Ouvrir le menu Fermer le menu

Communiquer en toute sécurité via le bus de terrain

trait de séparation
Temps de lecture : 6 min
Les installations automatisées ne devraient jamais être une source de danger pour l'homme, les machines ou l'environnement. Si malgré tout une situation dangereuse apparaît, il est donc important d'amener les machines dans un état sûr. Dans ce but, les dispositifs protecteurs ou détecteurs d'erreur comme l'arrêt d'urgence ou les rideaux lumineux de sécurité étaient par le passé directement reliés par câbles à la commande machine. De plus en plus d'utilisateurs considèrent cependant qu'il y a avantage à représenter les fonctions de sécurité via le bus de communication car cela flexibilise l'architecture et l'utilité de ces fonctions. Néanmoins, le pas conduisant du câblage direct à la sécurité via le bus de communication est considérable vu qu'il demande beaucoup de savoir-faire du côté des logiciels. Si des fabricants de composants sont invités par leurs utilisateurs à intégrer la communication sûre via le bus, l'opération devient vite un casse-tête. Casse-tête qui n'a pas lieu d'être.

Des normes comme la CEI 61508 (sécurité fonctionnelle) non seulement énoncent des critères clairs relativement aux fonctions de sécurité de composants mais elles aident aussi à réaliser ces fonctions. L'objectif consiste d'une part à exclure d'emblée les erreurs systématiques de développement par une démarche structurée, et d'autre part à détecter et traiter de manière sûre, moyennant des concepts d'appareil correspondants, les erreurs aléatoires dont la survenue n'est pas prévisible. Bien que la norme offre un vaste soutien par ex. sous la forme de check-lists, le domaine de réalisation au niveau des logiciels et matériels est vaste. Déjà rien que la maîtrise d'aspects locaux et fonctionnellement sûrs des logiciels et matériels d'un appareil est une opération complexe. D'autres exigences sécuritaires visant la sûreté de la communication distribuée viennent encore s'ajouter, surtout dans les logiciels.

De nombreux fabricants de composants reculent donc devant la tâche consistant à intégrer eux-mêmes la sûreté de la communication. Et les nécessaires investissements à long terme ne doivent pas, eux non plus, être négligés. Pour se maintenir constamment en l'état actuel de la technique, il faut constamment investir de l'argent et du travail dans ce domaine. Et ceci pour un thème qui dans de nombreux cas ne fait qu'effleurer les propres compétences cœur de métier d'une entreprise. D'où la question qui se pose : réaliser soi-même une communication sûre via le bus de terrain, ou plutôt sous-traiter une solution générique ?

Réaliser la sécurité soi-même ou la sous-traiter ?

IXXAT-Safety-Certified-Bilder-3_ISIT
Les experts en communication de HMS proposent avec le IXXAT Safe T100 un appareil de sécurité E/S générique précertifié par le TÜV et permettant via le principe du Black Channel d'intégrer facilement la communication sûre de signaux E/S dans le bus de communication existant non sûr. Cet appareil comprend un matériel, donc un module Indesign à entrées et sorties sûres, et un logiciel orienté sur le concept du matériel, logiciel qui garantit la sûreté de la communication jusqu'à SIL 3 ou le Performance Level e.
Quels arguments parlent, chez le fabricant de composants, pour le recours à une solution générique ? Pour lui, cela facilite d'une part l'élaboration du « Plan de gestion de la sécurité fonctionnelle ». Il n'a plus besoin d'élaborer la procédure individuelle : il peut la mettre en place en se basant sur les critères de la solution générique. L'appareil de sécurité E/S générique, lui, vient en aide aussi dans la spécification sûre des exigences assignées à l'appareil à développer étant donné que le développement du matériel et l'ébauche itérative des circuits plus la concertation avec un organisme de contrôle neutre sont entièrement externalisés. Le fabricant des composants doit seulement intégrer le matériel de sécurité fini, conforme aux critères fabricant correspondants, dans son propre produit. L'implémentation du logiciel pertinent pour la sécurité est elle aussi entièrement prise en charge par le fabricant de la solution de sécurité générique. Il s'agit d'un avantage décisif car le développement d'un logiciel est une opération en soi encline aux erreurs systématiques. Ici les experts en communication misent sur des processus sévères qui accompagnent l'ensemble du développement, de sa planification aux tests et à la validation. Différents modules du logiciel et l'ensemble de ce dernier doivent passer par des schémas de test précis. Stefan Kraus, Product Line Director Safety chez HMS Technology Center Ravensburg, ajoute : « Lors du développement de logiciels sûrs, le principe du contrôle à plusieurs personnes joue lui aussi un rôle important. Il s'agit naturellement d'opérations complexes génératrices de beaucoup de frais dans l'ensemble. Donc raison de plus de ne pas développer soi-même des solutions sécuritaires et de se rabattre si possible sur des solutions génériques. »

Tandis que les fabricants de composants doivent élaborer eux-mêmes l'intégralité du manuel de sécurité accompagnant l'appareil d'automatisation s'ils ont développé eux-mêmes la solution de sécurité, il leur suffit, s'ils ont sous-traitée cette dernière, de se baser sur les directives du fabricant de la solution de sécurité générique. Vu que le modèle T100 a déjà été homologué par le TÜV, la certification finale s'en trouve nettement simplifiée. Cela vaut également pour la certification de la communication via un bus de terrain ou Ethernet. Différentes check-lists et un manuel de sécurité facilitent l'intégration du T100. Si lors de la réception finale par l'instance certificatrice le fabricant des composants prouve qu'il a procédé en respectant les check-lists du manuel de sécurité pendant l'implémentation, cette étape de réception est elle aussi nettement plus facile. Car en définitive l'utilisateur reçoit aussi du soutien dans la gestion du cycle de vie du produit et n'a pas à définir ni implémenter de processus individuels.

Haute flexibilité

Le IXXAT Safe T100 lui-même convainc par son haut niveau de flexibilité. Entre-temps, différents protocoles pour une communication de terrain sûre se sont établis sur le marché. L'architecture du T100 est telle qu'un seul et même matériel peut être utilisé pour différents protocoles. Il suffit d'enregistrer le logiciel respectif dessus. Le module de sécurité est proposé pour PROFIsafe et pour CIP Safety. D'autres protocoles sont en préparation. À titre d'exemple, nous présentons ci-après le module sécurité avec implémentation de CIP Safety.
L'appareil de sécurité E/S générique T100 permet de paramétrer des fonctions de sécurité. D'une manière générale, le module présente six entrées et deux sorties configurables pour une mise en œuvre avec un ou deux canaux. Dans de nombreuses applications les capteurs et actionneurs livrent déjà des signaux de sortie sûrs redondants. Dans ce cas, le T100 se contente de collationner le signal dans les deux canaux puis le communique simplement à la commande via le protocole sûr pour bus de terrain. Dans d'autres cas, une analyse logique ainsi qu'une détection locales des erreurs sont exigées pour pouvoir déterminer de façon sûre si le signal a été généré et transmis de manière valide par le capteur ou l'actionneur. Seule cette méthode permet de détecter et maîtriser les erreurs présentes dans le système. Le T100 prend cette fonction en charge et utilise pour ce faire différentes méthodes de détection et de test.

Habituellement les modules destinés à la communication sûre ne comportent que des entrées ou que des sorties. Dans certains cas d'application cependant il est judicieux que les deux soient présentes sur un même module. Le processus de sécurité local se présente de la sorte sous la forme d'un appareil capable d'échanger des signaux aussi bien d'entrée que de sortie avec le système de sécurité maître.

Le T100 est normalement mis en œuvre associé au module de communication Anybus CompactCom de HMS, mais il peut aussi être raccordé à d'autres modules de communication. HMS divulgue le protocole nécessaire à cette fin et permet ainsi une intégration spécifique par le client.

La confiance naît de l'expérience

Qui sous-traite la fonction de sécurité gouvernant ses composants veut être sûr aussi que tout va fonctionner de manière fiable. Kraus s'explique : « concrètement nous assumons la responsabilité des fonctions sécuritaires du T100. Cela déleste évidemment beaucoup nos clients. En outre, nous réalisons depuis plus de dix ans des solutions dédiées à la sécurité de la communication. Nos clients profitent du savoir-faire accumulé sur toutes ces années. De surcroît, le TÜV confirme régulièrement la qualité de nos produits. » Simultanément les experts de la communication observent le marché et connaissent toujours l'état actuel de la technique.

Pour le vaste champ de fonctions de sécurité typiquement rencontrées comme par ex. la réalisation d'un interrupteur d'arrêt d'urgence, le raccordement de barrières et rideaux lumineux de sécurité ou encore l'arrêt d'urgence d'un entraînement, des solutions génériques peuvent nettement faciliter l'ensemble du développement produit. Elles aident en outre, au bout du compte, à épargner des frais et à faire l'économie d'un temps de développement précieux. Avec des modules de sécurité comme le T100, les fabricants de composants n'ont plus qu'à définir la fonction de sécurité qu'il faut réaliser et à l'implémenter à l'aide du module. Ici les experts en communication de HMS apportent leur concours sous forme de conseils correspondants.
CIP-Safety-Bilder-1_IXXAT_ISIT
CIP-Safety-Bilder-2_IXXAT_ISIT
Article rédigé par : Stefan Kraus, Product Line Director Safety chez HMS Technology Center
0