Conception à sécurité intégrée

Les circuits logiques, qu'ils soient composés de relais électromécaniques ou de portes à semi-conducteurs, peuvent être construits de différentes manières pour exécuter les mêmes fonctions.

Il n'y a généralement pas de manière « correcte » de concevoir un circuit logique complexe, mais il existe généralement des méthodes meilleures que d'autres.

Dans les systèmes de contrôle, la sécurité est (ou du moins devrait être) une priorité de conception importante.

S'il existe plusieurs façons de concevoir un circuit de commande numérique pour effectuer une tâche, et que l'une de ces façons présente certains avantages en termes de sécurité par rapport aux autres, alors cette conception est la meilleure à choisir.

Implémentation de la logique de relais dans les systèmes de contrôle

Jetons un coup d'œil à un système simple et considérons comment il pourrait être mis en œuvre dans une logique de relais.

Supposons qu'un grand laboratoire ou un bâtiment industriel soit équipé d'un système d'alarme incendie, activé par l'un des nombreux interrupteurs de verrouillage installés dans l'ensemble de l'installation.

Le système doit fonctionner de manière à ce que la sirène d'alarme se déclenche si l'un des interrupteurs est actionné.

À première vue, il semble que la logique du relais devrait être incroyablement simple :utilisez simplement des contacts de commutateur normalement ouverts et connectez-les tous en parallèle :

Il s'agit essentiellement de la fonction logique OU implémentée avec quatre entrées de commutation.

Nous pourrions étendre ce circuit pour inclure n'importe quel nombre d'entrées de commutateur, chaque nouveau commutateur étant ajouté au réseau parallèle, mais je vais le limiter à quatre dans cet exemple pour simplifier les choses.

En tout cas, c'est un système élémentaire et il semble y avoir peu de risques de problèmes.

Sauf en cas de défaillance du câblage, c'est-à-dire que la nature des circuits électriques est telle que les défaillances « ouvertes » (contacts de commutateur ouverts, connexions de fils cassées, bobines de relais ouvertes, fusibles grillés, etc.) sont statistiquement plus susceptibles de se produire que tout autre type de pannes.

Dans cet esprit, il est logique de concevoir un circuit aussi tolérant que possible à une telle défaillance. Supposons qu'une connexion filaire pour le commutateur 2 ne s'ouvre pas :

Si cette panne se produisait, le résultat serait que l'interrupteur n°2 n'alimenterait plus la sirène s'il était actionné.

Ceci, évidemment, n'est pas bon dans un système d'alarme incendie. À moins que le système ne soit régulièrement testé (une bonne idée de toute façon), personne ne saurait qu'il y avait un problème jusqu'à ce que quelqu'un essaie d'utiliser ce commutateur en cas d'urgence.

Et si le système était repensé de manière à sonner l'alarme en cas de panne ouverte ?

De cette façon, une défaillance du câblage entraînerait une fausse alarme, un scénario beaucoup plus préférable que celui d'un interrupteur qui tombe en panne silencieusement et ne fonctionne pas lorsque cela est nécessaire.

Afin d'atteindre cet objectif de conception, nous devrions recâbler les commutateurs afin qu'un ouvert contact a sonné l'alarme, plutôt qu'un fermé contacter.

Cela étant, les interrupteurs devront être normalement fermés et en série les uns avec les autres, alimentant une bobine de relais qui actionnera alors un contact normalement fermé pour la sirène :

Lorsque tous les interrupteurs ne sont pas actionnés (l'état de fonctionnement normal de ce système), le relais CR₁ sera sous tension, gardant ainsi le contact CR₁ ouvert, empêchant la sirène d'être alimentée.

Cependant, si l'un des commutateurs est actionné, le relais CR₁ se désexcitera, fermant le contact CR₁ et sonner l'alarme.

De plus, s'il y a une coupure dans le câblage n'importe où dans l'échelon supérieur du circuit, l'alarme sonnera.

Lorsqu'il est découvert que l'alarme est fausse, les travailleurs de l'installation sauront que quelque chose a échoué dans le système d'alarme et qu'il doit être réparé.

Certes, le circuit est plus complexe qu'il ne l'était avant l'ajout du relais de contrôle, et le système pourrait toujours échouer en mode « silencieux » avec une connexion interrompue dans l'échelon inférieur, mais c'est toujours une conception plus sûre que le circuit d'origine, et donc préférable du point de vue de la sécurité.

Application de conceptions à sécurité intégrée dans les systèmes de contrôle

Cette conception de circuit est appelée à sécurité intégrée , en raison de sa conception prévue pour passer par défaut au mode le plus sûr en cas de défaillance courante telle qu'une connexion interrompue dans le câblage du commutateur.

La conception à sécurité intégrée commence toujours par une hypothèse quant au type de panne de câblage ou de composant le plus probable, puis essaie de configurer les choses de manière à ce qu'une telle panne fasse en sorte que le circuit agisse de la manière la plus sûre, la « manière la plus sûre » étant déterminée par les caractéristiques physiques du procédé.

Prenons l'exemple d'une électrovanne (électrovanne) à commande électrique pour l'alimentation en eau de refroidissement d'une machine.

L'excitation de la bobine du solénoïde déplacera une armature qui ouvrira ou fermera ensuite le mécanisme de la vanne, selon le type de vanne que nous spécifions.

Un ressort ramènera la vanne à sa position « normale » lorsque le solénoïde est désactivé.

Nous savons déjà qu'une défaillance ouverte du câblage ou de la bobine du solénoïde est plus probable qu'un court-circuit ou tout autre type de défaillance, nous devons donc concevoir ce système pour qu'il soit dans son mode le plus sûr avec le solénoïde hors tension.

S'il s'agit d'eau de refroidissement que nous contrôlons avec cette vanne, il est probable qu'il soit plus sûr d'activer l'eau de refroidissement en cas de panne que de l'éteindre, les conséquences d'une machine fonctionnant sans liquide de refroidissement étant généralement graves.

Cela signifie que nous devons spécifier une vanne qui s'allume (s'ouvre) lorsqu'elle est hors tension et s'éteint (se ferme) lorsqu'elle est sous tension. Cela peut sembler "à l'envers" d'avoir la vanne configurée de cette façon, mais cela rendra le système plus sûr à la fin.

Une application intéressante de la conception à sécurité intégrée se trouve dans l'industrie de la production et de la distribution d'électricité, où les grands disjoncteurs doivent être ouverts et fermés par des signaux de commande électriques provenant de relais de protection.

Si un relais 50/51 (surintensité instantanée et temporisée) va commander à un disjoncteur de se déclencher (s'ouvrir) en cas de courant excessif, doit-on le concevoir pour que le relais se ferme un contact de commutation pour envoyer un signal de "déclenchement" au disjoncteur, ou s'ouvre un contact de commutation pour interrompre un signal « on » régulièrement pour déclencher un déclenchement de disjoncteur ?

Nous savons qu'une connexion ouverte sera la plus susceptible de se produire, mais quel est l'état le plus sûr du système :disjoncteur ouvert ou disjoncteur fermé ?

Au début, il semblerait qu'il serait plus sûr d'avoir un grand déclenchement du disjoncteur (ouvrir et couper l'alimentation) en cas de défaut ouvert dans le circuit de commande du relais de protection, tout comme nous avions le système d'alarme incendie par défaut un état d'alarme avec tout interrupteur ou panne de câblage.

Cependant, les choses ne sont pas si simples dans le monde de la haute puissance. Faire s'ouvrir un grand disjoncteur sans discernement n'est pas une mince affaire, surtout lorsque les clients dépendent de l'approvisionnement continu en électricité pour alimenter les hôpitaux, les systèmes de télécommunications, les systèmes de traitement de l'eau et d'autres infrastructures importantes.

Pour cette raison, les ingénieurs des systèmes d'alimentation ont généralement convenu de concevoir des circuits de relais de protection pour produire un fermé signal de contact (alimentation appliquée) pour ouvrir les grands disjoncteurs, ce qui signifie que toute défaillance ouverte dans le câblage de commande passera inaperçue, laissant simplement le disjoncteur dans la position de statu quo.

Est-ce une situation idéale ? Bien sûr que non. Si un relais de protection détecte une condition de surintensité alors que le câblage de commande n'est pas ouvert, il ne pourra pas déclencher l'ouverture du disjoncteur.

Comme pour la première conception de système d'alarme incendie, la défaillance « silencieuse » ne sera évidente que lorsque le système est nécessaire.

Cependant, concevoir les circuits de commande dans l'autre sens, de sorte que toute défaillance ouverte fermerait immédiatement le disjoncteur, obstruant potentiellement de grandes parties du réseau électrique, n'est vraiment pas une meilleure alternative.

Un livre entier pourrait être écrit sur les principes et les pratiques d'une bonne conception de système à sécurité intégrée.

Au moins ici, vous connaissez quelques principes fondamentaux :que le câblage a tendance à échouer plus souvent qu'à court-circuiter, et que le mode de défaillance (ouvert) d'un système de commande électrique doit être tel qu'il indique et/ou déclenche le processus réel dans le mode alternatif le plus sûr.

Ces principes fondamentaux s'étendent également aux systèmes non électriques :identifiez le mode de défaillance le plus courant, puis concevez le système de manière à ce que le mode de défaillance probable place le système dans les conditions les plus sûres.

AVIS :

• L'objectif de la sécurité intégrée la conception est de rendre un système de contrôle aussi tolérant que possible aux défaillances probables du câblage ou des composants.
• Le type de défaillance de câblage et de composant le plus courant est un circuit « ouvert » ou une connexion interrompue. Par conséquent, un système à sécurité intégrée doit être conçu pour adopter par défaut son mode de fonctionnement le plus sûr en cas de circuit ouvert.

FICHES DE TRAVAIL CONNEXES :

• Fiche de travail sur les circuits à haute fiabilité