas à maintenir les compétences manuelles et les connaissances à long terme du système qui sont souvent nécessaires en cas d'urgence.
                                                                                                                        2. "Image mentale" obsolète. Les opérateurs humains peuvent ne pas être en mesure de réagir rapidement aux changements de comportement du système s'ils n'ont pas suivi de très près les événements de son fonctionnement. De plus, la connaissance ou l'image mentale des opérateurs du fonctionnement du système peut être inadéquate pour initier ou exercer les réponses requises.
                                                                                                                        3. Disparition des générations de compétences. Les nouveaux opérateurs peuvent ne pas être en mesure d'acquérir des connaissances suffisantes sur le système informatisé acquis par l'expérience et, par conséquent, seront incapables d'exercer un contrôle efficace en cas de besoin.
                                                                                                                        4. Autorité de l'automatique. Si le système informatisé a été mis en œuvre parce qu'il peut effectuer les tâches requises mieux que l'opérateur humain, la question se pose : « Sur quelle base l'opérateur devrait-il décider que des décisions correctes ou incorrectes sont prises par les systèmes automatisés ? »
                                                                                                                        5. Apparition de nouveaux types d'"erreurs humaines" dues à l'automatisation. Les systèmes automatisés conduisent à de nouveaux types d'erreurs et, par conséquent, d'accidents qui ne peuvent être analysés dans le cadre des techniques d'analyse traditionnelles.

                                                                                                                                 

                                                                                                                                Répartition des tâches

                                                                                                                                L'une des questions importantes pour la conception du HAS est de déterminer combien et quelles fonctions ou responsabilités doivent être attribuées aux opérateurs humains, et lesquelles et combien aux ordinateurs. En règle générale, il existe trois classes de base de problèmes d'attribution des tâches à prendre en compte : (1) l'attribution des tâches superviseur humain-ordinateur, (2) l'attribution des tâches homme-humain et (3) l'attribution des tâches ordinateur-ordinateur de supervision. Idéalement, les décisions d'allocation devraient être prises par le biais d'une procédure d'allocation structurée avant que la conception de base du système ne soit commencée. Malheureusement, un tel processus systématique est rarement possible, car les fonctions à attribuer peuvent nécessiter un examen plus approfondi ou doivent être effectuées de manière interactive entre les composants du système humain et machine, c'est-à-dire par l'application du paradigme de contrôle de supervision. L'attribution des tâches dans les systèmes automatisés hybrides devrait se concentrer sur l'étendue des responsabilités de supervision humaines et informatiques et devrait tenir compte de la nature des interactions entre l'opérateur humain et les systèmes informatisés d'aide à la décision. Les moyens de transfert d'informations entre les machines et les interfaces humaines d'entrée-sortie et la compatibilité des logiciels avec les capacités cognitives humaines de résolution de problèmes doivent également être pris en compte.

                                                                                                                                Dans les approches traditionnelles de la conception et de la gestion des systèmes automatisés hybrides, les travailleurs étaient considérés comme des systèmes d'entrée-sortie déterministes, et il y avait une tendance à ignorer la nature téléologique du comportement humain, c'est-à-dire le comportement axé sur les objectifs reposant sur l'acquisition de connaissances. les informations pertinentes et la sélection des objectifs (Goodstein et al. 1988). Pour réussir, la conception et la gestion de systèmes automatisés hybrides avancés doivent être basées sur une description des fonctions mentales humaines nécessaires à une tâche spécifique. L'approche « d'ingénierie cognitive » (décrite plus loin) propose que les systèmes homme-machine (hybrides) doivent être conçus, conçus, analysés et évalués en termes de processus mentaux humains (c'est-à-dire que le modèle mental de l'opérateur des systèmes adaptatifs est pris en Compte). Voici les exigences de l'approche centrée sur l'humain pour la conception et l'exploitation du HAS telles que formulées par Corbett (1988) :

                                                                                                                                  1. Compatibilité. L'exploitation du système ne devrait pas exiger des compétences sans rapport avec les compétences existantes, mais devrait permettre aux compétences existantes d'évoluer. L'opérateur humain doit entrer et recevoir des informations qui sont compatibles avec la pratique conventionnelle afin que l'interface soit conforme aux connaissances et compétences antérieures de l'utilisateur.
                                                                                                                                  2. Transparence. On ne peut pas contrôler un système sans le comprendre. Par conséquent, l'opérateur humain doit être capable de "voir" les processus internes du logiciel de contrôle du système si l'apprentissage doit être facilité. Un système transparent permet aux utilisateurs de construire facilement un modèle interne des fonctions de prise de décision et de contrôle que le système peut exécuter.
                                                                                                                                  3. Choc minimal. Le système ne doit rien faire que les opérateurs trouvent inattendu à la lumière des informations dont ils disposent, détaillant l'état actuel du système.
                                                                                                                                  4. Contrôle des perturbations. Les tâches incertaines (telles que définies par l'analyse de la structure des choix) doivent être sous le contrôle d'un opérateur humain avec une aide informatique à la prise de décision.
                                                                                                                                  5. Faillibilité. Les compétences et connaissances implicites des opérateurs humains ne doivent pas être conçues en dehors du système. Les opérateurs ne doivent jamais être mis dans une position où ils regardent, impuissants, le logiciel diriger une opération incorrecte.
                                                                                                                                  6. Réversibilité des erreurs. Le logiciel doit fournir suffisamment d'informations en amont pour informer l'opérateur humain des conséquences probables d'une opération ou d'une stratégie particulière.
                                                                                                                                  7. Souplesse d'exploitation. Le système doit offrir aux opérateurs humains la liberté de faire des compromis entre les exigences et les limites des ressources en modifiant les stratégies d'exploitation sans perdre le support du logiciel de contrôle.

                                                                                                                                   

                                                                                                                                  Ingénierie Cognitive des Facteurs Humains

                                                                                                                                  L'ingénierie cognitive des facteurs humains se concentre sur la façon dont les opérateurs humains prennent des décisions sur le lieu de travail, résolvent des problèmes, formulent des plans et acquièrent de nouvelles compétences (Hollnagel et Woods 1983). Les rôles des opérateurs humains fonctionnant dans n'importe quel HAS peuvent être classés à l'aide du schéma de Rasmussen (1983) en trois grandes catégories :

                                                                                                                                    1. Comportement basé sur les compétences est la performance sensori-motrice exécutée lors d'actes ou d'activités qui se déroulent sans contrôle conscient en tant que modèles de comportement fluides, automatisés et hautement intégrés. Les activités humaines qui entrent dans cette catégorie sont considérées comme une séquence d'actes qualifiés composés pour une situation donnée. Le comportement basé sur les compétences est donc l'expression de modèles de comportements plus ou moins stockés ou d'instructions préprogrammées dans un domaine spatio-temporel.
                                                                                                                                    2. Comportement basé sur des règles est une catégorie de performances orientée vers un objectif structurée par un contrôle prédictif via une règle ou une procédure stockée, c'est-à-dire une performance ordonnée permettant de composer une séquence de sous-programmes dans une situation de travail familière. La règle est généralement sélectionnée à partir d'expériences antérieures et reflète les propriétés fonctionnelles qui contraignent le comportement de l'environnement. La performance basée sur des règles repose sur un savoir-faire explicite quant à l'utilisation des règles pertinentes. L'ensemble de données de décision est constitué de références pour la reconnaissance et l'identification d'états, d'événements ou de situations.
                                                                                                                                    3. Comportement basé sur les connaissances est une catégorie de performance contrôlée par un objectif, dans laquelle l'objectif est explicitement formulé sur la base de la connaissance de l'environnement et des objectifs de la personne. La structure interne du système est représentée par un « modèle mental ». Ce type de comportement permet de développer et de tester différents plans dans des conditions de contrôle inconnues et, par conséquent, incertaines, et est nécessaire lorsque les compétences ou les règles sont soit indisponibles, soit inadéquates, de sorte que la résolution de problèmes et la planification doivent être appelées à la place.

                                                                                                                                         

                                                                                                                                        Dans la conception et la gestion d'un HAS, il convient de considérer les caractéristiques cognitives des travailleurs afin d'assurer la compatibilité du fonctionnement du système avec le modèle interne du travailleur qui décrit ses fonctions. Par conséquent, le niveau de description du système doit être déplacé des aspects du fonctionnement humain basés sur les compétences vers les aspects basés sur les règles et les connaissances, et des méthodes appropriées d'analyse des tâches cognitives doivent être utilisées pour identifier le modèle d'opérateur d'un système. Un problème connexe dans le développement d'un HAS est la conception des moyens de transmission d'informations entre l'opérateur humain et les composants du système automatisé, tant au niveau physique que cognitif. Un tel transfert d'informations doit être compatible avec les modes d'information utilisés à différents niveaux de fonctionnement du système, c'est-à-dire visuels, verbaux, tactiles ou hybrides. Cette compatibilité informationnelle garantit que différentes formes de transfert d'informations nécessiteront une incompatibilité minimale entre le support et la nature de l'information. Par exemple, un affichage visuel est le meilleur pour la transmission d'informations spatiales, tandis que l'entrée auditive peut être utilisée pour transmettre des informations textuelles.

                                                                                                                                        Très souvent, l'opérateur humain développe un modèle interne qui décrit le fonctionnement et la fonction du système en fonction de son expérience, de sa formation et de ses instructions en rapport avec le type d'interface homme-machine donné. À la lumière de cette réalité, les concepteurs d'un HAS devraient tenter d'intégrer aux machines (ou à d'autres systèmes artificiels) un modèle des caractéristiques physiques et cognitives de l'opérateur humain, c'est-à-dire l'image que le système se fait de l'opérateur (Hollnagel et Woods 1983). . Les concepteurs d'un HAS doivent également tenir compte du niveau d'abstraction dans la description du système ainsi que des différentes catégories pertinentes du comportement de l'opérateur humain. Ces niveaux d'abstraction pour modéliser le fonctionnement humain en milieu de travail sont les suivants (Rasmussen 1983) : (1) forme physique (structure anatomique), (2) fonctions physiques (fonctions physiologiques), (3) fonctions généralisées (mécanismes psychologiques et fonctions cognitives). et processus affectifs), (4) fonctions abstraites (traitement de l'information) et (5) but fonctionnel (structures de valeurs, mythes, religions, interactions humaines). Ces cinq niveaux doivent être considérés simultanément par les concepteurs afin d'assurer une performance efficace de la HAS.

                                                                                                                                        Conception de logiciels système

                                                                                                                                        Étant donné que le logiciel informatique est un composant principal de tout environnement HAS, le développement logiciel, y compris la conception, les tests, le fonctionnement et la modification, ainsi que les problèmes de fiabilité du logiciel doivent également être pris en compte dès les premières étapes du développement HAS. Par ce moyen, on devrait être en mesure de réduire le coût de la détection et de l'élimination des erreurs logicielles. Il est cependant difficile d'estimer la fiabilité des composantes humaines d'une HAS, en raison des limites de notre capacité à modéliser la performance des tâches humaines, la charge de travail associée et les erreurs potentielles. Une charge de travail mental excessive ou insuffisante peut conduire à une surcharge d'informations et à l'ennui, respectivement, et peut entraîner une dégradation des performances humaines, entraînant des erreurs et une augmentation de la probabilité d'accidents. Les concepteurs d'un HAS doivent utiliser des interfaces adaptatives, qui utilisent des techniques d'intelligence artificielle, pour résoudre ces problèmes. En plus de la compatibilité homme-machine, la question de l'adaptabilité homme-machine entre eux doit être considérée afin de réduire les niveaux de stress qui surviennent lorsque les capacités humaines peuvent être dépassées.

                                                                                                                                        En raison du haut niveau de complexité de nombreux systèmes automatisés hybrides, l'identification de tout danger potentiel lié au matériel, aux logiciels, aux procédures opérationnelles et aux interactions homme-machine de ces systèmes devient essentielle au succès des efforts visant à réduire les blessures et les dommages matériels. . Les risques pour la sécurité et la santé associés aux systèmes automatisés hybrides complexes, tels que la technologie de fabrication intégrée par ordinateur (CIM), sont clairement l'un des aspects les plus critiques de la conception et du fonctionnement du système.

                                                                                                                                        Problèmes de sécurité du système

                                                                                                                                        Les environnements automatisés hybrides, avec leur potentiel important de comportement erratique du logiciel de contrôle dans des conditions de perturbation du système, créent une nouvelle génération de risques d'accident. À mesure que les systèmes automatisés hybrides deviennent plus polyvalents et complexes, les perturbations du système, y compris les problèmes de démarrage et d'arrêt et les déviations dans le contrôle du système, peuvent augmenter considérablement la possibilité d'un danger grave pour les opérateurs humains. Ironiquement, dans de nombreuses situations anormales, les opérateurs comptent généralement sur le bon fonctionnement des sous-systèmes de sécurité automatisés, une pratique qui peut augmenter le risque de blessures graves. Par exemple, une étude des accidents liés à des dysfonctionnements des systèmes de contrôle technique a montré qu'environ un tiers des séquences accidentelles comportaient une intervention humaine dans la boucle de contrôle du système perturbé.

                                                                                                                                        Les mesures de sécurité traditionnelles ne pouvant être facilement adaptées aux besoins des environnements HAS, les stratégies de contrôle des blessures et de prévention des accidents doivent être reconsidérées au regard des caractéristiques inhérentes à ces systèmes. Par exemple, dans le domaine de la technologie de fabrication avancée, de nombreux processus sont caractérisés par l'existence de quantités substantielles de flux d'énergie qui ne peuvent pas être facilement anticipées par les opérateurs humains. De plus, les problèmes de sécurité apparaissent généralement aux interfaces entre les sous-systèmes ou lorsque les perturbations du système progressent d'un sous-système à l'autre. Selon l'Organisation internationale de normalisation (ISO 1991), les risques associés aux dangers dus à l'automatisation industrielle varient selon les types de machines industrielles incorporées dans le système de fabrication spécifique et selon la manière dont le système est installé, programmé, utilisé, entretenu et réparé. Par exemple, une comparaison des accidents liés aux robots en Suède avec d'autres types d'accidents a montré que les robots peuvent être les machines industrielles les plus dangereuses utilisées dans l'industrie manufacturière de pointe. Le taux d'accident estimé pour les robots industriels était d'un accident grave pour 45 années-robots, un taux supérieur à celui des presses industrielles, qui était d'un accident pour 50 années-machines. Il convient de noter ici que les presses industrielles aux États-Unis représentaient environ 23 % de tous les décès liés aux machines à travailler les métaux pour la période 1980-1985, les presses mécaniques se classant au premier rang en ce qui concerne le produit gravité-fréquence des blessures non mortelles.

                                                                                                                                        Dans le domaine de la technologie de fabrication avancée, de nombreuses pièces mobiles sont dangereuses pour les travailleurs car elles changent de position de manière complexe en dehors du champ visuel des opérateurs humains. Les développements technologiques rapides dans la fabrication intégrée par ordinateur ont créé un besoin critique d'étudier les effets de la technologie de fabrication avancée sur les travailleurs. Afin d'identifier les dangers causés par les différentes composantes d'un tel environnement HAS, les accidents passés doivent être soigneusement analysés. Malheureusement, les accidents impliquant l'utilisation de robots sont difficiles à isoler des rapports d'accidents liés à des machines à commande humaine et, par conséquent, il peut y avoir un pourcentage élevé d'accidents non enregistrés. Les règles de santé et de sécurité au travail du Japon stipulent que "les robots industriels ne disposent pas actuellement de moyens de sécurité fiables et les travailleurs ne peuvent en être protégés que si leur utilisation est réglementée". Par exemple, les résultats de l'enquête menée par le ministère du Travail du Japon (Sugimoto 1987) sur les accidents liés aux robots industriels dans les 190 usines étudiées (avec 4,341 300 robots en activité) ont montré qu'il y avait 37 perturbations liées aux robots, dont 9 cas des actes dangereux ont entraîné des quasi-accidents, 2 étaient des accidents causant des blessures et XNUMX étaient des accidents mortels. Les résultats d'autres études indiquent que l'automatisation informatisée n'augmente pas nécessairement le niveau global de sécurité, car le matériel du système ne peut pas être rendu sûr par les fonctions de sécurité du logiciel informatique seul, et les contrôleurs du système ne sont pas toujours très fiables. De plus, dans un HAS complexe, on ne peut pas dépendre exclusivement des dispositifs de détection de sécurité pour détecter les conditions dangereuses et entreprendre des stratégies appropriées d'évitement des dangers.

                                                                                                                                        Effets de l'automatisation sur la santé humaine

                                                                                                                                        Comme indiqué ci-dessus, les activités des travailleurs dans de nombreux environnements HAS sont essentiellement celles du contrôle de la supervision, de la surveillance, de l'assistance et de la maintenance du système. Ces activités peuvent également être classées en quatre groupes de base comme suit : (1) tâches de programmation, c'est-à-dire codage des informations qui guident et dirigent le fonctionnement des machines, (2) surveillance des composants de production et de contrôle du HAS, (3) maintenance des composants du HAS pour prévenir ou atténuer les dysfonctionnements des machines, et (4) effectuer diverses tâches de soutien, etc. , travailler dans un environnement HAS peut être insatisfaisant et stressant pour les travailleurs. Les sources de stress comprenaient la surveillance constante requise dans de nombreuses applications HAS, la portée limitée des activités attribuées, le faible niveau d'interaction des travailleurs permis par la conception du système et les risques pour la sécurité associés à la nature imprévisible et incontrôlable de l'équipement. Même si certains travailleurs impliqués dans les activités de programmation et d'entretien ressentent des éléments de défi, ce qui peut avoir des effets positifs sur leur bien-être, ces effets sont souvent compensés par la nature complexe et exigeante de ces activités, ainsi que par la pression exercé par la direction pour mener à bien ces activités rapidement.

                                                                                                                                        Bien que dans certains environnements HAS les opérateurs humains soient éloignés des sources d'énergie traditionnelles (flux de travail et mouvement de la machine) dans des conditions normales de fonctionnement, de nombreuses tâches dans les systèmes automatisés doivent encore être effectuées en contact direct avec d'autres sources d'énergie. Le nombre de composants différents du HAS étant en constante augmentation, un accent particulier doit être mis sur le confort et la sécurité des travailleurs et sur le développement de dispositifs efficaces de contrôle des blessures, d'autant plus que les travailleurs ne sont plus en mesure de suivre le la sophistication et la complexité de tels systèmes.

                                                                                                                                        Afin de répondre aux besoins actuels en matière de contrôle des blessures et de sécurité des travailleurs dans les systèmes de fabrication intégrés par ordinateur, le comité ISO sur les systèmes d'automatisation industrielle a proposé une nouvelle norme de sécurité intitulée "Sécurité des systèmes de fabrication intégrés" (1991). Cette nouvelle norme internationale, qui a été développée en reconnaissance des risques particuliers qui existent dans les systèmes de fabrication intégrés incorporant des machines industrielles et des équipements associés, vise à minimiser les risques de blessures pour le personnel travaillant sur ou à proximité d'un système de fabrication intégré. Les principales sources de dangers potentiels pour les opérateurs humains dans le CIM identifiées par cette norme sont présentées dans la figure 1.

                                                                                                                                        Figure 1. Principale source de dangers dans la fabrication intégrée par ordinateur (CIM) (après ISO 1991)

                                                                                                                                        ACC250T1

                                                                                                                                        Erreurs humaines et système

                                                                                                                                        En général, les dangers dans un HAS peuvent provenir du système lui-même, de son association avec d'autres équipements présents dans l'environnement physique ou des interactions du personnel humain avec le système. Un accident n'est que l'un des nombreux résultats des interactions homme-machine qui peuvent survenir dans des conditions dangereuses ; les quasi-accidents et les incidents avec dommages sont beaucoup plus fréquents (Zimolong et Duda 1992). L'apparition d'une erreur peut entraîner l'une des conséquences suivantes : (1) l'erreur reste inaperçue, (2) le système peut compenser l'erreur, (3) l'erreur entraîne une panne de la machine et/ou un arrêt du système ou (4 ) l'erreur entraîne un accident.

                                                                                                                                        Étant donné que toutes les erreurs humaines qui entraînent un incident critique ne causeront pas un véritable accident, il convient de distinguer davantage les catégories de résultats comme suit : (1) un incident dangereux (c'est-à-dire tout événement non intentionnel, qu'il entraîne des blessures, des dommages ou perte), (2) un accident (c'est-à-dire un événement dangereux entraînant une blessure, un dommage ou une perte), (3) un incident dommageable (c'est-à-dire un événement dangereux qui n'entraîne qu'un certain type de dommage matériel), (4) un quasi-accident ou « quasi-accident » (c'est-à-dire, un événement dangereux dans lequel une blessure, un dommage ou une perte a été évité fortuitement par une faible marge) et (5) l'existence d'un potentiel d'accident (c'est-à-dire, des événements dangereux qui auraient pu entraîner des blessures, des dommages , ou perte, mais, en raison des circonstances, n'a pas entraîné même un quasi-accident).

                                                                                                                                        On peut distinguer trois types fondamentaux d'erreur humaine dans une HAS :

                                                                                                                                          1. dérapages et manquements basés sur les compétences
                                                                                                                                          2. erreurs basées sur des règles
                                                                                                                                          3. erreurs fondées sur la connaissance.

                                                                                                                                               

                                                                                                                                              Cette taxonomie, conçue par Reason (1990), est basée sur une modification de la classification compétence-règle-connaissance de la performance humaine de Rasmussen telle que décrite ci-dessus. Au niveau des compétences, la performance humaine est régie par des modèles stockés d'instructions préprogrammées représentées sous forme de structures analogiques dans un domaine spatio-temporel. Le niveau basé sur des règles s'applique à la résolution de problèmes familiers dans lesquels les solutions sont régies par des règles stockées (appelées "productions", car elles sont consultées ou produites au besoin). Ces règles exigent que certains diagnostics (ou jugements) soient posés, ou que certaines actions correctives soient prises, étant donné que certaines conditions sont apparues qui exigent une réponse appropriée. À ce niveau, les erreurs humaines sont généralement associées à une mauvaise classification des situations, conduisant soit à l'application de la mauvaise règle, soit au rappel incorrect des jugements ou des procédures qui en découlent. Les erreurs basées sur les connaissances se produisent dans des situations nouvelles pour lesquelles des actions doivent être planifiées « en ligne » (à un moment donné), en utilisant des processus analytiques conscients et des connaissances stockées. Les erreurs à ce niveau proviennent de ressources limitées et de connaissances incomplètes ou incorrectes.

                                                                                                                                              Les systèmes génériques de modélisation des erreurs (GEMS) proposés par Reason (1990), qui tentent de localiser les origines des types d'erreurs humaines de base, peuvent être utilisés pour dériver la taxonomie globale du comportement humain dans un HAS. GEMS cherche à intégrer deux domaines distincts de recherche sur les erreurs : (1) les dérapages et les défaillances, dans lesquels les actions s'écartent de l'intention actuelle en raison d'échecs d'exécution et/ou de stockage et (2) les erreurs, dans lesquelles les actions peuvent se dérouler conformément au plan, mais le plan est insuffisant pour atteindre le résultat souhaité.

                                                                                                                                              Évaluation et prévention des risques en CIM

                                                                                                                                              Selon l'ISO (1991), l'évaluation des risques dans le CIM doit être effectuée de manière à minimiser tous les risques et à servir de base pour déterminer les objectifs et les mesures de sécurité lors de l'élaboration de programmes ou de plans à la fois pour créer un environnement de travail sûr et pour assurer également la sécurité et la santé du personnel. Par exemple, les risques professionnels dans les environnements HAS basés sur la fabrication peuvent être caractérisés comme suit : (1) l'opérateur humain peut avoir besoin d'entrer dans la zone dangereuse pendant les tâches de récupération après perturbation, d'entretien et de maintenance, (2) la zone dangereuse est difficile à déterminer, à percevoir et à contrôler, (3) le travail peut être monotone et (4) les accidents survenant au sein des systèmes de fabrication intégrés par ordinateur sont souvent graves. Chaque danger identifié doit être évalué pour son risque, et des mesures de sécurité appropriées doivent être déterminées et mises en œuvre pour minimiser ce risque. Les dangers doivent également être déterminés en ce qui concerne tous les aspects suivants d'un processus donné : l'unité elle-même ; l'interaction entre les unités individuelles ; les sections d'exploitation du système ; et le fonctionnement du système complet pour tous les modes et conditions de fonctionnement prévus, y compris les conditions dans lesquelles les moyens de protection normaux sont suspendus pour des opérations telles que la programmation, la vérification, le dépannage, la maintenance ou la réparation.

                                                                                                                                              La phase de conception de la stratégie de sécurité ISO (1991) pour le CIM comprend :

                                                                                                                                                • spécification des limites des paramètres du système
                                                                                                                                                • application d'une stratégie de sécurité
                                                                                                                                                • identification des dangers
                                                                                                                                                • évaluation des risques associés
                                                                                                                                                • la suppression des dangers ou la diminution des risques autant que possible.

                                                                                                                                                         

                                                                                                                                                        La spécification de sécurité du système doit inclure :

                                                                                                                                                          • une description des fonctions du système
                                                                                                                                                          • une configuration et/ou un modèle de système
                                                                                                                                                          • les résultats d'une enquête entreprise pour étudier l'interaction de différents processus de travail et activités manuelles
                                                                                                                                                          • une analyse des séquences de processus, y compris l'interaction manuelle
                                                                                                                                                          • une description des interfaces avec les lignes de convoyage ou de transport
                                                                                                                                                          • organigrammes de processus
                                                                                                                                                          • plans de fondation
                                                                                                                                                          • les plans des dispositifs d'alimentation et d'évacuation
                                                                                                                                                          • détermination de l'espace requis pour l'approvisionnement et l'élimination du matériel
                                                                                                                                                          • dossiers d'accidents disponibles.

                                                                                                                                                                             

                                                                                                                                                                            Conformément à la norme ISO (1991), toutes les exigences nécessaires pour assurer un fonctionnement sûr du système CIM doivent être prises en compte dans la conception des procédures systématiques de planification de la sécurité. Cela inclut toutes les mesures de protection pour réduire efficacement les dangers et nécessite :

                                                                                                                                                                              • intégration de l'interface homme-machine
                                                                                                                                                                              • définition précoce de la position des acteurs du système (dans le temps et dans l'espace)
                                                                                                                                                                              • réflexion précoce sur les moyens de réduire le travail isolé
                                                                                                                                                                              • prise en compte des aspects environnementaux.

                                                                                                                                                                                   

                                                                                                                                                                                  La procédure de planification de la sécurité devrait aborder, entre autres, les problèmes de sécurité suivants du CIM :

                                                                                                                                                                                    • Sélection des modes de fonctionnement du système. L'équipement de contrôle doit prévoir au moins les modes de fonctionnement suivants : (1) mode normal ou mode de production (c'est-à-dire avec toutes les protections normales connectées et en fonctionnement), (2) fonctionnement avec certaines des protections normales suspendues et (3) fonctionnement en quel système ou déclenchement manuel à distance de situations dangereuses est empêché (par exemple, dans le cas d'un fonctionnement local ou d'une isolation de l'alimentation ou d'un blocage mécanique de conditions dangereuses).
                                                                                                                                                                                    • Formation, installation, mise en service et tests fonctionnels. Lorsque du personnel doit se trouver dans la zone dangereuse, les mesures de sécurité suivantes doivent être prévues dans le système de commande : (1) actionnement maintenu, (2) dispositif d'activation, (3) vitesse réduite, (4) puissance réduite et (5 ) arrêt d'urgence mobile.
                                                                                                                                                                                    • Sécurité dans la programmation, la maintenance et la réparation du système. Pendant la programmation, seul le programmeur doit être autorisé dans l'espace protégé. Le système devrait avoir des procédures d'inspection et d'entretien en place pour assurer la poursuite du fonctionnement prévu du système. Le programme d'inspection et d'entretien doit tenir compte des recommandations du fournisseur du système et de celles des fournisseurs des différents éléments des systèmes. Il est à peine besoin de mentionner que le personnel qui effectue la maintenance ou les réparations sur le système doit être formé aux procédures nécessaires pour effectuer les tâches requises.
                                                                                                                                                                                    • Élimination des défauts. Lorsque l'élimination du défaut est nécessaire depuis l'intérieur de l'espace protégé, elle doit être effectuée après la déconnexion de sécurité (ou, si possible, après l'actionnement d'un mécanisme de consignation). Des mesures supplémentaires contre le déclenchement erroné de situations dangereuses doivent être prises. Lorsque des dangers peuvent survenir lors de l'élimination des défauts sur des sections de l'installation ou sur les machines d'installations ou de machines voisines, celles-ci doivent également être mises hors service et protégées contre tout démarrage inattendu. Au moyen d'instructions et de panneaux d'avertissement, il convient d'attirer l'attention sur l'élimination des défauts dans les composants du système qui ne peuvent pas être observés complètement.

                                                                                                                                                                                           

                                                                                                                                                                                          Contrôle des perturbations du système

                                                                                                                                                                                          Dans de nombreuses installations HAS utilisées dans le domaine de la fabrication intégrée par ordinateur, des opérateurs humains sont généralement nécessaires pour contrôler, programmer, entretenir, prérégler, entretenir ou dépanner les tâches. Les perturbations du système entraînent des situations qui obligent les travailleurs à pénétrer dans les zones dangereuses. À cet égard, on peut supposer que les perturbations restent la principale cause d'interférence humaine dans le CIM, car les systèmes seront le plus souvent programmés depuis l'extérieur des zones réglementées. L'un des problèmes les plus importants pour la sécurité du CIM est de prévenir les perturbations, car la plupart des risques surviennent lors de la phase de dépannage du système. L'évitement des perturbations est l'objectif commun en termes de sécurité et de rentabilité.

                                                                                                                                                                                          Une perturbation dans un système CIM est un état ou une fonction d'un système qui s'écarte de l'état prévu ou souhaité. Outre la productivité, les perturbations pendant le fonctionnement d'un CIM ont un effet direct sur la sécurité des personnes impliquées dans l'exploitation du système. Une étude finlandaise (Kuivanen 1990) a montré qu'environ la moitié des perturbations dans la fabrication automatisée diminuent la sécurité des travailleurs. Les principales causes de perturbations étaient les erreurs de conception du système (34 %), les défaillances des composants du système (31 %), les erreurs humaines (20 %) et les facteurs externes (15 %). La plupart des pannes de machine ont été causées par le système de contrôle et, dans le système de contrôle, la plupart des pannes se sont produites dans les capteurs. Un moyen efficace d'augmenter le niveau de sécurité des installations CIM est de réduire le nombre de perturbations. Si les actions humaines dans les systèmes perturbés préviennent la survenue d'accidents dans l'environnement HAS, elles y contribuent également. Par exemple, une étude des accidents liés à des dysfonctionnements des systèmes de contrôle technique a montré qu'environ un tiers des séquences accidentelles comportaient une intervention humaine dans la boucle de contrôle du système perturbé.

                                                                                                                                                                                          Les principales problématiques de recherche en prévention des perturbations CIM concernent (1) les causes majeures des perturbations, (2) les composants et fonctions non fiables, (3) l'impact des perturbations sur la sûreté, (4) l'impact des perturbations sur le fonctionnement du système, ( 5) dégâts matériels et (6) réparations. La sécurité du HAS doit être planifiée dès le stade de la conception du système, en tenant dûment compte de la technologie, des personnes et de l'organisation, et faire partie intégrante du processus de planification technique global du HAS.

                                                                                                                                                                                          Conception HAS : les enjeux futurs

                                                                                                                                                                                          Pour assurer le meilleur bénéfice des systèmes automatisés hybrides comme discuté ci-dessus, une vision beaucoup plus large du développement du système, basée sur l'intégration des personnes, de l'organisation et de la technologie, est nécessaire. Trois principaux types d'intégration de système doivent être appliqués ici :

                                                                                                                                                                                            1. l'intégration des personnes, en assurant une communication efficace entre eux
                                                                                                                                                                                            2. intégration homme-ordinateur, en concevant des interfaces et des interactions adaptées entre les personnes et les ordinateurs
                                                                                                                                                                                            3. intégration technologique, en assurant un interfaçage et des interactions efficaces entre les machines.

                                                                                                                                                                                                 

                                                                                                                                                                                                Les exigences de conception minimales pour les systèmes automatisés hybrides doivent inclure les éléments suivants : (1) flexibilité, (2) adaptation dynamique, (3) amélioration de la réactivité et (4) nécessité de motiver les personnes et de mieux utiliser leurs compétences, leur jugement et leur expérience. . Ce qui précède nécessite également que les structures organisationnelles, les pratiques de travail et les technologies de la HAS soient développées pour permettre aux personnes à tous les niveaux du système d'adapter leurs stratégies de travail à la variété des situations de contrôle des systèmes. Ainsi, les organisations, les pratiques de travail et les technologies de la HAS devront être conçues et développées comme des systèmes ouverts (Kidd 1994).

                                                                                                                                                                                                Un système automatisé hybride ouvert (OHAS) est un système qui reçoit des entrées et envoie des sorties à son environnement. L'idée d'un système ouvert peut s'appliquer non seulement aux architectures des systèmes et aux structures organisationnelles, mais aussi aux pratiques de travail, aux interfaces homme-machine et à la relation entre les personnes et les technologies : on peut citer, par exemple, les systèmes d'ordonnancement, les systèmes de contrôle et systèmes d'aide à la décision. Un système ouvert est aussi un système adaptatif lorsqu'il laisse aux gens une grande liberté pour définir le mode de fonctionnement du système. Par exemple, dans le domaine de la fabrication de pointe, les exigences d'un système automatisé hybride ouvert peuvent être réalisées grâce au concept de fabrication humaine et intégrée par ordinateur (HCIM). De ce point de vue, la conception de la technologie doit aborder l'architecture globale du système HCIM, y compris les éléments suivants : (1) les considérations du réseau de groupes, (2) la structure de chaque groupe, (3) l'interaction entre les groupes, (4) la nature du logiciel de support et (5) les besoins techniques de communication et d'intégration entre les modules logiciels de support.

                                                                                                                                                                                                Le système automatisé hybride adaptatif, par opposition au système fermé, ne limite pas ce que les opérateurs humains peuvent faire. Le rôle du concepteur d'un HAS est de créer un système qui satisfera les préférences personnelles de l'utilisateur et permettra à ses utilisateurs de travailler de la manière qu'ils jugent la plus appropriée. Une condition préalable à l'autorisation de la contribution des utilisateurs est le développement d'une méthodologie de conception adaptative, c'est-à-dire un OHAS qui permet d'activer une technologie assistée par ordinateur pour sa mise en œuvre dans le processus de conception. La nécessité de développer une méthodologie pour la conception adaptative est l'une des exigences immédiates pour réaliser le concept OHAS dans la pratique. Un nouveau niveau de technologie de contrôle de supervision humaine adaptative doit également être développé. Une telle technologie devrait permettre à l'opérateur humain de "voir à travers" le système de contrôle autrement invisible du fonctionnement du HAS, par exemple, en appliquant un système vidéo interactif à grande vitesse à chaque point de contrôle et d'exploitation du système. Enfin, une méthodologie pour le développement d'un support informatisé intelligent et hautement adaptatif des rôles humains et du fonctionnement humain dans les systèmes automatisés hybrides est également très nécessaire.

                                                                                                                                                                                                 

                                                                                                                                                                                                Retour

                                                                                                                                                                                                Il est généralement admis que les systèmes de contrôle doivent être sûrs pendant leur utilisation. Dans cet esprit, la plupart des systèmes de contrôle modernes sont conçus comme illustré à la figure 1.

                                                                                                                                                                                                Figure 1. Conception générale des systèmes de contrôle

                                                                                                                                                                                                SAF062F1

                                                                                                                                                                                                La façon la plus simple de sécuriser un système de contrôle est de construire un mur impénétrable autour de celui-ci afin d'empêcher l'accès ou l'interférence humaine dans la zone dangereuse. Un tel système serait très sûr, bien que peu pratique, car il serait impossible d'y accéder pour effectuer la plupart des travaux de test, de réparation et de réglage. Étant donné que l'accès aux zones dangereuses doit être autorisé sous certaines conditions, des mesures de protection autres que des murs, des clôtures et autres sont nécessaires pour faciliter la production, l'installation, l'entretien et la maintenance.

                                                                                                                                                                                                 

                                                                                                                                                                                                Certaines de ces mesures de protection peuvent être partiellement ou totalement intégrées dans les systèmes de contrôle, comme suit :

                                                                                                                                                                                                • Le mouvement peut être arrêté immédiatement si quelqu'un entre dans la zone dangereuse, au moyen de boutons d'arrêt d'urgence (ES).
                                                                                                                                                                                                • Les commandes à bouton-poussoir permettent le mouvement uniquement lorsque le bouton-poussoir est activé.
                                                                                                                                                                                                • Les commandes bimanuelles (DHC) permettent le mouvement uniquement lorsque les deux mains sont engagées pour appuyer sur les deux éléments de commande (garantissant ainsi que les mains sont tenues à l'écart des zones dangereuses).

                                                                                                                                                                                                 

                                                                                                                                                                                                Ces types de mesures de protection sont activés par les opérateurs. Cependant, comme l'être humain représente souvent un point faible dans les applications, de nombreuses fonctions, telles que les suivantes, sont exécutées automatiquement :

                                                                                                                                                                                                • Les mouvements des bras du robot pendant l'entretien ou le « teach-in » sont très lents. Néanmoins, la vitesse est surveillée en permanence. Si, en raison d'une défaillance du système de contrôle, la vitesse des bras robotiques automatiques devait augmenter de manière inattendue pendant la période d'entretien ou d'apprentissage, le système de surveillance s'activerait et arrêterait immédiatement le mouvement.
                                                                                                                                                                                                • Une barrière lumineuse est prévue pour empêcher l'accès à une zone dangereuse. Si le faisceau lumineux est interrompu, la machine s'arrêtera automatiquement.

                                                                                                                                                                                                 

                                                                                                                                                                                                Le fonctionnement normal des systèmes de contrôle est la condition préalable la plus importante pour la production. Si une fonction de production est interrompue en raison d'une défaillance du contrôle, c'est tout au plus gênant mais pas dangereux. Si une fonction relative à la sécurité n'est pas exécutée, cela peut entraîner une perte de production, des dommages matériels, des blessures ou même la mort. Par conséquent, les fonctions du système de commande relatives à la sécurité doivent être plus fiables et plus sûres que les fonctions normales du système de commande. Conformément à la directive européenne 89/392/CEE (lignes directrices pour les machines), les systèmes de commande doivent être conçus et construits de manière à être sûrs et fiables.

                                                                                                                                                                                                Les commandes sont constituées d'un certain nombre de composants reliés entre eux de manière à exécuter une ou plusieurs fonctions. Les commandes sont subdivisées en canaux. Un canal est la partie d'une commande qui exécute une fonction spécifique (par exemple, démarrage, arrêt, arrêt d'urgence). Physiquement, le canal est créé par une chaîne de composants (transistors, diodes, relais, portes, etc.) à travers laquelle, d'un composant à l'autre, des informations (principalement électriques) représentant cette fonction sont transférées de l'entrée à la sortie.

                                                                                                                                                                                                Lors de la conception des canaux de commande pour les fonctions relatives à la sécurité (fonctions impliquant des humains), les exigences suivantes doivent être remplies :

                                                                                                                                                                                                • Les composants utilisés dans les canaux de commande avec des fonctions relatives à la sécurité doivent pouvoir résister aux rigueurs d'une utilisation normale. Généralement, ils doivent être suffisamment fiables.
                                                                                                                                                                                                • Les erreurs de logique ne doivent pas provoquer de situations dangereuses. Généralement, le canal pertinent pour la sécurité doit être suffisamment résistant aux pannes.
                                                                                                                                                                                                • Les influences externes (facteurs) ne doivent pas conduire à des défaillances temporaires ou permanentes dans les canaux importants pour la sécurité.

                                                                                                                                                                                                 

                                                                                                                                                                                                Fiabilité

                                                                                                                                                                                                Fiabilité est la capacité d'un canal ou d'un composant de commande à exécuter une fonction requise dans des conditions spécifiées pendant une période de temps donnée sans faillir. (La probabilité pour des composants ou des canaux de contrôle spécifiques peut être calculée à l'aide de méthodes appropriées.) La fiabilité doit toujours être spécifiée pour une valeur de temps spécifique. Généralement, la fiabilité peut être exprimée par la formule de la figure 2.

                                                                                                                                                                                                Figure 2. Formule de fiabilité

                                                                                                                                                                                                SAF062F2

                                                                                                                                                                                                Fiabilité des systèmes complexes

                                                                                                                                                                                                Les systèmes sont construits à partir de composants. Si les fiabilités des composants sont connues, la fiabilité du système dans son ensemble peut être calculée. Dans de tels cas, les dispositions suivantes s'appliquent :

                                                                                                                                                                                                Systèmes série

                                                                                                                                                                                                La fiabilité totale Rtot d'un système série composé de N composants de même fiabilité RC est calculé comme dans la figure 3.

                                                                                                                                                                                                Figure 3. Graphique de fiabilité des composants connectés en série

                                                                                                                                                                                                SAF062F3

                                                                                                                                                                                                La fiabilité totale est inférieure à la fiabilité du composant le moins fiable. À mesure que le nombre de composants connectés en série augmente, la fiabilité totale de la chaîne diminue considérablement.

                                                                                                                                                                                                Systèmes parallèles

                                                                                                                                                                                                La fiabilité totale Rtot d'un système parallèle composé de N composants de même fiabilité RC est calculé comme dans la figure 4.

                                                                                                                                                                                                Figure 4. Graphique de fiabilité des composants connectés en parallèle

                                                                                                                                                                                                SAF062F4

                                                                                                                                                                                                La fiabilité totale peut être améliorée de manière significative grâce à la connexion en parallèle de deux composants ou plus.

                                                                                                                                                                                                La figure 5 illustre un exemple pratique. Notez que le circuit éteindra le moteur de manière plus fiable. Même si le relais A ou B n'ouvre pas son contact, le moteur sera toujours éteint.

                                                                                                                                                                                                Figure 5. Exemple pratique de la figure 4

                                                                                                                                                                                                SAF062F5

                                                                                                                                                                                                Calculer la fiabilité totale d'un canal est simple si toutes les fiabilités nécessaires des composants sont connues et disponibles. Dans le cas de composants complexes (circuits intégrés, microprocesseurs, etc.) le calcul de la fiabilité totale est difficile voire impossible si les informations nécessaires ne sont pas publiées par le fabricant.

                                                                                                                                                                                                Sécurité

                                                                                                                                                                                                Lorsque les professionnels parlent de sécurité et demandent des machines sûres, ils parlent de la sécurité de l'ensemble de la machine ou de l'installation. Cette sécurité est cependant trop générale, et pas assez précisément définie pour le concepteur de commandes. La définition suivante de sécurité peut être pratique et utilisable par les concepteurs de circuits de commande : la sécurité est la capacité d'un système de commande à exécuter la fonction requise dans les limites prescrites, pendant une durée donnée, même lorsque des défauts anticipés se produisent. Par conséquent, il doit être clarifié lors de la conception à quel point le canal relatif à la sécurité doit être « sûr ». (Le concepteur peut développer un canal qui est sûr contre la première panne, contre une panne quelconque, contre deux pannes, etc.) De plus, un canal qui remplit une fonction qui est utilisée pour prévenir les accidents peut être essentiellement fiable, mais il n'a pas être inévitablement à l'abri des pannes. Ceci peut être mieux expliqué par les exemples suivants :

                                                                                                                                                                                                Exemple 1

                                                                                                                                                                                                L'exemple illustré à la figure 6 est un canal de commande relatif à la sécurité exécutant la fonction de sécurité requise. Le premier composant peut être un interrupteur qui surveille, par exemple, la position d'une porte d'accès à une zone dangereuse. Le dernier composant est un moteur qui entraîne les pièces mécaniques en mouvement dans la zone dangereuse.

                                                                                                                                                                                                Figure 6. Un canal de commande relatif à la sécurité exécutant la fonction de sécurité requise

                                                                                                                                                                                                SAF062F6

                                                                                                                                                                                                La fonction de sécurité requise dans ce cas est double : Si la porte est fermée, le moteur peut fonctionner. Si la porte est ouverte, le moteur doit être arrêté. Connaître les fiabilités R1 à R6, il est possible de calculer la fiabilité Rtotal Les concepteurs doivent utiliser des composants fiables afin de maintenir une fiabilité suffisamment élevée de l'ensemble du système de contrôle (c'est-à-dire que la probabilité que cette fonction puisse encore être exécutée dans, disons, même 20 ans doit être prise en compte dans la conception). En conséquence, les concepteurs doivent remplir deux tâches : (1) le circuit doit remplir la fonction requise et (2) la fiabilité des composants et de l'ensemble du canal de commande doit être adéquate.

                                                                                                                                                                                                La question suivante doit maintenant être posée : Le canal susmentionné assurera-t-il les fonctions de sécurité requises même en cas de défaillance du système (par exemple, si un contact de relais est collé ou si un composant fonctionne mal) ? La réponse est non". La raison en est qu'un seul canal de commande constitué uniquement de composants connectés en série et fonctionnant avec des signaux statiques n'est pas à l'abri d'une défaillance. Le canal ne peut avoir qu'une certaine fiabilité, ce qui garantit la probabilité que la fonction soit réalisée. Dans de telles situations, la sécurité s'entend toujours comme lié à une panne.

                                                                                                                                                                                                Exemple 2

                                                                                                                                                                                                Si un canal de commande doit être à la fois fiable et sûr, la conception doit être modifiée comme dans la figure 7. L'exemple illustré est un canal de commande relatif à la sécurité composé de deux sous-canaux entièrement séparés.

                                                                                                                                                                                                Figure 7. Un canal de commande relatif à la sécurité avec deux sous-canaux entièrement séparés

                                                                                                                                                                                                SAF062F7

                                                                                                                                                                                                Cette conception est sûre contre la première panne (et d'éventuelles autres pannes dans le même sous-canal), mais n'est pas sûre contre deux pannes qui peuvent se produire dans deux sous-canaux différents (simultanément ou à des moments différents) car il n'y a pas de circuit de détection de panne. Par conséquent, au départ, les deux sous-canaux fonctionnent avec une grande fiabilité (voir système parallèle), mais après la première panne, un seul sous-canal fonctionnera et la fiabilité diminue. Si une deuxième panne survient dans le sous-canal encore en fonctionnement, les deux seront alors défaillants et la fonction de sécurité ne sera plus assurée.

                                                                                                                                                                                                Exemple 3

                                                                                                                                                                                                L'exemple illustré sur la figure 8 est un canal de commande relatif à la sécurité composé de deux sous-canaux entièrement séparés qui se surveillent mutuellement.

                                                                                                                                                                                                Figure 8. Un canal de commande relatif à la sécurité avec deux sous-canaux entièrement séparés qui se surveillent mutuellement

                                                                                                                                                                                                SAF062F8

                                                                                                                                                                                                Une telle conception est à l'abri des pannes car après toute panne, un seul sous-canal sera non fonctionnel, tandis que l'autre sous-canal restera disponible et assurera la fonction de sécurité. De plus, la conception a un circuit de détection de panne. Si, en raison d'une panne, les deux sous-canaux ne fonctionnent pas de la même manière, cette condition sera détectée par un circuit "ou exclusif", avec pour résultat que la machine sera automatiquement éteinte. C'est l'un des meilleurs moyens de concevoir des commandes de machine : concevoir des sous-canaux pertinents pour la sécurité. Ils sont sûrs contre une panne et offrent en même temps une fiabilité suffisante pour que les chances que deux pannes se produisent simultanément sont infimes.

                                                                                                                                                                                                Redondance

                                                                                                                                                                                                Il est évident qu'il existe diverses méthodes par lesquelles un concepteur peut améliorer la fiabilité et/ou la sécurité (contre les pannes). Les exemples précédents illustrent comment une fonction (par exemple, porte fermée, le moteur peut fonctionner ; porte ouverte, le moteur doit être arrêté) peut être réalisée par diverses solutions. Certaines méthodes sont très simples (un sous-canal) et d'autres plus compliquées (deux sous-canaux avec supervision mutuelle). (Voir figure 9.)

                                                                                                                                                                                                Figure 9. Fiabilité des systèmes redondants avec ou sans détection de panne

                                                                                                                                                                                                SAF062F9

                                                                                                                                                                                                Il existe une certaine redondance dans les circuits et/ou composants complexes par rapport aux composants simples. Redondance peut être définie comme suit : (1) La redondance est la présence de plus de moyens (composants, voies, facteurs de sécurité plus élevés, tests supplémentaires, etc.) qu'il n'en faut réellement pour la simple réalisation de la fonction recherchée ; (2) la redondance n'« améliore » évidemment pas la fonction, qui est quand même réalisée. La redondance ne fait qu'améliorer la fiabilité et/ou la sécurité.

                                                                                                                                                                                                Certains professionnels de la sécurité pensent que la redondance n'est que le doublement ou le triplement, etc., du système. Il s'agit d'une interprétation très limitée, car la redondance peut être interprétée de manière beaucoup plus large et flexible. La redondance peut être non seulement incluse dans le matériel ; il peut également être inclus dans le logiciel. L'amélioration du facteur de sécurité (par exemple, une corde plus solide au lieu d'une corde plus faible) peut également être considérée comme une forme de redondance.

                                                                                                                                                                                                Entropie

                                                                                                                                                                                                Entropie, un terme que l'on trouve principalement en thermodynamique et en astronomie, peut être défini comme suit : Tout tend vers la décomposition. Par conséquent, il est absolument certain que tous les composants, sous-systèmes ou systèmes, indépendamment de la technologie utilisée, tomberont en panne à un moment donné. Cela signifie qu'il n'existe pas de systèmes, sous-systèmes ou composants fiables et/ou sûrs à 100 %. Tous sont simplement plus ou moins fiables et sûrs, selon la complexité de la structure. Les défaillances qui surviennent inévitablement plus tôt ou plus tard démontrent l'action de l'entropie.

                                                                                                                                                                                                Le seul moyen dont disposent les concepteurs pour contrer l'entropie est la redondance, qui est obtenue en (a) introduisant plus de fiabilité dans les composants et (b) en fournissant plus de sécurité dans toute l'architecture du circuit. Ce n'est qu'en augmentant suffisamment la probabilité que la fonction requise soit exécutée pendant la période de temps requise que les concepteurs peuvent, dans une certaine mesure, se défendre contre l'entropie.

                                                                                                                                                                                                Évaluation des risques

                                                                                                                                                                                                Plus le risque potentiel est grand, plus la fiabilité et/ou la sécurité (contre les pannes) requises sont élevées (et vice versa). Ceci est illustré par les deux cas suivants :

                                                                                                                                                                                                Cas 1

                                                                                                                                                                                                L'accès à l'outil de moulage fixé dans une presse à injecter est protégé par une porte. Si la porte est fermée, la machine peut fonctionner, et si la porte est ouverte, tous les mouvements dangereux doivent être arrêtés. En aucun cas (même en cas de défaillance du canal relatif à la sécurité) des mouvements, en particulier ceux qui actionnent l'outil, ne doivent se produire.

                                                                                                                                                                                                Cas 2

                                                                                                                                                                                                L'accès à une chaîne de montage contrôlée automatiquement qui assemble de petits composants en plastique sous pression pneumatique est gardé par une porte. Si cette porte est ouverte, la ligne devra être arrêtée.

                                                                                                                                                                                                Dans le cas 1, si le système de commande de surveillance de porte tombe en panne, une blessure grave peut survenir si l'outil est fermé de manière inattendue. Dans le cas 2, seules des blessures légères ou des dommages insignifiants peuvent survenir si le système de contrôle de surveillance de porte tombe en panne.

                                                                                                                                                                                                Il est évident que dans le premier cas, il faut introduire beaucoup plus de redondance pour atteindre la fiabilité et/ou la sécurité (contre les pannes) requises pour se protéger contre les risques extrêmement élevés. En fait, selon la norme européenne EN 201, le système de contrôle de surveillance de la porte de la machine de moulage par injection doit avoir trois canaux ; dont deux sont électriques et supervisés mutuellement et dont l'un est majoritairement équipé de circuits hydrauliques et d'essais. Ces trois fonctions de surveillance concernent la même porte.

                                                                                                                                                                                                A l'inverse, dans des applications comme celle décrite dans le cas 2, une seule voie activée par un interrupteur à action positive est adaptée au risque.

                                                                                                                                                                                                Catégories de contrôle

                                                                                                                                                                                                Étant donné que toutes les considérations ci-dessus sont généralement basées sur la théorie de l'information et sont par conséquent valables pour toutes les technologies, peu importe que le système de contrôle soit basé sur des composants électroniques, électromécaniques, mécaniques, hydrauliques ou pneumatiques (ou un mélange de ceux-ci) , ou sur une autre technologie. L'inventivité du concepteur d'une part et les questions économiques d'autre part sont les principaux facteurs affectant un nombre presque infini de solutions quant à la manière de réaliser des caniveaux importants pour la sécurité.

                                                                                                                                                                                                Pour éviter toute confusion, il est pratique de fixer certains critères de tri. Les structures de canaux les plus typiques utilisées dans les commandes de machines pour exécuter des fonctions liées à la sécurité sont classées selon :

                                                                                                                                                                                                • fiabilité
                                                                                                                                                                                                • comportement en cas de panne
                                                                                                                                                                                                • temps de révélation de panne.

                                                                                                                                                                                                 

                                                                                                                                                                                                Leurs combinaisons (toutes les combinaisons possibles ne sont pas présentées) sont illustrées dans le tableau 1.

                                                                                                                                                                                                Tableau 1. Certaines combinaisons possibles de structures de circuit dans les commandes de machine pour les fonctions liées à la sécurité

                                                                                                                                                                                                Critères (questions)

                                                                                                                                                                                                Stratégie de base

                                                                                                                                                                                                 

                                                                                                                                                                                                En augmentant la fiabilité (la survenance d'une panne est-elle décalée dans un futur peut-être lointain ?)

                                                                                                                                                                                                Par une structure de circuit (architecture) appropriée, la défaillance sera au moins détectée (Cat. 2) ou l'effet de défaillance sur le canal sera éliminé (Cat. 3) ou la défaillance sera immédiatement révélée (Cat. 4)

                                                                                                                                                                                                 

                                                                                                                                                                                                Catégories

                                                                                                                                                                                                 

                                                                                                                                                                                                Cette solution est fondamentalement fausse

                                                                                                                                                                                                B

                                                                                                                                                                                                1

                                                                                                                                                                                                2

                                                                                                                                                                                                3

                                                                                                                                                                                                4

                                                                                                                                                                                                Les composants du circuit peuvent-ils supporter les influences attendues ? sont-ils construits selon l'état de l'art ?

                                                                                                                                                                                                Non

                                                                                                                                                                                                Oui

                                                                                                                                                                                                Oui

                                                                                                                                                                                                Oui

                                                                                                                                                                                                Oui

                                                                                                                                                                                                Oui

                                                                                                                                                                                                Des composants et/ou des méthodes éprouvés ont-ils été utilisés ?

                                                                                                                                                                                                Non

                                                                                                                                                                                                Non

                                                                                                                                                                                                Oui

                                                                                                                                                                                                Oui

                                                                                                                                                                                                Oui

                                                                                                                                                                                                Oui

                                                                                                                                                                                                Une panne peut-elle être détectée automatiquement ?

                                                                                                                                                                                                Non

                                                                                                                                                                                                Non

                                                                                                                                                                                                Non

                                                                                                                                                                                                Oui

                                                                                                                                                                                                Oui

                                                                                                                                                                                                Oui

                                                                                                                                                                                                Une défaillance empêche-t-elle l'exécution de la fonction relative à la sécurité ?

                                                                                                                                                                                                Oui

                                                                                                                                                                                                Oui

                                                                                                                                                                                                Oui

                                                                                                                                                                                                Oui

                                                                                                                                                                                                Non

                                                                                                                                                                                                Non

                                                                                                                                                                                                Quand la panne sera-t-elle détectée ?

                                                                                                                                                                                                Jamais

                                                                                                                                                                                                Jamais

                                                                                                                                                                                                Jamais

                                                                                                                                                                                                En avance (au plus tard à la fin d'un intervalle qui ne dépasse pas un cycle machine)

                                                                                                                                                                                                Immédiatement (lorsque le signal perd de la dynamique
                                                                                                                                                                                                personnage)

                                                                                                                                                                                                   

                                                                                                                                                                                                Dans les produits de consommation

                                                                                                                                                                                                A utiliser dans les machines

                                                                                                                                                                                                 

                                                                                                                                                                                                La catégorie applicable à une machine spécifique et à son système de commande relatif à la sécurité est principalement spécifiée dans les nouvelles normes européennes (EN), à moins que l'autorité nationale, l'utilisateur et le fabricant ne conviennent mutuellement qu'une autre catégorie doit être appliquée. Le concepteur développe ensuite un système de contrôle qui répond aux exigences. Par exemple, les considérations régissant la conception d'un canal de contrôle peuvent inclure les éléments suivants :

                                                                                                                                                                                                • Les composants doivent résister aux influences attendues. (OUI NON)
                                                                                                                                                                                                • Leur construction doit être conforme aux normes les plus récentes. (OUI NON)
                                                                                                                                                                                                • Des composants et des méthodes éprouvés sont utilisés. (OUI NON)
                                                                                                                                                                                                • Échec doit être détecté. (OUI NON)
                                                                                                                                                                                                • La fonction de sécurité sera-t-elle exécutée même en cas de panne ? (OUI NON)
                                                                                                                                                                                                • Quand la panne sera-t-elle détectée ? (JAMAIS, TÔT, IMMÉDIATEMENT)

                                                                                                                                                                                                 

                                                                                                                                                                                                Ce processus est réversible. En utilisant les mêmes questions, on peut décider à quelle catégorie appartient un canal de contrôle existant, précédemment développé.

                                                                                                                                                                                                Exemples de catégories

                                                                                                                                                                                                Catégorie B

                                                                                                                                                                                                Les composants du canal de commande principalement utilisés dans les biens de consommation doivent résister aux influences attendues et être conçus selon l'état de la technique. Un interrupteur bien conçu peut servir d'exemple.

                                                                                                                                                                                                Catégorie 1

                                                                                                                                                                                                L'utilisation de composants et de méthodes éprouvés est typique pour la catégorie 1. Un exemple de catégorie 1 est un interrupteur à action positive (c'est-à-dire qui nécessite l'ouverture forcée des contacts). Cet interrupteur est conçu avec des pièces robustes et est activé par des forces relativement élevées, atteignant ainsi une fiabilité extrêmement élevée uniquement lors de l'ouverture des contacts. Malgré des contacts collés ou même soudés, ces interrupteurs s'ouvrent. (Remarque : les composants tels que les transistors et les diodes ne sont pas considérés comme des composants éprouvés.) La figure 10 servira d'illustration d'une commande de catégorie 1.

                                                                                                                                                                                                Figure 10. Un interrupteur à action positive

                                                                                                                                                                                                SAF62F10

                                                                                                                                                                                                Ce canal utilise le commutateur S à action positive. Le contacteur K est surveillé par le voyant L. L'opérateur est averti que les contacts normalement ouverts (NO) sont collés au moyen du voyant lumineux L. Le contacteur K a des contacts à guidage forcé. (Remarque : les relais ou contacteurs à guidage forcé des contacts ont, par rapport aux relais ou contacteurs habituels, une cage spéciale en matériau isolant de sorte que si les contacts normalement fermés (NC) sont fermés, tous les contacts NO doivent être ouverts, et vice-versa. Cela signifie qu'en utilisant des contacts NF, une vérification peut être effectuée pour déterminer que les contacts de travail ne collent pas ou ne sont pas soudés ensemble.)

                                                                                                                                                                                                Catégorie 2

                                                                                                                                                                                                La catégorie 2 prévoit la détection automatique des pannes. Une détection automatique de panne doit être générée avant chaque mouvement dangereux. Ce n'est que si le test est positif que le mouvement peut être effectué ; sinon la machine sera arrêtée. Des systèmes de détection automatique de panne sont utilisés pour les barrières lumineuses afin de prouver qu'elles fonctionnent toujours. Le principe est illustré sur la figure 1.

                                                                                                                                                                                                Figure 11. Circuit comprenant un détecteur de panne

                                                                                                                                                                                                SAF62F11

                                                                                                                                                                                                Ce système de contrôle est testé régulièrement (ou occasionnellement) en injectant une impulsion à l'entrée. Dans un système fonctionnant correctement, cette impulsion sera ensuite transférée à la sortie et comparée à une impulsion provenant d'un générateur de test. Lorsque les deux impulsions sont présentes, le système fonctionne évidemment. Sinon, s'il n'y a pas d'impulsion de sortie, le système est en panne.

                                                                                                                                                                                                Catégorie 3

                                                                                                                                                                                                Les circuits ont été décrits précédemment dans l'exemple 3 dans la section Sécurité de cet article, figure 8.

                                                                                                                                                                                                L'exigence - c'est-à-dire la détection automatique des pannes et la capacité d'exécuter la fonction de sécurité même si une panne s'est produite n'importe où - peut être satisfaite par des structures de contrôle à deux canaux et par une supervision mutuelle des deux canaux.

                                                                                                                                                                                                Pour les commandes de la machine uniquement, les défaillances dangereuses doivent être étudiées. A noter qu'il existe deux types de panne :

                                                                                                                                                                                                • Non dangereux les pannes sont celles qui, après leur apparition, provoquent un « état sûr » de la machine en prévoyant l'arrêt du moteur.
                                                                                                                                                                                                • dangereux les pannes sont celles qui, après leur apparition, provoquent un "état dangereux" de la machine, car le moteur ne peut pas être arrêté ou le moteur commence à se déplacer de manière inattendue.

                                                                                                                                                                                                Catégorie 4

                                                                                                                                                                                                La catégorie 4 prévoit généralement l'application d'un signal dynamique changeant en continu sur l'entrée. La présence d'un signal dynamique sur les moyens de sortie pour le running ("1"), et l'absence de signal dynamique signifie Arrêtez (« 0 »).

                                                                                                                                                                                                Pour de tels circuits, il est typique qu'après la défaillance d'un composant, le signal dynamique ne soit plus disponible sur la sortie. (Remarque : le potentiel statique sur la sortie n'a pas d'importance.) De tels circuits peuvent être appelés « à sécurité intégrée ». Toutes les pannes seront divulguées immédiatement, pas après le premier changement (comme dans les circuits de catégorie 3).

                                                                                                                                                                                                Autres commentaires sur les catégories de contrôle

                                                                                                                                                                                                Le tableau 1 a été développé pour les commandes de machine habituelles et montre uniquement les structures de circuit de base ; selon la directive machine, il doit être calculé en partant du principe qu'une seule panne se produira dans un cycle de machine. C'est pourquoi la fonction de sécurité n'a pas à être réalisée en cas de deux défaillances simultanées. On suppose qu'une panne sera détectée dans un cycle machine. La machine sera arrêtée puis réparée. Le système de contrôle redémarre alors, pleinement opérationnel, sans défaillance.

                                                                                                                                                                                                L'intention première du concepteur devrait être de ne pas autoriser les défaillances "permanentes", qui ne seraient pas détectées au cours d'un cycle car elles pourraient ensuite être combinées avec une ou plusieurs défaillances nouvelles (cumul des défaillances). De telles combinaisons (une panne permanente et une nouvelle panne) peuvent provoquer un dysfonctionnement même des circuits de catégorie 3.

                                                                                                                                                                                                Malgré ces tactiques, il est possible que deux pannes indépendantes se produisent en même temps dans le même cycle machine. Ce n'est que très improbable, surtout si des composants hautement fiables ont été utilisés. Pour les applications à très haut risque, trois sous-canaux ou plus doivent être utilisés. Cette philosophie est basée sur le fait que le temps moyen entre les pannes est beaucoup plus long que le cycle de la machine.

                                                                                                                                                                                                Cela ne signifie pas, cependant, que le tableau ne peut pas être développé davantage. Le Tableau 1 est fondamentalement et structurellement très similaire au Tableau 2 utilisé dans l'EN 954-1. Cependant, il n'essaie pas d'inclure trop de critères de tri. Les exigences sont définies selon les lois rigoureuses de la logique, de sorte que seules des réponses claires (OUI ou NON) peuvent être attendues. Cela permet une évaluation, un tri et une classification plus précis des circuits soumis (canaux liés à la sécurité) et, enfin et surtout, une amélioration significative de la reproductibilité de l'évaluation.

                                                                                                                                                                                                L'idéal serait que les risques puissent être classés en différents niveaux de risque, puis qu'un lien précis soit établi entre les niveaux de risque et les catégories, le tout indépendamment de la technologie utilisée. Cependant, ce n'est pas tout à fait possible. Peu de temps après la création des catégories, il est devenu clair que même avec la même technologie, diverses questions n'avaient pas suffisamment de réponses. Quel est le meilleur : un composant de catégorie 1 très fiable et bien conçu, ou un système répondant aux exigences de la catégorie 3 avec une faible fiabilité ?

                                                                                                                                                                                                Pour expliquer ce dilemme, il faut distinguer deux qualités : la fiabilité et la sécurité (contre les pannes). Ils ne sont pas comparables, car ces deux qualités ont des caractéristiques différentes :

                                                                                                                                                                                                • Le composant le plus fiable a la caractéristique désagréable qu'en cas de panne (même hautement improbable), la fonction cessera de fonctionner.
                                                                                                                                                                                                • Les systèmes de catégorie 3, où même en cas de panne, la fonction sera exécutée, ne sont pas à l'abri de deux pannes en même temps (ce qui peut être important, c'est de savoir si des composants suffisamment fiables ont été utilisés).

                                                                                                                                                                                                Compte tenu de ce qui précède, il se peut que la meilleure solution (du point de vue du risque élevé) soit d'utiliser des composants hautement fiables et de les configurer de sorte que le circuit soit protégé contre au moins une panne (de préférence plus). Il est clair qu'une telle solution n'est pas la plus économique. En pratique, le processus d'optimisation est principalement la conséquence de toutes ces influences et considérations.

                                                                                                                                                                                                L'expérience de l'utilisation pratique des catégories montre qu'il est rarement possible de concevoir un système de contrôle qui ne peut utiliser qu'une seule catégorie dans l'ensemble. La combinaison de deux ou même trois parties, chacune d'une catégorie différente, est typique, comme illustré dans l'exemple suivant :

                                                                                                                                                                                                De nombreuses barrières immatérielles de sécurité sont conçues dans la catégorie 4, dans laquelle un canal fonctionne avec un signal dynamique. À la fin de ce système, il y a généralement deux sous-canaux supervisés mutuellement qui fonctionnent avec des signaux statiques. (Cela répond aux exigences de la catégorie 3.)

                                                                                                                                                                                                Selon EN 50100, ces barrières lumineuses sont classées comme Dispositifs de protection électrosensibles de type 4, bien qu'ils soient composés de deux parties. Malheureusement, il n'y a pas d'accord sur la dénomination des systèmes de contrôle constitués de deux parties ou plus, chaque partie appartenant à une autre catégorie.

                                                                                                                                                                                                Systèmes électroniques programmables (PES)

                                                                                                                                                                                                Les principes utilisés pour créer le tableau 1 peuvent, avec certaines restrictions bien sûr, être généralement appliqués également aux SPE.

                                                                                                                                                                                                Système PES uniquement

                                                                                                                                                                                                Lors de l'utilisation des PES pour le contrôle, les informations sont transférées du capteur à l'activateur via un grand nombre de composants. Au-delà, il passe même « par » un logiciel. (Voir figure 12).

                                                                                                                                                                                                Figure 12. Un circuit du système PES

                                                                                                                                                                                                SAF62F14

                                                                                                                                                                                                Bien que les PES modernes soient très fiables, la fiabilité n'est pas aussi élevée que celle requise pour le traitement des fonctions de sécurité. Au-delà de cela, les systèmes PES habituels ne sont pas suffisamment sûrs, car ils n'assureront pas la fonction liée à la sécurité en cas de panne. Par conséquent, l'utilisation de PES pour le traitement de fonctions de sécurité sans aucune mesure supplémentaire n'est pas autorisée.

                                                                                                                                                                                                Applications à très faible risque : systèmes avec un PES et des mesures supplémentaires

                                                                                                                                                                                                Lors de l'utilisation d'un seul PES pour le contrôle, le système se compose des parties principales suivantes :

                                                                                                                                                                                                Partie d'entrée

                                                                                                                                                                                                La fiabilité d'un capteur et l'entrée d'un PES peuvent être améliorées en les doublant. Une telle configuration d'entrée à double système peut être en outre supervisée par un logiciel pour vérifier si les deux sous-systèmes fournissent les mêmes informations. Ainsi, les défaillances dans la partie d'entrée peuvent être détectées. C'est presque la même philosophie que celle requise pour la catégorie 3. Cependant, comme la supervision est effectuée par logiciel et une seule fois, cela peut être dénommé 3- (ou pas aussi fiable que 3).

                                                                                                                                                                                                Partie centrale

                                                                                                                                                                                                Bien que cette partie ne puisse pas être bien doublée, elle peut être testée. Lors de la mise sous tension (ou pendant le fonctionnement), une vérification de l'ensemble du jeu d'instructions peut être effectuée. Aux mêmes intervalles, la mémoire peut également être vérifiée par des modèles de bits appropriés. Si de telles vérifications sont effectuées sans échec, les deux parties, CPU et mémoire, fonctionnent évidemment correctement. La partie centrale présente certaines caractéristiques typiques de la catégorie 4 (signal dynamique) et d'autres typiques de la catégorie 2 (tests effectués régulièrement à des intervalles appropriés). Le problème est que ces tests, malgré leur ampleur, ne peuvent pas être vraiment complets, car le système à un seul PSE ne les permet pas par nature.

                                                                                                                                                                                                Partie sortie

                                                                                                                                                                                                Semblable à une entrée, la sortie (y compris les activateurs) peut également être doublée. Les deux sous-systèmes peuvent être supervisés par rapport au même résultat. Les pannes seront détectées et la fonction de sécurité sera exécutée. Cependant, on retrouve les mêmes points faibles que dans la partie input. Par conséquent, la catégorie 3 est choisie dans ce cas.

                                                                                                                                                                                                Dans la figure 13 la même fonction est apportée aux relais A et B. Les contacts de contrôle a et b, informe ensuite deux systèmes d'entrée si les deux relais effectuent le même travail (sauf si une panne s'est produite dans l'un des canaux). La supervision est refaite par logiciel.

                                                                                                                                                                                                Figure 13. Un circuit PES avec un système de détection de panne

                                                                                                                                                                                                SAF62F13

                                                                                                                                                                                                L'ensemble du système peut être décrit comme catégorie 3-/4/2/3- s'il est correctement et largement réalisé. Néanmoins, les points faibles de tels systèmes tels que décrits ci-dessus ne peuvent pas être totalement éliminés. En fait, les SPE améliorés ne sont effectivement utilisés pour des fonctions liées à la sécurité que là où les risques sont plutôt faibles (Hölscher et Rader 1984).

                                                                                                                                                                                                Applications à faible et moyen risque avec un seul PES

                                                                                                                                                                                                Aujourd'hui, presque toutes les machines sont équipées d'une unité de commande PES. Pour résoudre le problème de fiabilité insuffisante et de sécurité généralement insuffisante contre les défaillances, les méthodes de conception suivantes sont couramment utilisées :

                                                                                                                                                                                                • Dans des machines relativement simples comme les ascenseurs, les fonctions sont divisées en deux groupes : (1) les fonctions qui ne sont pas liées à la sécurité sont traitées par le PES ; (2) les fonctions relatives à la sécurité sont regroupées dans une chaîne (circuit de sécurité) et traitées en dehors du PES (voir figure 14).

                                                                                                                                                                                                 

                                                                                                                                                                                                Figure 14. État de l'art pour la catégorie d'arrêt 0

                                                                                                                                                                                                SAF62F15

                                                                                                                                                                                                • La méthode donnée ci-dessus n'est pas adaptée aux machines plus complexes. L'une des raisons est que ces solutions ne sont généralement pas suffisamment sûres. Pour les applications à risque moyen, les solutions doivent satisfaire aux exigences de la catégorie 3. Des idées générales sur l'apparence de telles conceptions sont présentées dans les figures 15 et 16.

                                                                                                                                                                                                 

                                                                                                                                                                                                Figure 15. État de l'art pour la catégorie d'arrêt 1

                                                                                                                                                                                                SAF62F16

                                                                                                                                                                                                 

                                                                                                                                                                                                Figure 16. État de l'art pour la catégorie d'arrêt 2

                                                                                                                                                                                                SAF62F17

                                                                                                                                                                                                Applications à haut risque : systèmes avec deux (ou plus) PES

                                                                                                                                                                                                Outre la complexité et les dépenses, aucun autre facteur n'empêcherait les concepteurs d'utiliser des systèmes PES entièrement doublés tels que Siemens Simatic S5-115F, 3B6 Typ CAR-MIL, etc. Ceux-ci incluent généralement deux PES identiques avec un logiciel homogène, et supposent l'utilisation de PES "bien éprouvés" et de compilateurs "bien éprouvés" (un PES ou un compilateur éprouvé peut être considéré comme celui qui, dans de nombreuses applications pratiques, sur 3 ans ou plus a montré que les défaillances systématiques ont été évidemment éliminées). Bien que ces systèmes PSE doublés n'aient pas les points faibles des systèmes PSE simples, cela ne signifie pas que les systèmes PSE doublés résolvent tous les problèmes. (Voir figure 17).

                                                                                                                                                                                                Figure 17. Système sophistiqué avec deux SPE

                                                                                                                                                                                                SAF62F18

                                                                                                                                                                                                Échecs systématiques

                                                                                                                                                                                                Les défaillances systématiques peuvent résulter d'erreurs dans les spécifications, la conception et d'autres causes, et peuvent être présentes aussi bien dans le matériel que dans les logiciels. Les systèmes à double PES conviennent à une utilisation dans des applications liées à la sécurité. De telles configurations permettent la détection de pannes matérielles aléatoires. Grâce à la diversité du matériel, comme l'utilisation de deux types différents ou de produits de deux fabricants différents, des défaillances matérielles systématiques pourraient être révélées (il est très peu probable qu'une défaillance systématique matérielle identique se produise dans les deux SPE).

                                                                                                                                                                                                Logiciels

                                                                                                                                                                                                Le logiciel est un nouvel élément dans les considérations de sécurité. Le logiciel est soit correct, soit incorrect (en ce qui concerne les pannes). Une fois correct, le logiciel ne peut pas devenir instantanément incorrect (par rapport au matériel). Les objectifs sont d'éradiquer toutes les erreurs du logiciel ou au moins de les identifier.

                                                                                                                                                                                                Il existe différentes manières d'atteindre cet objectif. L'un est le vérification du programme (une deuxième personne tente de découvrir les erreurs lors d'un test ultérieur). Une autre possibilité est culturelle du logiciel, dans lequel deux programmes différents, écrits par deux programmeurs, traitent le même problème. Si les résultats sont identiques (dans certaines limites), on peut supposer que les deux sections de programme sont correctes. Si les résultats sont différents, il est présumé que des erreurs sont présentes. (NB, Le architecture du matériel doit naturellement aussi être pris en compte.)

                                                                                                                                                                                                Résumé

                                                                                                                                                                                                Lors de l'utilisation de PES, les mêmes considérations de base suivantes doivent généralement être prises en compte (comme décrit dans les sections précédentes).

                                                                                                                                                                                                • Un système de contrôle sans aucune redondance peut être attribué à la catégorie B. Un système de contrôle avec des mesures supplémentaires peut être de catégorie 1 ou même supérieure, mais pas supérieure à 2.
                                                                                                                                                                                                • Un système de contrôle en deux parties avec comparaison mutuelle des résultats peut être attribué à la catégorie 3. Un système de contrôle en deux parties avec comparaison mutuelle des résultats et plus ou moins de diversité peut être attribué à la catégorie 3 et convient aux applications à haut risque.

                                                                                                                                                                                                Un nouveau facteur est que pour le système avec un PES, même le logiciel doit être évalué du point de vue de l'exactitude. Le logiciel, s'il est correct, est fiable à 100 %. A ce stade de développement technologique, les meilleures solutions techniques possibles et connues ne seront probablement pas utilisées, les facteurs limitants étant encore économiques. En outre, divers groupes d'experts continuent de développer les normes pour les applications de sécurité des PES (par exemple, EC, EWICS). Bien qu'il existe déjà différentes normes (VDE0801, IEC65A, etc.), cette question est si vaste et complexe qu'aucune d'entre elles ne peut être considérée comme définitive.

                                                                                                                                                                                                 

                                                                                                                                                                                                Retour

                                                                                                                                                                                                Chaque fois que des équipements de production simples et conventionnels, tels que des machines-outils, sont automatisés, il en résulte des systèmes techniques complexes ainsi que de nouveaux risques. Cette automatisation est réalisée grâce à l'utilisation de systèmes de commande numérique par ordinateur (CNC) sur des machines-outils, appelées Machines-outils CNC (par exemple, fraiseuses, centres d'usinage, perceuses et meuleuses). Afin de pouvoir identifier les dangers potentiels inhérents aux outils automatiques, il convient d'analyser les différents modes de fonctionnement de chaque système. Les analyses menées antérieurement indiquent qu'il convient de différencier deux types de fonctionnement : le fonctionnement normal et le fonctionnement spécial.

                                                                                                                                                                                                Il est souvent impossible de prescrire les exigences de sécurité pour les machines-outils à commande numérique sous la forme de mesures spécifiques. C'est peut-être parce qu'il existe trop peu de réglementations et de normes spécifiques aux équipements qui apportent des solutions concrètes. Les exigences de sécurité ne peuvent être déterminées que si les dangers éventuels sont systématiquement identifiés par une analyse des dangers, en particulier si ces systèmes techniques complexes sont équipés de systèmes de commande librement programmables (comme pour les machines-outils à commande numérique).

                                                                                                                                                                                                Dans le cas de machines-outils à commande numérique nouvellement développées, le fabricant est tenu d'effectuer une analyse des risques sur l'équipement afin d'identifier les dangers éventuellement présents et de montrer au moyen de solutions constructives que tous les dangers pour les personnes, dans tous les différents modes de fonctionnement, sont éliminés. Tous les dangers identifiés doivent faire l'objet d'une évaluation des risques dans laquelle chaque risque d'événement dépend de l'étendue des dommages et de la fréquence à laquelle ils peuvent se produire. Le danger à évaluer est également classé dans une catégorie de risque (minimisé, normal, accru). Lorsque le risque ne peut être accepté sur la base de l'évaluation des risques, des solutions (mesures de sécurité) doivent être trouvées. Le but de ces solutions est de réduire la fréquence d'occurrence et l'étendue des dommages d'un incident imprévu et potentiellement dangereux (un « événement »).

                                                                                                                                                                                                Les approches de solutions pour les risques normaux et accrus se trouvent dans la technologie de sécurité indirecte et directe ; pour des risques minimisés, on les trouve dans la technologie de sécurité de référence :

                                                                                                                                                                                                • Technologie de sécurité directe. Des précautions sont prises à l'étape de conception pour éliminer tout danger (par exemple, l'élimination des points de cisaillement et de piégeage).
                                                                                                                                                                                                • Technologie de sécurité indirecte. Le danger demeure. Cependant, l'ajout de dispositifs techniques empêche le danger de se transformer en événement (par exemple, de tels dispositifs peuvent inclure la prévention de l'accès aux pièces mobiles dangereuses au moyen de capots de sécurité physiques, la mise à disposition de dispositifs de sécurité qui coupent l'alimentation, la protection contre le vol pièces à l'aide de gardes de sécurité, etc.).
                                                                                                                                                                                                • Technologie de sécurité de référence. Cela ne s'applique qu'aux dangers résiduels et aux risques minimisés, c'est-à-dire aux dangers qui peuvent entraîner un événement en raison de facteurs humains. L'apparition d'un tel événement peut être évitée par un comportement approprié de la part de la personne concernée (par exemple, des instructions sur le comportement dans les manuels d'exploitation et de maintenance, la formation du personnel, etc.).

                                                                                                                                                                                                 

                                                                                                                                                                                                Exigences de sécurité internationales

                                                                                                                                                                                                La directive CE sur les machines (89/392/CEE) de 1989 définit les principales exigences de sécurité et de santé pour les machines. (Conformément à la directive Machines, une machine est considérée comme la somme totale de pièces ou d'appareils interconnectés, dont au moins un peut se déplacer et a donc une fonction.) En outre, des normes individuelles sont créées par des organismes de normalisation internationaux pour illustrer d'éventuelles solutions (par exemple, en s'occupant des aspects fondamentaux de la sécurité ou en examinant les équipements électriques équipant les machines industrielles). L'objectif de ces normes est de préciser les objectifs de protection. Ces exigences de sécurité internationales donnent aux fabricants la base juridique nécessaire pour spécifier ces exigences dans les analyses des dangers et les évaluations des risques susmentionnées.

                                                                                                                                                                                                Modes de fonctionnement

                                                                                                                                                                                                Lors de l'utilisation de machines-outils, une distinction est faite entre le fonctionnement normal et le fonctionnement spécial. Les statistiques et enquêtes indiquent que la majorité des incidents et accidents n'ont pas lieu en fonctionnement normal (c'est-à-dire lors de l'exécution automatique de la mission concernée). Avec ces types de machines et d'installations, l'accent est mis sur des modes de fonctionnement spéciaux tels que la mise en service, le réglage, la programmation, les essais, les vérifications, le dépannage ou la maintenance. Dans ces modes de fonctionnement, les personnes se trouvent généralement dans une zone dangereuse. Le concept de sécurité doit protéger le personnel des événements nuisibles dans ce type de situations.

                                                                                                                                                                                                Fonctionnement normal

                                                                                                                                                                                                Ce qui suit s'applique aux machines automatiques en fonctionnement normal : (1) la machine remplit la mission pour laquelle elle a été conçue et construite sans autre intervention de l'opérateur, et (2) appliquée à un simple tour, cela signifie qu'un la pièce est tournée dans la bonne forme et des copeaux sont produits. Si la pièce est changée manuellement, le changement de pièce est un mode de fonctionnement spécial.

                                                                                                                                                                                                Modes de fonctionnement spéciaux

                                                                                                                                                                                                Les modes de fonctionnement spéciaux sont des processus de travail qui permettent un fonctionnement normal. Sous cette rubrique, par exemple, on inclurait les changements de pièces ou d'outils, la correction d'un défaut dans un processus de production, la correction d'un défaut de machine, le réglage, la programmation, les essais, le nettoyage et l'entretien. En fonctionnement normal, les systèmes automatiques remplissent leurs missions de manière autonome. Du point de vue de la sécurité du travail, cependant, le fonctionnement normal automatique devient critique lorsque l'opérateur doit intervenir dans les processus de travail. Les personnes intervenant dans ces processus ne doivent en aucun cas être exposées à des dangers.

                                                                                                                                                                                                personnel

                                                                                                                                                                                                Lors de la protection des machines-outils, il faut tenir compte des personnes travaillant dans les différents modes de fonctionnement ainsi que des tiers. Les tiers comprennent également ceux qui sont indirectement concernés par la machine, tels que les superviseurs, les inspecteurs, les assistants pour le transport du matériel et les travaux de démontage, les visiteurs et autres.

                                                                                                                                                                                                Exigences et mesures de sécurité pour les accessoires de machines

                                                                                                                                                                                                Les interventions pour les travaux dans des modes de fonctionnement spéciaux signifient que des accessoires spéciaux doivent être utilisés pour garantir que le travail peut être effectué en toute sécurité. Le premier type Les accessoires comprennent les équipements et les éléments permettant d'intervenir dans le processus automatique sans que l'opérateur n'ait à accéder à une zone dangereuse. Ce type d'accessoire comprend (1) des crochets et des pinces à copeaux qui ont été conçus de manière à ce que les copeaux dans la zone d'usinage puissent être retirés ou retirés à travers les ouvertures prévues dans les protections de sécurité, et (2) des dispositifs de serrage de la pièce avec lesquels le matériau de production peut être inséré ou retiré manuellement d'un cycle automatique

                                                                                                                                                                                                Divers modes de fonctionnement particuliers, par exemple des travaux de correction ou des travaux de maintenance, obligent le personnel à intervenir sur un système. Dans ces cas également, il existe toute une gamme d'accessoires de machine conçus pour augmenter la sécurité du travail, par exemple des dispositifs pour manipuler les meules lourdes lors du changement de celles-ci sur les meuleuses, ainsi que des élingues de grue spéciales pour le démontage ou le montage de composants lourds lors de les machines sont révisées. Ces appareils sont les deuxième type d'accessoire de machine pour augmenter la sécurité pendant le travail dans des opérations spéciales. Les systèmes de contrôle de fonctionnement spéciaux peuvent également être considérés comme représentant un deuxième type d'accessoire de machine. Des activités particulières peuvent être réalisées en toute sécurité avec de tels accessoires, par exemple, un dispositif peut être mis en place dans les axes de la machine lorsque des mouvements d'avance sont nécessaires avec les protecteurs ouverts.

                                                                                                                                                                                                Ces systèmes de commande de fonctionnement spéciaux doivent répondre à des exigences de sécurité particulières. Par exemple, ils doivent s'assurer que seul le mouvement demandé est effectué de la manière demandée et uniquement pendant la durée demandée. Le système de commande de fonctionnement spécial doit donc être conçu de manière à éviter que toute action erronée ne se transforme en mouvements ou états dangereux.

                                                                                                                                                                                                Un équipement qui augmente le degré d'automatisation d'une installation peut être considéré comme un troisième type d'accessoire de machine pour augmenter la sécurité de travail. Des actions qui étaient auparavant effectuées manuellement sont effectuées automatiquement par la machine en fonctionnement normal, comme les équipements dont les chargeurs portiques, qui changent automatiquement les pièces sur les machines-outils. La sauvegarde du fonctionnement normal automatique pose peu de problèmes parce que l'intervention d'un opérateur au cours des événements est inutile et parce que d'éventuelles interventions peuvent être empêchées par des dispositifs de sécurité.

                                                                                                                                                                                                Exigences et mesures de sécurité pour l'automatisation des machines-outils

                                                                                                                                                                                                Malheureusement, l'automatisation n'a pas permis d'éliminer les accidents dans les usines de production. Les enquêtes montrent simplement un déplacement de la survenance des accidents du fonctionnement normal vers le fonctionnement spécial, principalement dû à l'automatisation du fonctionnement normal de sorte que les interventions en cours de production ne sont plus nécessaires et que le personnel n'est donc plus exposé au danger. D'autre part, les machines hautement automatiques sont des systèmes complexes qui sont difficiles à évaluer lorsque des défauts surviennent. Même les spécialistes chargés de remédier aux pannes ne sont pas toujours en mesure de le faire sans encourir d'accidents. La quantité de logiciels nécessaires pour faire fonctionner des machines de plus en plus complexes augmente en volume et en complexité, avec pour résultat qu'un nombre croissant d'ingénieurs électriciens et de mise en service sont victimes d'accidents. Il n'y a pas de logiciel parfait, et les changements de logiciel entraînent souvent des changements ailleurs qui n'étaient ni attendus ni souhaités. Afin d'éviter que la sécurité ne soit affectée, un comportement défectueux dangereux causé par une influence externe et des défaillances de composants ne doit pas être possible. Cette condition ne peut être remplie que si le circuit de sécurité est conçu le plus simplement possible et séparé du reste des commandes. Les éléments ou sous-ensembles utilisés dans le circuit de sécurité doivent également être à sécurité intégrée.

                                                                                                                                                                                                Il incombe au concepteur de développer des conceptions qui satisfont aux exigences de sécurité. Le concepteur ne peut éviter d'avoir à considérer avec le plus grand soin les procédures de travail nécessaires, y compris les modes de fonctionnement particuliers. Des analyses doivent être faites pour déterminer quelles procédures de travail sécuritaires sont nécessaires et le personnel d'exploitation doit se familiariser avec celles-ci. Dans la majorité des cas, un système de contrôle pour un fonctionnement spécial sera nécessaire. Le système de contrôle observe ou régule généralement un mouvement, alors qu'en même temps, aucun autre mouvement ne doit être initié (car aucun autre mouvement n'est nécessaire pour ce travail, et donc aucun n'est attendu par l'opérateur). Le système de commande ne doit pas nécessairement effectuer les mêmes missions dans les différents modes de fonctionnement particuliers.

                                                                                                                                                                                                Exigences et mesures de sécurité en modes de fonctionnement normal et spécial

                                                                                                                                                                                                Fonctionnement normal

                                                                                                                                                                                                La spécification d'objectifs de sécurité ne doit pas entraver le progrès technique car des solutions adaptées peuvent être sélectionnées. L'utilisation de machines-outils à commande numérique impose des exigences maximales en matière d'analyse des risques, d'évaluation des risques et de concepts de sécurité. Ce qui suit décrit plus en détail plusieurs objectifs de sécurité et solutions possibles.

                                                                                                                                                                                                Objectif de sécurité

                                                                                                                                                                                                • L'accès manuel ou physique aux zones dangereuses lors des mouvements automatiques doit être interdit.

                                                                                                                                                                                                 

                                                                                                                                                                                                Solutions possibles

                                                                                                                                                                                                • Empêcher l'accès manuel ou physique aux zones dangereuses au moyen de barrières mécaniques.
                                                                                                                                                                                                • Prévoir des dispositifs de sécurité qui réagissent à l'approche (barrières lumineuses, tapis de sécurité) et éteindre les machines en toute sécurité lors des interventions ou de l'entrée.
                                                                                                                                                                                                • Autoriser l'accès manuel ou physique aux machines (ou à leur voisinage) uniquement lorsque l'ensemble du système est dans un état sûr (par exemple, en utilisant des dispositifs de verrouillage avec des mécanismes de fermeture sur les portes d'accès).

                                                                                                                                                                                                 

                                                                                                                                                                                                Objectif de sécurité

                                                                                                                                                                                                • La possibilité que des personnes soient blessées à la suite de la libération d'énergie (pièces volantes ou faisceaux d'énergie) doit être éliminée.

                                                                                                                                                                                                 

                                                                                                                                                                                                Solution possible

                                                                                                                                                                                                • Empêcher le dégagement d'énergie de la zone dangereuse, par exemple par un capot de sécurité dimensionné en conséquence.

                                                                                                                                                                                                 

                                                                                                                                                                                                Opération spéciale

                                                                                                                                                                                                Les interfaces entre le fonctionnement normal et le fonctionnement spécial (par exemple, dispositifs de verrouillage de porte, barrières lumineuses, tapis de sécurité) sont nécessaires pour permettre au système de contrôle de sécurité de reconnaître automatiquement la présence de personnel. Ce qui suit décrit certains modes de fonctionnement spéciaux (par exemple, réglage, programmation) sur les machines-outils à commande numérique qui nécessitent des mouvements qui doivent être évalués directement sur le site d'utilisation.

                                                                                                                                                                                                Objectifs de sécurité

                                                                                                                                                                                                • Les déplacements ne doivent avoir lieu que de manière à ne pas constituer un danger pour les personnes concernées. Ces mouvements doivent être exécutés uniquement dans le style et la vitesse prévus et poursuivis uniquement aussi longtemps que cela est indiqué.
                                                                                                                                                                                                • Ils ne doivent être tentés que s'il peut être garanti qu'aucune partie du corps humain ne se trouve dans la zone de danger.

                                                                                                                                                                                                 

                                                                                                                                                                                                Solution possible

                                                                                                                                                                                                • Installez des systèmes de contrôle de fonctionnement spéciaux qui permettent uniquement des mouvements contrôlables et gérables à l'aide d'une commande du bout des doigts via des boutons-poussoirs de type "acquittement". La vitesse des mouvements est ainsi réduite en toute sécurité (à condition que l'énergie ait été réduite au moyen d'un transformateur d'isolement ou d'un équipement de surveillance similaire).

                                                                                                                                                                                                 

                                                                                                                                                                                                Exigences sur les systèmes de contrôle de sécurité

                                                                                                                                                                                                L'une des caractéristiques d'un système de contrôle de sécurité doit être que la fonction de sécurité soit garantie de fonctionner chaque fois qu'un défaut survient afin de diriger les processus d'un état dangereux vers un état sûr.

                                                                                                                                                                                                Objectifs de sécurité

                                                                                                                                                                                                • Un défaut dans le système de contrôle de sécurité ne doit pas déclencher un état dangereux.
                                                                                                                                                                                                • Un défaut dans le système de contrôle de sécurité doit être identifié (immédiatement ou périodiquement).

                                                                                                                                                                                                 

                                                                                                                                                                                                Solutions possibles

                                                                                                                                                                                                • Mettre en place une disposition redondante et diversifiée des systèmes de contrôle électromécaniques, y compris les circuits de test.
                                                                                                                                                                                                • Mettre en place une configuration redondante et diversifiée de systèmes de contrôle à microprocesseur développés par différentes équipes. Cette approche est considérée comme l'état de l'art, par exemple, dans le cas des barrières immatérielles de sécurité.

                                                                                                                                                                                                 

                                                                                                                                                                                                Conclusion

                                                                                                                                                                                                Il est évident que la tendance croissante des accidents dans les modes d'exploitation normaux et spéciaux ne peut être stoppée sans un concept de sécurité clair et sans équivoque. Ce fait doit être pris en compte lors de la préparation des règlements et directives de sécurité. De nouvelles lignes directrices sous la forme d'objectifs de sécurité sont nécessaires pour permettre des solutions avancées. Cet objectif permet aux concepteurs de choisir la solution optimale pour un cas spécifique tout en démontrant les caractéristiques de sécurité de leurs machines de manière assez simple en décrivant une solution à chaque objectif de sécurité. Cette solution peut alors être comparée à d'autres solutions existantes et acceptées, et si elle est meilleure ou au moins de valeur égale, une nouvelle solution peut alors être choisie. De cette manière, les progrès ne sont pas entravés par des réglementations étroitement formulées.


                                                                                                                                                                                                Principales caractéristiques de la directive CEE sur les machines

                                                                                                                                                                                                La directive du Conseil du 14 juin 1989 concernant le rapprochement des législations des États membres relatives aux machines (89/392/CEE) s'applique à chaque État.

                                                                                                                                                                                                • Chaque État doit intégrer la directive dans sa législation.
                                                                                                                                                                                                • Valable à partir du 1er janvier 1993.
                                                                                                                                                                                                • Exige que tous les fabricants adhèrent à l'état de l'art.
                                                                                                                                                                                                • Le fabricant doit produire un dossier technique de construction contenant des informations complètes sur tous les aspects fondamentaux de la sécurité et des soins de santé.
                                                                                                                                                                                                • Le fabricant doit délivrer la déclaration de conformité et le marquage CE des machines.
                                                                                                                                                                                                • Le fait de ne pas mettre une documentation technique complète à la disposition d'un centre de contrôle de l'État est considéré comme représentant le non-respect des directives de la machine. Une interdiction de vente pan-CEE pourrait en être la conséquence.

                                                                                                                                                                                                 

                                                                                                                                                                                                Objectifs de sécurité pour la construction et l'utilisation de machines-outils à commande numérique

                                                                                                                                                                                                1. Tours

                                                                                                                                                                                                1.1 Mode de fonctionnement normal

                                                                                                                                                                                                1.1.1 La zone de travail doit être sécurisée de manière à ce qu'il soit impossible d'atteindre ou d'entrer dans les zones dangereuses des mouvements automatiques, intentionnellement ou non.

                                                                                                                                                                                                1.1.2 Le magasin d'outils doit être protégé de manière à ce qu'il soit impossible d'atteindre ou d'entrer dans les zones dangereuses des mouvements automatiques, intentionnellement ou non.

                                                                                                                                                                                                1.1.3 Le magasin de pièces doit être protégé de manière à ce qu'il soit impossible d'atteindre ou d'entrer dans les zones dangereuses des mouvements automatiques, intentionnellement ou non.

                                                                                                                                                                                                1.1.4 L'enlèvement des copeaux ne doit pas entraîner de blessures corporelles dues aux copeaux ou aux pièces mobiles de la machine.

                                                                                                                                                                                                1.1.5 Les blessures corporelles résultant de l'accès aux systèmes d'entraînement doivent être évitées.

                                                                                                                                                                                                1.1.6 La possibilité d'accéder aux zones dangereuses des convoyeurs à copeaux en mouvement doit être évitée.

                                                                                                                                                                                                1.1.7 Aucune blessure personnelle aux opérateurs ou à des tiers ne doit résulter du vol de pièces ou de parties de celles-ci.

                                                                                                                                                                                                Par exemple, cela peut se produire

                                                                                                                                                                                                • en raison d'un serrage insuffisant
                                                                                                                                                                                                • en raison d'une force de coupe inadmissible
                                                                                                                                                                                                • en raison d'une vitesse de rotation inadmissible
                                                                                                                                                                                                • en raison d'une collision avec l'outil ou les pièces de la machine
                                                                                                                                                                                                • en raison de la rupture de la pièce
                                                                                                                                                                                                • en raison de dispositifs de serrage défectueux
                                                                                                                                                                                                • en raison d'une panne de courant

                                                                                                                                                                                                 

                                                                                                                                                                                                1.1.8 Aucune blessure ne doit résulter du vol des dispositifs de serrage de la pièce.

                                                                                                                                                                                                1.1.9 Aucune blessure personnelle ne doit résulter de copeaux volants.

                                                                                                                                                                                                1.1.10 Aucune blessure personnelle ne doit résulter d'outils volants ou de pièces de ceux-ci.

                                                                                                                                                                                                Par exemple, cela peut se produire

                                                                                                                                                                                                • en raison de défauts matériels
                                                                                                                                                                                                • en raison d'une force de coupe inadmissible
                                                                                                                                                                                                • en raison d'une collision avec la pièce à usiner ou une partie de la machine
                                                                                                                                                                                                • en raison d'un serrage ou d'un serrage inadéquat

                                                                                                                                                                                                 

                                                                                                                                                                                                1.2 Modes de fonctionnement spéciaux

                                                                                                                                                                                                1.2.1 Changement de pièce.

                                                                                                                                                                                                1.2.1.1 Le serrage de la pièce à usiner doit être effectué de manière à ce qu'aucune partie du corps ne puisse se coincer entre les dispositifs de serrage de fermeture et la pièce à usiner ou entre la pointe du manchon d'avance et la pièce à usiner.

                                                                                                                                                                                                1.2.1.2 Le démarrage d'un entraînement (broches, axes, manchons, têtes tourelles ou convoyeurs à copeaux) à la suite d'une commande défectueuse ou d'une commande invalide doit être empêché.

                                                                                                                                                                                                1.2.1.3 La pièce doit pouvoir être manipulée manuellement ou avec des outils sans danger.

                                                                                                                                                                                                1.2.2 Changement d'outil dans le porte-outil ou la tête de tourelle d'outil.

                                                                                                                                                                                                1.2.2.1 Tout danger résultant d'un comportement défectueux du système ou dû à la saisie d'une commande invalide doit être évité.

                                                                                                                                                                                                1.2.3 Changement d'outil dans le magasin d'outils.

                                                                                                                                                                                                1.2.3.1 Les mouvements dans le magasin d'outils résultant d'une commande défectueuse ou invalide doivent être empêchés pendant le changement d'outil.

                                                                                                                                                                                                1.2.3.2 Il ne doit pas être possible d'accéder à d'autres pièces mobiles de la machine depuis la station de chargement des outils.

                                                                                                                                                                                                1.2.3.3 Il ne doit pas être possible d'atteindre les zones dangereuses lors de la poursuite du mouvement du magasin d'outils ou pendant la recherche. S'ils ont lieu avec les protections pour le mode de fonctionnement normal retirées, ces mouvements ne peuvent être que du type désigné et ne peuvent être effectués que pendant la période de temps ordonnée et uniquement lorsqu'il peut être garanti qu'aucune partie du corps ne se trouve dans ces zones dangereuses. .

                                                                                                                                                                                                1.2.4 Vérification des mesures.

                                                                                                                                                                                                1.2.4.1 L'accès à la zone de travail ne doit être possible qu'après l'arrêt de tous les mouvements.

                                                                                                                                                                                                1.2.4.2 Le démarrage d'un entraînement résultant d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.

                                                                                                                                                                                                1.2.5 Configuration.

                                                                                                                                                                                                1.2.5.1 Si des mouvements sont exécutés pendant la mise en place avec les protections pour le mode de fonctionnement normal retirées, l'opérateur doit être protégé par un autre moyen.

                                                                                                                                                                                                1.2.5.2 Aucun mouvement ou changement de mouvement dangereux ne doit être initié à la suite d'une commande défectueuse ou d'une entrée de commande invalide.

                                                                                                                                                                                                1.2.6 Programmation.

                                                                                                                                                                                                1.2.6.1 Aucun mouvement ne doit être initié pendant la programmation qui met en danger une personne dans la zone de travail.

                                                                                                                                                                                                1.2.7 Défaut de fabrication.

                                                                                                                                                                                                1.2.7.1 Le démarrage d'un variateur résultant d'une commande défectueuse sur consigne d'entrée de commande invalide doit être interdit.

                                                                                                                                                                                                1.2.7.2 Aucun mouvement ou situation dangereux ne doit être déclenché par le déplacement ou le retrait de la pièce ou des déchets.

                                                                                                                                                                                                1.2.7.3 Lorsque des mouvements doivent avoir lieu avec les protecteurs pour le mode d'exploitation normal enlevés, ces mouvements ne peuvent être que du type désigné et exécutés uniquement pendant la période de temps ordonnée et seulement s'il peut être garanti qu'aucune partie du corps se trouvent dans ces zones dangereuses.

                                                                                                                                                                                                1.2.8 Dépannage.

                                                                                                                                                                                                1.2.8.1 L'accès aux zones dangereuses des mouvements automatiques doit être interdit.

                                                                                                                                                                                                1.2.8.2 Le démarrage d'un entraînement à la suite d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.

                                                                                                                                                                                                1.2.8.3 Un mouvement de la machine lors de la manipulation de la pièce défectueuse doit être empêché.

                                                                                                                                                                                                1.2.8.4 Les blessures résultant de l'éclatement ou de la chute d'une pièce de la machine doivent être évitées.

                                                                                                                                                                                                1.2.8.5 Si, lors de la recherche de pannes, des mouvements doivent avoir lieu avec les protections pour le mode de fonctionnement normal retirées, ces mouvements ne peuvent être que du type désigné et exécutés uniquement pendant la période de temps ordonnée et uniquement lorsqu'il peut être assuré que aucune partie du corps ne se trouve dans ces zones dangereuses.

                                                                                                                                                                                                1.2.9 Dysfonctionnement et réparation de la machine.

                                                                                                                                                                                                1.2.9.1 La machine doit être empêchée de démarrer.

                                                                                                                                                                                                1.2.9.2 La manipulation des différentes parties de la machine doit être possible soit manuellement soit avec des outils sans aucun danger.

                                                                                                                                                                                                1.2.9.3 Il ne doit pas être possible de toucher les parties sous tension de la machine.

                                                                                                                                                                                                1.2.9.4 Les blessures corporelles ne doivent pas résulter de l'émission de fluides ou de fluides gazeux.

                                                                                                                                                                                                 

                                                                                                                                                                                                2. Fraiseuses

                                                                                                                                                                                                2.1 Mode de fonctionnement normal

                                                                                                                                                                                                2.1.1 La zone de travail doit être sécurisée de manière à ce qu'il soit impossible d'atteindre ou d'entrer dans les zones dangereuses des mouvements automatiques, intentionnellement ou non.

                                                                                                                                                                                                2.1.2 L'enlèvement des copeaux ne doit pas entraîner de blessures corporelles dues aux copeaux ou aux pièces mobiles de la machine.

                                                                                                                                                                                                2.1.3 Les blessures corporelles résultant de l'accès aux systèmes d'entraînement doivent être évitées.

                                                                                                                                                                                                Aucune blessure personnelle aux opérateurs ou à des tiers ne doit résulter de la projection de pièces ou de parties de celles-ci.

                                                                                                                                                                                                Par exemple, cela peut se produire

                                                                                                                                                                                                • en raison d'un serrage insuffisant
                                                                                                                                                                                                • en raison d'une force de coupe inadmissible
                                                                                                                                                                                                • en raison d'une collision avec l'outil ou les pièces de la machine
                                                                                                                                                                                                • en raison de la rupture de la pièce
                                                                                                                                                                                                • en raison de dispositifs de serrage défectueux
                                                                                                                                                                                                • en raison d'une panne de courant

                                                                                                                                                                                                 

                                                                                                                                                                                                2.1.4 Aucune blessure ne doit résulter du vol des dispositifs de serrage de la pièce.

                                                                                                                                                                                                2.1.5 Aucune blessure personnelle ne doit résulter de copeaux volants.

                                                                                                                                                                                                2.1.6 Aucune blessure personnelle ne doit résulter d'outils volants ou de pièces de ceux-ci.

                                                                                                                                                                                                Par exemple, cela peut se produire

                                                                                                                                                                                                • en raison de défauts matériels
                                                                                                                                                                                                • en raison d'une vitesse de rotation inadmissible
                                                                                                                                                                                                • en raison d'une force de coupe inadmissible
                                                                                                                                                                                                • en raison d'une collision avec une pièce à usiner ou une pièce de machine
                                                                                                                                                                                                • en raison d'un serrage ou d'un serrage inadéquat
                                                                                                                                                                                                • en raison d'une panne de courant

                                                                                                                                                                                                 

                                                                                                                                                                                                Modes de fonctionnement spéciaux

                                                                                                                                                                                                2.2.1 Changement de pièce.

                                                                                                                                                                                                2.2.1.1 Lorsque des dispositifs de serrage à moteur sont utilisés, il ne doit pas être possible que des parties du corps se coincent entre les parties de fermeture du dispositif de serrage et la pièce à usiner.

                                                                                                                                                                                                2.2.1.2 Le démarrage d'un entraînement (broche, axe) résultant d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.

                                                                                                                                                                                                2.2.1.3 La manipulation de la pièce doit être possible manuellement ou avec des outils sans aucun danger.

                                                                                                                                                                                                2.2.2 Changement d'outil.

                                                                                                                                                                                                2.2.2.1 Le démarrage d'un entraînement résultant d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.

                                                                                                                                                                                                2.2.2.2 Les doigts ne doivent pas pouvoir se coincer lors de la mise en place des outils.

                                                                                                                                                                                                2.2.3 Vérification des mesures.

                                                                                                                                                                                                2.2.3.1 L'accès à la zone de travail ne doit être possible qu'après l'arrêt de tous les mouvements.

                                                                                                                                                                                                2.2.3.2 Le démarrage d'un entraînement résultant d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.

                                                                                                                                                                                                2.2.4 Configuration.

                                                                                                                                                                                                2.2.4.1 Si des mouvements sont exécutés pendant la mise en place avec les protections pour le mode de fonctionnement normal retirées, l'opérateur doit être protégé par un autre moyen.

                                                                                                                                                                                                2.2.4.2 Aucun mouvement ou changement de mouvement dangereux ne doit être initié à la suite d'une commande défectueuse ou d'une entrée de commande invalide.

                                                                                                                                                                                                2.2.5 Programmation.

                                                                                                                                                                                                2.2.5.1 Aucun mouvement ne doit être amorcé pendant la programmation qui met en danger une personne dans la zone de travail.

                                                                                                                                                                                                2.2.6 Défaut de fabrication.

                                                                                                                                                                                                2.2.6.1 Le démarrage du variateur résultant d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.

                                                                                                                                                                                                2.2.6.2 Aucun mouvement ou situation dangereux ne doit être provoqué par le déplacement ou le retrait de la pièce ou des déchets.

                                                                                                                                                                                                2.2.6.3 Lorsque des mouvements doivent avoir lieu avec les protecteurs pour le mode d'exploitation normal enlevés, ces mouvements ne peuvent être que du type désigné et exécutés uniquement pendant la période de temps ordonnée et seulement s'il peut être garanti qu'aucune partie du corps se trouvent dans ces zones dangereuses.

                                                                                                                                                                                                2.2.7 Dépannage.

                                                                                                                                                                                                2.2.7.1 L'accès aux zones dangereuses des mouvements automatiques doit être interdit.

                                                                                                                                                                                                2.2.7.2 Le démarrage d'un entraînement à la suite d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.

                                                                                                                                                                                                2.2.7.3 Tout mouvement de la machine lors de la manipulation de la pièce défectueuse doit être empêché.

                                                                                                                                                                                                2.2.7.4 Les blessures résultant de l'éclatement ou de la chute d'une pièce de la machine doivent être évitées.

                                                                                                                                                                                                2.2.7.5 Si, lors de la recherche de pannes, des mouvements doivent avoir lieu avec les protections pour le mode de fonctionnement normal retirées, ces mouvements ne peuvent être que du type désigné et exécutés uniquement pendant la période de temps ordonnée et uniquement lorsqu'il peut être assuré que aucune partie du corps ne se trouve dans ces zones dangereuses.

                                                                                                                                                                                                2.2.8 Dysfonctionnement et réparation de la machine.

                                                                                                                                                                                                2.2.8.1 Le démarrage de la machine doit être empêché.

                                                                                                                                                                                                2.2.8.2 La manipulation des différentes parties de la machine doit être possible manuellement ou avec des outils sans aucun danger.

                                                                                                                                                                                                2.2.8.3 Il ne doit pas être possible de toucher les parties sous tension de la machine.

                                                                                                                                                                                                2.2.8.4 Les blessures corporelles ne doivent pas résulter de l'émission de fluides ou de fluides gazeux.

                                                                                                                                                                                                 

                                                                                                                                                                                                3. Centres d'usinage

                                                                                                                                                                                                3.1 Mode de fonctionnement normal

                                                                                                                                                                                                3.1.1 La zone de travail doit être sécurisée de manière à ce qu'il soit impossible d'atteindre ou d'entrer dans les zones dangereuses des mouvements automatiques, intentionnellement ou non.

                                                                                                                                                                                                3.1.2 Le magasin d'outils doit être protégé de manière à ce qu'il soit impossible d'atteindre ou d'entrer dans les zones dangereuses des mouvements automatiques.

                                                                                                                                                                                                3.1.3 Le magasin de pièces doit être sécurisé de manière à ce qu'il soit impossible d'atteindre ou d'entrer dans les zones dangereuses des mouvements automatiques.

                                                                                                                                                                                                3.1.4 L'enlèvement des copeaux ne doit pas entraîner de blessures corporelles dues aux copeaux ou aux pièces mobiles de la machine.

                                                                                                                                                                                                3.1.5 Les blessures corporelles résultant de l'accès aux systèmes d'entraînement doivent être évitées.

                                                                                                                                                                                                3.1.6 La possibilité d'accéder aux zones dangereuses des convoyeurs à copeaux en mouvement (convoyeurs à vis, etc.) doit être évitée.

                                                                                                                                                                                                3.1.7 Aucune blessure personnelle aux opérateurs ou à des tiers ne doit résulter du vol de pièces ou de parties de celles-ci.

                                                                                                                                                                                                Par exemple, cela peut se produire

                                                                                                                                                                                                • en raison d'un serrage insuffisant
                                                                                                                                                                                                • en raison d'une force de coupe inadmissible
                                                                                                                                                                                                • en raison d'une collision avec l'outil ou les pièces de la machine
                                                                                                                                                                                                • en raison de la rupture de la pièce
                                                                                                                                                                                                • en raison de dispositifs de serrage défectueux
                                                                                                                                                                                                • en raison du changement de la mauvaise pièce
                                                                                                                                                                                                • en raison d'une panne de courant

                                                                                                                                                                                                 

                                                                                                                                                                                                3.1.8 Aucune blessure ne doit résulter du vol des dispositifs de serrage de la pièce.

                                                                                                                                                                                                3.1.9 Aucune blessure personnelle ne doit résulter de copeaux volants.

                                                                                                                                                                                                3.1.10 Aucune blessure personnelle ne doit résulter d'outils volants ou de pièces de ceux-ci.

                                                                                                                                                                                                Par exemple, cela peut se produire

                                                                                                                                                                                                • en raison de défauts matériels
                                                                                                                                                                                                • en raison d'une vitesse de rotation inadmissible
                                                                                                                                                                                                • en raison d'une force de coupe inadmissible
                                                                                                                                                                                                • en raison d'une collision avec une pièce à usiner ou une pièce de machine
                                                                                                                                                                                                • en raison d'un serrage ou d'un serrage inadéquat
                                                                                                                                                                                                • en raison de l'outil qui s'envole du changeur d'outils
                                                                                                                                                                                                • en raison de la sélection du mauvais outil
                                                                                                                                                                                                • en raison d'une panne de courant

                                                                                                                                                                                                 

                                                                                                                                                                                                3.2 Modes de fonctionnement spéciaux

                                                                                                                                                                                                3.2.1 Changement de pièce.

                                                                                                                                                                                                3.2.1.1 Lorsque des dispositifs de serrage à moteur sont utilisés, il ne doit pas être possible que des parties du corps se coincent entre les parties de fermeture du dispositif de serrage et la pièce à usiner.

                                                                                                                                                                                                3.2.1.2 Le démarrage d'un entraînement résultant d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.

                                                                                                                                                                                                3.2.1.3 La pièce doit pouvoir être manipulée manuellement ou avec des outils sans aucun danger.

                                                                                                                                                                                                3.2.1.4 En cas de changement de pièces dans un poste de bridage, il ne doit pas être possible depuis cet emplacement d'atteindre ou d'entrer dans les séquences de mouvement automatique de la machine ou du magasin de pièces. Aucun mouvement ne doit être initié par la commande tant qu'une personne est présente dans la zone de bridage. L'insertion automatique de la pièce serrée dans la machine ou le magasin de pièces ne doit avoir lieu que lorsque la station de serrage est également protégée par un système de protection correspondant à celui du mode de fonctionnement normal.

                                                                                                                                                                                                3.2.2 Changement d'outil dans la broche.

                                                                                                                                                                                                3.2.2.1 Le démarrage d'un entraînement résultant d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.

                                                                                                                                                                                                3.2.2.2 Les doigts ne doivent pas pouvoir se coincer lors de la mise en place des outils.

                                                                                                                                                                                                3.2.3 Changement d'outil dans le magasin d'outils.

                                                                                                                                                                                                3.2.3.1 Les mouvements dans le magasin d'outils résultant de commandes défectueuses ou d'entrées de commande non valides doivent être empêchés pendant le changement d'outil.

                                                                                                                                                                                                3.2.3.2 Il ne doit pas être possible d'accéder à d'autres pièces mobiles de la machine depuis la station de chargement des outils.

                                                                                                                                                                                                3.2.3.3 Il ne doit pas être possible d'atteindre les zones dangereuses lors de la poursuite du mouvement du magasin d'outils ou pendant la recherche. S'ils ont lieu avec les protections pour le mode de fonctionnement normal enlevés, ces mouvements ne peuvent être que du type désigné et exécutés uniquement pendant la période de temps ordonnée et uniquement lorsqu'il peut être garanti qu'aucune partie du corps ne se trouve dans ces zones dangereuses. .

                                                                                                                                                                                                3.2.4 Vérification des mesures.

                                                                                                                                                                                                3.2.4.1 L'accès à la zone de travail ne doit être possible qu'après l'arrêt de tous les mouvements.

                                                                                                                                                                                                3.2.4.2 Le démarrage d'un entraînement résultant d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.

                                                                                                                                                                                                3.2.5 Configuration.

                                                                                                                                                                                                3.2.5.1 Si des mouvements sont exécutés pendant la mise en place avec les protections pour le mode de fonctionnement normal retirées, l'opérateur doit être protégé par un autre moyen.

                                                                                                                                                                                                3.2.5.2 Aucun mouvement ou changement de mouvement dangereux ne doit être initié à la suite d'une commande défectueuse ou d'une entrée de commande invalide.

                                                                                                                                                                                                3.2.6 Programmation.

                                                                                                                                                                                                3.2.6.1 Aucun mouvement ne doit être amorcé pendant la programmation qui met en danger une personne dans la zone de travail.

                                                                                                                                                                                                3.2.7 Défaut de fabrication.

                                                                                                                                                                                                3.2.7.1 Le démarrage d'un entraînement résultant d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.

                                                                                                                                                                                                3.2.7.2 Aucun mouvement ou situation dangereux ne doit être provoqué par le déplacement ou le retrait de la pièce ou des déchets.

                                                                                                                                                                                                3.2.7.3 Lorsque des mouvements doivent avoir lieu avec les protecteurs pour le mode d'exploitation normal enlevés, ces mouvements ne peuvent être que du type désigné et exécutés uniquement pendant la période de temps ordonnée et seulement s'il peut être garanti qu'aucune partie du corps se trouvent dans ces zones dangereuses.

                                                                                                                                                                                                3.2.8 Dépannage.

                                                                                                                                                                                                3.2.8.1 L'accès aux zones dangereuses des mouvements automatiques doit être interdit.

                                                                                                                                                                                                3.2.8.2 Le démarrage d'un entraînement à la suite d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.

                                                                                                                                                                                                3.2.8.3 Tout mouvement de la machine lors de la manipulation de la pièce défectueuse doit être empêché.

                                                                                                                                                                                                3.2.8.4 Les blessures résultant de l'éclatement ou de la chute d'une pièce de la machine doivent être évitées.

                                                                                                                                                                                                3.2.8.5 Si, lors de la recherche de pannes, des mouvements doivent avoir lieu avec les protections pour le mode de fonctionnement normal retirées, ces mouvements ne peuvent être que du type désigné et exécutés uniquement pendant la période de temps ordonnée et uniquement lorsqu'il peut être assuré que aucune partie du corps ne se trouve dans ces zones dangereuses.

                                                                                                                                                                                                3.2.9 Dysfonctionnement et réparation de la machine.

                                                                                                                                                                                                3.2.9.1 Le démarrage de la machine doit être empêché.

                                                                                                                                                                                                3.2.9.2 La manipulation des différentes parties de la machine doit être possible manuellement ou avec des outils sans aucun danger.

                                                                                                                                                                                                3.2.9.3 Il ne doit pas être possible de toucher les parties sous tension de la machine.

                                                                                                                                                                                                3.2.9.4 Les blessures corporelles ne doivent pas résulter de l'émission de fluides ou de fluides gazeux.

                                                                                                                                                                                                 

                                                                                                                                                                                                4. Rectifieuses

                                                                                                                                                                                                4.1 Mode de fonctionnement normal

                                                                                                                                                                                                4.1.1 La zone de travail doit être sécurisée de manière à ce qu'il soit impossible d'atteindre ou d'entrer dans les zones dangereuses des mouvements automatiques, intentionnellement ou non.

                                                                                                                                                                                                4.1.2 Les blessures corporelles résultant de l'accès aux systèmes d'entraînement doivent être évitées.

                                                                                                                                                                                                4.1.3 Aucune blessure personnelle aux opérateurs ou à des tiers ne doit résulter du vol de pièces ou de parties de celles-ci.

                                                                                                                                                                                                Par exemple, cela peut se produire

                                                                                                                                                                                                • en raison d'un serrage insuffisant
                                                                                                                                                                                                • en raison d'une force de coupe inadmissible
                                                                                                                                                                                                • en raison d'une vitesse de rotation inadmissible
                                                                                                                                                                                                • en raison d'une collision avec l'outil ou les pièces de la machine
                                                                                                                                                                                                • en raison de la rupture de la pièce
                                                                                                                                                                                                • en raison de dispositifs de serrage défectueux
                                                                                                                                                                                                • en raison d'une panne de courant

                                                                                                                                                                                                 

                                                                                                                                                                                                4.1.4 Aucune blessure ne doit résulter du vol des dispositifs de serrage de la pièce.

                                                                                                                                                                                                4.1.5 Aucune blessure ou incendie ne doit résulter d'étincelles.

                                                                                                                                                                                                4.1.6 Aucune blessure personnelle ne doit résulter des pièces volantes des meules.

                                                                                                                                                                                                Par exemple, cela peut se produire

                                                                                                                                                                                                • en raison d'une vitesse de rotation inadmissible
                                                                                                                                                                                                • en raison d'une force de coupe inadmissible
                                                                                                                                                                                                • en raison de défauts matériels
                                                                                                                                                                                                • en raison d'une collision avec une pièce à usiner ou une pièce de machine
                                                                                                                                                                                                • en raison d'un serrage insuffisant (brides)
                                                                                                                                                                                                • en raison de l'utilisation d'une meule incorrecte

                                                                                                                                                                                                 

                                                                                                                                                                                                Modes de fonctionnement spéciaux

                                                                                                                                                                                                4.2.1 Changement de pièce.

                                                                                                                                                                                                4.2.1.1 Lorsque des dispositifs de serrage à moteur sont utilisés, il ne doit pas être possible que des parties du corps se coincent entre les parties de fermeture du dispositif de serrage et la pièce à usiner.

                                                                                                                                                                                                4.2.1.2 Le démarrage d'un entraînement d'avance résultant d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.

                                                                                                                                                                                                4.2.1.3 Les blessures causées par la meule en rotation doivent être évitées lors de la manipulation de la pièce.

                                                                                                                                                                                                4.2.1.4 Les blessures corporelles résultant d'une meule qui éclate ne doivent pas être possibles.

                                                                                                                                                                                                4.2.1.5 La manipulation de la pièce doit être possible manuellement ou avec des outils sans aucun danger.

                                                                                                                                                                                                4.2.2 Changement d'outil (changement de meule)

                                                                                                                                                                                                4.2.2.1 Le démarrage d'un entraînement d'avance résultant d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.

                                                                                                                                                                                                4.2.2.2 Les blessures causées par la meule en rotation ne doivent pas être possibles pendant les procédures de mesure.

                                                                                                                                                                                                4.2.2.3 Les blessures corporelles résultant d'une meule qui éclate ne doivent pas être possibles.

                                                                                                                                                                                                4.2.3 Vérification des mesures.

                                                                                                                                                                                                4.2.3.1 Le démarrage d'un entraînement d'avance résultant d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.

                                                                                                                                                                                                4.2.3.2 Les blessures causées par la meule en rotation ne doivent pas être possibles pendant les procédures de mesure.

                                                                                                                                                                                                4.2.3.3 Les blessures corporelles résultant d'une meule qui éclate ne doivent pas être possibles.

                                                                                                                                                                                                4.2.4. Installer.

                                                                                                                                                                                                4.2.4.1 Si des mouvements sont exécutés pendant la mise en place avec les protections pour le mode de fonctionnement normal retirées, l'opérateur doit être protégé par un autre moyen.

                                                                                                                                                                                                4.2.4.2 Aucun mouvement ou changement de mouvement dangereux ne doit être initié à la suite d'une commande défectueuse ou d'une entrée de commande invalide.

                                                                                                                                                                                                4.2.5 Programmation.

                                                                                                                                                                                                4.2.5.1 Aucun mouvement ne doit être amorcé pendant la programmation qui met en danger une personne dans la zone de travail.

                                                                                                                                                                                                4.2.6 Défaut de fabrication.

                                                                                                                                                                                                4.2.6.1 Le démarrage d'un entraînement d'avance résultant d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.

                                                                                                                                                                                                4.2.6.2 Aucun mouvement ou situation dangereux ne doit être provoqué par le déplacement ou le retrait de la pièce ou des déchets.

                                                                                                                                                                                                4.2.6.3 Lorsque des mouvements doivent avoir lieu avec les protecteurs pour le mode d'exploitation normal enlevés, ces mouvements ne peuvent être que du type désigné et exécutés uniquement pendant la période de temps ordonnée et seulement s'il peut être garanti qu'aucune partie du corps se trouvent dans ces zones dangereuses.

                                                                                                                                                                                                4.2.6.4 Les blessures causées par la meule en rotation doivent être évitées.

                                                                                                                                                                                                4.2.6.5 Les blessures corporelles résultant d'une meule qui éclate ne doivent pas être possibles.

                                                                                                                                                                                                4.2.7 Dépannage.

                                                                                                                                                                                                4.2.7.1 L'accès aux zones dangereuses des mouvements automatiques doit être interdit.

                                                                                                                                                                                                4.2.7.2 Le démarrage d'un entraînement à la suite d'une commande défectueuse ou d'une entrée de commande invalide doit être empêché.

                                                                                                                                                                                                4.2.7.3 Tout mouvement de la machine lors de la manipulation de la pièce défectueuse doit être empêché.

                                                                                                                                                                                                4.2.7.4 Les blessures résultant de l'éclatement ou de la chute d'une pièce de la machine doivent être évitées.

                                                                                                                                                                                                4.2.7.5 Les blessures causées par le contact de l'opérateur ou par l'éclatement de la meule en rotation doivent être évitées.

                                                                                                                                                                                                4.2.7.6 Si, lors de la recherche de pannes, des mouvements doivent avoir lieu avec les protections pour le mode de fonctionnement normal retirées, ces mouvements ne peuvent être que du type désigné et exécutés uniquement pendant la période de temps ordonnée et uniquement lorsqu'il peut être assuré que aucune partie du corps ne se trouve dans ces zones dangereuses.

                                                                                                                                                                                                4.2.8 Dysfonctionnement et réparation de la machine.

                                                                                                                                                                                                4.2.8.1 Le démarrage de la machine doit être empêché.

                                                                                                                                                                                                4.2.8.2 La manipulation des différentes parties de la machine doit être possible manuellement ou avec des outils sans aucun danger.

                                                                                                                                                                                                4.2.8.3 Il ne doit pas être possible de toucher les parties sous tension de la machine.

                                                                                                                                                                                                4.2.8.4 Les blessures corporelles ne doivent pas résulter de l'émission de fluides ou de fluides gazeux.

                                                                                                                                                                                                 

                                                                                                                                                                                                Retour

                                                                                                                                                                                                Page 1 de 2

                                                                                                                                                                                                " AVIS DE NON-RESPONSABILITÉ : L'OIT n'assume aucune responsabilité pour le contenu présenté sur ce portail Web qui est présenté dans une langue autre que l'anglais, qui est la langue utilisée pour la production initiale et l'examen par les pairs du contenu original. Certaines statistiques n'ont pas été mises à jour depuis la production de la 4ème édition de l'Encyclopédie (1998)."

                                                                                                                                                                                                Table des matières