La sécurité fonctionnelle est-elle obligatoire pour les robots industriels ?

Oui. La Directive Machines exige une évaluation des risques et des mesures de réduction démontrables à un niveau d'intégrité défini. Les normes ISO 10218 et ISO/TS 15066 précisent les exigences pour les robots industriels et collaboratifs respectivement.

Quelle est la différence entre un arrêt de catégorie 0, 1 et 2 ?

La catégorie 0 coupe l'alimentation immédiatement ; la catégorie 1 freine le robot de manière contrôlée avant de couper l'alimentation ; la catégorie 2 freine sans couper l'alimentation, en maintenant le couple sur les axes. Le bon choix dépend de l'analyse des risques et du procédé.

À quelle fréquence faut-il re-valider la sécurité fonctionnelle d'une cellule ?

Aucun délai universel n'est fixé par les normes, mais une re-validation est recommandée après toute modification de l'équipement ou du procédé, et au minimum lors de chaque révision majeure de l'installation. Le principe directeur est que tout changement susceptible d'affecter le comportement de sécurité doit être re-validé.

Sécurité fonctionnelle des robots : zones, verrouillages et validation

Installer une clôture périmétrique et un arrêt d'urgence ne suffit pas à garantir la sécurité d'une cellule robotisée. La sécurité fonctionnelle va bien plus loin : c'est l'ensemble des mesures techniques, organisationnelles et de validation qui garantissent que le système réagit correctement à toute défaillance, y compris celle du système de sécurité lui-même.

En atelier, ce concept repose sur trois piliers : la conception des zones de travail, la configuration des verrouillages et la validation formelle de l'ensemble. Voyons chacun en détail.

Pourquoi parler de sécurité fonctionnelle maintenant ?

La réglementation européenne — en particulier la Directive Machines et les normes ISO 10218 pour les robots industriels et ISO/TS 15066 pour les applications collaboratives — exige que l'intégrateur et l'utilisateur final démontrent que les risques résiduels sont maîtrisés à un niveau d'intégrité défini. Ce niveau s'exprime généralement comme un niveau de performance (PL) selon EN ISO 13849 ou un niveau d'intégrité de sécurité (SIL) selon IEC 62061.

Le non-respect n'implique pas seulement des sanctions : en cas d'accident, la responsabilité civile et pénale incombe à celui qui ne peut pas démontrer l'évaluation et la réduction des risques.

Conception des zones de travail

Une cellule robotisée peut comporter plusieurs zones avec des exigences d'accès et de protection différentes :

Zone d'exclusion : le robot fonctionne à vitesse et force nominales ; l'accès humain doit être physiquement interdit ou déclencher l'arrêt immédiat du robot.
Zone de collaboration ou d'accès contrôlé : si le procédé l'exige, un opérateur peut pénétrer avec le robot en mouvement, mais uniquement dans des conditions de vitesse réduite, de force limitée et de surveillance continue de la distance.
Zone de chargement/déchargement : le robot est à l'arrêt ou en position d'attente sécurisée pendant que l'opérateur manipule des pièces. Un verrouillage doit empêcher la reprise du cycle jusqu'à ce que l'opérateur soit sorti et l'ait confirmé activement.

L'erreur la plus fréquente est de définir ces zones sur papier lors de la conception, puis de ne pas les retranscrire fidèlement dans la configuration du contrôleur ou de l'automate de sécurité.

Verrouillages : définition et fonctionnement

Un verrouillage (interlock) est un circuit ou une fonction logique qui empêche une action dangereuse tant qu'une condition de risque est présente. Dans une cellule robotisée, les plus courants sont :

Porte d'accès avec interrupteur de sécurité : l'ouverture de la porte génère un signal qui envoie le robot en arrêt de catégorie 1 ou 2 et bloque le réarmement jusqu'à ce que la porte soit refermée et que l'opérateur le confirme activement.
Rideaux lumineux ou scanners laser : détectent la présence en temps réel et permettent des arrêts plus progressifs, utiles lorsqu'il n'y a pas de protection physique ou lorsqu'un accès fréquent est nécessaire sans ouvrir de portes.
Verrouillages d'outil : confirment que l'effecteur est en position sécurisée avant d'autoriser le mouvement d'autres axes.
Arrêts d'urgence redondants : accessibles depuis tous les postes d'opération et câblés selon les catégories d'arrêt appropriées.

L'essentiel n'est pas seulement d'installer ces dispositifs, mais de les acheminer via un relais ou un module de sécurité certifié capable de détecter les défauts internes du circuit de sécurité lui-même.

Configuration dans le contrôleur du robot

ABB, KUKA et FANUC disposent tous de fonctions de sécurité intégrées dans leurs contrôleurs qui permettent de définir des espaces de travail surveillés, des vitesses maximales supervisées et des zones d'arrêt logicielles. Ces fonctions complètent mais ne remplacent pas les verrouillages physiques.

Une configuration correcte comprend l'activation de la surveillance des axes, la définition des limites de zone en cohérence avec la conception physique de la cellule, et la protection des paramètres de sécurité par mot de passe ou signature de validation. Toute modification ultérieure doit être traitée comme une modification de machine et faire l'objet d'une re-validation.

Si vous souhaitez revoir ou mettre à jour ces fonctions dans votre installation, notre équipe de conseil et audit peut vous accompagner dans cette démarche.

Validation : l'étape la plus souvent négligée

Concevoir et installer correctement ne suffit pas : les normes exigent de vérifier et valider que le système de sécurité fonctionne conformément aux spécifications. Cela implique :

Des tests de chaque fonction de sécurité dans des conditions réelles.
La mesure des temps d'arrêt réels et leur comparaison avec ceux retenus pour le calcul des distances de sécurité.
Un enregistrement documenté de tous les essais, avec date, résultat et signature du responsable.
Une révision périodique après toute modification de la cellule ou du procédé.

Erreurs fréquentes en atelier

Des pontages ou neutralisations temporaires de verrouillages qui deviennent permanents.
Des distances de sécurité calculées à partir de temps d'arrêt théoriques et non mesurés.
Des fonctions de sécurité du contrôleur désactivées ou laissées avec les paramètres par défaut.
L'absence de documentation : ce qui n'est pas enregistré n'existe pas lors d'une inspection ou d'une enquête après accident.
Une formation insuffisante du personnel de maintenance, qui peut involontairement désactiver des protections lors d'interventions.

Un programme de maintenance préventive solide contribue également à maintenir la sécurité fonctionnelle en bon état. Vous pouvez approfondir cette approche dans notre article sur la fréquence recommandée pour la maintenance préventive d'un robot industriel.

Quand réaliser un audit de sécurité ?

Il est recommandé de revoir la sécurité fonctionnelle d'une cellule après toute modification du procédé ou du layout, lors d'un changement de responsable de l'installation, après un incident ou un presque-accident, et de façon périodique même en l'absence de changement apparent. Notre service d'audit d'installations robotisées couvre ces situations avec un rapport d'écarts et un plan d'action priorisé.