Dispositifs de verrouillage avec interverrouillage selon l’ISO 14119 – comment empêcher toute neutralisation ?

La manipulation des dispositifs de verrouillage avec interverrouillage résulte rarement de la seule « mauvaise pratique » de l’opérateur. Le plus souvent, elle découle de choix de conception qui ne tiennent pas compte des conditions réelles d’accès à la zone dangereuse, du temps d’attente avant une ouverture en sécurité ni des contraintes liées au redémarrage. C’est pourquoi la question de la conformité à la NF EN ISO 14119 doit être posée dans une perspective plus large : il ne s’agit pas seulement de savoir comment choisir un dispositif de verrouillage, mais aussi comment concevoir le protecteur, la séquence d’arrêt et la logique d’accès afin que le contournement de la protection ne soit pas, pour l’utilisateur, la solution la plus simple.

En pratique, cela suppose d’articuler plusieurs niveaux de décision. La NF EN ISO 14119, à elle seule, structure le choix des dispositifs de verrouillage et des mesures limitant les possibilités de manipulation, mais elle doit être lue conjointement avec la NF EN ISO 14120 pour les protecteurs, avec les exigences relatives aux fonctions de sécurité selon l’ISO 13849 et, lorsqu’il s’agit de systèmes de commande électroniques, également au regard du SIL. Si l’on parle d’un périmètre de sécurité, l’ISO 13857 est également déterminante. Toutefois, même une référence correcte aux normes ne remplace pas la décision fondamentale de conception : le mode de fonctionnement retenu pour la machine peut-il être maintenu sans créer de pression en faveur du contournement des protections ?

Pourquoi ce sujet est aujourd’hui important

Les dispositifs de verrouillage avec interverrouillage ne sont plus un simple détail de protecteur mobile, choisi en fin de projet. En pratique, ils influencent l’architecture de la machine, le mode d’exploitation, la logique d’arrêt et l’organisation de l’accès à la zone dangereuse. S’ils sont sélectionnés uniquement sous l’angle de la conformité formelle, et non des conditions réelles d’utilisation, les manipulations apparaissent rapidement : neutralisation de l’élément d’actionnement, maintien du protecteur en position ouverte, forçage du cycle alors que l’accès n’est pas correctement refermé. Il ne s’agit pas d’un problème secondaire, mais du signe que le projet n’a pas pris en compte le mode d’utilisation prévisible de la machine.

Les conséquences sont généralement coûteuses et n’apparaissent que tardivement, au moment où les modifications sont les plus difficiles à mettre en œuvre. Le propriétaire du produit et la personne responsable de la conformité doivent alors faire face simultanément à une augmentation du risque de blessure, à la remise en cause des mesures de protection retenues et à la nécessité d’apporter des corrections après la mise en service. Les erreurs les plus coûteuses naissent au stade des hypothèses de départ, lorsque le verrouillage est traité comme un simple choix sur catalogue au lieu d’être considéré comme un élément de la fonction de sécurité et de l’organisation de l’accès. L’équipe de conception ne devrait pas seulement répondre à la question de savoir si le protecteur doit être surveillé, mais surtout à celles-ci : à quelle fréquence sera-t-il ouvert, l’arrêt implique-t-il un temps de décélération ou une énergie résiduelle, l’opérateur aura-t-il une motivation concrète à raccourcir le cycle, et cette motivation peut-elle être supprimée par une modification de la solution retenue.

Cela se voit particulièrement dans les situations où l’opérateur doit régulièrement éliminer des bourrages ou réapprovisionner la matière. Si le protecteur reste verrouillé jusqu’à l’arrêt complet, mais que le temps de déverrouillage ne correspond pas à la dynamique réelle du procédé, ou que la procédure de reprise de production est disproportionnellement contraignante, le contournement de la protection devient prévisible. Les conséquences pour le projet sont concrètes : retouches mécaniques supplémentaires, modifications du circuit de sécurité, corrections de la documentation technique et, parfois, refonte du système d’entraînement ou hydraulique lorsque la source du problème réside dans le mode d’arrêt lui-même.

C’est seulement dans ce contexte qu’il est pertinent de se référer aux normes. La NF EN ISO 14119 structure le choix des dispositifs de verrouillage avec interverrouillage et l’approche visant à limiter les manipulations, mais elle ne remplace pas l’analyse de risques. Elle doit être interprétée avec la NF EN ISO 14120 pour les protecteurs ainsi qu’avec les exigences relatives aux fonctions de sécurité selon l’ISO 13849 et, pour les systèmes de commande électroniques, également avec le SIL. Si l’accès est assuré par un périmètre de sécurité, l’ISO 13857 est elle aussi importante. D’un point de vue pratique, la conclusion est simple : le risque de manipulation doit être traité au stade de la conception ou de la modernisation, car après la mise en service, on ne corrige plus les causes des mauvaises hypothèses initiales, mais seulement leurs effets.

Où les coûts ou les risques augmentent le plus souvent

Le plus souvent, les pertes ne résultent pas de l’utilisation elle-même d’un dispositif de verrouillage avec interverrouillage, mais de l’hypothèse erronée selon laquelle le problème de la neutralisation peut être éliminé par une serrure « plus robuste » ou une logique de commande plus restrictive. En pratique, les coûts et les risques augmentent lorsque la mesure de protection gêne davantage le travail normal qu’elle ne réduit réellement les possibilités de contournement. L’équipe projet identifie alors le symptôme, et non la cause : ouvertures fréquentes du protecteur, besoin d’observer le processus, réduction du cycle, corrections de réglage ou élimination de bourrages. Si ces situations ne sont pas identifiées avant la clôture du projet, on voit apparaître une chaîne de conséquences typique : retouches des protecteurs, modification de la logique de commande, nouvelle validation des fonctions de sécurité et débat sur l’origine du problème — conception, intégration ou utilisation.

Le deuxième domaine de risque tient à la dissociation entre les décisions mécaniques et celles relevant de l’automatisme. Lorsque le concepteur du protecteur, l’automaticien et la personne responsable de la conformité travaillent séparément, le verrouillage est souvent choisi trop tard, une fois définis la géométrie des portes, le sens d’ouverture, les jeux, les efforts de fermeture et la méthode de traitement des défaillances. Le dispositif de verrouillage se retrouve alors à compenser les faiblesses de toute l’architecture de la machine. Il en résulte des surcharges des composants, des problèmes d’alignement, une position instable du protecteur et des tolérances de montage qui, en exploitation, commencent à favoriser le contournement de la protection. Si le bon fonctionnement du verrouillage dépend d’un réglage très précis, d’une fermeture « délicate » ou du fait que l’opérateur accepte systématiquement d’attendre plus longtemps que ne le permet le processus, le risque de neutralisation est déjà intégré au projet.

En pratique, cela se voit clairement sur les postes où l’accès à la zone dangereuse est fréquent, mais bref : lors d’un changement de série, du prélèvement d’une pièce, de l’évacuation d’un rebut ou d’une correction de position. Si le projet prévoit un verrouillage jusqu’à disparition du danger, mais ne dissocie pas l’arrêt du processus d’un accès rapide et maîtrisé pour l’opérateur ou la maintenance, l’utilisateur commence à chercher des raccourcis. Un actionneur non autorisé, un protecteur laissé entrouvert « juste un instant », le maintien du verrou en position ou le contournement de la séquence de redémarrage ne constituent alors pas un incident, mais le signe d’une décision de conception inadaptée.

• À quelle fréquence le protecteur sera ouvert dans le cycle normal de travail.
• Combien de temps il faut pour pouvoir l’ouvrir en sécurité à partir de l’arrêt.
• Si les conditions de redémarrage sont proportionnées au type d’intervention.
• Si l’utilisateur dispose d’une possibilité technique simple de contourner la protection.
• Si la géométrie du protecteur et son mode de montage favorisent un fonctionnement stable du verrou en exploitation.

Les normes structurent la manière d’évaluer ces questions, mais elles ne prennent pas les décisions à la place du concepteur. La NF EN ISO 14119 définit les règles de choix des dispositifs d’interverrouillage et de limitation des manipulations, mais elle doit être mise en relation avec la NF EN ISO 14120, et les fonctions de sécurité doivent être examinées selon la logique de l’ISO 13849, et parfois aussi du SIL pour les systèmes de commande électroniques. S’agissant du périmètre de sécurité, l’ISO 13857 ne peut pas être écartée. Le critère final reste toutefois très concret : la neutralisation est-elle encore un problème à limiter, ou constitue-t-elle déjà la preuve d’une mauvaise définition des conditions d’accès sûr et de la séquence d’arrêt, ce qu’un audit de sécurité des machines et des lignes de production permet précisément de mettre en évidence.

Comment aborder le sujet en pratique

La question de savoir comment empêcher les manipulations ne devrait pas commencer par le choix d’un dispositif précis. Il faut d’abord déterminer dans quelle situation l’opérateur ou les équipes de maintenance auront une motivation réelle à contourner une fonction de sécurité. Si l’accès à la zone dangereuse est nécessaire fréquemment, si l’arrêt dure trop longtemps ou si, après l’ouverture du protecteur, le retour à l’état prêt est excessivement contraignant, la manipulation devient une conséquence prévisible de la conception. Du point de vue du management, cela se traduit par des coûts de mise en service plus élevés, davantage de modifications après réception et une défense plus difficile des solutions retenues en cas d’incident ou de litige sur la conformité.

C’est pourquoi l’ordre des décisions est déterminant. Il faut d’abord structurer les scénarios d’accès : changement de série, déblocage des bourrages, nettoyage, contrôle qualité, diagnostic et maintenance. Ce n’est qu’ensuite qu’on peut évaluer si le verrouillage doit protéger contre l’accès à un danger qui subsiste après l’ordre d’arrêt, ou seulement imposer la séquence de fonctionnement correcte. Mélanger ces deux objectifs dans une même solution conduit rapidement à des coûts cachés : conditions de déverrouillage peu lisibles, contournements de service inutiles, conflits entre l’automatisation industrielle et la technologie du procédé, ainsi qu’une documentation difficile à défendre comme cohérente.

Un exemple pratique suffit à l’illustrer. Si un protecteur est ouvert plusieurs fois par poste pour éliminer de petits incidents, et que le verrou ne se libère qu’après un délai perçu par l’opérateur comme injustifié, le problème ne vient pas de la discipline de travail. Le simple remplacement de l’interrupteur par un modèle avec un niveau de codage plus élevé peut compliquer une manipulation technique élémentaire, mais n’en supprimera pas la cause. Dans une telle situation, il faut revenir aux hypothèses de départ et vérifier s’il est possible de raccourcir l’arrêt sûr, de séparer les zones d’accès, de modifier la séquence de réarmement, d’introduire un mode d’intervention avec contrôle des conditions, ou de traiter autrement l’élimination des bourrages. Ce sont précisément ces décisions qui réduisent la pression à contourner les protecteurs.

Ce n’est qu’après cette remise en ordre qu’il devient pertinent d’appliquer les références normatives. La NF EN ISO 14119 encadre le choix des dispositifs de verrouillage, leur intégration et les moyens de limiter les possibilités de manipulation, mais elle ne remplace pas l’évaluation du mode réel d’utilisation de la machine. Elle doit être mise en regard de la NF EN ISO 14120, et le choix comme la validation des fonctions de sécurité exigent une référence à l’ISO 13849 ; dans le cas des systèmes de commande électroniques, la notion de SIL peut également entrer en jeu. Lorsque l’accès concerne une enceinte de sécurité, l’ISO 13857 est également importante. Du point de vue du praticien, la conclusion essentielle est la suivante : il faut d’abord supprimer la motivation de contournement, puis seulement rendre le contournement lui-même plus difficile.

Points de vigilance lors de la mise en œuvre

L’erreur la plus fréquente lors de la mise en œuvre consiste à considérer qu’un dispositif de verrouillage avec interverrouillage suffit, à lui seul, à résoudre le problème des manipulations de contournement. En réalité, il déplace le centre de gravité de la décision vers le mode d’utilisation du protecteur, la logique de déverrouillage, la géométrie de l’intégration et l’organisation des interventions. Si ces conditions ne sont pas correctement définies, l’utilisateur continuera à chercher un raccourci, et le projet en paiera le prix au pire moment : lors de la mise en service, de la réception ou après la mise en exploitation de la machine. Apparaissent alors non seulement des reprises mécaniques et des modifications du système de commande, mais aussi des difficultés à défendre le dossier de conformité lorsqu’il s’avère qu’un contournement prévisible n’a pas été réellement limité.

Une vigilance particulière s’impose là où le verrouillage est censé compenser des problèmes dont l’origine se situe en dehors du dispositif lui-même. Si le protecteur doit être ouvert fréquemment parce que le procédé exige des réglages, l’élimination de bourrages ou la confirmation de l’état de la pièce, le simple relèvement du niveau de protection ne résout généralement pas le problème. Il tend plutôt à augmenter les coûts et à accroître les tensions en exploitation. Si l’accès à la zone dangereuse est régulièrement nécessaire dans le cycle normal de travail, il faut d’abord vérifier si le procédé n’est pas conçu d’une manière qui provoque lui-même le contournement de la protection. Dans ce cas, la bonne question n’est pas « quel verrou choisir », mais de savoir si la fréquence d’accès, le temps d’attente et les conditions de redémarrage sont acceptables du point de vue de l’exploitation réelle.

Un problème typique apparaît lorsque la libération du verrou dépend de l’arrêt du mouvement ou de la dissipation de l’énergie, mais que le signal autorisant l’ouverture est instable ou retardé par rapport au comportement de la machine. L’opérateur se retrouve alors face à un protecteur « impossible à ouvrir », alors que, de son point de vue, l’intervention est urgente et techniquement simple. Si, en plus, aucun mode sûr de traitement des perturbations n’a été prévu, des solutions de substitution apparaissent rapidement : laisser le protecteur entrouvert, forcer la position de l’actionneur ou intervenir sur le mécanisme d’activation. C’est un signal clair que les conditions limites de mise en œuvre ont été mal identifiées.

Au stade de la mise en service, il est donc utile d’observer non seulement la conformité formelle de la fonction de sécurité, mais aussi le déroulement de l’exploitation réelle : le nombre d’arrêts nécessitant une entrée dans la zone, le temps d’attente avant déverrouillage, les motifs d’intervention et le nombre de modifications de logique après démarrage. Si ces signaux s’accumulent, le projet comporte toujours un risque intrinsèque de manipulation, même si l’élément de sécurité lui-même a été correctement sélectionné. Dans une telle configuration, la NF EN ISO 14119 reste un point de référence pour le choix et le montage du dispositif de verrouillage, mais elle doit être appliquée conjointement avec la NF EN ISO 14120, avec les exigences relatives aux fonctions de sécurité selon l’ISO 13849, et, le cas échéant, également avec le SIL pour les systèmes de commande électroniques ainsi qu’avec l’ISO 13857 pour les clôtures de sécurité. Une mise en œuvre ne peut être considérée comme aboutie que lorsque le verrouillage ne masque pas les faiblesses du procédé, mais vient compléter un scénario de risque correctement identifié.