Relais dans les systèmes de contrôle liés à la sécurité
Il n’y a pas moins de sept façons pour qu’un simple transistor soit défaillant. Cela signifie que la surveillance de tous les composants électroniques qui peuvent être défectueux dans une sortie de commutation électronique sécurisée nécessite des efforts considérables et l’utilisation d’éléments tels qu’une unité de sécurité intégrée cadencée et des microcontrôleurs (Fig. 1). En comparaison, le diagnostic d’une sortie de relais sûre n’implique rien de plus que la surveillance de l’ouverture des contacts. Les relais à contacts forcés ont déjà ce mécanisme de diagnostic intégré ; ils renvoient le résultat pour un traitement ultérieur via un contact de surveillance isolé électriquement.
Il n’est donc pas étonnant que les relais soient le premier choix des experts en sécurité lorsque des circuits simples doivent être utilisés pour développer des sorties sûres, même pour de hautes tensions. Les sorties de commande basées sur des contacts présentent également une plus grande capacité de transfert de courant inhérente et une plus grande résistance aux tensions de crête que les sorties électroniques ; mais lors de la conception d’une sortie sûre, il est important de garder à l’esprit que, au cours de leur durée de vie, les relais ont un taux de défaillance croissant, en raison de l’usure.
Types de défauts des relais
La Fig. 2 montre une « courbe en U » pour un relais à trois contacts, montrant clairement deux sections exponentielles, correspondant aux défauts précoces et aux défauts dus à l’usure, et une section centrale avec un taux plus ou moins constant de défaillances aléatoires.
Ces défaillances aléatoires ne sont pas causées par l’usure et sont donc indépendantes des cycles de commutation. Comme les composants électroniques, les relais présentent des défauts qui sont répartis uniformément dans le temps. Ceux-ci incluent, par exemple, la corrosion des contacts et d’autres pièces métalliques, la déformation des pièces en plastique induite par l’environnement, les défaillances causées par des défauts dans le processus de fabrication et les violations de tolérance.
La norme IEC EN 61709 (SN 29500) fournit des formules qui peuvent être utilisées pour déterminer un taux de défaillance constant sur la base des défaillances réelles sur le terrain. Les sections exponentielles de la courbe en U montrant les défaillances précoces et celles causées par l’usure sont exclues des événements enregistrés : seules les défaillances survenant après les 5 000 premiers cycles de commutation et jusqu’à au plus 10 % de la durée de vie de l’unité sont prises en compte. Sur cette base, le taux de défaillance établi d’un relais à contact forcé à 3 pôles (R-FC) dans une application type est de 1 000 FIT1, ce qui est tout à fait réaliste. Cela prédit qu’après 20 ans, environ 16 % des relais auront connu une défaillance.
Les taux de défaillance obtenus conformément à la norme IEC EN 61709 sont utilisés pour les calculs dans lesquels les relais commutent très rarement et la fin de leur durée de vie utile est très peu susceptible d’être causée par l’usure de commutation.
Les défauts dus à l’usure sont des défauts systématiques connus causés par l’érosion des contacts pendant les opérations de commutation. Leur taux de défaillance est donc déterminé à partir de la durée de vie de commutation des relais à une charge spécifique. Cette valeur est ensuite mise à l’échelle sur l’axe temporel sur la base de la fréquence de commutation nop par heure supposée pour l’application. Dans la limite du temps de fonctionnement T10d, le taux de défaillance λd est considéré comme constant.
La durée de vie B10, déterminée selon la norme IEC 61810-2, est le nombre de cycles de commutation pour lequel 10 % de tous les relais connaîtront une défaillance. Étant donné que les calculs de sécurité pour les circuits de sécurité ne prennent en compte que les défaillances dangereuses (non-ouverture des contacts), B10d (où d = dangereux) peut être supérieur à B10 d’un facteur allant jusqu’à 10.
Relais dans des circuits de sécurité
La probabilité de défaillance dans un seul relais est généralement trop élevée pour protéger contre un risque. Les circuits de relais pour différentes catégories de risque sont connus2 et peuvent être vérifiés en tant que sous-systèmes avec des composants assez simples, comme décrit dans la norme EN/IEC 62061, section 6.7.3.3. Les architectures de sous-système de base décrites à la section 6.7.8 de la présente norme montrent comment les taux de défaillance peuvent être progressivement réduits par la redondance (tolérance aux pannes matérielles) et les diagnostics.
La tolérance aux défauts matériels est déterminée en les subdivisant en défaillances sécurité et dangereuses (SFF, Safe Failure Fraction). Pour les relais, cette subdivision peut être définie comme entre les défaillances de non-fermeture ne mettant pas en question la sécurité et les défaillances de non-ouverture dangereuses. Elle est déterminée par l’AMDEC et l’expérience sur le terrain. Cela signifie que les relais correspondent aux sous-systèmes de type A définis dans la norme IEC 61508-2. On suppose généralement que le SFF d’un relais non surveillé atteindra un maximum de 95 % s’il est muni d’un fusible interne ayant une valeur nominale égale aux deux tiers du courant de contact.
Une tolérance aux pannes matérielles de 1 permet d’éviter l’effet d’un seul contact soudé en ayant deux relais connectés en série. En cas de panne, la charge sera isolée par le relais redondant équivalent.
La probabilité PFD(t) (Probabilité de défaillance à la demande) de la défaillance dangereuse simultanée de deux relais connectés en série est considérablement réduite, même sans diagnostic, mais dans une large mesure, une telle défaillance sera due à des défauts de cause commune (CCD) :
VFI(t) = (λD Relais1 * t) * (λD Relais2 * t) + CCD Relais1+2 * t
Une telle cause commune affecte les deux relais de manière égale, ce qui rend la redondance inefficace. Le tableau F.1 de la norme EN/IEC 62061 fournit des critères permettant de déterminer le taux de défaillances ayant une cause commune. Les facteurs qui ont des effets identiques sur des relais redondants peuvent être thermiques, magnétiques, électriques ou mécaniques, tels que les températures ambiantes ou les champs magnétiques, et, en particulier pour les relais polarisés, les surintensités ou les surcharges mécaniques.
La proportion de défaillances dangereuses peut être encore réduite avec des diagnostics appropriés, car un certain pourcentage des défaillances peut être détecté par surveillance (Fig 3). Le tableau A.1 de la norme IEC 61508-2 décrit les niveaux d’exigence pour détecter les causes des défaillances. Ici, les contacts forcés offrent la couverture diagnostique la plus élevée possible, à savoir 99 %.
Relais à contacts forcés (R-FC)
Les relais R-FC garantissent qu’un deuxième contact antivalent n’est fermé que lorsque l’intervalle de coupure est supérieur à 0,5 mm. En dehors de cela, les relais R-FC n’offrent pas plus de sécurité qu’un relais élémentaire ; en effet, comme tous les relais, ils peuvent subir une défaillance en raison de défauts ou parce qu’ils arrivent en fin de vie utile. Cependant, l’évaluation des signaux provenant du contact de surveillance permet un diagnostic automatique pour chaque cycle de commutation. Dans ce cas, le circuit de sécurité peut empêcher un redémarrage.
La norme IEC 61810-3 (EN 50205) décrit comment concevoir et tester les relais forcés de manière à ce que l’antivalence des contacts normalement ouverts et normalement fermés ne soit pas perdue, même en cas de défaut. Ici, les contacts sont connectés mécaniquement via un actionneur et suffisamment dimensionnés pour ne pas rompre. Dans les situations où un tel surdimensionnement n’est pas possible, comme aux points de flexion des ressorts, les fragments potentiels sont fixés de manière à ne pas court-circuiter le contact antivalent.
Comme les relais électromécaniques (EMR), les dimensions des relais à contacts forcés doivent être choisies en fonction du circuit de commande, du circuit de contact et des conditions ambiantes. À cet égard, les relais à contacts forcés ne sont pas différents des autres relais EMR. Lors du dimensionnement, par exemple, de la tension d’entraînement ou de la détermination de la durée de vie prévue ou de la résistance aux chocs, il est possible de consulter une documentation et des notes d’application détaillées3.
Un certain nombre de questions spécifiques ont émergé qui s’appliquent en particulier aux relais R-FC. Elles concernent les domaines d’utilisation types ou la prévention des défaillances ayant une cause commune.
Détermination des paramètres électriques et mécaniques
Pour une disposition compacte des circuits de sécurité à relais, il est habituel d’utiliser des « modules de relais de sécurité » contenus dans des boîtiers étroits conçus pour être montés sur un rail DIN. La température ambiante maximale pour les relais indiquée dans la norme IEC 61810-1 ne peut pas être utilisée ici, car les distances par rapport à la paroi du boîtier et la proximité d’autres sources de chaleur rendent impossible la détermination normalisée de la température ambiante à proximité des relais. Il est donc nécessaire de mesurer directement les températures des relais dans les pires conditions.
Cela se fait avec des modules de relais bien conditionnés, en utilisant la tension d’alimentation maximale avec autant de composants activés que possible. La température est ensuite mesurée directement aux points chauds sur la surface du relais, tandis que les températures de la bobine sont déterminées à partir de la résistance du fil. Les valeurs limites pour la charge de température sont fournies par le fabricant du relais, et les notes d’application aideront à effectuer ces mesures.
En plus de l’aspect fonctionnel lors de la configuration du contrôleur, la température joue également un rôle critique pour la sécurité qui ne doit pas être négligé. En d’autres termes, que se passe-t-il si la température sort de la plage spécifiée par le fabricant ? Qu’est-ce qui pourrait donner lieu à un tel écart et la même cause pourrait-elle éventuellement affecter les relais redondants en même temps ? Étant donné que les fabricants ne testent pas l’effet des écarts de température en dehors de la plage spécifiée, nous devons supposer qu’une défaillance critique en résulterait. Pour cette raison, l’évaluation de la sécurité de l’appareil doit inclure le respect de la plage de température stipulée.
Une autre plage spécifiée par le fabricant est la résistance aux chocs et aux vibrations. Si des composants, des circuits imprimés ou des dispositifs tombent sur une surface solide, ils peuvent être exposés à des charges supérieures au maximum autorisé. Les dommages ne sont souvent pas visibles de l’extérieur, mais les pièces peuvent être désalignées ou éclatées, réduisant ainsi la distance de contact ou même bloquant complètement le relais. Une gestion appropriée de la qualité doit donc être mise en place, avec des mesures adéquates prises pour détecter les impacts excessifs et s’assurer que les charges mécaniques rencontrées pendant le traitement, le transport et l’exploitation se situent toutes dans la plage spécifiée.
Conclusion et perspectives
Des relais à contacts forcés adaptés aux applications de sécurité dans les ascenseurs, l’ingénierie ferroviaire, la construction mécanique et l’automatisation sont disponibles en versions avec de deux à dix contacts. Les utilisateurs s’attendent à la fois à une miniaturisation accrue et à des solutions rentables pouvant être utilisées pour couvrir de légers risques. Les capteurs intégrés pourraient non seulement favoriser la miniaturisation et la fiabilité, mais aussi permettre des fonctions supplémentaires.
La délimitation normativement requise de la plage d’application d’un relais avant l’apparition de défaillances d’usure dangereuses (B10d) est maintenant effectuée à l’aide de valeurs présumées pour le temps de fonctionnement, la charge de contact et la fréquence de commutation prévus.
Cependant, du point de vue de l’utilisateur, il serait certainement utile de pouvoir reconnaître une augmentation de la tendance du relais à se fermer ou à se coincer dans les conditions du terrain.
En résumé, en particulier lorsque les composants sont compris comme des sous-systèmes et que différentes technologies se rejoignent, nous pouvons envisager d’autres applications possibles pour les relais dans le domaine des technologies de sécurité. La normalisation en matière de sécurité fonctionnelle laisse beaucoup de place à de nouvelles solutions.
Relais dans les systèmes de contrôle liés à la sécurité
Il n’y a pas moins de sept façons pour qu’un simple transistor soit défaillant. Cela signifie que la surveillance de tous les composants électroniques qui peuvent être défectueux dans une sortie de commutation électronique sécurisée nécessite des efforts considérables et l’utilisation d’éléments tels qu’une unité de sécurité intégrée cadencée et des microcontrôleurs (Fig. 1). En comparaison, le diagnostic d’une sortie de relais sûre n’implique rien de plus que la surveillance de l’ouverture des contacts. Les relais à contacts forcés ont déjà ce mécanisme de diagnostic intégré ; ils renvoient le résultat pour un traitement ultérieur via un contact de surveillance isolé électriquement.
Il n’est donc pas étonnant que les relais soient le premier choix des experts en sécurité lorsque des circuits simples doivent être utilisés pour développer des sorties sûres, même pour de hautes tensions. Les sorties de commande basées sur des contacts présentent également une plus grande capacité de transfert de courant inhérente et une plus grande résistance aux tensions de crête que les sorties électroniques ; mais lors de la conception d’une sortie sûre, il est important de garder à l’esprit que, au cours de leur durée de vie, les relais ont un taux de défaillance croissant, en raison de l’usure.
Types de défauts des relais
La Fig. 2 montre une « courbe en U » pour un relais à trois contacts, montrant clairement deux sections exponentielles, correspondant aux défauts précoces et aux défauts dus à l’usure, et une section centrale avec un taux plus ou moins constant de défaillances aléatoires.
Ces défaillances aléatoires ne sont pas causées par l’usure et sont donc indépendantes des cycles de commutation. Comme les composants électroniques, les relais présentent des défauts qui sont répartis uniformément dans le temps. Ceux-ci incluent, par exemple, la corrosion des contacts et d’autres pièces métalliques, la déformation des pièces en plastique induite par l’environnement, les défaillances causées par des défauts dans le processus de fabrication et les violations de tolérance.
La norme IEC EN 61709 (SN 29500) fournit des formules qui peuvent être utilisées pour déterminer un taux de défaillance constant sur la base des défaillances réelles sur le terrain. Les sections exponentielles de la courbe en U montrant les défaillances précoces et celles causées par l’usure sont exclues des événements enregistrés : seules les défaillances survenant après les 5 000 premiers cycles de commutation et jusqu’à au plus 10 % de la durée de vie de l’unité sont prises en compte. Sur cette base, le taux de défaillance établi d’un relais à contact forcé à 3 pôles (R-FC) dans une application type est de 1 000 FIT1, ce qui est tout à fait réaliste. Cela prédit qu’après 20 ans, environ 16 % des relais auront connu une défaillance.
Les taux de défaillance obtenus conformément à la norme IEC EN 61709 sont utilisés pour les calculs dans lesquels les relais commutent très rarement et la fin de leur durée de vie utile est très peu susceptible d’être causée par l’usure de commutation.
Les défauts dus à l’usure sont des défauts systématiques connus causés par l’érosion des contacts pendant les opérations de commutation. Leur taux de défaillance est donc déterminé à partir de la durée de vie de commutation des relais à une charge spécifique. Cette valeur est ensuite mise à l’échelle sur l’axe temporel sur la base de la fréquence de commutation nop par heure supposée pour l’application. Dans la limite du temps de fonctionnement T10d, le taux de défaillance λd est considéré comme constant.
La durée de vie B10, déterminée selon la norme IEC 61810-2, est le nombre de cycles de commutation pour lequel 10 % de tous les relais connaîtront une défaillance. Étant donné que les calculs de sécurité pour les circuits de sécurité ne prennent en compte que les défaillances dangereuses (non-ouverture des contacts), B10d (où d = dangereux) peut être supérieur à B10 d’un facteur allant jusqu’à 10.
Relais dans des circuits de sécurité
La probabilité de défaillance dans un seul relais est généralement trop élevée pour protéger contre un risque. Les circuits de relais pour différentes catégories de risque sont connus2 et peuvent être vérifiés en tant que sous-systèmes avec des composants assez simples, comme décrit dans la norme EN/IEC 62061, section 6.7.3.3. Les architectures de sous-système de base décrites à la section 6.7.8 de la présente norme montrent comment les taux de défaillance peuvent être progressivement réduits par la redondance (tolérance aux pannes matérielles) et les diagnostics.
La tolérance aux défauts matériels est déterminée en les subdivisant en défaillances sécurité et dangereuses (SFF, Safe Failure Fraction). Pour les relais, cette subdivision peut être définie comme entre les défaillances de non-fermeture ne mettant pas en question la sécurité et les défaillances de non-ouverture dangereuses. Elle est déterminée par l’AMDEC et l’expérience sur le terrain. Cela signifie que les relais correspondent aux sous-systèmes de type A définis dans la norme IEC 61508-2. On suppose généralement que le SFF d’un relais non surveillé atteindra un maximum de 95 % s’il est muni d’un fusible interne ayant une valeur nominale égale aux deux tiers du courant de contact.
Une tolérance aux pannes matérielles de 1 permet d’éviter l’effet d’un seul contact soudé en ayant deux relais connectés en série. En cas de panne, la charge sera isolée par le relais redondant équivalent.
La probabilité PFD(t) (Probabilité de défaillance à la demande) de la défaillance dangereuse simultanée de deux relais connectés en série est considérablement réduite, même sans diagnostic, mais dans une large mesure, une telle défaillance sera due à des défauts de cause commune (CCD) :
VFI(t) = (λD Relais1 * t) * (λD Relais2 * t) + CCD Relais1+2 * t
Une telle cause commune affecte les deux relais de manière égale, ce qui rend la redondance inefficace. Le tableau F.1 de la norme EN/IEC 62061 fournit des critères permettant de déterminer le taux de défaillances ayant une cause commune. Les facteurs qui ont des effets identiques sur des relais redondants peuvent être thermiques, magnétiques, électriques ou mécaniques, tels que les températures ambiantes ou les champs magnétiques, et, en particulier pour les relais polarisés, les surintensités ou les surcharges mécaniques.
La proportion de défaillances dangereuses peut être encore réduite avec des diagnostics appropriés, car un certain pourcentage des défaillances peut être détecté par surveillance (Fig 3). Le tableau A.1 de la norme IEC 61508-2 décrit les niveaux d’exigence pour détecter les causes des défaillances. Ici, les contacts forcés offrent la couverture diagnostique la plus élevée possible, à savoir 99 %.
Relais à contacts forcés (R-FC)
Les relais R-FC garantissent qu’un deuxième contact antivalent n’est fermé que lorsque l’intervalle de coupure est supérieur à 0,5 mm. En dehors de cela, les relais R-FC n’offrent pas plus de sécurité qu’un relais élémentaire ; en effet, comme tous les relais, ils peuvent subir une défaillance en raison de défauts ou parce qu’ils arrivent en fin de vie utile. Cependant, l’évaluation des signaux provenant du contact de surveillance permet un diagnostic automatique pour chaque cycle de commutation. Dans ce cas, le circuit de sécurité peut empêcher un redémarrage.
La norme IEC 61810-3 (EN 50205) décrit comment concevoir et tester les relais forcés de manière à ce que l’antivalence des contacts normalement ouverts et normalement fermés ne soit pas perdue, même en cas de défaut. Ici, les contacts sont connectés mécaniquement via un actionneur et suffisamment dimensionnés pour ne pas rompre. Dans les situations où un tel surdimensionnement n’est pas possible, comme aux points de flexion des ressorts, les fragments potentiels sont fixés de manière à ne pas court-circuiter le contact antivalent.
Comme les relais électromécaniques (EMR), les dimensions des relais à contacts forcés doivent être choisies en fonction du circuit de commande, du circuit de contact et des conditions ambiantes. À cet égard, les relais à contacts forcés ne sont pas différents des autres relais EMR. Lors du dimensionnement, par exemple, de la tension d’entraînement ou de la détermination de la durée de vie prévue ou de la résistance aux chocs, il est possible de consulter une documentation et des notes d’application détaillées3.
Un certain nombre de questions spécifiques ont émergé qui s’appliquent en particulier aux relais R-FC. Elles concernent les domaines d’utilisation types ou la prévention des défaillances ayant une cause commune.
Détermination des paramètres électriques et mécaniques
Pour une disposition compacte des circuits de sécurité à relais, il est habituel d’utiliser des « modules de relais de sécurité » contenus dans des boîtiers étroits conçus pour être montés sur un rail DIN. La température ambiante maximale pour les relais indiquée dans la norme IEC 61810-1 ne peut pas être utilisée ici, car les distances par rapport à la paroi du boîtier et la proximité d’autres sources de chaleur rendent impossible la détermination normalisée de la température ambiante à proximité des relais. Il est donc nécessaire de mesurer directement les températures des relais dans les pires conditions.
Cela se fait avec des modules de relais bien conditionnés, en utilisant la tension d’alimentation maximale avec autant de composants activés que possible. La température est ensuite mesurée directement aux points chauds sur la surface du relais, tandis que les températures de la bobine sont déterminées à partir de la résistance du fil. Les valeurs limites pour la charge de température sont fournies par le fabricant du relais, et les notes d’application aideront à effectuer ces mesures.
En plus de l’aspect fonctionnel lors de la configuration du contrôleur, la température joue également un rôle critique pour la sécurité qui ne doit pas être négligé. En d’autres termes, que se passe-t-il si la température sort de la plage spécifiée par le fabricant ? Qu’est-ce qui pourrait donner lieu à un tel écart et la même cause pourrait-elle éventuellement affecter les relais redondants en même temps ? Étant donné que les fabricants ne testent pas l’effet des écarts de température en dehors de la plage spécifiée, nous devons supposer qu’une défaillance critique en résulterait. Pour cette raison, l’évaluation de la sécurité de l’appareil doit inclure le respect de la plage de température stipulée.
Une autre plage spécifiée par le fabricant est la résistance aux chocs et aux vibrations. Si des composants, des circuits imprimés ou des dispositifs tombent sur une surface solide, ils peuvent être exposés à des charges supérieures au maximum autorisé. Les dommages ne sont souvent pas visibles de l’extérieur, mais les pièces peuvent être désalignées ou éclatées, réduisant ainsi la distance de contact ou même bloquant complètement le relais. Une gestion appropriée de la qualité doit donc être mise en place, avec des mesures adéquates prises pour détecter les impacts excessifs et s’assurer que les charges mécaniques rencontrées pendant le traitement, le transport et l’exploitation se situent toutes dans la plage spécifiée.
Conclusion et perspectives
Des relais à contacts forcés adaptés aux applications de sécurité dans les ascenseurs, l’ingénierie ferroviaire, la construction mécanique et l’automatisation sont disponibles en versions avec de deux à dix contacts. Les utilisateurs s’attendent à la fois à une miniaturisation accrue et à des solutions rentables pouvant être utilisées pour couvrir de légers risques. Les capteurs intégrés pourraient non seulement favoriser la miniaturisation et la fiabilité, mais aussi permettre des fonctions supplémentaires.
La délimitation normativement requise de la plage d’application d’un relais avant l’apparition de défaillances d’usure dangereuses (B10d) est maintenant effectuée à l’aide de valeurs présumées pour le temps de fonctionnement, la charge de contact et la fréquence de commutation prévus.
Cependant, du point de vue de l’utilisateur, il serait certainement utile de pouvoir reconnaître une augmentation de la tendance du relais à se fermer ou à se coincer dans les conditions du terrain.
En résumé, en particulier lorsque les composants sont compris comme des sous-systèmes et que différentes technologies se rejoignent, nous pouvons envisager d’autres applications possibles pour les relais dans le domaine des technologies de sécurité. La normalisation en matière de sécurité fonctionnelle laisse beaucoup de place à de nouvelles solutions.
