/ Equipement de sécurité / Pourquoi les sorties OSSD remplacent-elles les contacts secs dans l’industrie 4.0 ?
Publié le 15 mars 2024

Le passage aux sorties OSSD n’est pas un simple changement de composant, mais une évolution fondamentale de la sécurité, passant d’un état passif à une surveillance active et intelligente.

  • L’OSSD détecte les défauts de câblage (court-circuit, rupture) en temps réel via des impulsions de test, là où un contact sec est aveugle jusqu’à sa prochaine sollicitation.
  • La redondance (double canal) et l’interfaçage avec des modules de sécurité certifiés sont non négociables pour atteindre les niveaux de performance PLd/PLe exigés par les normes.

Recommandation : Pensez « dialogue de sécurité » plutôt que « circuit ouvert/fermé » pour intégrer correctement cette technologie et garantir la conformité de vos installations.

Pour un électricien industriel, le monde de la sécurité a longtemps été gouverné par une logique simple et fiable : le clic rassurant d’un relais, la certitude d’un contact sec qui s’ouvre ou se ferme. C’est un univers binaire, tangible. Pourtant, l’industrie 4.0 impose un nouveau vocabulaire : OSSD, PLd, double canal, diagnostic… Des termes qui semblent éloigner la sécurité du monde électromécanique pour la plonger dans l’électronique pure. Cette transition peut sembler complexe, voire déroutante.

L’erreur la plus commune est de voir l’OSSD (Output Signal Switching Device) comme un simple remplaçant moderne du contact sec. On pense qu’il s’agit juste de troquer un interrupteur mécanique contre un transistor. Or, c’est bien plus profond que cela. Ignorer cette différence fondamentale, c’est s’exposer à des non-conformités, des pannes inexplicables et, surtout, à une sécurité défaillante. La vraie révolution de l’OSSD n’est pas de faire la même chose différemment, mais de changer radicalement la philosophie de la sécurité.

Cet article n’est pas un catalogue de produits. C’est un guide de transition pensé pour vous, électricien ou technicien de maintenance. Nous allons déconstruire les mécanismes de l’OSSD pour que vous puissiez non seulement les câbler, mais surtout les comprendre. L’objectif est de passer d’une logique de sécurité passive, qui attend qu’un défaut se produise, à une logique de sécurité active et auto-surveillée, un véritable dialogue permanent entre le capteur et le système de contrôle.

Ensemble, nous allons explorer le fonctionnement interne de ces signaux, les pièges de la mise en série et des longs câbles, et les raisons pour lesquelles la redondance est devenue la pierre angulaire de la sécurité machine moderne. Vous découvrirez pourquoi brancher un capteur OSSD sur un relais classique est une hérésie technique et réglementaire, et comment les normes définissent le niveau de performance requis pour des équipements critiques comme les presses hydrauliques.

Sommaire : La transition des contacts secs vers les signaux de sécurité OSSD

Comment les impulsions de test OSSD détectent-elles un fil écrasé en temps réel ?

Pour comprendre la magie de l’OSSD, il faut abandonner l’idée d’un simple état « ON/OFF ». Un contact sec est binaire : soit le courant passe (fermé), soit il ne passe pas (ouvert). Il est passif. Une sortie OSSD, elle, est active. Elle n’envoie pas un simple signal continu de 24V, mais un signal de 24V ponctué de très courtes impulsions négatives (tests), invisibles pour un automate standard mais cruciales pour un module de sécurité. C’est un peu comme un « pouls » ou une « signature de santé » du système. C’est ce qu’on appelle la sécurité active.

Imaginons un câble reliant un capteur OSSD à un module de sécurité. Si ce câble est écrasé et qu’un court-circuit se produit entre les deux canaux OSSD ou avec le 24V, la séquence d’impulsions est immédiatement altérée. Le module de sécurité, qui s’attend à recevoir ces « pouls » à des intervalles précis sur chaque canal, détecte l’anomalie en quelques millisecondes. Il n’attend pas que la fonction de sécurité soit sollicitée ; il sait que la ligne de communication n’est plus fiable et passe immédiatement en état sûr. C’est un dialogue permanent : tant que le module reçoit le « pouls » correct, il sait que la ligne est intègre. Au moindre doute, il coupe tout. C’est ainsi que les barrières immatérielles, par exemple, assurent une surveillance croisée permanente pour détecter toute rupture de câble ou court-circuit.

Cette capacité de diagnostic intégrée est une révolution. Là où un défaut de câblage sur un circuit à contact sec pouvait rester dormant pendant des mois, l’OSSD le révèle instantanément. Pour les équipes de maintenance, cela se traduit par une localisation de panne beaucoup plus rapide. En effet, les experts en sécurité industrielle estiment qu’il est possible d’obtenir jusqu’à 75% de réduction du temps moyen de réparation (MTTR) sur les défauts de câblage grâce à ce diagnostic en temps réel.

Capture d'écran d'oscilloscope montrant les signaux OSSD avec impulsions de test périodiques

L’image ci-dessus illustre parfaitement ce concept. Les traces régulières représentent le « pouls » sain d’un signal OSSD. La moindre perturbation de ce rythme, causée par un défaut, est immédiatement interprétée comme une condition dangereuse. On ne se contente plus de savoir si la porte est fermée, on s’assure en permanence que la serrure et le câblage sont en parfait état de fonctionnement.

Mise en série de capteurs : jusqu’où peut-on aller sans dégrader le PLe ?

La mise en série de capteurs de sécurité (cascading) est une pratique courante pour protéger une longue ligne de production avec un seul module de sécurité. Avec les contacts secs, la principale limite était la résistance de la ligne. Avec l’OSSD, le problème est plus subtil : il s’agit de la dégradation du diagnostic. Chaque capteur et chaque connecteur ajoutés dans la chaîne masquent une partie des défauts potentiels pour les éléments en amont. Le « dialogue » de sécurité devient moins clair.

La norme EN ISO 13849-1 quantifie cela avec la notion de Couverture du Diagnostic (DC). Un DC élevé (99%) signifie que le système peut détecter la quasi-totalité des défauts dangereux. En mettant des capteurs en série, le DC global du système diminue. Si l’on cascade trop de composants, le DC peut chuter en dessous du seuil requis pour un Niveau de Performance (PL) élevé comme le PLe. Le système devient « myope » et ne peut plus garantir la détection de tous les types de pannes.

Alors, quelle est la limite ? Il n’y a pas de réponse unique, car cela dépend du DC de chaque capteur. Cependant, des règles empiriques existent. Mettre plus de 4 capteurs en série rend généralement l’atteinte du PLe très difficile, voire impossible, sans solutions de cascading intelligentes qui régénèrent le signal de diagnostic. Pour valider une architecture, l’utilisation d’un logiciel comme SISTEMA, fourni gratuitement par l’IFA allemand, est indispensable. Il permet de modéliser la chaîne de sécurité et de calculer le PL final.

Le tableau suivant, basé sur les recommandations des fabricants, illustre comment le nombre de capteurs en série peut impacter le niveau de performance atteignable. Comme le montre cette analyse comparative récente, dépasser un certain seuil impose de revoir l’architecture.

Impact du nombre de capteurs en série sur le niveau de performance
Nombre de capteurs Couverture diagnostic (DC) PL atteignable Recommandation
1-2 capteurs 90-99% PLe possible Configuration optimale
3-4 capteurs 60-90% PLd maximum Surveillance renforcée requise
5+ capteurs <60% PLc ou moins Solution de cascading dédiée nécessaire

Votre plan d’action pour calculer le PL avec SISTEMA

  1. Définir l’architecture : Identifiez la catégorie du système de sécurité (B, 1, 2, 3 ou 4) que vous souhaitez mettre en œuvre.
  2. Collecter les données : Entrez les valeurs MTTFd (Temps Moyen jusqu’à Défaillance Dangereuse) de chaque composant de la cascade, fournies par les fabricants.
  3. Calculer le diagnostic : Évaluez la Couverture de Diagnostic (DC) globale du système en fonction de la manière dont les composants sont connectés.
  4. Évaluer les causes communes : Analysez et justifiez les mesures prises contre les Défaillances de Cause Commune (CCF), comme la séparation des câbles.
  5. Valider le résultat : Vérifiez le PL résultant calculé par le logiciel et comparez-le au PLr (Niveau de Performance requis) déterminé par votre analyse de risques.

Peut-on brancher un capteur OSSD sur un relais de sécurité classique ?

La réponse est un non catégorique. C’est probablement l’erreur la plus dangereuse qu’un technicien puisse commettre en passant à l’OSSD. Un relais de sécurité classique, conçu pour des contacts secs, ne sait pas interpréter les impulsions de test des sorties OSSD. Pour lui, ces très courtes coupures de signal sont invisibles. Il verra un signal de 24V permanent et considérera donc que le circuit de sécurité est toujours fermé, même si le capteur est en défaut ou si le câble est endommagé.

En faisant ce branchement, on annule complètement l’intelligence et la fonction d’auto-diagnostic de l’OSSD. Le système devient aveugle aux courts-circuits, aux ruptures de fil et aux défauts internes du capteur. La sécurité de la machine repose alors sur une illusion. Vous pensez avoir un système moderne et performant, mais en réalité, vous avez créé une faille de sécurité majeure, bien plus dangereuse qu’un simple système à contacts secs correctement implémenté.

Les organismes de contrôle en France sont intransigeants sur ce point. Un tel montage est considéré comme un « bricolage » qui invalide immédiatement la certification de la machine. Comme le rappelle un expert en certification dans le guide de conformité machines, la logique est implacable. Dans les mots d’un spécialiste de l’Apave, partagés dans le guide de conformité machines France :

Une configuration avec capteur OSSD sur relais standard serait immédiatement refusée par un organisme de contrôle car elle constitue un ‘bricolage’ qui invalide la certification SIL/PL des composants.

– Expert certification Apave

Un capteur OSSD doit impérativement être connecté à une entrée de sécurité dédiée : soit sur un module de sécurité moderne (comme un Pilz PNOZ, un Schneider XPS), soit sur une entrée d’automate de sécurité (Safety PLC). Seuls ces équipements sont conçus pour comprendre le « dialogue » des impulsions OSSD, en vérifier la fréquence, la durée et la synchronisation entre les deux canaux pour garantir l’intégrité de la fonction de sécurité.

Câbles longs : pourquoi votre capteur OSSD se met-il en défaut aléatoirement ?

Vous avez tout bien branché : un capteur OSSD sur un module de sécurité compatible. Pourtant, la machine se met en défaut de manière aléatoire, souvent sans raison apparente. Le coupable est fréquemment le câble lui-même, surtout s’il est long. Ce phénomène, déroutant pour qui est habitué aux contacts secs, s’explique par une propriété physique simple : l’effet capacitif.

Un câble long agit comme un condensateur. Il emmagasine une petite quantité d’énergie. Lorsque la sortie OSSD envoie ses impulsions de test (de très courtes coupures à 0V), la capacité du câble peut « lisser » ce signal. L’impulsion n’est plus assez franche et nette en arrivant au module de sécurité. Le module, qui s’attend à voir une coupure franche, interprète ce signal déformé comme une anomalie et déclenche un défaut. Plus le câble est long et plus sa capacité parasite est élevée, plus ce phénomène est probable.

Ce problème est souvent aggravé par la proximité avec des câbles de puissance (moteurs, variateurs), dont les champs électromagnétiques peuvent induire du bruit et perturber davantage le signal OSSD. La section du câble joue aussi un rôle : un fil de section trop faible (ex: 0.25mm²) aura une résistance plus élevée, ce qui amplifie la chute de tension et la déformation du signal sur une longue distance.

Heureusement, il existe des solutions concrètes pour contrer ce phénomène :

Coupe transversale d'un câble industriel montrant l'isolation et les conducteurs dans un environnement d'usine

Pour fiabiliser la communication, il faut agir sur le support de ce « dialogue » de sécurité. Voici les actions correctives les plus courantes :

  • Augmenter la section du câble : Passer à une section de 0.5mm² ou 0.75mm² réduit la résistance et améliore la qualité du signal.
  • Utiliser des câbles blindés : Le blindage (tresse ou feuille d’aluminium) protège le signal des interférences électromagnétiques. Il doit être raccordé à la terre à une seule extrémité, généralement côté armoire.
  • Séparer les chemins de câbles : Éloigner physiquement les câbles de sécurité des câbles de puissance est une règle de base de CEM (Compatibilité Électromagnétique).
  • Respecter la longueur maximale : Les fabricants spécifient toujours une longueur de câble maximale pour leurs capteurs (souvent entre 50 et 100 mètres). Il est impératif de la respecter.

Entrée standard vs Entrée sécurité : ne confondez pas contrôle et protection

Une autre erreur fréquente, aux conséquences potentiellement dramatiques, est de câbler un dispositif de sécurité (comme un arrêt d’urgence ou une sortie OSSD) sur une entrée d’automate programmable (PLC) standard. La logique derrière cette erreur est souvent économique ou par méconnaissance : « L’automate voit bien l’état 0 ou 1, donc il peut gérer l’arrêt. » C’est une confusion dangereuse entre la logique de contrôle et la logique de sécurité.

Une entrée de PLC standard n’est pas conçue pour être « sûre ». Elle n’a aucune auto-surveillance. Un transistor d’entrée grillé en position « ON », un défaut interne du processeur, un bug dans le programme… rien de tout cela ne sera détecté. L’automate continuera de croire que le circuit de sécurité est fermé alors qu’il ne l’est plus. Le système est non seulement faillible, mais il est incapable de détecter sa propre défaillance. C’est un « défaut masqué », le pire ennemi de la sécurité machine.

Une entrée de sécurité, qu’elle soit sur un module dédié ou un automate de sécurité, est fondamentalement différente. Elle est construite sur une architecture redondante et auto-surveillée. Elle vérifie en permanence son propre fonctionnement, celui du câblage et celui du capteur. Tout défaut, qu’il soit externe (câble) ou interne (composant électronique), mène à un état sûr. En France, la responsabilité de l’employeur est directement engagée en cas d’accident lié à un mauvais câblage. L’utilisation d’entrées standards pour des fonctions de sécurité est une faute inexcusable.

Étude de cas : Conséquences juridiques d’un mauvais câblage

Imaginons un cas inspiré de faits réels : un opérateur est blessé par une machine dont l’arrêt d’urgence, câblé sur une entrée de PLC standard, n’a pas fonctionné à cause d’un défaut sur la carte d’entrée. L’enquête de l’inspection du travail révèle ce manquement aux règles de l’art. Conformément aux dispositions du Code du travail, notamment l’obligation de maintenir les équipements de travail en état de conformité, la faute inexcusable de l’employeur est retenue. Comme le précise l’INRS sur la formation des travailleurs, les conséquences sont lourdes : une indemnisation complémentaire majeure pour la victime et l’engagement de la responsabilité pénale du dirigeant.

Visuellement, les modules de sécurité se distinguent souvent par leur couleur (jaune ou rouge) et des marquages clairs (PL, SIL). Ne jamais faire l’économie d’un module de sécurité : le coût d’un accident sera infiniment plus élevé.

Pourquoi un seul contacteur ne suffit pas pour atteindre le niveau PLd ?

Nous avons vu que la sécurité OSSD repose sur un « dialogue ». Maintenant, intéressons-nous à la fin de la chaîne : la coupure de puissance. Pour atteindre un niveau de performance élevé comme le PLd, exigé pour de nombreux risques, la redondance doit se poursuivre jusqu’aux organes de commande. Utiliser un seul contacteur, même piloté par le meilleur module de sécurité, crée un point de défaillance unique qui limite intrinsèquement le niveau de sécurité à PLc au maximum.

Pourquoi ? Un contacteur est un élément électromécanique. Ses contacts peuvent se coller à cause d’un arc électrique ou d’une usure. Si cela arrive, même si le module de sécurité ordonne l’ouverture, le contacteur restera fermé et la machine ne s’arrêtera pas. Le système est en défaut, mais il ne le sait pas. Pour atteindre le PLd, il faut non seulement être redondant, mais aussi être capable de détecter la défaillance de cette redondance. La norme EN ISO 13849-1 est claire : 100% des systèmes PLd ou supérieurs nécessitent une architecture redondante avec surveillance.

La solution est donc d’utiliser deux contacteurs montés en série. Si l’un des deux a ses contacts collés, le second pourra toujours ouvrir le circuit et arrêter le mouvement dangereux. Mais cela ne suffit pas ! Il faut ajouter une boucle de surveillance, appelée EDM (External Device Monitoring). Le module de sécurité vérifie, via les contacts auxiliaires des contacteurs, que ces derniers se sont bien ouverts après une commande d’arrêt. Si, au prochain démarrage, il détecte qu’un des contacteurs est resté collé, il interdira le réarmement de la machine. Le système a non seulement arrêté le danger, mais il a aussi diagnostiqué sa propre panne et empêché un redémarrage dangereux.

La différence de coût et de complexité est réelle, mais c’est le prix à payer pour une sécurité qui ne se contente pas d’espérer que tout va bien, mais qui vérifie activement que c’est le cas. La configuration avec deux contacteurs et une boucle EDM est le standard absolu pour les applications PLd et PLe.

Double canal : pourquoi la redondance est-elle la clé du niveau PLd ?

Le concept de « double canal » est le prolongement logique de la redondance que nous venons de voir pour les contacteurs. Il s’applique à toute la chaîne de sécurité, depuis le capteur jusqu’à l’actionneur. Avoir deux canaux, c’est bien. Mais le vrai pouvoir du double canal réside dans la comparaison permanente et la surveillance croisée de ces deux canaux par le module de sécurité.

Prenons un bouton d’arrêt d’urgence. Un modèle simple canal n’a qu’un seul contact. Si le câble est arraché, le circuit est ouvert et la machine s’arrête. Mais si le contact est bloqué en position fermée à cause d’un défaut mécanique, le système est inopérant et personne ne le saura jusqu’à ce qu’on ait besoin de s’en servir. Un arrêt d’urgence double canal, lui, possède deux contacts isolés. Le module de sécurité surveille que ces deux contacts changent d’état simultanément. Si l’on appuie sur le bouton et qu’un seul des deux contacts s’ouvre, le module détecte une incohérence (une divergence) et passe en état de défaut. Il a détecté une panne sur un composant critique.

Cette logique de surveillance croisée est ce qui permet de détecter non seulement l’activation de la fonction de sécurité, mais aussi les défauts latents dans le circuit. C’est cette capacité à se prémunir contre les défaillances non détectées qui fait passer un système de PLc à PLd. Le concept a été révolutionné dès 1987 avec le brevet du premier relais de sécurité PNOZ par Pilz, qui a justement industrialisé cette surveillance automatique des deux canaux. Comme le résume un ingénieur sécurité, le vrai pouvoir du double canal réside dans cette comparaison permanente : toute divergence est immédiatement interprétée comme un défaut, bloquant tout redémarrage dangereux et garantissant ainsi l’intégrité de la boucle de sécurité, un point clé souligné par les experts de la protection machine.

Pour les sorties OSSD, le principe est le même. Les deux sorties (OSSD1 et OSSD2) ne sont pas juste une duplication. Elles sont surveillées par le module qui vérifie leur état et la synchronicité de leurs impulsions de test. Un court-circuit entre OSSD1 et OSSD2 est ainsi immédiatement détecté car les deux signaux deviennent identiques, alors qu’ils devraient être distincts et décalés. C’est l’essence même de la sécurité fonctionnelle moderne.

À retenir

  • L’OSSD est une surveillance active (« dialogue » permanent), tandis que le contact sec est une vérification passive qui attend une sollicitation.
  • Le Niveau de Performance (PL) final dépend de l’architecture complète (redondance, diagnostic) et pas seulement de la qualité d’un seul composant.
  • L’interfaçage est critique : un capteur OSSD doit impérativement être connecté à une entrée de sécurité (module ou automate de sécurité), jamais à un composant standard.

PLc ou PLd : quel niveau de performance est obligatoire pour une presse hydraulique ?

Maintenant que nous maîtrisons les concepts de l’OSSD, du double canal et de la redondance, appliquons-les à un cas concret et hautement réglementé : la presse hydraulique. Le choix du Niveau de Performance requis (PLr) n’est pas laissé à l’appréciation de l’intégrateur ; il est dicté par une analyse de risques normalisée et, souvent, par des normes spécifiques au type de machine (normes de type C).

Pour déterminer le PLr, la norme EN ISO 13849-1 propose une méthode basée sur un graphe de risques qui prend en compte trois facteurs :

  1. La sévérité de la blessure (S) : Pour une presse, une blessure est presque toujours grave ou mortelle (S2).
  2. La fréquence d’exposition au danger (F) : Si l’opérateur doit intervenir dans la zone dangereuse fréquemment (chargement/déchargement), on choisira F2.
  3. La possibilité d’éviter le danger (P) : La vitesse de fermeture d’une presse rend l’évitement souvent impossible (P2).

Avec une combinaison S2, F2, P2, le graphe de risques impose un PLr de PLe. Pour des expositions moins fréquentes, on pourrait aboutir à un PLr de PLd. Dans tous les cas, pour les fonctions de protection principales d’une presse (barrières immatérielles, commande bi-manuelle), un niveau PLc est presque toujours insuffisant. D’ailleurs, la norme spécifique aux presses, EN ISO 16092, confirme qu’un PLd ou PLe est requis pour 90% des fonctions de protection principales de ces machines.

Concrètement, cela signifie que pour la barrière immatérielle protégeant la zone d’emboutissage, il faudra une architecture PLe. Cela implique une barrière de Type 4 (PLe), un module de sécurité PLe, un câblage double canal, et deux distributeurs hydrauliques à surveillance de position montés en série (équivalent des deux contacteurs). Chaque élément de la chaîne doit avoir un niveau de performance suffisant pour que le PL global, calculé avec SISTEMA, atteigne le PLe requis. C’est l’application rigoureuse de tous les principes que nous avons vus : un « dialogue de sécurité » OSSD, une redondance surveillée de bout en bout, et un diagnostic permanent des défauts.

Pour appliquer ces principes, l’étape suivante consiste à réaliser une analyse de risques formelle de vos machines afin de déterminer le PLr pour chaque fonction de sécurité et de planifier la migration de vos chaînes critiques vers des architectures redondantes et diagnostiquées.

Questions fréquentes sur la transition vers les sorties OSSD

Comment identifier visuellement une entrée de sécurité sur une armoire ?

Les modules de sécurité et les cartes d’automates de sécurité sont presque toujours de couleur distinctive, généralement jaune vif ou rouge. De plus, les borniers dédiés aux fonctions de sécurité sont clairement identifiés par des marquages normalisés (par exemple, ‘S_IN’, ‘F_DI’) et des symboles de sécurité. Le câblage lui-même utilise souvent un code couleur spécifique pour se différencier du câblage de contrôle standard.

Un automate standard peut-il gérer des fonctions de sécurité ?

Absolument pas. Seuls les automates de sécurité (Safety PLC), qui sont certifiés selon des normes comme IEC 61508 ou EN ISO 13849-1, sont autorisés à gérer des fonctions de sécurité. Ils disposent d’une architecture interne redondante (processeurs doubles, mémoire vérifiée) et de mécanismes d’auto-surveillance permanents qui sont absents d’un automate standard.

Quelle est la différence de coût entre une entrée standard et une entrée de sécurité ?

Une entrée de sécurité, en raison de sa complexité, de sa redondance et de sa certification, coûte généralement 3 à 5 fois plus cher qu’une entrée standard sur un automate. Cependant, ce surcoût n’est pas une option : c’est un investissement obligatoire pour garantir la conformité légale, protéger la vie des opérateurs et assurer la responsabilité de l’entreprise.

Rédigé par Sophie Vasseur, Ingénieure Sécurité et Environnement avec 15 ans de pratique sur des sites industriels SEVESO et logistiques. Certifiée CMSE (Certified Machinery Safety Expert), elle conseille les entreprises sur la mise en conformité des machines et la gestion des accès. Sophie transforme les normes contraignantes en leviers de performance et de sécurité pour les salariés.
Lunettes de visée et canons longs : quelle armoire choisir pour ne pas abîmer votre matériel ?
Archives papier ou collections : pourquoi un simple coffre-fort ne suffit pas ?
Nos derniers articles
Vidéoprotection intelligente : comment l’IA détecte-t-elle une agression avant qu’elle n’arrive ?
Badge physique ou virtuel : quelle solution pour une entreprise de 50 salariés ?
Pourquoi votre alarme se déclenche sans raison et comment y remédier ?
Zone accueil vs Zone stock : comment hiérarchiser la sécurité de vos locaux ?
Protection du site industriel : quelles solutions collectives pour limiter les accidents internes ?
Articles similaires
Pêne basculant ou crochet : quel système empêche vraiment l’ouverture par soulèvement ?
Capteur inductif ou capacitif : lequel détecte le mieux à travers une paroi plastique ?
Anse protégée ou blindée : quel cadenas choisir pour un box de stockage ?
Carte de propriété : pourquoi est-ce votre seule garantie contre les doubles illégaux ?