Vous vous demandez peut-être s'il y a une différence. Oui, il y en a une. Dans le secteur des capteurs à sécurité fonctionnelle, les capteurs sont souvent qualifiés de « sécurité ». Dans notre cas, il s'agit de capteurs qui convertissent des grandeurs mécaniques en données électriques. Mais ce n'est pas nécessairement ce que nous entendons par sécurité chez TWK. Nos capteurs de sécurité répondent à des exigences et des normes très élevées, ce qui nous permet de parler à juste titre de « sécurité réelle ».
Il est donc conseillé d'y regarder de plus près afin de laisser la place aux capteurs de sécurité adaptés. Examinons tout d'abord les normes importantes qui seront principalement abordées dans cet article. Il s'agit de la norme CEI 61508 pour la sécurité fonctionnelle des systèmes électroniques avec la classification SILx (Safety Integrated Level) et de la norme ISO 13849 pour la sécurité des machines et des composants de sécurité des systèmes de commande avec la classification PLx (Performance Level). Plus la classification est élevée, plus la fiabilité est grande, ou plutôt plus la probabilité d'une erreur non détectée par le composant et pouvant présenter un danger est faible. Bon nombre de nos capteurs sont classés SIL2 et PLd. Certains sont même classés SIL3 ou PLe. Il est important que ce niveau de sécurité soit confirmé par un organisme officiel. C'est pourquoi nous faisons contrôler et certifier nos capteurs de sécurité par le TÜV, selon les besoins, selon l'une des deux normes ou les deux à la fois. Parfois, d'autres normes s'ajoutent, par exemple ISO26262 avec le niveau ASIL-D.
Pour atteindre ces niveaux de sécurité, de nombreuses exigences de conception doivent être mises en œuvre. Il est également important non seulement de respecter strictement le niveau de classification (par exemple SIL2), mais aussi de disposer d'une bonne marge, car le capteur est généralement un composant d'une chaîne de transmission et l'ensemble de la chaîne doit répondre à un certain niveau. Quelles mesures prenons-nous pour atteindre cet objectif ?
Tout d'abord, le mouvement mécanique doit être détecté de manière antidérapante. Cela nécessite une connexion par complémentarité de forme entre le capteur et l'application mobile. Nos codeurs rotatifs disposent pour cela d'une large gamme de types d'arbres qui permettent de réaliser cette liaison : arbres pleins avec ressort à languette ou à disque ou arbres creux avec rainure. Toute torsion inaperçue est ainsi exclue. C'est pourquoi chaque capteur doit également être solidement relié à l'application côté client.
Jetons maintenant un œil à l'intérieur : chez nous, les capteurs proprement dits sont toujours conçus de manière redondante. Les signaux des capteurs doubles sont ensuite comparés dans le contrôleur, qui contient tous les logiciels et micrologiciels nécessaires au traitement et à la sortie des signaux (comparaison de plausibilité). Ce n'est que si l'écart est inférieur à une valeur limite que ce signal – par exemple la position de l'arbre du capteur 1 d'un codeur rotatif – est émis comme valeur fiable via l'interface, généralement une interface bus. Le micrologiciel du contrôleur est conçu de manière à ce que tous les processus internes (lecture des données, calcul, transmission et enregistrement des valeurs intermédiaires, etc.) soient sécurisés par des sommes de contrôle CRC. D'autres processus de vérification et de contrôle, appelés doubles vérifications, permettent un fonctionnement fonctionnellement sûr. Par exemple, les relais de valeur limite des commutateurs à cames SIL2 et des capteurs de vibrations sont contrôlés en permanence pour vérifier qu'ils sont dans le bon état de commutation. SIL3 va encore plus loin : les contrôleurs de traitement des signaux sont conçus en double.
Le matériel est également soumis à des contrôles : toutes les tensions d'alimentation sont-elles dans la plage spécifiée ? Les zones de mémoire RAM et ROM fonctionnent-elles correctement ? Les pilotes de sortie sont-ils en ligne ?
Le processus se poursuit avec la transmission des données obtenues, c'est-à-dire les données d'angle et de vitesse ou les données d'accélération et d'inclinaison. La transmission est également effectuée en double. Soit par des configurations binaires standard et inversées immédiatement l'une après l'autre (par exemple avec CANopen Safety), soit avec des données de sécurité CRC supplémentaires (par exemple des données F avec PROFIsafe). Les données de paramétrage du capteur sont toujours sécurisées par une somme de contrôle. Ce type de transmission garantit que la valeur de mesure sécurisée déterminée par le capteur arrive également en toute sécurité dans la commande. Sûr signifie avec une probabilité très faible, mais conforme à la classification SIL/PL, qu'une erreur ne soit pas détectée, de sorte que le danger provenant du système ou de la machine est très faible, mais ne peut jamais être nul.
Mais ce n'est pas seulement le résultat final, c'est-à-dire le capteur fini, qui est soumis à des règles strictes afin de répondre aux critères de sécurité, mais aussi l'ensemble du processus de développement. Ainsi, avant et pendant le développement d'un nouveau produit de sécurité, toutes les exigences à respecter sont déterminées. Afin de garantir les fonctions, toutes les procédures de test associées (les cas de test) sont également formulées. Pour couvrir toutes les propriétés, cela peut représenter plusieurs milliers d'opérations individuelles. Seule cette minutie permet d'obtenir un résultat sûr.
L'objectif de toutes ces mesures est donc toujours d'éviter les dysfonctionnements et, si un dysfonctionnement survient, de le détecter dans la mesure du possible. Si un comportement incorrect est détecté, le capteur passe immédiatement en mode de sécurité. Cela signifie qu'une erreur est envoyée à la commande (bit d'état) et que le capteur interrompt la transmission de ses données. Tous les relais de sécurité (le cas échéant) s'ouvrent. La commande de sécurité réagit en mettant le système ou certaines parties de celui-ci en mode de sécurité afin d'éviter tout dommage.
En tant qu'entreprise familiale établie de longue date, nous avons commencé très tôt à concevoir des capteurs sûrs et avons acquis une bonne position sur le marché grâce à cette expérience et à ce savoir-faire. C'est pourquoi nous continuons à faire ce que nous savons faire : développer et produire des capteurs fonctionnellement sûrs, c'est-à-dire réellement sûrs.
