STO, SS1 ou SS2 – comment arrêter une machine en toute sécurité

L’arrêt sûr d’une machine est l’un des éléments les plus importants de la sécurité fonctionnelle dans l’industrie. L’ingénieur automaticien se retrouve souvent face à la question suivante : suffit-il de couper simplement l’alimentation, vaut-il mieux appliquer un freinage contrôlé, ou faut-il au contraire maintenir l’entraînement sous tension ? En pratique, la réponse revient à choisir la bonne fonction d’arrêt : Safe Torque Off (STO), Safe Stop 1 (SS1) ou Safe Stop 2 (SS2). Dans cet article, nous expliquons pas à pas le fonctionnement de ces fonctions, quand utiliser chacune d’elles et les points d’attention lors de la conception du système de sécurité d’une machine. Le tout en s’appuyant sur les normes et les bonnes pratiques – mais présenté de manière concrète et orientée ingénierie, pour que la lecture ne soit pas aussi aride qu’un manuel d’utilisation.

Arrêt sûr d’une machine, étape par étape

Avant d’entrer dans les détails de STO, SS1 et SS2, il est utile de comprendre les catégories d’arrêt sûr définies par les normes. La norme NF EN 60204-1 distingue trois scénarios (catégories) d’arrêt, qui correspondent à nos fonctions de sécurité :

1. Catégorie 0 (STO) – arrêt d’urgence par coupure immédiate de l’alimentation de l’entraînement, sans freinage contrôlé. C’est la façon la plus rapide d’arrêter une machine ; cela correspond au classique coup de poing sur le bouton d’arrêt d’urgence. Malheureusement, il s’agit d’un arrêt non contrôlé : il ne protège pas les mécanismes contre les effets d’un arrêt brutal. Il peut donc s’avérer trop violent pour des machines délicates et entraîner des temps de redémarrage plus longs.
2. Catégorie 1 (SS1) – arrêt contrôlé, où le système freine d’abord activement la machine, puis, une fois le mouvement arrêté, coupe l’alimentation (en basculant vers STO). Autrement dit, le moteur décélère sous le contrôle de l’entraînement, puis intervient la coupure sûre du couple. Cette approche limite les à-coups et permet d’arrêter le mouvement de manière plus civilisée. Elle nécessite certes un court délai pour freiner, mais réduit en contrepartie le risque de dommages mécaniques. L’usage typique concerne les situations où la sécurité impose de ralentir le mouvement plutôt que de couper immédiatement – par exemple des lignes de production avec des éléments fragiles, où un arrêt brusque pourrait endommager le produit.
3. Catégorie 2 (SS2) – arrêt contrôlé avec maintien du couple après l’arrêt. Dans ce cas, après le freinage du moteur, l’alimentation n’est pas coupée ; l’entraînement passe en état de maintien d’un arrêt sûr (fonction SOS – Safe Operating Stop). Le moteur reste alimenté et maintient activement la position, empêchant tout mouvement. Cette solution est indispensable là où une stabilisation de la position est requise après l’arrêt – par exemple dans des ascenseurs industriels ou des machines avec des éléments suspendus (pour éviter que la charge ne commence à descendre). Un autre avantage de la catégorie 2 est la possibilité de reprendre rapidement le travail, puisque le système d’entraînement reste prêt à fonctionner.

Cette répartition permet d’adapter le mode d’arrêt aux spécificités de la machine et aux dangers. On n’arrêtera pas de la même manière un petit convoyeur à bande et un pont roulant massif à forte inertie. Il est essentiel que l’analyse de risques, dès la phase de conception, indique quel scénario d’arrêt garantit la sécurité des personnes et des équipements. Rappelons aussi que, conformément aux exigences, l’arrêt d’urgence (E-STOP) d’une machine doit être réalisé en catégorie 0 ou 1 – donc en STO ou SS1. La catégorie 2 (SS2), avec une alimentation maintenue sous tension, n’est pas prévue pour le bouton d’arrêt d’urgence classique, car en situation de sauvetage de vies, on veut réduire au maximum toutes les sources d’énergie. SS2 trouvera toutefois sa place dans d’autres modes d’arrêt, comme nous allons le voir.

Comment fonctionne la fonction Safe Torque Off (STO)

Safe Torque Off (STO) est la fonction d’arrêt sûr la plus simple et la plus fondamentale. Son principe consiste à couper immédiatement l’énergie vers le moteur – soit en supprimant la tension de sortie du variateur, soit en ouvrant des contacteurs dans le circuit d’alimentation. Résultat : le moteur cesse de produire du couple (ou une force, dans le cas d’actionneurs linéaires). Autrement dit, l’entraînement ne peut plus mettre en mouvement les parties mobiles de la machine. STO correspond donc à l’arrêt non contrôlé de catégorie 0, conformément à la description précédente.

Il faut le souligner : le STO ne freine pas activement le moteur – il le laisse simplement partir en roue libre jusqu’à ce que les frottements et les résistances au mouvement l’arrêtent. C’est pourquoi le temps d’arrêt avec le STO dépend de l’inertie de l’ensemble. Sur des machines à faible inertie et à fortes résistances (p. ex. un petit moteur avec un réducteur à vis sans fin), le mouvement s’arrête presque immédiatement. En revanche, avec une broche tournant très vite ou un rotor lourd de grande masse, après coupure de l’alimentation il peut encore tourner un certain temps. Le STO est donc le plus adapté là où l’arrêt immédiat de l’ensemble de l’entraînement n’est pas exigé – les forces de résistance naturelles suffisent à ralentir la machine dans un délai acceptable.

L’avantage du STO réside dans sa simplicité et sa grande fiabilité. C’est une fonction aujourd’hui intégrée à pratiquement tous les variateurs de fréquence et servovariateurs modernes. Elle répond à des exigences normatives strictes (souvent SIL 2 ou SIL 3, PL d/e), et peut donc remplacer les contacteurs classiques de coupure d’alimentation. Grâce au STO, on peut empêcher les démarrages intempestifs du moteur – cette fonction constitue une protection de base contre le mouvement incontrôlé après l’arrêt de la machine. Le bouton d’arrêt d’urgence active généralement le STO, en coupant l’énergie et en immobilisant l’entraînement de la manière la plus simple possible.

Les limites ? Comme le STO ne pilote pas le freinage, il ne protège pas contre les effets de l’inertie. Si l’on arrête, par exemple, un convoyeur à bande chargé uniquement en coupant l’alimentation, la marchandise peut continuer à glisser par élan. Dans le cas d’axes verticaux (p. ex. pont roulant, ascenseur), le STO seul peut même être dangereux : la suppression du couple peut entraîner la descente de la charge suspendue sous l’effet de la gravité. C’est pourquoi, dans certaines applications, le STO doit être complété par des moyens supplémentaires, par exemple des freins mécaniques qui arrêtent le mouvement. On utilise alors la fonction SBC (Safe Brake Control), qui, associée au STO, serre en toute sécurité le frein mécanique sur le moteur ou sur l’axe. Une telle solution est standard, par exemple, sur les ponts roulants ou les ascenseurs mentionnés : dès que le couple est coupé via le STO, le frein maintient la charge en position.

En résumé : le STO coupe instantanément le couple et empêche le moteur de générer une force. C’est un arrêt d’urgence rapide de catégorie 0, idéal lorsque chaque seconde compte pour la coupure d’énergie. Il faut toutefois s’assurer que la mise en roue libre de la machine ne crée pas de danger – et si c’est le cas, compléter le STO par des freins ou recourir au SS1.

Safe Stop 1 (SS1) – freinage contrôlé jusqu’à l’arrêt

Lorsqu’on a besoin d’un arrêt contrôlé de la machine, la fonction Safe Stop 1 (SS1) est la solution. La SS1 met en œuvre un arrêt en deux phases. Dans la première phase, l’entraînement freine activement le moteur – il réduit la vitesse selon une rampe de freinage définie ou surveille le temps de freinage. Lorsque la vitesse tombe presque à zéro, la seconde phase démarre : basculement automatique en STO (coupure sûre du couple) et, le cas échéant, actionnement d’un frein mécanique (SBC) afin d’immobiliser complètement l’axe. Autrement dit, la SS1 dissipe d’abord l’énergie du mouvement de manière contrôlée, puis coupe l’alimentation comme le STO.

Ce mode correspond à l’arrêt de catégorie 1 au sens de la norme – c’est-à-dire freinage contrôlé + coupure de l’alimentation. La SS1 est recommandée lorsqu’un arrêt aussi rapide que possible, mais contrôlé, est requis. Cas typique : l’équipement fonctionne à grande vitesse ou présente une inertie importante. Une coupure brutale de l’alimentation (STO) provoquera une longue décélération en roue libre ou un à-coup mécanique marqué lors d’un arrêt soudain. À la place, la SS1 freine dynamiquement par le moteur – ce qui permet souvent de s’arrêter plus vite qu’avec les seuls frottements – tout en le faisant de manière surveillée, donc sûre pour la mécanique.

Des exemples ? Scies circulaires, meuleuses, centrifugeuses, presses mécaniques – de manière générale, les machines avec une forte énergie de rotation devraient être arrêtées via la SS1. Imaginons une grande scie à ruban : l’appui sur STOP déclenche une rampe de freinage dans le variateur, qui réduit rapidement la vitesse de la lame. Une fois la scie arrêtée, le couple est coupé (STO) et la machine reste immobilisée en sécurité. L’arrêt est ainsi bien plus rapide que d’attendre que la scie s’arrête d’elle-même, tout en évitant le risque d’endommager l’entraînement ou la matière par un à-coup brutal – le freinage reste entièrement sous le contrôle du système.

Il est utile de savoir que la norme NF EN 61800-5-2 autorise différentes façons de mettre en œuvre la SS1. Les fabricants d’entraînements proposent par exemple la variante SS1-r (ramp monitoring) – où le système surveille la rampe de freinage et active le STO lorsque la vitesse passe sous un seuil défini – ou SS1-t (time controlled), où le STO s’enclenche après un temps défini, indépendamment de la vitesse. Quelle que soit l’implémentation, l’objectif reste le même : arrêter le mouvement aussi vite que possible en toute sécurité, puis couper l’énergie en fin de séquence. La SS1 exige généralement une commande plus avancée (p. ex. un module de sécurité dans le variateur ou un automate safety PLC), mais la plupart des entraînements modernes intègrent déjà ces fonctions en standard ou en option.

Au passage, SS1 est un choix fréquent pour mettre en œuvre un arrêt d’urgence de catégorie 1 – par exemple l’appui sur le « champignon », après lequel la machine doit décélérer au lieu d’être immédiatement mise hors tension. Un arrêt d’urgence avec freinage contrôlé est requis lorsque la coupure immédiate de l’alimentation pourrait accroître le danger (p. ex. du matériau pourrait être éjecté d’un tambour tournant à grande vitesse). En pratique, on l’implémente ainsi : après l’activation de l’E-STOP, le contrôleur de sécurité envoie une commande de freinage au variateur (rampe SS1) et, si la vitesse ne tombe pas à zéro dans un délai défini, il coupe malgré tout l’alimentation par sécurité. Cela implique que l’arrêt d’urgence doit toujours fonctionner, même si le freinage échoue. Le concepteur du système de sécurité doit prévoir un tel scénario.

Safe Stop 2 (SS2) – arrêt avec maintien de position

Il nous reste la troisième fonction : Safe Stop 2 (SS2). SS2 est, en quelque sorte, une extension de SS1. Elle réalise également un arrêt en deux phases (freinage + arrêt sûr), mais la différence est que l’on ne coupe pas l’alimentation après l’arrêt du moteur. Au lieu de passer en STO, l’entraînement maintient activement le couple sur le moteur à vitesse nulle, en s’appuyant sur la fonction SOS (Safe Operating Stop). Autrement dit, le moteur est arrêté de manière sûre dans une position définie, et cette position est surveillée en permanence et maintenue par le système de commande. Cet arrêt sûr sous tension correspond à l’arrêt contrôlé de catégorie 2, évoqué plus haut.

Qu’est-ce que cela apporte ? Avant tout, un redémarrage rapide de la machine. Comme le moteur reste alimenté en permanence (bien qu’à vitesse nulle), le mouvement peut reprendre immédiatement, sans procédures supplémentaires. À l’inverse, après un SS1 (catégorie 1), le système passe en STO ; pour repartir, il faut d’abord réautoriser l’alimentation de l’entraînement, ce qui peut prendre du temps (réarmement du système de sécurité, etc.). SS2 supprime ce délai : le mouvement peut être débloqué pratiquement aussitôt, dès que les conditions de sécurité le permettent.

On utilise SS2 lorsque la machine ou une partie de celle-ci ne doit rester à l’arrêt que brièvement et que l’on souhaite reprendre rapidement, ou lorsqu’un arrêt en attente, prêt à poursuivre le travail, est requis. Cela découle souvent des spécificités du procédé ou de la nécessité d’interventions régulières et courtes de l’opérateur. Un exemple typique est une ligne de production où, périodiquement, l’opérateur doit s’approcher pour nettoyer quelque chose, régler un capteur, retirer un produit défectueux. Plutôt que d’arrêter toute la machine (puis de la relancer laborieusement), on peut appliquer SS2 : la ligne s’arrête de manière contrôlée et reste en arrêt sûr, l’opérateur intervient une minute, puis relance la machine sans redémarrage complet. Autre exemple : l’étalonnage d’un système de vision sur une machine – on arrête le convoyeur à un endroit précisément défini, et la caméra reste sous tension et prête à reprendre le travail après le réglage.

Dans des applications telles que la robotique ou l’assemblage, SS2 est parfois utilisé pour un arrêt dit « en attente » : le robot s’arrête dans une position définie, la maintient (p. ex. avec l’outil au-dessus de la pièce) pendant une courte pause, puis repart sans nécessiter de recalibrage. Il faut toutefois garder à l’esprit que le système reste sous tension ; c’est pourquoi SS2 n’est pas utilisé pour l’arrêt d’urgence, mais pour des arrêts contrôlés lors de pauses planifiées ou en modes de maintenance. Les normes exigent clairement qu’en situation d’urgence, l’alimentation soit néanmoins coupée (STO ou SS1).

D’un point de vue technique, la mise en œuvre de SS2 exige que l’entraînement dispose d’une fonction de surveillance de la vitesse et de la position (SOS) et qu’il soit certifié pour maintenir le couple à l’arrêt. De nombreux entraînements modernes offrent cette possibilité : par exemple, des servo-drives avec modules de sécurité peuvent détecter eux-mêmes si le moteur est à l’arrêt et le maintenir en sécurité sur la position demandée. S’il existe un risque que la charge se mette malgré tout en mouvement (p. ex. sous l’effet de la gravité sur un axe vertical), on ajoute généralement un frein mécanique pour une sécurité totale. SS2 ne dispense pas de tenir compte de la physique : le fait de faire circuler du courant dans le moteur pour le maintenir en position ne suffit pas toujours, par exemple en cas de panne grave. En général, lors de courts arrêts, il ne se passe rien de problématique, et l’on gagne en continuité de production.

SS1 suffit-il dans les applications à forte inertie ?

Il est temps de répondre à la question que se posent de nombreux concepteurs : dans les systèmes à forte inertie, SS1 suffit-il, ou faut-il aller plus loin ? Une forte inertie signifie que la machine emmagasine beaucoup d’énergie cinétique – et qu’il est donc plus difficile de l’arrêter rapidement. L’intuition suggère que le STO seul serait insuffisant, car des pièces lourdes continueraient à tourner longtemps sur leur lancée. SS1 semble donc être le minimum pour freiner activement l’entraînement. Et, dans la plupart des cas, SS1 est la référence pour les machines à forte inertie : il assure l’arrêt le plus rapide, car l’entraînement agit comme un frein. Les exemples cités plus haut (scies, centrifugeuses, presses) sont précisément des machines avec une masse tournante importante, pour lesquelles SS1 est tout simplement indispensable.

Mais SS1 suffit-il toujours ? Cela dépend du contexte. SS1 garantit l’arrêt du mouvement, mais une fois le freinage terminé, l’alimentation est coupée (STO). Si l’application doit simplement arrêter un mécanisme lourd et attendre que l’opérateur retire la pièce ou réapprovisionne la matière, SS1 fera très probablement parfaitement l’affaire : la machine s’arrête en sécurité et la coupure de puissance évite toute mauvaise surprise. Il faut seulement veiller à ce que l’entraînement et ses composants soient capables d’absorber l’énergie de freinage (p. ex. des résistances de freinage adaptées dans le variateur, afin qu’il ne soit pas endommagé lors de la dissipation d’une énergie importante). Le concepteur en automatisme industriel doit vérifier si le variateur/servovariateur dispose d’une puissance de freinage suffisante pour l’inertie considérée : une erreur fréquente est que la fonction de sécurité marche, mais que l’entraînement déclenche un défaut de surcharge lorsqu’il tente de freiner un volant d’inertie lourd.

Le deuxième point concerne ce qui se passe après l’arrêt. Si le système a une grande inertie, mais s’immobilise dans une position stable (p. ex. un cylindre posé horizontalement cesse simplement de tourner), tout va bien. En revanche, sur des machines où une masse importante peut se déplacer sous l’effet de forces externes (ne serait-ce que la gravité), SS1 seul peut ne pas suffire : après le passage en STO, la charge se mettra à bouger. Exemple : un convoyeur de grande dimension incliné — avec une masse importante de bande et de produit. On le freine au moteur (SS1), mais une fois la puissance coupée, il existe un risque que la gravité entraîne la bande vers le bas. Dans ce type de situation, il faut ajouter un dispositif mécanique de blocage du mouvement. Cela peut être le frein SBC mentionné plus haut, qui se serre au moment de la coupure d’alimentation et maintient la position. Sans cela, impossible d’y parvenir : une fonction purement électrique ne peut pas contrecarrer les lois de la physique. Autrement dit, SS1 doit être complété par des moyens mécaniques lorsque l’application l’exige.

Et si SS2 était plus adapté aux fortes inerties ? Après tout, SS2 maintient le couple, donc il n’y a pas de risque de « lâcher » la charge. C’est vrai : SS2 assure un maintien actif de la position après l’arrêt, ce qui est avantageux, par exemple, pour des axes verticaux avec charge. Cependant, dans la plupart des cas, on y ajoute de toute façon un frein mécanique comme sécurité supplémentaire. SS2 est utile lorsque l’on veut redémarrer rapidement — c’est-à-dire si cet ensemble lourd doit repartir souvent et que l’on ne veut pas réinitialiser l’entraînement à chaque fois. La grande inertie, à elle seule, n’impose pas SS2 ; elle impose en revanche un freinage contrôlé — et c’est précisément ce que fournit SS1. En résumé : sur des machines à forte inertie, SS1, avec un système de freinage bien conçu, suffit généralement largement, à condition de prévoir des freins additionnels sur les axes susceptibles de se déplacer d’eux-mêmes. SS2 peut être ajouté si les gains liés à un redémarrage plus rapide sont importants, ou si un arrêt en état de disponibilité est requis (mais cela relève alors du procédé, pas de l’inertie elle-même).

STO, SS1 et SS2 sont trois réponses différentes à la question : comment arrêter une machine en toute sécurité. Chacune de ces fonctions a sa place dans l’arsenal de l’ingénieur automaticien. STO coupe immédiatement l’énergie — simple et fiable, mais en laissant la machine poursuivre sur son élan. SS1 ajoute un freinage contrôlé, ce qui rend l’arrêt plus rapide et plus doux pour la mécanique, et après l’arrêt la machine est hors tension. SS2, quant à lui, s’arrête aussi vite que SS1, mais maintient la machine sous tension, maîtrisée, prête à redémarrer en un instant.

Lors de la conception de systèmes de commande liés à la sécurité, il est utile de s’appuyer à la fois sur les normes (NF EN 61800-5-2 décrit précisément ces fonctions), ainsi que sur le bon sens et l’analyse de risques. Les documents nous indiqueront ce qui est exigé sur le plan réglementaire, mais c’est à nous — en tant qu’ intégrateurs d’automatisme industriel — d’adapter la solution à la machine concernée. Parfois, le STO le plus simple sera le meilleur (moins de choses susceptibles de tomber en panne !), et parfois SS1 est indispensable, sinon l’équipement risquerait de se disloquer lors d’un arrêt d’urgence. Dans d’autres cas, on appréciera SS2, qui réduira les temps d’arrêt et permettra de relancer rapidement le cycle de travail.

Pour finir, rappelons-le : aucune de ces fonctions ne fera de miracles si elle est mal conçue ou utilisée hors de son domaine d’emploi. Il faut choisir des composants adaptés (variateurs certifiés STO/SS1/SS2, capteurs, automates de sécurité), une configuration correcte et des essais réguliers. Il vaut aussi la peine d’envisager des formations sur les normes ou les standards (p. ex. Dyrektywa Maszynowa 2006/42/CE, NF EN ISO 13849-1, NF EN 62061), car la maîtrise des exigences va de pair avec la pratique de l’ingénierie. Nous espérons que cet article a apporté un éclairage sur le dilemme STO vs SS1 vs SS2. La prochaine fois qu’il faudra concevoir l’arrêt sûr d’une machine, tu pourras choisir en connaissance de cause la meilleure option — et surtout garantir un niveau de sécurité maximal, sans compromis pour le procédé. Bon courage dans tes projets et toujours un travail en toute sécurité !