Révision de la norme EN ISO 10218 sur les exigences de sécurité des robots

Ces dernières années, grâce aux progrès réalisés dans le domaine des matériaux et aux avancées des techniques d’automatisation et d’entraînement, les robots industriels sont devenus plus performants, plus polyvalents et moins coûteux. Afin d’ajuster également les exigences de sécurité, la série de normes 10218 a fait l’objet d’une révision fondamentale, dans le cadre de laquelle une nouvelle approche en termes d’évaluation des risques a été mise en œuvre.

La série de normes EN ISO 10218 décrit et explique les exigences de sécurité applicables dans la pratique à la conception des robots. La première partie contient des exigences pour les robots industriels, et la deuxième partie des exigences applicables aux applications telles que les systèmes robots, les cellules robotisées, etc. En tant que normes harmonisées, ces deux parties offrent une présomption de conformité avec les exigences essentielles de santé et de sécurité de la Directive Machines 2006/42/CE.

En cours depuis près de cinq ans, la révision de la norme EN ISO 10218 vise les objectifs suivants :

• Conserver le statut de normes harmonisées, un aspect très important pour l’UE. Même si ce n’est pas indispensable pour les deux tiers de la planète, tous les fabricants de robots et de nombreux intégrateurs souhaitent que ce statut soit conservé. (Les intégrateurs équipent le robot de ses outils et l’intègrent – physiquement, électriquement et/ou en termes de commande – dans un environnement de travail défini. Ce n’est qu’alors qu’il devient une machine complète et peut porter le marquage CE.)
• Éliminer les erreurs et prendre en compte les avancées technologiques et scientifiques.
• Préciser les exigences pour les applications collaboratives.
• Définir des exigences flexibles en matière de sécurité fonctionnelle, afin de pouvoir adapter celle-ci aux différents niveaux de risque des applications.

Les deux parties de la norme seront plus longues et plus détaillées. On y a, d’une part, ajouté de nombreuses exigences qui reflètent certaines exigences fondamentales de sécurité et de santé de la Directive Machines, et on a, d’autre part, intégré dans la partie 2 de la série de normes trois documents d’appui : ISO/TS 15066, qui comporte des exigences supplémentaires en matière de sécurité pour la conception d’applications collaboratives des robots, et ISO/TR 20218-1 et -2, qui fournissent des informations et instructions supplémentaires sur la conception de sécurité des organes de préhension et des points de chargement et de déchargement manuels des systèmes robotiques.

Une nouvelle approche de la sécurité fonctionnelle

Compte tenu du vaste éventail d’applications des systèmes de robots industriels, il n’est pas toujours possible de dresser une liste de tous les risques significatifs et situations ou événements dangereux susceptible de se produire. De plus, un même type d’application peut présenter des niveaux de risque différents, en fonction de sa conception et de la situation dans laquelle elle est utilisée. Ceci peut se traduire, en termes de performance des fonctions de sécurité, par des exigences différentes qui, à première vue, sont en contradiction avec les exigences étroites de la norme actuelle.

La révision de la norme ne doit donc pas avoir pour effet d’imposer un niveau de performance donné pour la fonction de sécurité. Elle ne doit pas non plus prescrire quelle doit être, parmi les méthodes possibles, celle à utiliser pour déterminer le niveau de performance requis, ce qui constituerait une restriction inutile pour les utilisateurs de la norme. Au lieu de cela, c’est d’une estimation du risque selon les éléments de risques décrits dans la norme ISO 12100 que doit être déduit le niveau de performance. L’annexe normative C fournit les domaines, les seuils et d’autres paramètres à utiliser à cet effet. Elle décrit toutes les fonctions de sécurité nécessaires pour réduire les risques significatifs. Elle indique pour cela pour chaque cas l’événement déclencheur et le résultat attendu, à savoir la réaction des éléments de sécurité de la commande en cas de détection d’une erreur.

L’application de ces paramètres de risque est prédéfinie, mais l’utilisateur de la norme peut choisir librement à quelle méthode d’estimation du risque il aura recours. Cette nouvelle approche en matière de normalisation se traduit par une spécification harmonisée et vérifiable des performances requises pour les éléments de sécurité de la commande, et à des résultats similaires pour des applications semblables.

Conception des robots

Les révisions des normes contiennent désormais des exigences nouvelles concernant les points suivants :

• La résistance mécanique et les matériaux utilisés : le concepteur doit réduire au maximum les angles, les arêtes et les éléments saillants, et prendre en compte l’usure et la fatigue du matériau.
• La sécurité au niveau du maniement, du stockage, du transport et de l’emballage des robots et de leurs composants.
• La limitation de la température des surfaces pouvant être touchées et la protection contre les incendies.
• L’utilisation de l’énergie électrique, pneumatique et hydraulique. Ces exigences régissent le cas d’une perte ou d’un changement d’énergie, ainsi que le comportement en cas de panne ou de dysfonctionnement de composants – en particulier dans les situations où une panne d’énergie peut provoquer des risques dus à des mouvements inattendus du manipulateur (la partie mobile du robot, sur laquelle est fixé l’outil) dus à la gravité.
• Le réglage du centre d’outil (Tool Center Point, TCP), les réglages de sécurité en fonction de la charge, ainsi que l’équipement spécial à fournir si celui-ci est nécessaire pour effectuer en toute sécurité les réglages, la maintenance et l’utilisation.

La partie 1 de la norme définit deux classes de robots : la classe I comprend les robots équipés d’un manipulateur présentant au maximum une masse totale de 10 kg, une force de 50 N et une vitesse de 250 mm/s. Tous les modèles dépassant ces valeurs appartiennent à la classe II. Les robots de la classe I, dont la méthodologie d’essai est décrite dans l’annexe E, sont soumis à des exigences beaucoup moins strictes en termes de fonctions de sécurité.

Cybersécurité

S’il ressort de l’évaluation de la cybersécurité qu’un accès au système de commande par des personnes non autorisées présente des risques pour la sécurité, des mesures de protection adéquates doivent être prises. La partie 1 contient une liste de mesures appropriées exigées de la part du fabricant du robot. La partie 1 renvoie, pour plus d’informations et exigences, à la série de normes IEC 62443 sur la sécurité informatique des systèmes industriels d’automatisation. Il est par principe considéré comme étant plausible le principe selon lequel le niveau 2 de sécurité selon IEC 62443 s’applique aux éléments de la commande susceptibles d’avoir un effet négatif sur la sécurité (marche, arrêt, modification des réglages de sécurité, etc.), et le niveau 1 aux autres éléments.

Commande et modes de fonctionnement

Certaines exigences ont été ajoutées pour la commande des fonctions du robot :

• Il ne peut y avoir qu’une seule station de commande active à la fois (y compris les stations de commande à distance).
• Les modes de fonctionnement et les exigences de sécurité correspondantes sont décrits plus clairement dans les deux normes.
• La sélection du mode de fonctionnement n’est pas considérée comme une fonction de sécurité, mais seulement son activation. Ceci permet d’éviter les risques liés au choix d’un mauvais mode de fonctionnement.

Les robots doivent avoir au moins deux modes de fonctionnement : le fonctionnement manuel (programmation) et le fonctionnement automatique (exécution du programme). Prévue dans les versions précédentes, la possibilité d’un fonctionnement manuel à haute vitesse avec des dispositifs de protection partiellement inactivés (appelé « mode d’observation du processus ») n’est plus autorisée.

Toute station de commande portative (pendant, pupitre, smartphone, tablette, etc.) capable de déclencher des mouvements ou autres situations potentiellement dangereuses doit posséder une fonction d’arrêt d’urgence conforme à la norme ISO 13850, et une touche de validation à trois niveaux.

Les fonctions de sécurité pour les applications collaboratives

La notion de « fonctionnement collaboratif », ainsi que d’autres termes similaires, ont été supprimés des deux documents, car ils décrivent uniquement le type d’application, mais ni le mode, ni une caractéristique du robot. Les experts s’accordent d’ailleurs à dire qu’il n’existe pas de « robot collaboratif », de « mode collaboratif » ou, à plus forte raison, de vitesse qualifiée de « collaborative ».

Pour les applications collaboratives sûres, la série de normes ne décrit désormais que trois fonctions de sécurité différentes : le guidage manuel, le contrôle de la distance et de la vitesse, et la limitation de la force et de la pression. La quatrième fonction, « surveillance de l’arrêt sécurisé », qui apparaissait initialement, n’est plus mentionnée, car elle est également requise pour les applications non collaboratives.

Perspectives

Le projet final pour chacune des deux parties a été soumis au consultant HAS, pour évaluation, en mars 2022. Si cette évaluation s'avère positive, le texte sera soumis à l’ISO et au CEN pour un vote final. Dans le meilleur des cas, la publication et l’harmonisation pourraient intervenir au deuxième ou au troisième trimestre de 2023. Aucune date ne peut être indiquée pour l’instant pour le référencement au Journal officiel de l’UE.

Les projets finaux ont, certes, également des contenus qui répondent à certaines exigences supplémentaires du nouveau Règlement sur les machines. Les exigences ne sont toutefois pas toutes concrétisées, notamment celles sur l’application de l’IA évolutive dans les fonctions de sécurité, ou certaines exigences relatives aux machines mobiles autonomes et à la cybersécurité du matériel informatique.

Otto Görnemann, Expert pour la sécurité des machines – Normes et directives
SICK AG – Waldkirch
otto.goernemann@sick.de