Pop-up
Logo de la barrière immatérielle de sécurité

Vous avez besoin d'une barrière immatérielle de sécurité adaptée à votre machine ?

Indiquez-nous votre type de machine et vos exigences en matière de protection. Notre équipe d'ingénieurs vous aidera à sélectionner une barrière immatérielle de sécurité, un capteur ou un lidar de sécurité adapté à votre projet.

Obtenir de l'aide pour :

  • Projets de barrières immatérielles de sécurité standard et sur mesure
  • Besoins en matière d'OEM, d'intégration, de distribution et de mise à niveau de l'usine
  • Sélection des produits en fonction de la configuration de la machine, de la plage de détection, du rendement et de l'environnement
  • Devis rapide et communication technique

2026 Shenzhen Safety Light Curtain Products Co. Ltd. Tous droits réservés.

Limites de conformité pour la réinitialisation Ethernet et la surveillance de l'état de l'automate des dispositifs de sécurité

La surveillance de l'état de l'automate est utile. La réinitialisation Ethernet est pratique. Mais lorsque des barrières immatérielles de sécurité, des lidars de sécurité, des verrouillages et des arrêts d'urgence sont impliqués, la commodité peut devenir une preuve dans un dossier d'accident.

L'horrible vérité sur la surveillance de l'état des automates programmables

La surveillance de l'état de l'automate n'est pas la même chose que le contrôle de la sécurité. C'est une question de visibilité. C'est un diagnostic. C'est un moyen de savoir si un rideau lumineux de sécurité est dégagé, bloqué, défectueux, muet, prêt à être réinitialisé ou s'il nécessite une maintenance avant que le superviseur de la ligne ne commence à accuser des “problèmes de capteur”.”

C'est dangereux.

Il devient dangereux pour une usine de traiter tranquillement une entrée API normale, un bouton de réinitialisation IHM ou une étiquette de diagnostic EtherNet/IP standard comme s'ils avaient le même poids juridique qu'un circuit d'arrêt de sécurité, un bloc fonctionnel API de sécurité validé ou un verrouillage de redémarrage correctement appliqué. Pourquoi tant d'usines commettent-elles encore cette erreur ?

Parce que le temps de fonctionnement séduit les gens.

J'ai un avis tranché : de nombreuses installations de “sécurité intelligente” ne sont en fait que d'anciens circuits de sécurité avec de plus jolis écrans. L'IHM semble moderne. Le tableau de bord comporte des icônes vertes. L'équipe de maintenance peut voir l'état de l'appareil depuis la salle de contrôle. Mais si le chemin de réinitialisation, la réponse aux défaillances et la logique de redémarrage ne sont pas intégrés dans une architecture de sécurité, le système n'est pas plus intelligent. Il est simplement plus facile à comprendre.

L'OSHA elle-même guidage du dispositif de détection de présence Les barrières immatérielles doivent arrêter la machine lorsque le champ de détection est interrompu, empêcher la course suivante après certaines défaillances et ne pas laisser de points d'entrée non protégés autour du danger. C'est là le véritable enjeu de la conformité, et non la question de savoir si l'automate programmable peut afficher “LC_CLEAR = 1”.”

Si vous choisissez du matériel, commencez par le dispositif de sauvegarde proprement dit, et non par le tableau de bord. A gamme de barrières immatérielles de sécurité vous donne la couche de protection physique ; la surveillance de l'état de l'automate ne fait que signaler ce que fait cette couche.

Limites de conformité pour la réinitialisation Ethernet et la surveillance de l'état de l'automate des dispositifs de sécurité 1

La réinitialisation Ethernet semble efficace. Elle peut aussi avoir l'air terrible après une blessure

La réinitialisation Ethernet est l'une de ces fonctions qui semblent inoffensives lors d'une réunion. “Pouvons-nous réinitialiser le dispositif de sécurité à partir de l'IHM ? ”La maintenance peut-elle effacer le défaut de la barrière immatérielle via EtherNet/IP ? “Le superviseur peut-il réinitialiser le lidar de sécurité à partir du panneau central ?”

Techniquement, peut-être.

Légalement et pratiquement, il faut ralentir.

La ligne que je tracerais est simple : Ethernet peut être acceptable pour les diagnostics, les demandes de réinitialisation supervisées, l'enregistrement des événements et la configuration des appareils dans des conditions contrôlées, mais il ne doit pas devenir une voie de redémarrage à distance occasionnelle pour les mouvements dangereux. La réinitialisation n'est pas un démarrage. La réinitialisation n'est pas une autorisation de mouvement. La réinitialisation n'est pas une gomme magique pour un protecteur bloqué, un verrouillage défectueux ou une personne qui se tient toujours à l'intérieur d'une zone protégée.

ODVA décrit le CIP Safety comme un système qui assure une communication à sécurité intégrée entre les blocs d'E/S de sécurité, les barrières immatérielles de sécurité, les interrupteurs de verrouillage de sécurité et les contrôleurs de sécurité, avec une prise en charge jusqu'à SIL 3 selon la norme CEI 61508. Il explique également que le CIP Safety utilise des horodatages de sécurité, des identificateurs, des méthodes CRC/contrôle, la redondance et des protections d'identité de sécurité au niveau du dispositif plutôt que de faire confiance aveuglément au trafic réseau ordinaire. Cette distinction est importante. La messagerie Ethernet standard et la communication réseau de sécurité ne sont pas le même animal.

Voici donc la règle d'initié que j'utilise : si le signal Ethernet ne fait que vous indiquer un état, il a sa place dans la surveillance. Si le signal Ethernet peut supprimer un arrêt de sécurité, activer un mouvement ou modifier un comportement de redémarrage, il doit figurer dans un fichier de validation de sécurité documenté.

Et oui, ce dossier a tout intérêt à survivre à un examen hostile.

Les limites de la conformité : ce que la surveillance PLC peut et ne peut pas faire

La surveillance de l'état de l'automate fonctionne mieux lorsqu'elle est traitée comme un témoin et non comme un juge.

Un automate standard peut collecter des signaux utiles provenant des dispositifs de sécurité : sorties auxiliaires, retour d'information sur l'état de l'OSSD, état de l'EDM, indicateurs d'inhibition, conditions de contournement, retour d'information sur les relais de sécurité, état de la demande de réinitialisation, codes d'erreur et état de la communication. Ces données sont précieuses pour réduire les temps d'arrêt. Elles aident la maintenance à détecter les lentilles sales, les défauts de câble, les dérives d'alignement, les réflecteurs instables, la synchronisation incorrecte de l'inhibition et les déclenchements intempestifs.

Mais elle a des limites.

FonctionGénéralement acceptables dans le cadre d'une surveillance PLC standardNécessité d'une conception/validation conforme aux normes de sécuritéPourquoi c'est important
Affichage de l'état de la barrière immatérielle bloquée ou dégagéeOuiNon, s'il s'agit d'une lecture seuleUtile pour le diagnostic et l'orientation de l'opérateur
Enregistrement des défaillances des dispositifs de sécurité avec horodatageOuiNon, s'il s'agit d'une lecture seuleAide à prouver l'historique de l'entretien
Afficher la condition de réinitialisation sur l'IHMOuiDépend de l'architectureL'affichage n'est pas la fonction de réinitialisation
Envoi d'une commande de réinitialisation Ethernet à distanceRisquéSouvent ouiLa réinitialisation peut affecter le comportement dangereux du redémarrage
Arrêter le mouvement dangereuxNonOuiLa protection du personnel doit être assurée par des dispositifs de contrôle homologués.
Surveiller le retour d'information des dispositifs externes / EDMPeut-êtreOui, si elle fait partie de la fonction de sécuritéLes contacteurs peuvent se souder ; le retour d'information doit être traité correctement.
Modifier les zones de sécurité ou la logique d'inhibition sur le réseauRisquéOuiLes changements de configuration affectent la fonction de protection
Redémarrer la machine après le dégagement du dispositif de sécuritéNonOuiLe redémarrage automatique après un accès peut être mortel

La meilleure solution technique consiste à séparer le système en deux couches. La couche de sécurité arrête les risques. La couche de surveillance explique ce qui s'est passé. Lorsque ces deux couches se confondent, les enquêtes tournent mal.

C'est pourquoi les modèles dotés de véritables caractéristiques de sécurité sont importants. Par exemple, un modèle Barrière immatérielle de sécurité de haute précision avec support EDM est un point de départ plus sérieux qu'un capteur photoélectrique générique câblé sur une carte d'entrée normale. Il en va de même lorsqu'un projet nécessite des dimensions spéciales, un comportement à double sortie ou un statut orienté vers l'API. Rideau lumineux non standard prêt pour le PLC est plus logique que de forcer un capteur standard dans un cadre de machine étrange.

Les fichiers d'accidents ne se soucient pas de votre tableau de bord

C'est ici que la conversation devient moins confortable.

Au cours de l'exercice 2024, l'OSHA a classé la protection des machines (29 CFR 1910.212) parmi les 10 normes les plus fréquemment citées. L'OSHA a également fait état de 34 696 inspections fédérales au cours de l'exercice 2024 et a noté que l'agence et ses partenaires des États couvrent environ 130 millions de travailleurs sur plus de 8 millions de sites de travail. En d'autres termes, l'application de la législation est faible, mais lorsque quelque chose ne va pas, les traces écrites sont très bruyantes.

Le Bureau américain des statistiques du travail a recensé 5 070 accidents du travail mortels en 2024, contre 5 283 en 2023, et un travailleur meurt toutes les 104 minutes des suites d'un accident du travail. Il ne s'agit pas d'une statistique concernant uniquement la protection des machines, mais d'une toile de fond que chaque directeur d'usine devrait garder à l'esprit avant d'approuver des raccourcis autour de la logique de réinitialisation de la sécurité.

Examinez les cas.

En septembre 2024, l'OSHA a déclaré Hailiang Copper Texas a fait l'objet d'une proposition de sanctions d'un montant de $253K après qu'un travailleur a subi une amputation partielle du bras en essayant d'enlever des débris près d'un équipement de bobine de cuivre. L'OSHA a déclaré que l'usine n'avait pas installé les protections ou les dispositifs de verrouillage requis et avait exposé les travailleurs à un contact dangereux avec des pièces de machines en mouvement.

En décembre 2024, le ministère du travail a déclaré G&S Metal Products a fait face à $182K dans les amendes après que deux travailleurs ont été amputés à la suite d'incidents distincts survenus sur des presses électriques. L'une des presses s'est mise en marche de manière inattendue lors d'une opération d'entretien, tandis que l'autre s'est fermée sans avertissement lors de l'enlèvement de la ferraille. L'OSHA a cité des protections inadéquates, des échecs de verrouillage et d'étiquetage et une formation insuffisante à la sécurité des machines.

En avril 2024, le ministère du travail a déclaré Faurecia Emissions Control Systems risque plus de $300K de pénalités proposées après qu'un travailleur de 26 ans a été mortellement écrasé près d'un équipement qui plie les tuyaux d'échappement des véhicules. L'OSHA a déclaré qu'une protection adéquate des machines et des procédures de verrouillage et d'étiquetage auraient pu éviter cette tragédie.

Aucun inspecteur ne sera impressionné par un écran IHM brillant si le mouvement dangereux peut redémarrer au mauvais endroit, au mauvais moment, sans une vue claire et vérifiée de la zone protégée.

Limites de conformité pour la réinitialisation Ethernet et la surveillance de l'état de l'automate des dispositifs de sécurité

L'utilité de la surveillance des dispositifs de sécurité Ethernet/IP

Je ne suis pas contre le réseau. Je suis contre la fantaisie.

La surveillance des dispositifs de sécurité par EtherNet/IP peut être excellente lorsqu'elle est utilisée à bon escient : diagnostics de sécurité des machines, état des dispositifs, état des zones, localisation des défauts, preuves de maintenance, affichage de l'état de préparation au redémarrage et preuve qu'une demande de sécurité s'est produite à 14:03:22 au lieu de “quelque temps avant le déjeuner”.”

C'est là que la surveillance de l'état de l'automate gagne sa place.

Une bonne architecture de surveillance doit montrer

  • Nom du dispositif de sécurité, emplacement et zone de la machine
  • État OSSD ou état de sortie sécurisée
  • Réinitialisation de l'état de la demande
  • Redémarrer l'état de verrouillage
  • État de rétroaction de l'EDM
  • Inhibition active, défaut d'inhibition ou dérivation active
  • Code d'erreur et horodatage
  • Mode contrôleur de sécurité
  • Dernière demande de sécurité
  • Santé du réseau, en cas d'utilisation de communications sécurisées
  • Historique des dérogations en matière d'entretien, le cas échéant

Mais la conception doit être extrêmement claire : l'automate de surveillance n'est pas autorisé à réduire silencieusement la fonction de sécurité.

Si vous ne parvenez pas à sélectionner le type de dispositif de protection, lisez les informations suivantes guides de sélection des dispositifs de sécurité avant de câbler quoi que ce soit. Pour les grandes cellules, les convoyeurs et les zones d'automatisation mobiles, lidars de sécurité peut être plus approprié qu'un rideau lumineux fixe. Pour le retour d'information sur la position de la cible métallique, un capteur de proximité peut prendre en charge les diagnostics, mais il ne doit pas être confondu avec un dispositif de protection des personnes, à moins que la fonction de sécurité complète ne soit conçue à cette fin.

Le problème de la réinitialisation que personne ne veut admettre

La réinitialisation de la conception met rapidement en évidence les faiblesses de l'ingénierie.

Si un travailleur ouvre un protecteur, brise une barrière immatérielle, pénètre dans une cellule robotisée ou dans une zone de presse, la machine ne doit pas redémarrer simplement parce que le signal redevient clair. Cela semble évident. Pourtant, les usines créent encore des systèmes dans lesquels l'effacement du faisceau, la validation d'une IHM ou l'activation d'un bit réseau créent une chaîne de redémarrage que personne n'a entièrement testée.

Mais voici le problème le plus difficile à résoudre : l'emplacement de la réinitialisation.

Un bouton de réinitialisation doit généralement être placé de manière à ce que l'opérateur puisse vérifier que la zone de danger est dégagée avant de réinitialiser la fonction de sécurité. Une réinitialisation Ethernet à distance depuis une salle de contrôle peut être pratique, mais cette personne peut-elle voir derrière la presse ? Peut-elle voir à l'intérieur de la cellule clôturée ? Peut-elle voir l'angle mort de l'alimentation du palettiseur ? Peut-elle voir le technicien de maintenance accroupi à côté d'un bourrage ?

Si ce n'est pas le cas, pourquoi sont-ils autorisés à le réinitialiser ?

Pour la planification de la conformité, utilisez le section normes de sécurité des machines comme point de départ, puis documenter l'évaluation des risques de la machine, le temps d'arrêt, la distance de sécurité, l'emplacement de réinitialisation, l'objectif de niveau de performance, la méthode de validation et la conception du câblage. Ne laissez pas l'équipe chargée des achats réduire le projet à “nous avons besoin d'Ethernet et d'un statut PLC”.”

Cette phrase est trop petite pour le risque.

Une architecture pratique que je défendrai

Voici l'architecture plus propre que je défendrais devant un responsable de la sécurité, un client OEM ou un enquêteur.

Couche de sécurité

Utilisez des dispositifs et une logique de sécurité pour la protection du personnel. Il peut s'agir de barrières immatérielles de sécurité de type 4, de relais de sécurité, d'automates de sécurité, d'entrées à double canal, d'EDM, d'arrêt sécurisé du couple, de protections verrouillées, de tapis de sécurité, de lidars de sécurité et de blocs fonctionnels de sécurité validés.

Couche de surveillance

Utilisez la couche standard PLC, HMI, SCADA ou MES pour une visibilité en lecture seule. Afficher l'état. Stocker les événements. Avertir de la maintenance. Tendance des déclenchements intempestifs. Suivi de la fréquence de réinitialisation. Identifier les zones à accès répété. Mais il ne faut pas que cette couche devienne l'autorité en matière d'arrêt ou de redémarrage en toute sécurité.

Couche de réinitialisation

Utiliser une méthode de réinitialisation correspondant à l'évaluation des risques. La réinitialisation locale câblée est souvent plus propre. La réinitialisation de l'automate de sécurité peut être acceptable lorsqu'elle est validée. La réinitialisation Ethernet doit être considérée comme une exception, et non comme un choix par défaut, en particulier lorsque la visibilité de la zone dangereuse est incomplète.

Couche de documentation

Conservez les preuves. Schémas de câblage. Description des fonctions de sécurité. Mesures du temps d'arrêt. Calculs des distances de sécurité. Évaluation SISTEMA ou équivalente, le cas échéant. Enregistrements des essais de validation. Registres des modifications. Règles d'autorisation de l'IHM. Politique en matière de mots de passe. Registres des autorisations de contournement.

L'entreprise qui documente bien ses activités a l'air professionnelle. L'usine qui ne peut pas expliquer qui peut réinitialiser quoi, à partir d'où et dans quelles conditions semble imprudente.

Limites de conformité pour la réinitialisation Ethernet et la surveillance de l'état de l'automate des dispositifs de sécurité

FAQ

Qu'est-ce que la surveillance de l'état des automates pour les dispositifs de sécurité ?

La surveillance de l'état de l'API consiste à utiliser les entrées du contrôleur, les étiquettes de sécurité, les bits de diagnostic et les états de l'IHM pour observer si les dispositifs de sécurité tels que les barrières immatérielles, les interverrouillages, les tapis de sécurité et les scanners lidar sont sains, bloqués, prêts à être réinitialisés, défectueux, muets, contournés ou s'ils demandent activement l'arrêt. Il doit améliorer les diagnostics et non remplacer le système de contrôle de sécurité.

Concrètement, la surveillance de l'état de l'automate permet à la maintenance et aux opérations de comprendre pourquoi une machine s'est arrêtée. Elle peut réduire les temps d'arrêt, mettre en évidence les déclenchements intempestifs répétés et faciliter le dépannage. Mais la fonction d'arrêt elle-même doit toujours être gérée par du matériel de sécurité, une logique validée et un comportement de réinitialisation documenté.

La réinitialisation Ethernet peut-elle être conforme aux dispositifs de sécurité ?

La réinitialisation Ethernet est une commande de réinitialisation basée sur le réseau et envoyée par une IHM, un API, un contrôleur de sécurité ou un protocole industriel. Elle ne peut être considérée comme conforme que si l'évaluation des risques, l'architecture de sécurité, l'emplacement de la réinitialisation, la prévention du redémarrage, l'enregistrement de la validation et les normes applicables à la machine soutiennent cette méthode. Il n'est pas automatiquement sûr parce qu'il est numérique.

Le plus grand risque est la réinitialisation à distance sans visibilité. Si la personne qui réinitialise le système ne peut pas confirmer que personne ne se trouve plus dans la zone dangereuse, la conception est déficiente. Une réinitialisation doit rétablir l'état de préparation ; elle ne doit pas créer de mouvement inattendu ni cacher une condition dangereuse derrière une icône IHM verte.

Pourquoi la surveillance standard de l'état des automates ne suffit-elle pas pour assurer la sécurité des machines ?

La surveillance de l'état des automates standard n'est pas une fonction de sécurité car les entrées ordinaires, les messages Ethernet, les bits de l'IHM et les étiquettes de l'échelle ne sont généralement pas conçus, certifiés ou validés pour fournir la tolérance aux pannes, la couverture de diagnostic, la réaction déterministe et le comportement de redémarrage requis pour la protection du personnel. La surveillance peut informer les gens, mais on ne peut pas supposer qu'elle les protège.

Cela ne rend pas le CPL inutile. Cela signifie que l'automate doit jouer le rôle qui lui revient. Laissez-le collecter les événements, afficher l'état du dispositif et alerter la maintenance. Laissez le relais de sécurité, l'automate de sécurité, le contrôleur de sécurité ou le réseau de sécurité validé exécuter la fonction de protection.

Comment les ingénieurs doivent-ils surveiller les dispositifs de sécurité à l'aide d'un automate programmable sans créer de risque de non-conformité ?

La surveillance sûre des automates signifie qu'il faut séparer la logique d'arrêt sécurisée des diagnostics non sécurisés, puis utiliser des sorties auxiliaires approuvées, des bits d'état du contrôleur de sécurité, des journaux d'événements et des indicateurs IHM en lecture seule pour signaler l'état du dispositif sans permettre aux commandes Ethernet ordinaires d'annuler, de réinitialiser ou de redémarrer les fonctions de protection. La limite doit être intentionnelle, documentée et testée.

Une bonne règle est simple : lisez librement l'état, écrivez les commandes avec précaution. Toute commande qui modifie l'état de réinitialisation, l'état d'inhibition, l'état de contournement, la configuration de la zone ou l'autorisation de redémarrage doit faire l'objet d'un examen de sécurité. Si la fonction affecte la possibilité d'un mouvement dangereux, elle doit être considérée comme faisant partie du système de sécurité.

Que faut-il vérifier avant d'ajouter la logique de conformité du circuit de sécurité de réinitialisation de l'automate ?

La conformité du circuit de sécurité de réinitialisation de l'automate signifie que la conception de la réinitialisation doit être examinée en fonction de l'évaluation des risques de la machine, de l'emplacement de la réinitialisation, de la visibilité de la zone dangereuse, des exigences de réinitialisation manuelle, de la prévention du redémarrage, de la structure d'entrée de sécurité, du retour d'information EDM, de la gestion des défauts, du contrôle d'accès et des enregistrements de validation. Un circuit de réinitialisation n'est pas un simple bouton, c'est un comportement de sécurité contrôlé.

Avant de l'approuver, testez les modes de défaillance réels. Maintenez la réinitialisation. Cassez le rideau lumineux. Simulez un contacteur soudé. Interrompre la communication réseau. Mettez le contrôleur de sécurité hors tension. Essayez de réinitialiser à partir du mauvais écran. Si la machine se comporte toujours de manière prévisible et sûre, vous vous rapprochez d'une conception défendable.

Vos prochaines étapes

N'achetez pas la fonction de “réinitialisation Ethernet” tant que vous ne savez pas exactement ce qu'elle réinitialise, qui peut la déclencher, où il se trouve, ce qu'il peut voir et si la fonction de sécurité reste valide après la commande.

Pour une nouvelle machine ou une modernisation, commencez par définir le danger, la distance de sécurité, le type de dispositif de protection, la structure de sortie, la méthode de réinitialisation et les besoins de surveillance. Ensuite, il faut adapter le produit au risque. Si l'application implique des dimensions personnalisées, des diagnostics face à l'API, l'EDM, des sorties doubles, des environnements difficiles ou un accès multilatéral, envoyez la configuration de la machine, la hauteur de protection requise, la résolution, la plage de détection, le type de sortie, la tension, le câble requis, le marché cible et les attentes en matière de réinitialisation par l'intermédiaire de l'unité de gestion des risques de l'entreprise. Page de demande de devis pour les rideaux de sécurité.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *