[eLION 3/4] La sécurité fonctionnelle dans l’électrification des engins mobiles
Bienvenue dans ce troisième épisode de notre série sur l’électrification des engins mobiles. Aujourd’hui, Ornela Muskaj, ingénieure système électrique, nous parlera de ce qu’est la sécurité fonctionnelle, comment elle fonctionne.
Animateur : Bonjour à toutes et à tous ! Bienvenue dans ce nouvel épisode de notre podcast. Aujourd’hui nous abordons le variateur et la sécurité fonctionnelle. Pour cela je reçois Ornela Muskaj, ingénieure système électrique.
Ornela Muskaj : Bonjour
Animateur : Dans le dernier épisode avec Corentin Bruel, nous avons parlé du variateur et un peu de la sécurité fonctionnelle. Nous avons déjà évoqué le sujet, mais aujourd’hui nous allons entrer dans le détail.
Commençons par clarifier ces notions, le variateur, la sécurité, leurs interactions…Et est-ce que la sécurité fonctionnelle d’une machine mobile change avec l’entraînement électrique ?
Ornela Muskaj : Ok, j’aimerais commencer par la fonction première du variateur. Sur une machine 100% électrique, nous avons un pack de batteries DC.
Les tensions nominales sont comprises entre 700 et 850 volts le variateur, comme son nom l’indique, inverse la tension DC dans un champs triphasé rotative pour enfin faire tourner le moteur électrique. Nous pouvons ajuster la fréquence, ce qui entraine la variation de la vitesse de l’arbre du moteur et ainsi le couple.
C’est la fonction principale du variateur, et par conséquent, je n’ai besoin d’aucune fonction de sécurité, quelle qu’elle soit. La sécurité fonctionnelle, ici, c’est simplement une extension, Mais une extension de haute valeur, de mon point de vue, que nous proposons dans nos variateurs de la gamme eLION.
C’est un composant hardware unique qu’on implémente afin de proposer des fonctions de la sécurité fonctionnelle de haut niveau, comme le Safe Torque Off, la surveillance sûre de la vitesse et la surveillance sûre du couple, et d’autres caractéristiques dont nous parlerons plus tard.
Animateur : Mais, encore une fois, pouvez-vous nous expliquer comment le variateur et la sécurité interagissent ?
Ornela Muskaj : C’est une seule et même entité. Nous avons une partie qui assure la fonction première, et l’autre partie qui gère la sécurité fonctionnelle. Elles sont réunies dans un seul composant hardware, comme je l’ai décrit, et elles communiquent ensemble, et échangent des informations. Mais la partie dédiée à la sécurité a seulement pour tâche de surveiller les signaux de manière sécurisée et de transmettre ces informations aux contrôleurs des machines.
Animateur : Parlons un peu de sécurité fonctionnelle. En trois mots. Qu’est-ce que la sécurité fonctionnelle ? Qu’est-ce qui est important à retenir ?
Ornela Muskaj : Chaque constructeur de machines a pour obligation de construire des machines sécurisées.
Le constructeur doit réaliser une analyse de risque et réduire tous les risques à un risque résiduel et cela peut être assuré par de la cartérisation.
Cependant, dès lors que vous avez besoin d’un système de contrôle-commande pour réduire ce risque, on parle alors de sécurité fonctionnelle.
C’est pour bien faire la différence.
Animateur : Bien. Et est-ce qu’il y a une différence entre les machines automatiques utilisées dans les usines et les machines mobiles électrifiées, en matière de sécurité fonctionnelle ?
Ornela Muskaj : Bien sûr. Les fondamentaux restent les mêmes. Nous avons des fonctionnalités de base très similaires, mais dans l’industrie il y a des exigences et des cas d’usage différents. Une machine mobile, quant à elle, nécessite une très haute disponibilité. Il faut garder à l’esprit qu’il y a toujours un opérateur à bord.
Donc, c’est assez similaire, toutefois avec des différences quand on rentre dans le détail.
Animateur : Est-ce qu’il y a aussi une différence entre la sécurité électrique et la sécurité fonctionnelle ?
Ornela Muskaj : En effet.
Animateur : Ah, Ok. Alors est-ce que vous pouvez expliciter cela ? Parce que nous devons commencer par tout clarifier.
Ornela Muskaj : On confond souvent sécurité fonctionnelle et sécurité électrique. La sécurité électrique est un sujet totalement différent. La sécurité électrique s’applique pour des tensions supérieures à 60 volts DC.
Comme je l’ai dit, nous sommes à 700 volts et au-delà. C’est le cas pour notre gamme de 700 V DC. Pour cela, nous avons une boucle HVIL, un contrôleur d’isolation et des systèmes informatiques. Tout cela appartient au domaine de la sécurité électrique.
Animateur : Les normes pour les machines mobiles sont-elles différentes de celles des usines ?
Ornela Muskaj : Dans le cadre de la sécurité fonctionnelle, l’automatisation industrielle et les engins mobiles sont soumis à la même norme : l’ISO 13849.
Pourtant, dans le off-highway, il existe des normes spécifiques à certains types de machines mobiles. Par exemple la norme 19014 pour les engins de terrassement et la norme 25119 pour les engins agricoles.
Animateur : Vous avez révisé tout cela avant le podcast !
Ornela Muskaj : Juste trois normes, ce n’est pas trop mal. Avant de commencer le développement, nous avons examiné ce qui était nécessaire pour les clients, afin de répondre correctement à leurs besoins.
Nous avons identifié ces trois normes et développé notre concept de sécurité fonctionnelle selon les spécifications de nos clients pour atteindre le niveau de performance PLd.
Animateur : Quelles sont les exigences de vos clients exactement ? C’est une bonne question
Ornela Muskaj : C’est une bonne question, en effet. La sécurité fonctionnelle n’est pas un nouveau sujet apparu avec l’électrification. Elle existe depuis des années.
Animateur : Auparavant elle était gérée au niveau hardware, c’est ça ?
Ornela Muskaj : Elle était gérée au niveau hardware, c’est vrai, et connectée aux contrôleurs. C’était une technologie différente liée aux moteurs hydrostatiques avec des pompes hydrauliques et des valves. C’était une approche différente pour atteindre les objectifs de sécurité. Aujourd’hui, je vais parler du système de traction, parce que c’est plus simple à expliquer. Quand on parle de sécurité fonctionnelle, si vous retirez l’entraînement hydrostatique, votre concept initial de la sécurité ne fonctionne plus.
Il faut repenser la solution lorsqu’on remplace un entraînement hydrostatique par un entraînement électrique. Et c’est exactement ce que nous avons fait au début du développement. Nous avons analysé ce qui est nécessaire.
Nous sommes partis des valeurs physiques à surveiller et, de là, défini les fonctions de sécurité appropriées au regard d’un entraînement électrique.
Animateur : En quoi a consisté le développement pour vos équipes, du hardware mais aussi du logiciel ?
Ornela Muskaj : Exactement. La sécurité repose sur des fonctions hardware, mais pas que. Elle repose également sur des dispositifs de sécurité intelligente, des fonctions logicielles intelligentes qui peuvent être paramétrées. Les deux sont nécessaires.
Notre équipe est donc composée de spécialistes du hardware et de développeurs ainsi que de responsables projet pour les tests. Tous ont été formés au développement et aux applications de sécurité fonctionnelle.
Pour citer quelques exemples, si nous parlons de hardware, il s’agit de définir la catégorie à développer pour atteindre la norme requise. Il faut prendre en compte tous les composants et les pièces utilisés, puis calculer et quantifier de sorte à atteindre les valeurs qui permettent de réaliser la fonction de sécurité.
Animateur : Et pouvez-vous nous expliquer le rôle du logiciel ?
Ornela Muskaj : Le logiciel doit également suivre une procédure extrêmement rigoureuse.
- Les développeurs sont formés.
- Nous faisons de nombreuses revues avec les spécialistes de la sécurité pour éviter des erreurs systématiques.
- Nous réalisons les tests appropriés
- Nous avons la traçabilité complète de la fonction de sécurité, des exigences formulées dans le cahier des charges jusqu’aux tests
Tout cela dépend du niveau de sécurité que nous voulons atteindre.
Animateur : Pouvez-vous nous donner un exemple de combinaison de hardware et de logiciel dans ce développement ?
Ornela Muskaj : Les équipes travaillent étroitement ensemble, en mode ingénierie simultanée.
Animateur : Comment vos clients appréhendent ils la sécurité fonctionnelle ? Est-ce un challenge ou un aspect parmi d’autres ?
Ornela Muskaj : La majorité des projets qui nous sont confiés comportent des fonctions et des exigences de sécurité. C’est un sujet capital pour tous nos clients. Certains clients sont autonomes dans ce domaine, tandis que d’autres font appel au support de nos experts.
Les clients, eux, partent du niveau de la machine avec leurs objectifs précis en ce qui concerne la sécurité fonctionnelle.
Animateur : Mais des objectifs obsolètes, non ?
Ornela Muskaj : Les objectifs de sécurité n’ont pas besoin de changer. C’est simplement à nous d’y répondre de manière appropriée, pour atteindre ces objectifs avec les fonctions que nous proposons.
Animateur : Est-ce que c’est un « indispensable » sur le marché ou est-ce que certaines machines sont plus sûres que d’autres ?
Ornela Muskaj : Au final, la responsabilité en matière de sécurité d’une machine incombe au constructeur de cette machine. Les normes à respecter sont très strictes.
Difficile de dire si des machines sont plus ou moins sécurisées que d’autres. Une machine doit être sûre et c’est le constructeur qui en porte la responsabilité.
Animateur : Comment se démarquer de ses concurrents sur le plan de la sécurité ?
Ornela Muskaj : C’est une bonne question. A ma connaissance, nous sommes les seuls à proposer un variateur avec à la fois le STO, la vitesse sûre, les signaux et la communication par bus sécurisé. Le STO est une fonction très répandue, mais nous proposons davantage pour réaliser des fonctions de sécurité plus avancées sans hardware additionnel. C’est ce que j’ai pu constater jusqu’ici.
Animateur : Passons aux cas concrets. Vous avez mentionné le bus sécurisé. Pouvez-vous nous donner 2 exemples où le bus sécurisé fait la différence ?
Ornela Muskaj : Un exemple très simple avec une chargeuse sur pneus :
L’opérateur sort de la cabine tandis que le moteur est toujours allumé. En aucun cas la machine ne doit pouvoir bouger. Nous devons éviter tout type de couple sur les essieux.
Cela est réalisable avec la fonction STO. Avec un niveau de performance PLd, plus aucun couple ne peut être appliqué au moteur puisque nous bloquons notre amplificateur avec le variateur.
Autre exemple, où le bus de communication joue un rôle :
Dans des applications plus complexes où il est plus difficile de prendre une décision, par ex. un chariot élévateur en fonctionnement ou similaire : avec une charge sur les fourches qui induit une certaine vitesse, et un variateur qui ne sait pas décider de la vitesse ni du couple approprié.
Nous pouvons transmettre les données de couple sûr et de vitesse sûre au contrôleur de la machine via une communication CAN sécurisée. En connaissant la charge et la vitesse il sait évaluer si la situation est dans ou en dehors des limites fixées et peut par exemple éteindre le variateur ou activer la fonction STO.
Animateur : C’est très intéressant. Par ailleurs j’entends qu’il y a du numérique derrière cela. Dans les usines par exemple, la sécurité est de plus en plus gérée via le numérique. Qu’en est-il de la sécurité « par le numérique » ou « par le logiciel » dans les machines mobiles ?
Ornela Muskaj : C’est un peu différent.
Nous avons toujours le hardware, à savoir le contrôleur embarqué sur la machine. Nous proposons une connexion numérique par CAN, entre nos variateurs et le contrôleur de la machine, qui peut être un contrôleur tiers parce que nous avons adopté le standard J1939-76. Nous sommes donc plutôt ouverts.
Animateur : Donc CAN est le standard ?
Ornela Muskaj : CAN est le standard.
Animateur : Et Ethernet ? Pas du tout ?
Ornela Muskaj : Pour l’instant Ethernet n’est pas demandé quand il s’agit d’un variateur. Cependant, nous voyons clairement des avantages avec Ethernet à l’avenir, mais aujourd’hui le marché ne l’exige pas.
Animateur : Je trouve que l’approche proposée à vos clients est vraiment intéressante. Quelle est la suite ? Est-ce que vos développements en matière de sécurité sont achevés ou est-ce que vos équipes travaillent encore sur ce sujet pour les mois ou les années à venir ?
Ornela Muskaj : Je dirais que ce n’est jamais terminé. Le développement continue.
Animateur : Pourquoi ? Pourtant vous avez résolu toutes les problématiques.
Ornela Muskaj : Oui, mais nous verrons à l’avenir, sur la prochaine génération de machines, avec plus de fonctions automatisées.
Animateur : Plus de fonctions automatisées
Ornela Muskaj : Plus de fonctions d’assistance à l’opérateur pour lui simplifier la tâche.
Animateur : Mais peut-être qu’à l’avenir il n’y aura plus d’opérateur ?
Ornela Muskaj : Et même ça, oui. Nous voyons déjà des machines sans conducteur. Alors imaginez, plus de conducteur pour appuyer sur le frein… Ça devient de plus en plus exigeant et complexe.
Nous pensons qu’il y aura un besoin accru en surveillance et en fonctions de sécurité ultradynamiques. Ce que nous sommes déjà en train de déployer pour servir au mieux les machines du futur.
Animateur : Comme prédire une situation à risque ?
Ornela Muskaj : Effectivement, nous avons de nombreux capteurs embarqués, jusqu’à la détection de l’environnement. Tout cela combiné peut être utilisé dans la prévention de situations à risque.
Animateur : Merci Ornela, c’était un plaisir.
Ornela Muskaj : Merci à vous.