Fonctions de sécurité des machines dans les variateurs de vitesse

Principes généraux des fonctions de sécurité dans les équipements électroniques

Ce blog présente une introduction à l'utilisation des variateurs de vitesse dans les fonctions de sécurité des machines. Il est destiné à aider ceux qui sont familiarisés avec les variateurs de vitesse à courant alternatif, mais moins avec les systèmes de commande liés à la sécurité. Il doit aider le lecteur à comprendre les principes et à accéder à la grande quantité de documents détaillés disponibles sur les systèmes liés à la sécurité.

Le terme « sécurité fonctionnelle » s'applique lorsque des équipements électriques, électroniques ou programmables sont utilisés pour exécuter des fonctions qui affectent la sécurité des personnes. Il s'agit d'un vaste sujet, qui comprend diverses applications telles que la signalisation ferroviaire et la surveillance et le contrôle de grandes installations de traitement où de nombreuses personnes pourraient être en danger en cas d'accident. Cependant, le plus souvent, dans les applications d'entraînement, il se réfère à un certain type de machine, où le système de commande peut être utilisé pour éviter une situation dans laquelle une personne risquerait de se blesser en raison du fonctionnement de la machine. Un exemple simple est une barrière de sécurité, qui doit être ouverte fréquemment pour accéder à une partie de la machine, mais lorsqu'elle est ouverte, la machine ne doit pas pouvoir fonctionner. Un système de capteurs et d'actionneurs peut être conçu pour détecter l'état de la barrière et contrôler la machine.

Avec la disponibilité d'équipements programmables intelligents tels que les API et les VSD numériques, les systèmes de sécurité peuvent être plus flexibles et intelligents que cet exemple, permettant un fonctionnement flexible tout en maintenant la sécurité. Par exemple, il pourrait être possible d'autoriser un fonctionnement continu à vitesse réduite lorsqu'une barrière est ouverte, éventuellement à condition qu'une clé de sécurité spéciale soit actionnée par une personne qualifiée, ou peut-être lorsque le visage de cette personne est reconnu, ou une autre précaution.

Modes d'échec

Le facteur crucial avec les fonctions de sécurité est que la fiabilité de la fonction doit être considérablement meilleure que ce qui peut être atteint par un équipement électrique, électronique ou programmable simple. Aussi bonne que soit la qualité d'un circuit électrique ou électronique classique, certains défauts de composants peuvent survenir qui l'empêchent d'assurer la fonction de sécurité requise, mais sans que le défaut ne se manifeste. Le matériel pour les fonctions de sécurité doit donc être conçu avec des fonctions d'auto-test ou de « sécurité intégrée ». Au cours du développement du produit, les effets des défaillances matérielles doivent être analysés dans une analyse des modes de défaillance et de leurs effets (FMEA) et des modes de défaillance potentiellement dangereux. doit être réduite par conception à un niveau très bas. Une cible typique pour le PFH_D (probabilité de défaillance dans une direction dangereuse) pour le niveau d'intégrité SIL3 serait de 10 ^-8 par heure, soit un taux de défaillance inférieur à un par 10 000 ans. Ces faibles taux de défaillance nécessitent toujours des structures spéciales dans les systèmes de contrôle électronique. Notez ici que nous nous référons aux pannes aléatoires qui se produisent pendant la durée de vie prévue de l'équipement, et non à l'espérance de vie. Les pièces présentant des mécanismes d'usure connus pendant la durée de vie prévue du système peuvent être gérées par une maintenance planifiée.

Structures de contrôle

Dans la plupart des applications impliquant des variateurs, la sécurité d'une machine fixe est abordée, et l'option la plus courante consiste à utiliser deux canaux indépendants pour la fonction de sécurité, avec une vérification croisée disposée de sorte qu'en cas de divergence, le variateur s'arrête, c'est-à-dire que le le couple moteur s'arrête. Dans la plupart des machines, cela se traduit par un état sûr. Pour une machine comme un palan qui pourrait se déplacer par gravité sans entraînement, des mesures doivent être prises pour s'assurer qu'elle ne peut pas causer de danger lorsque le couple d'entraînement disparaît.

La figure 1 illustre un système de sécurité de base à deux canaux, également appelé système "un sur deux" ou 1oo2, ce qui signifie que si l'un des deux canaux demande un arrêt, la machine s'arrête. Il s'agit de la disposition la plus courante pour un système de contrôle de la sécurité des machines. Un défaut du capteur ou du processeur de conditionnement du signal n'entraîne pas la perte de la fonction de sécurité. Notez que la figure 1 n'est qu'un schéma fonctionnel, la "porte ET" à la sortie n'est pas une simple puce logique, car cela introduirait un mécanisme de défaillance en un seul point, si la puce logique tombait en panne. Il peut s'agir d'une entrée STO à deux canaux sur le variateur ou d'une autre méthode permettant d'éliminer la défaillance de cause commune d'un seul appareil.

La fonction de diagnostic affichée en gris est généralement nécessaire pour assurer la sécurité continue, car sans elle, bien qu'un défaut dans un canal n'entraîne pas l'échec de la fonction de sécurité, il serait possible que la machine continue à fonctionner indéfiniment avec un canal dans la zone dangereuse. Etat. Une deuxième panne conduirait alors à une situation dangereuse.

Figure 1 :Une structure de contrôle sur deux

Logiciel/micrologiciel

L'utilisation de processeurs embarqués exécutant des micrologiciels et des logiciels introduit une nouvelle dimension à la sécurité fonctionnelle. Le logiciel n'a pas de défaillances aléatoires, mais sa complexité signifie qu'il est difficile de garantir qu'il fonctionne comme prévu dans toutes les conditions et séquences d'événements. Cela ne peut pas être prouvé par un test du système complet comme une "boîte noire" - le logiciel doit être écrit dans un langage bien défini avec des mesures prises pour éviter les erreurs de codage, et soigneusement structuré en modules qui peuvent être spécifiés et testés à chaque instant. étape. Il doit également être prouvé que les modules ne peuvent pas être affectés négativement par d'autres activités dans le système du processeur, et cela est difficile si d'autres codes non liés à la sécurité s'exécutent sur le même processeur.

La discipline nécessaire consistant à créer une spécification claire et sans ambiguïté, avec un plan de test et à documenter minutieusement le processus, s'applique à la fois à l'écriture du code et à la conception du système complet.

Un contrôle important de la qualité du logiciel consiste à distinguer un « langage à variabilité limitée » (LVL) d'un « langage à variabilité totale » (FVL). Le LVL se limite à configurer des modules pré-approuvés avec des fonctions bien définies de manière restreinte afin que le résultat puisse être testé par un simple programme de test séquentiel. Le LVL aurait été créé à l'aide d'un FVL tel que C++, etc., qui avait subi un processus de conception complet et rigoureux, puis avait été verrouillé hors d'accès par le programmeur LVL.

La facilité avec laquelle les logiciels peuvent être modifiés signifie également qu'un système sécurisé de contrôle de version doit être en place, y compris la prévention des modifications non autorisées.

Gérer les applications

De nombreuses fonctions de sécurité qui comprennent des séquences simples et des combinaisons d'entrées pour contrôler les sorties peuvent être implémentées dans un API avec des caractéristiques spéciales pour prévenir les risques de défauts matériels et d'erreurs logicielles, c'est-à-dire un "API de sécurité". Cependant, il existe des applications où le variateur est particulièrement bien placé pour mettre en œuvre de telles fonctions de manière rentable :

• Prévention de l'entraînement - l'entraînement de l'onduleur possède des caractéristiques uniques qui lui conviennent au dernier maillon de la chaîne de sécurité, qui consiste à empêcher le développement du couple dans le moteur lorsque cela est nécessaire, avec une très haute intégrité. Ceci est défini comme Safe Torque Off (STO).
• Restreindre la portée du mouvement, y compris le couple, l'accélération, la vitesse, la direction ou la position, soit en valeurs absolues, soit en valeurs relatives telles que les incréments de position. Le variateur contrôle ces variables et en dispose souvent de mesures précises et rapides, par ex. via un codeur d'arbre ou de position, ou éventuellement en observant le comportement de la tension et du courant du moteur. Si ces fonctions liées au variateur sont combinées avec une logique combinatoire et séquentielle simple pour les entrées des capteurs de machine tels que les interrupteurs de porte et les interrupteurs à clé, alors une large classe d'applications de sécurité peut être mise en œuvre.

Normes pour les parties relatives à la sécurité des systèmes de commande de machines

La nécessité d'une gestion et d'une mise en œuvre rigoureuses de la conception des systèmes de sécurité signifie que les normes internationales pertinentes sont complexes et denses. Dans cette note, nous nous contenterons d'examiner quelques caractéristiques clés des normes les plus pertinentes pour la sécurité des machines.

Les normes internationales sont préfixées par ISO ou CEI. Les normes européennes CENELEC sont préfixées par EN. Nous allons regarder ici les versions EN, les formulaires internationaux utilisent les mêmes numéros avec des préfixes différents. Les versions EN ont le statut de normes harmonisées pour la directive CE sur les machines.

EN ISO 12100 décrit comment l'évaluation des risques de la machine doit être effectuée, entraînant l'attribution de fonctions de sécurité au système de commande si nécessaire. Ceci est un préalable essentiel à la conception correcte de la commande relative à la sécurité et relève de la responsabilité du concepteur de la machine.

EN 61800-5-2 est une norme pour la sécurité fonctionnelle des systèmes d'entraînement de puissance. Elle définit un certain nombre de fonctions[1] particulièrement adaptées aux variateurs, appelées "sous-fonctions de sécurité désignées", telles que Safe Torque Off (STO), Safely-limited speed (SLS), etc. L'intégrité de sécurité d'un la fonction de sécurité complète est mesurée par le SIL, qui peut prendre des valeurs de 1 (la plus faible) à 3. Le variateur étant un sous-système d'un système de commande complet relatif à la sécurité, on parle alors de « capacité SIL ».

EN 62061 est une norme pour les systèmes de contrôle électriques/électroniques/programmables des machines, qui utilise la même métrique SIL que la norme EN 61800-5-2

EN ISO 13849-1 est une norme pour les systèmes de contrôle des machines, y compris les systèmes non électriques. Il utilise une métrique différente, le niveau de performance (PL) et la catégorie (de B à 4). Une norme complémentaire EN ISO 13849-2 couvre la "validation", qui comprend des conseils sur les défauts à prendre en compte et ceux qui peuvent être ignorés ("exclusions de défauts").

La base d'une grande partie de la normalisation des systèmes électriques/électroniques/programmables liés à la sécurité est la EN 61508- # série, parties 1 à 7. Ces normes ne sont pas en elles-mêmes harmonisées car elles couvrent tous les systèmes et pas seulement les systèmes de commande des machines.

Niveaux d'intégrité de sécurité

Le SIL ou PL requis pour une fonction de sécurité donnée est lié au degré de risque que la fonction doit atténuer, c'est-à-dire la probabilité et la gravité d'une éventuelle blessure. Le processus de décision commence par l'évaluation des risques de la machine, qui est décrite dans EN ISO 12100 . Les règles pour dériver le SIL ou le PL requis sont données dans EN 62061 et EN ISO 13849-1 .

Safe Torque Off dans les variateurs onduleurs (STO)

La fonction de sécurité la plus élémentaire qu'un variateur peut offrir est STO. Un variateur d'onduleur contrôlant un moteur à induction est particulièrement adapté à cette fonction, car l'étage de puissance de l'onduleur doit être continuellement actif avec un schéma de commutation PWM complexe et bien contrôlé pour la plupart des semi-conducteurs de puissance afin de produire un couple dans le moteur. La figure 2 illustre la structure de puissance de base de l'onduleur.

Figure 2 :Structure de puissance de base de l'onduleur de liaison CC

Le moteur a besoin d'un champ magnétique tournant pour produire un couple, qui ne peut être généré que par les six transistors de puissance suivant un schéma de commutation complexe et bien défini qui génère une tension triphasée réglée aux bornes de sortie. En l'absence de ce schéma de commande, étant donné que l'alimentation de l'onduleur est continue, il n'y a pas de défauts dans le circuit d'alimentation de l'onduleur qui peuvent tendre à provoquer un couple. Dans le pire des cas, le défaut serait lorsque deux transistors dans les pôles opposés de deux jambes d'onduleur conduisent involontairement, comme le montrent les flèches rouges de la figure 2. Dans ce cas, un courant élevé non contrôlé circulerait dans une phase du moteur jusqu'à ce que le schéma de protection contre les surintensités fonctionne ou l'onduleur a été détruit (le fusible d'entrée ou le disjoncteur s'efface). Rien de tout cela ne donne un champ magnétique rotatif, il n'y a donc pas de couple généré.

Dans le cas d'un moteur à aimant permanent ou à réluctance, ce pire cas de défaut entraînerait un couple d'alignement temporaire jusqu'à ce que le dispositif de protection fonctionne. À la limite, le moteur pourrait tourner d'un pas polaire pour un moteur PM ou d'un demi-pas polaire pour un moteur à réluctance.

L'interface entre l'étage de puissance de l'onduleur et l'entrée de commande STO du variateur doit être conçue pour maintenir la très faible probabilité d'une défaillance dangereuse, ce qui signifierait que le modèle de commande PWM complexe a été transmis par inadvertance aux transistors de l'onduleur. Typiquement, l'arrangement utilise une sorte de technique de « sécurité intégrée », dans laquelle, tout comme dans l'onduleur lui-même, les défaillances de composants de toutes sortes entraînent une perte de la commande « Activer ». Il peut y avoir deux canaux indépendants afin que la fonction STO puisse être facilement interfacée à un contrôleur de sécurité à deux canaux.

Fonctions de sécurité d'entraînement plus avancées

La plupart des autres fonctions de sécurité désignées par le variateur nécessitent une analyse de données telles que le courant et/ou la vitesse du moteur, etc. Ceci est généralement mis en œuvre dans un microcontrôleur, avec un second contrôleur qui vérifie continuellement les données d'entrée et de sortie et les actions du processeur, comme illustré à la Figure 3. Invariablement, le résultat d'une anomalie détectée est que le variateur est désactivé via la fonction STO.

La probabilité d'un défaut matériel dans la direction dangereuse est réduite à un niveau tolérable en ayant deux canaux avec vérification croisée. Les dispositifs d'entrée tels que les commutateurs sont dupliqués pour permettre la détection d'erreurs simples de « blocage », et ils peuvent être alimentés par des impulsions électriques diversifiées afin que des défauts sournois plus subtils entre les canaux puissent être détectés. Les codeurs d'arbre incrémentaux de base ont une caractéristique inhérente utile qui permet de détecter la plupart des défauts, car les deux pistes d'impulsions ont un déphasage de 90°, ce qui signifie que la plupart des erreurs entraînent une séquence d'impulsions impossible, qui peut être détectée. Les sorties numériques sont vérifiées par des impulsions de test régulières qui testent si une sortie maintenue intentionnellement dans l'état logique haut (vrai) est toujours capable de passer à l'état bas - parfois appelée sorties OSSD.

La probabilité d'un défaut systématique, c'est-à-dire un défaut inhérent à la conception, est réduite à un niveau tolérable par un processus très rigoureux de définition des exigences précises pour les fonctions de sécurité et de suivi de leur mise en œuvre, des tests et de la documentation.

Machines complètes et composants de sécurité

Le processus rigoureux de spécification et de suivi des fonctions de sécurité doit être suivi pour chaque application individuelle, et le concepteur de la machine en est responsable en dernier ressort. Si un variateur doté de fonctions de sécurité fonctionnelle est utilisé dans le cadre de la conception, il devient alors un composant de sécurité, et ses propres spécifications et certifications en matière d'exigences de sécurité font partie de la documentation complète du système.

Au sein de l'Union européenne, cette exigence est inscrite dans la loi sous la forme de la directive Machines 2006/42/CE, qui comprend une définition et des exigences pour les composants de sécurité lorsqu'ils sont mis sur le marché séparément. En pratique, cela signifie généralement que le variateur avec fonctions de sécurité est livré avec un certificat d'examen CE de type délivré par un organisme notifié indépendant agréé par le gouvernement, pour lui permettre d'être utilisé dans le système de commande de sécurité d'une machine. S'il intègre la fonction STO en standard, de sorte qu'il puisse ou non être utilisé comme composant de sécurité, le variateur doit alors disposer de deux déclarations CE du fabricant distinctes, conformément à la directive Machines et à la directive Basse tension.