COBOTs et sécurité fonctionnelle

Temps de lecture : 8 minutes

Pour les intégrateurs, la cobotique n’a rien d’un concept abstrait : c’est un casse‑tête d’architecture où chaque milliseconde de réaction, chaque mètre de câblage et chaque choix de protocole impacte directement la compacité, le coût et la certification de la cellule. Car un cobot n’est jamais livré “clé en main”. Il doit être intégré dans un environnement complexe fait de scrutateurs, variateurs, E/S safety, barrières immatérielles et zones dynamiques et tout doit communiquer de manière sûre, sans latence ni surprise.

Dans ce contexte, la vraie question n’est plus seulement quel cobot choisir, mais comment l’écosystème safety autour de ce cobot va fonctionner. La performance du STO, la réactivité du SSM, la souplesse des transitions de vitesse : tout dépend de la qualité du bus safety. Et sur le terrain, les intégrateurs le savent mieux que quiconque : un protocole safety mal adapté peut transformer une cellule compacte sur le papier en une installation trop volumineuse, trop lente, ou trop coûteuse à certifier.

C’est précisément là que Fail Safe over EtherCAT (FSoE) change la donne. En apportant une couche safety SIL 3 directement sur un bus EtherCAT déjà omniprésent dans les cellules haute performance, il simplifie l’architecture, réduit les temps de réaction et ouvre la porte à des cellules collaboratives plus denses, plus flexibles et plus faciles à valider.

Les robots collaboratifs occupent désormais une place centrale dans les stratégies d’automatisation. Mais derrière la promesse d’une collaboration homme-machine fluide, les professionnels du terrain savent que la réalité est plus exigeante. Un cobot qui partage l’espace de travail d’un opérateur n’est pas un robot conventionnel dont on a simplement réduit la vitesse : c’est un système dont chaque fonction de sécurité doit être garantie en temps réel, avec un niveau d’intégrité démontrable.

Et c’est précisément là que le choix du protocole de communication safety devient déterminant. Non pas comme un détail d’architecture, mais comme un facteur structurant de la conception de la cellule collaborative.

Les normes ISO 10218-1/-2 et la spécification technique ISO/TS 15066 définissent 4 modes de collaboration : l’arrêt nominal de sécurité, le guidage manuel, la surveillance de vitesse et de distance, et la limitation de puissance et de force. Chacun de ces modes s’appuie sur des fonctions de sécurité spécifiques qui doivent être exécutées avec un niveau d’intégrité SIL 2 ou SIL 3 selon l’analyse de risques.

Concrètement, on parle de fonctions telles que :

• STO (Safe Torque Off) : coupure sûre du couple moteur, fonction de base indispensable
• SLS (Safely-Limited Speed) : limitation de la vitesse en zone collaborative, directement liée au mode SSM (Speed and Separation Monitoring)
• SLP (Safely-Limited Position) : restriction de l’enveloppe de travail pour éviter toute intrusion dans les zones interdites
• SBC (Safe Brake Control) : contrôle sûr du frein, essentiel pour les axes verticaux
• SSM (Speed and Separation Monitoring) : surveillance dynamique de la distance homme-robot, la fonction clé de la cobotique moderne

Toutes ces fonctions nécessitent un échange de données safety rapide, déterministe et vérifiable entre le contrôleur de sécurité, les variateurs, les capteurs et les E/S safety. C’est le rôle du protocole de communication safety.

Une cellule cobot typique ne se résume pas au robot seul. Elle intègre des scrutateurs laser, des barrières immatérielles, des tapis sensibles, des boutons d’arrêt d’urgence, et souvent un automate de sécurité qui orchestre l’ensemble. Tous ces équipements doivent communiquer entre eux avec des garanties d’intégrité.

Les problématiques concrètes que rencontrent les intégrateurs sont bien identifiées :

• Temps de réaction global : le temps entre la détection d’une intrusion et l’arrêt effectif du mouvement détermine directement la distance de séparation minimale (cf. ISO 13855). Un protocole lent impose des distances plus grandes, donc une cellule plus volumineuse et moins productive.

• Interopérabilité multi-fabricants : un scrutateur laser Sick ou Pilz, un variateur Beckhoff ou Bosch Rexroth, un automate de sécurité d’un troisième fournisseur… tout doit fonctionner sur le même bus safety sans couche d’adaptation coûteuse.

• Zones safety dynamiques : les applications modernes exigent de modifier en temps réel les limites de vitesse ou l’enveloppe de travail en fonction de la présence humaine détectée. Cela suppose des échanges safety cycliques à haute fréquence, pas simplement des signaux TOR.
• Coût et complexité du câblage : dupliquer un réseau dédié safety en parallèle du bus de terrain standard représente un surcoût significatif, notamment dans les cellules compactes où chaque chemin de câble compte.

FSoE (Fail Safe over EtherCAT) est le protocole de communication safety défini par l’ETG (EtherCAT Technology Group) et normalisé IEC 61784-3-12. Son principe fondamental est celui du « canal noir » (black channel) : les données safety sont transportées sur le même réseau EtherCAT standard, sans exiger de matériel réseau dédié à la sécurité. La couche safety est entièrement applicative.

Ce choix architectural a des conséquences très concrètes pour les intégrateurs de cellules cobots :

Puisque FSoE utilise le canal EtherCAT existant, il n’y a pas de bus safety séparé à déployer. Concrètement, le même câble Ethernet transporte les données process (commandes d’axes, retours codeurs) et les données safety (STO, SLS, SSM). Pour une cellule cobot où l’encombrement est souvent critique, c’est un avantage décisif en termes de simplicité d’intégration et de coût.

EtherCAT offre des temps de cycle typiques de 250 µs à 1 ms. FSoE hérite de cette performance, ce qui permet des temps de réaction safety de l’ordre de quelques millisecondes. En pratique, cela se traduit directement par des distances de séparation réduites dans le calcul selon l’ISO 13855 et donc des cellules plus compactes et une meilleure productivité.

Pour mettre cela en perspective : avec un temps de réaction global (détection + communication + arrêt mécanique) réduit de 50 ms, on peut gagner plusieurs centimètres sur la distance minimale de séparation. Sur une ligne de production, ces centimètres se traduisent en mètres carrés récupérés.

FSoE est conçu dès l’origine pour atteindre SIL 3 (IEC 61508) et Performance Level e (ISO 13849). Ce n’est pas un ajout post-conception : les mécanismes de détection d’erreurs (surveillance temporelle, numéros de séquence, codes de redondance) sont intégrés dans la spécification même du protocole. Pour les intégrateurs, cela signifie un dossier de certification plus simple puisque la couche de communication est déjà qualifiée.

L’un des atouts souvent sous-estimés de FSoE est la taille de son écosystème. Les principaux fabricants de composants safety pour la cobotique supportent FSoE nativement : Beckhoff, Bosch Rexroth, Omron, Sick, Pilz, Lenze, B&R… Cela permet de concevoir une cellule cobot best-of-breed en choisissant le meilleur composant de chaque fournisseur, sans être enfermé dans un écosystème propriétaire.

Il serait réducteur de présenter FSoE comme le seul protocole safety viable. PROFIsafe (sur PROFINET) et CIP Safety (sur EtherNet/IP) sont également des solutions certifiées et éprouvées. Le choix dépend du contexte. Voici les critères qui comptent spécifiquement pour la cobotique :

Le point clé à retenir : si votre architecture de commande repose déjà sur EtherCAT, ce qui est de plus en plus le cas dans les cellules cobots haute performance, le  FSoE s’intègrera naturellement sans couche supplémentaire. Si vous êtes dans un environnement Siemens, PROFIsafe sera le choix logique. L’important est de choisir en connaissance de cause, en évaluant l’impact sur le temps de réaction global et la compacité de la cellule.

Prenons un scénario réaliste : une cellule d’assemblage où un cobot 6 axes travaille sur un poste partagé avec un opérateur. Un scrutateur laser définit trois zones concentriques autour du robot :


Ce scénario illustre parfaitement pourquoi la performance du bus safety est critique. Les transitions entre zones doivent être quasi-instantanées : quelques millisecondes de latence supplémentaire dans la communication safety se traduisent par une zone orange plus large, donc un espace de travail réduit pour l’opérateur.

Avec FSoE sur EtherCAT, le scrutateur laser, le contrôleur de sécurité et le variateur du cobot communiquent sur le même bus avec des temps de cycle inférieurs à la milliseconde. Résultat : des transitions de zone fluides, une cellule compacte et un opérateur qui peut travailler au plus près du robot en toute sécurité.

Il est tentant de considérer le choix du protocole safety comme un détail d’architecture, un sujet d’automaticien déconnecté des enjeux de productivité. C’est une erreur. Dans une cellule collaborative, le protocole safety a un impact direct et mesurable sur la compacité de la cellule, la fluidité des interactions homme-robot et la simplicité de l’intégration.

FSoE ne prétend pas être la réponse universelle. Mais pour les architectures EtherCAT qui dominent aujourd’hui le segment de la cobotique haute performance, il offre une combinaison rare de performance temps réel, simplicité d’intégration et écosystème multi-fabricants qui en fait un choix naturel.

Le vrai enjeu pour les intégrateurs n’est pas de choisir le « meilleur » protocole safety dans l’absolu, mais de comprendre comment ce choix impacte concrètement la performance et la sécurité de leurs cellules collaboratives. Et sur ce terrain, FSoE a des arguments solides à faire valoir.

Parce que cette transition vers des architectures safety plus performantes ne s’improvise pas, ISIT accompagne les intégrateurs, automaticiens et concepteurs de cellules robotisées sur l’ensemble du cycle :

• Audit et diagnostic safety de vos réseaux EtherCAT/FSoE et de vos temps de réaction
• Support à l’intégration EtherCAT + FSoE : configuration, optimisation des cycles, validation des échanges safety
• Expertise en sécurité fonctionnelle (SIL/PL) : analyse de risques, définition des fonctions de sécurité, documentation de conformité
• Formation EtherCAT
• Solutions Stack FSoE ISIT et EC‑Master d’acontis