/ Conseils / PLc ou PLd : quel niveau de performance est obligatoire pour une presse hydraulique ?
Publié le 12 avril 2024

La conformité d’une presse hydraulique ne se limite pas à cocher une case technique ; elle constitue un arbitrage stratégique engageant directement la responsabilité de l’entreprise face au risque majeur.

  • Le niveau PLd n’est pas une simple « option » mais une exigence implicite pour les presses en raison du risque élevé, offrant une protection essentielle contre la reconnaissance d’une faute inexcusable de l’employeur.
  • Une architecture de sécurité à simple contacteur (monocanal) est structurellement incapable d’atteindre le PLd, car elle ne peut gérer la première défaillance, un principe fondamental de ce niveau de performance.

Recommandation : L’audit systématique de vos presses pour valider une architecture à double canal (PLd) est la seule démarche qui protège efficacement à la fois l’opérateur et le dirigeant d’entreprise.

La mise en conformité d’une presse hydraulique, qu’elle soit nouvelle ou en service, soulève systématiquement la question du niveau de performance (PL) requis par la norme ISO 13849-1. Pour un industriel ou un fabricant, cette interrogation dépasse largement le cadre purement technique. Face à un équipement intrinsèquement dangereux, le choix entre un niveau PLc et un niveau PLd n’est pas anodin ; il engage directement la responsabilité pénale et civile du chef d’entreprise en cas d’accident. Souvent, la discussion se limite à des considérations de coût ou de complexité, en ignorant la question fondamentale : quelle est la véritable protection juridique offerte par chaque niveau ?

L’approche commune consiste à appliquer le minimum réglementaire, en espérant que cela suffise. Cependant, cette vision est dangereuse. La jurisprudence française, notamment en matière de faute inexcusable de l’employeur, démontre que le simple respect d’une norme peut être jugé insuffisant si l’employeur n’a pas pris toutes les mesures possibles pour prévenir un risque dont il avait, ou aurait dû avoir, conscience. La robustesse du système de sécurité d’une presse hydraulique est au cœur de cette problématique.

Cet article se propose de dépasser la simple comparaison technique. Nous allons démontrer pourquoi, dans le contexte d’une presse hydraulique, viser le niveau PLd n’est pas une sur-qualité, mais un arbitrage stratégique et une protection indispensable. Nous analyserons les fondements techniques qui rendent une architecture monocanal obsolète pour ce niveau de risque et explorerons les autres dispositifs de sécurité, comme les distances d’approche et l’interverrouillage, qui complètent une mise en conformité robuste et responsable.

Pour naviguer avec précision dans les méandres de la sécurité des machines, cet article est structuré pour vous apporter des réponses claires et normatives. Découvrez les points essentiels qui régissent la conformité de vos équipements industriels.

Sommaire : Guide de conformité des presses hydrauliques selon l’ISO 13849-1

Comprendre les niveaux de performance (PL) selon l’ISO 13849-1

Avant d’aborder le cas spécifique des presses hydrauliques, il est impératif de définir ce qu’est un Niveau de Performance, ou PL (Performance Level). Selon la norme ISO 13849-1, le PL est une valeur discrète (de ‘a’ à ‘e’) qui quantifie la capacité des parties d’un système de commande relatives à la sécurité (SRP/CS) à exécuter une fonction de sécurité. En termes plus simples, il s’agit d’une mesure de la fiabilité d’un circuit de sécurité. Plus le risque associé à la machine est élevé, plus le PL requis pour la fonction de sécurité qui maîtrise ce risque doit l’être également.

Chaque niveau, de PLa (le plus bas) à PLe (le plus élevé), correspond à une probabilité de défaillance dangereuse par heure (PFHd). Par exemple, un PLd exige une PFHd comprise entre 10⁻⁷ et 10⁻⁶, soit au maximum une défaillance dangereuse toutes les 1 million d’heures de fonctionnement. Atteindre un PL spécifique n’est pas le fruit du hasard ; c’est le résultat d’un calcul rigoureux qui prend en compte trois facteurs clés :

  • Le MTTFd (Mean Time To Dangerous Failure) : la durée moyenne de fonctionnement avant une défaillance dangereuse des composants.
  • Le DC (Diagnostic Coverage) : le taux de couverture du diagnostic, c’est-à-dire la capacité du système à détecter ses propres défaillances.
  • Le CCF (Common Cause Failure) : les mesures prises pour se prémunir contre les défaillances de cause commune, qui pourraient affecter plusieurs canaux de sécurité simultanément.

Il est crucial de noter que le PL est déterminé pour chaque fonction de sécurité (ex: l’arrêt d’urgence, la protection par barrage immatériel, l’interverrouillage d’un protecteur) et non pour la machine dans son ensemble. C’est l’analyse de risque qui va définir le PL requis (PLr) pour chaque fonction, en évaluant la gravité de la blessure, la fréquence d’exposition au danger et la possibilité d’éviter ce danger.

Pour bien saisir la portée de ces exigences, il est essentiel de revoir les fondements des niveaux de performance avant de poursuivre.

L’analyse de risque : pourquoi une presse hydraulique exige un PL élevé

L’analyse de risque est le point de départ non-négociable de toute démarche de sécurisation. Pour une presse hydraulique, le constat est sans appel : les dangers sont multiples et les conséquences potentielles d’une défaillance sont dramatiques (écrasement, cisaillement, amputation). Les blessures sont presque toujours graves, voire mortelles. Ce simple facteur de gravité (S) positionne d’emblée la plupart des fonctions de sécurité d’une presse à un niveau de risque élevé. En France, les équipements de travail restent une source majeure d’accidents, et une étude de la CARSAT souligne que les presses font partie des machines particulièrement à risque, représentant plus de 10% des accidents du travail sur machines dans certains secteurs.

Dans ce contexte, le graphe de risque de la norme ISO 13849-1 conduit quasi systématiquement à un PLr de ‘d’ ou ‘e’ pour les fonctions protégeant l’opérateur durant le cycle de production. Tenter de justifier un PLc reviendrait à sous-évaluer délibérément la gravité de la blessure ou la fréquence d’exposition, une position indéfendable devant un tribunal en cas d’accident. C’est ici que l’enjeu devient juridique.

La faute inexcusable de l’employeur est reconnue lorsque celui-ci avait ou aurait dû avoir conscience du danger auquel était exposé le salarié, et qu’il n’a pas pris les mesures nécessaires pour l’en préserver. Équiper une presse hydraulique d’un système de sécurité ne répondant qu’au PLc, alors que l’analyse de risque évidente et le consensus technique pointent vers le PLd, pourrait être interprété comme une négligence caractérisée. Le choix du PL n’est donc pas un simple choix technique, c’est un acte de management du risque qui doit refléter une prise de conscience totale du danger.

L’investissement dans un système PLd n’est pas une « dépense de conformité », mais une assurance contre le risque juridique le plus élevé pour l’entreprise et son dirigeant. La question n’est plus « Puis-je me contenter de PLc ? », mais plutôt « Ai-je les moyens de ne pas mettre en place le PLd ? ».

Cette analyse de risque étant posée, il convient de comprendre en détail pourquoi un PL élevé est une nécessité absolue pour ce type d’équipement.

Pourquoi un seul contacteur ne suffit pas pour atteindre le niveau PLd ?

La distinction fondamentale entre le PLc et le PLd réside dans le concept de gestion de la première défaillance. Un système de sécurité doit non seulement fonctionner, mais aussi se comporter de manière sûre lorsqu’un de ses propres composants tombe en panne. C’est ici qu’une architecture à simple contacteur (monocanal) montre ses limites rédhibitoires. Dans un tel circuit, si le contacteur unique reste « collé » en position fermée à cause d’une usure mécanique ou d’une surtension, la fonction de sécurité est perdue. La machine peut alors redémarrer ou continuer son cycle alors que l’opérateur pense être en sécurité, menant à un accident quasi certain.

Le PLd, quant à lui, repose sur le principe de redondance et de surveillance. Pour l’atteindre, une architecture à double canal est indispensable. Cela signifie que la fonction de sécurité est assurée par deux chemins indépendants, par exemple deux contacteurs montés en série. Si l’un des deux contacteurs défaille (reste collé), le second peut toujours ouvrir le circuit et garantir l’arrêt de la machine. Mais la redondance seule ne suffit pas ; elle doit être surveillée.

Un relais ou un automate de sécurité dédié contrôle en permanence l’état des deux contacteurs. Avant chaque cycle, il vérifie qu’ils ne sont pas en défaut. Si, après une commande d’arrêt, l’un des contacteurs ne s’ouvre pas, le module de sécurité détecte cette incohérence (un canal est ouvert, l’autre est fermé) et empêche tout redémarrage ultérieur de la machine tant que le composant défaillant n’a pas été remplacé. C’est ce que l’on appelle la détection de la première défaillance. Le système passe d’un état fonctionnel à un état de sécurité, mais ne devient jamais dangereux. Cette exigence est clairement soulignée dans des guides de référence, comme le montre cette analyse comparative de l’INRS.

Le tableau suivant, basé sur les principes de la norme, synthétise les différences cruciales entre ces deux niveaux.

Comparaison des Niveaux de Performance PLc vs PLd
Critère PLc PLd
Architecture Monocanal toléré Double canal (redondance) obligatoire
Gestion de la défaillance Une défaillance peut entraîner la perte de la fonction de sécurité Une défaillance unique n’entraîne pas la perte de la fonction de sécurité
Surveillance Limitée ou inexistante Continue avec autodiagnostic et blocage au défaut
Protection juridique Minimale, potentiellement insuffisante en cas de risque élevé Optimale, démontre une démarche préventive robuste contre la faute inexcusable

L’architecture double canal : le pilier technique et juridique du PLd

Comme nous l’avons établi, l’atteinte du PLd repose sur une architecture à double canal. Ce concept, souvent résumé par le terme « redondance », est en réalité plus subtil et constitue la pierre angulaire de la sécurité fonctionnelle moderne. Il ne s’agit pas simplement de « doubler » les composants, mais de construire un système où les deux canaux se surveillent mutuellement pour garantir l’intégrité de la fonction de sécurité à tout instant.

Une architecture double canal typique pour une fonction d’arrêt sur une presse hydraulique se compose de plusieurs éléments clés :

  • Détecteurs redondants : Si la sécurité est initiée par un capteur (barrage immatériel, capteur de porte), celui-ci doit disposer de deux sorties de sécurité (OSSD) indépendantes.
  • Logique de sécurité : Un module de sécurité (relais programmable ou automate de sécurité) reçoit les signaux des deux canaux. Sa programmation interne est conçue pour vérifier la concordance entre les canaux en temps réel.
  • Actionneurs redondants : Deux contacteurs ou deux vannes hydrauliques à surveillance sont commandés par le module de sécurité. Ils sont montés en série, de sorte que l’ouverture de l’un ou l’autre suffit à couper l’alimentation de l’élément dangereux.

L’aspect juridique de cette architecture est primordial. En cas d’enquête suite à un accident, la présence d’un système double canal avec surveillance constitue une preuve matérielle irréfutable que l’entreprise a mis en œuvre les « meilleures technologies disponibles » pour maîtriser le risque. A contrario, l’absence de cette redondance sur une machine à risque élevé comme une presse serait un argument majeur pour un plaignant cherchant à établir une faute inexcusable. L’investissement dans une architecture double canal est donc directement un investissement dans la protection juridique du dirigeant.

Le surcoût, souvent avancé comme un frein, doit être mis en perspective avec le coût potentiellement catastrophique d’un accident : indemnités, augmentation du taux de cotisation AT/MP, sanctions pénales, et impact sur l’image de l’entreprise. L’architecture double canal n’est pas un luxe, c’est la fondation d’une politique de sécurité responsable et défendable.

Pour que cette protection soit complète, il est fondamental de maîtriser les subtilités de l'architecture à double canal.

Au-delà du contacteur : la surveillance et le diagnostic continu

L’implémentation d’une architecture à double canal ne se résume pas à un simple câblage en série. La véritable intelligence du système, et ce qui permet de garantir le niveau PLd, réside dans la capacité de surveillance et de diagnostic assurée par le module de sécurité. C’est ce que la norme ISO 13849-1 appelle la « Couverture du Diagnostic » (DC). Pour atteindre un PLd, un DC « moyen » (entre 90% et 99%) est généralement requis, ce qui signifie que le système doit être capable de détecter au moins 90% de ses propres défaillances dangereuses.

Concrètement, comment cette surveillance s’opère-t-elle ? Le module de sécurité utilise une technique appelée « vérification de la discordance ». À chaque changement d’état, le module alloue une très courte fenêtre de temps (quelques millisecondes) durant laquelle les deux canaux doivent changer d’état de manière synchrone. Si un seul des deux canaux change d’état, ou si le décalage entre les deux est trop important, le module le considère comme une défaillance. Il entre alors immédiatement en état de sécurité et génère un défaut, empêchant la machine de fonctionner.

De plus, pour les contacteurs, le module de sécurité vérifie leur état réel grâce à des contacts miroirs (ou contacts à ouverture forcée). Ces contacts auxiliaires sont mécaniquement liés aux contacts de puissance principaux. Si les contacts de puissance se soudent, les contacts miroirs ne peuvent pas revenir à leur position de repos. Le module de sécurité, en lisant l’état de ces contacts miroirs, sait avec certitude si le contacteur est défaillant et peut interdire le redémarrage. C’est cette boucle de rétroaction (readback) qui garantit que la redondance n’est pas aveugle.

Ce diagnostic continu est essentiel. Il permet de passer d’une sécurité passive (on espère que ça ne tombe pas en panne) à une sécurité active et prédictive. La défaillance est détectée et signalée dès son apparition, avant qu’elle ne puisse se combiner avec une autre défaillance et provoquer un accident. C’est cette anticipation du risque qui fait toute la valeur d’un système PLd et le différencie radicalement d’une approche moins rigoureuse.

Il est donc crucial de ne pas négliger cet aspect : le diagnostic continu est la clé de voûte de la fiabilité du système de sécurité.

Pourquoi la norme ISO 13855 impose-t-elle une distance minimale d’installation ?

La sécurité d’une machine ne repose pas uniquement sur la fiabilité de son circuit de commande. Même le système PLd le plus performant devient inutile si un opérateur peut atteindre la zone dangereuse avant que la machine n’ait eu le temps de s’arrêter complètement. C’est la raison d’être de la norme ISO 13855, qui définit les méthodes de calcul des distances de sécurité pour les dispositifs de protection tels que les barrages immatériels (rideaux lumineux), les tapis sensibles ou les commandes bimanuelles.

Le principe est simple : la distance minimale d’installation (S) doit être supérieure ou égale à la distance qu’une partie du corps peut parcourir pendant le temps d’arrêt total du système. La formule générale est : S = K × T + C. K représente la vitesse d’approche d’une partie du corps (par exemple, 1600 mm/s pour un bras), T est le temps d’arrêt global du système, et C est une distance additionnelle de « pénétration » qui dépend du type de dispositif. Pour un barrage immatériel, cette distance C dépend de la résolution du rideau (l’espacement entre les faisceaux).

Ce calcul montre que la sécurité est une chaîne où chaque maillon compte. Vous pouvez avoir le relais de sécurité le plus rapide du monde, si le temps d’arrêt mécanique de votre presse hydraulique (dû à l’inertie, à la décompression des circuits) est long, la distance de sécurité devra être d’autant plus grande. Une erreur dans ce calcul ou une installation trop proche du danger rend toute la chaîne de sécurité caduque. La visualisation de cette distance est primordiale pour en comprendre l’enjeu.

Schéma technique montrant la distance de sécurité entre un barrage immatériel et une zone dangereuse de presse hydraulique

Comme l’illustre ce schéma, la distance de sécurité n’est pas une valeur arbitraire, mais le fruit d’un calcul précis qui garantit que le mouvement dangereux est stoppé avant que l’opérateur ne puisse l’atteindre. Le non-respect de cette distance est une non-conformité majeure, aussi grave qu’une défaillance du circuit de commande.

Plan d’action pour le calcul de la distance de sécurité selon l’ISO 13855

  1. Déterminer la vitesse d’approche (K) : La norme fixe K à 1600 mm/s pour un bras ou 2000 mm/s pour une vitesse de marche.
  2. Mesurer le temps de réponse (t1) : Chronométrer le temps entre la détection par le dispositif de sécurité et l’actionnement de la commande d’arrêt (relais + contacteurs).
  3. Mesurer le temps d’arrêt de la machine (t2) : Chronométrer le temps entre l’ordre d’arrêt et l’immobilisation complète du mouvement dangereux de la presse.
  4. Calculer la distance de pénétration (C) : Se référer aux tableaux de la norme ISO 13855 en fonction de la résolution du barrage immatériel ou du type de protecteur.
  5. Appliquer la formule globale : Calculer la distance de sécurité S = K × (t1 + t2) + C et s’assurer que le dispositif est installé au-delà de cette distance.

Comment empêcher le redémarrage d’une machine tant que le capot est ouvert ?

Lorsqu’une machine est protégée non pas par un dispositif immatériel mais par un protecteur mobile (un capot, une porte d’accès), la problématique de sécurité est différente. Il ne s’agit plus d’arrêter la machine si l’opérateur approche, mais de s’assurer de deux choses : premièrement, que la machine ne peut pas démarrer tant que le capot est ouvert, et deuxièmement, que le capot ne peut pas être ouvert tant qu’un mouvement dangereux persiste. C’est le rôle des dispositifs d’interverrouillage, régis par la norme ISO 14119.

Un simple « contact de porte » ne suffit pas, car il est facilement shuntable ou « leurrable » par un opérateur pressé. Pour atteindre des niveaux de performance élevés (PLd ou PLe), des dispositifs d’interverrouillage codés sont nécessaires. Les technologies modernes, comme l’interverrouillage à codage par RFID, offrent une protection très élevée contre la manipulation. Chaque actionneur (la partie mobile sur le capot) possède un code unique qui doit être reconnu par le capteur (la partie fixe). L’utilisation d’un autre actionneur ou d’un simple aimant ne permettra pas de tromper le système.

Pour les machines à forte inertie comme certaines presses, un interverrouillage simple n’est pas suffisant. Il faut un dispositif de verrouillage, qui maintient physiquement le protecteur fermé et verrouillé tant que la machine n’est pas à l’arrêt complet. La commande de déverrouillage n’est donnée par le module de sécurité que lorsque les capteurs de mouvement confirment l’absence de danger. Ces systèmes sont conçus pour être extrêmement robustes, avec une force de maintien dépassant souvent 1400 newtons, empêchant toute ouverture forcée.

Système d'interverrouillage RFID installé sur un capot de protection de presse hydraulique avec témoin lumineux vert

L’intégrité de cette fonction de sécurité est, encore une fois, critique. Le circuit de l’interverrouillage doit lui-même être conçu selon une architecture double canal pour atteindre le PLd requis par l’analyse de risque. Le choix du dispositif d’interverrouillage et son intégration dans le système de commande sont des étapes clés de la mise en conformité qui ne tolèrent aucune approximation.

À retenir

  • Pour une presse hydraulique, le niveau de risque impose quasi systématiquement un niveau de performance PLd pour les fonctions de sécurité critiques, afin de prémunir l’entreprise contre la faute inexcusable.
  • L’atteinte du PLd requiert une architecture à double canal (redondance) avec surveillance active, rendant un système à simple contacteur structurellement inadapté et dangereux.
  • La conformité ne s’arrête pas au circuit de commande : le respect des distances de sécurité (ISO 13855) et l’utilisation de dispositifs d’interverrouillage robustes (ISO 14119) sont tout aussi impératifs.

Synthèse : passer de la conformité réglementaire à un avantage stratégique

Au terme de cette analyse, il apparaît clairement que la question « PLc ou PLd ? » pour une presse hydraulique est un faux débat. Compte tenu du niveau de risque inhérent à ces machines et du cadre juridique français, opter pour une solution inférieure au PLd est une prise de risque considérable pour l’entreprise et son dirigeant. La conformité ne doit pas être perçue comme une simple contrainte à satisfaire au moindre coût, mais comme une composante essentielle de la gestion des risques opérationnels et juridiques.

Mettre en œuvre une architecture de sécurité PLd, respecter scrupuleusement les distances de sécurité et intégrer des dispositifs d’interverrouillage fiables sont les trois piliers d’une démarche responsable. Cette approche, bien que nécessitant un investissement initial, se révèle être un avantage stratégique à long terme. Elle protège le capital le plus précieux de l’entreprise : ses salariés. Elle sécurise également le dirigeant sur le plan pénal et préserve la santé financière de l’entreprise en la protégeant des conséquences dévastatrices d’un accident grave.

Une machine sûre est aussi une machine plus performante. Un environnement de travail sécurisé favorise la confiance, réduit le stress des opérateurs et, in fine, améliore la productivité. La sécurité n’est pas l’ennemie de la performance ; elle en est la condition. En adoptant les meilleures pratiques définies par les normes, vous ne faites pas que vous conformer à la loi : vous construisez une culture d’excellence et de résilience pour votre entreprise.

Maintenant que vous avez une vision claire des enjeux, il est fondamental de ne jamais oublier les principes de base qui régissent les niveaux de performance.

Pour garantir que votre parc de machines est non seulement conforme, mais aussi optimisé pour la sécurité et la performance, l’étape suivante consiste à réaliser un audit complet par un expert en sécurité des machines. Évaluez dès maintenant la solution la plus adaptée à vos besoins spécifiques pour transformer vos obligations réglementaires en un véritable atout stratégique.

Rédigé par Sophie Vasseur, Ingénieure Sécurité et Environnement avec 15 ans de pratique sur des sites industriels SEVESO et logistiques. Certifiée CMSE (Certified Machinery Safety Expert), elle conseille les entreprises sur la mise en conformité des machines et la gestion des accès. Sophie transforme les normes contraignantes en leviers de performance et de sécurité pour les salariés.
Comment se déroule le processus de duplication et de commande d’une clé de rechange ?
Comment sélectionner le matériel adéquat pour vos projets de production vidéo ?
Nos derniers articles
Rouille et moisissure : quand votre armoire forte devient l’ennemi de vos biens
Archives papier ou collections : pourquoi un simple coffre-fort ne suffit pas ?
Détenir une arme de catégorie C : quelles sont vos obligations de stockage en 2024 ?
Pourquoi 5 minutes de résistance suffisent-elles à décourager 95% des cambrioleurs ?
Volet roulant PVC ou Alu : lequel résiste plus de 3 minutes au pied-de-biche ?
Articles similaires
Télésurveillance : payez-vous pour une vraie intervention ou juste un coup de fil ?
Avez-vous le droit de filmer la rue devant chez vous avec votre kit vidéo ?
Pourquoi votre assurance habitation peut-elle refuser de payer sans certification A2P ?
Boîte à clé : quels critères de sécurité faut-il privilégier ?