Note: Descriptions are shown in the official language in which they were submitted.
CA 02451033 2003-12-17
WO 03/001116 PCT/FR02/01675
1
Dispositifi de sécurité pour chaudière industrielle comprenant des relais
montés sur une carte de circuit imprimé
L'invention concerne un dispositif de sécurité pour chaudière industrielle
comprenant des relais électromécaniques connectés pour former une chaîne
de sécurité électromécanique.
L'invention s'applique en particulier aux chaudières industrielles
comprenant par exemple un brûleur à gaz pour produire de la vapeur ou de
l'eau surchauffée. De telles chaudières sont munies d'un dispositif de
sécurité qui est interposé entre un ou plusieurs capteurs et un ou plusieurs
actionneurs montés sur la chaudière pour déclencher via les actionneurs un
arrêt de la chaudière quand au moins un capteur détecte un défaut de
fonctionnement de la chaudière. Ce défaut peut être une pression excessive,
un niveau d'eau trop bas ou un problème dans la flamme du brûleur.
Plus particulièrement, un tel dispositif de sécurité est apfie à ouvrir un
cïrcuit d'alimentation des actionneurs sur détection d'un défaut par un
capteur. Les actionneurs qui peuvent être par exemple des électrovannes
sont conçus pour déclencher un arrêt de la chaudière dès qu'ils ne sont plus
alimentés en courant par le circuit d'alimentation. Chaque capteur fournit un
courant électrique alternatif sous 230 Volts au dispositif de sécurité en cas
de fonctionnement normal de la chaudière et ne fournit pas ce courant en
cas de détection d'un défaut. Un tel agencement forme une sécurité dite
"positive" dans laquelle une rupture d'alimentation électrique déclenche
l'arrêt de la chaudière.
Dans ce dispositif de sécurité, à chaque capteur correspond un relais qui
est maintenu sous tension lorsqu'il est alimenté par le courant fourni par le
capteur correspondant et les contacts des relais correspondant aux
différents capteurs sont par exemple connectés en série pour former une
chaîne de sécurité électromécanique sous la forme d'une logique câblëe. Le
circuit électrique correspondant à cette chaîne de sécurité électromécanique
est fermé en cas de fonctionnement normal de la chaudière et est ouvert en
cas d'anomalie dans celle-ci. II est connu dans un tel dispositif de sécurité
d'adjoindre à la chaîne de sécurité électromécanique une chaîne de sécurité
dite informatique fonctionnant en parallèle et de manière redondante à la
chaîne de sécurité électromécanique lorsque l'automatisme et la régulation
de la chaudière deviennent complexes et nécessitent l'utilisation d'un
automate programmable industriel. La chaîne de sécurité informatique est
CA 02451033 2003-12-17
WO 03/001116 PCT/FR02/01675
2
constituée généralement d'un circuit de traitement de données comme un
microprocesseur qui reçoit en entrée les signaux électriques produits par les
capteurs et convertis en signaux informatiques sous 5 volts et qui alimente à
travers un transistor commandant un relais le circuit d'alimentation
électrique
des actionneurs. La sortie du circuit de traitement de données est par
exemple câblée en série dans la chaîne de sécurité électromécanique qui
constitue ia chaîne de sécurité principale.
Des normes exigent que le bon fonctionnement des capteurs de sécurité
avec leur relais associé soit vérifié périodiquement. Cette prescription
entraîne la mise en place de dispositions importantes qui sont assurées en
général, une partie en relayage câblée pour tout ce qui traite directement de
la sécurité et l'autre partie par un système à microprocesseur pour tout ce
qui concerne les procédures et leur suivi. Lorsque deux chaînes de sécuritë
redondantes sont mises en place, la deuxième chaîne de sécurité
(informatique) est généralement traitêe dans le système à microprocesseur
mais ce dernier doit être indépendant et distinct de tout appareil de conduite
et d'automatisme de la chaudière. En conséquence, les dispositions à
prendre actuellement et mises en place sont de plus en plus importantes et
compliquées avec des relais, des boîtiers spécifiques, du câblage, des
systèmes à microprocesseur ne- communicant entre eux que par des
contacts électriques câblés. En plus, il exïste des risques qu'un opérateur
intervienne malencontreusement dans la logique câblée de la chaîne de
sécurité électromécanique lors de la vérification du bon fonctionnement des
capteurs de sécurité jusqu'à bloquer un refais en position fermée ce qui est
très préjudiciable pour la sécurité du fonctionnement de la chaudière.
D'autre part, la norme NF D36504 plus particulièrement spécifie (ch 4.2)
que l'évaluation de la sûreté de fonctionnement d'une chaîne de sécurité
informatique doit s'effectuer par une procédure d'essai spécifique, en
injectant directement sur l'ëquipement des erreurs dans le but de simuler un
défaut interne : une défaillance de tous les bits mémoire pris un à un est
simulée. Un tel test ' est particulièrement long à exécuter, alourdit
considérablement les essais qui précèdent la première mise en service d'une
telle chaudière et augmente d'autant son coût.
Le but de l'invention est de remédier à ces inconvénients.
A cet effet, l'invention a pour objet un dispositif de sécurité pour chaudière
ïndustrielle comprenant des relais électromécaniques connectés pour former
CA 02451033 2003-12-17
WO 03/001116 PCT/FR02/01675
3
une chaîne de sécurité électromécanique, caracfiérisé en ce que les relais
sont montés sur un support sous la forme d'une carte de circuit imprimé.
Avec cet agencement, les liaisons ëlectriques entre les relais sont
constituées par les pistes du circuit imprimé de sorte qu'il n'est plus
possible
pour un opérateur de modifier la logique de fonctïonnement de la chaîne de
sécurité électromécanique. De préférence, ces relais sont directement
soudés sur une carte de circuit imprimé et le raccordement sur les cartes
'des entrées sorties s'effectue par l'intermédiaire de borniers débrochables
équipées d'un dispositif de détrompage. Ces cartes de circuit imprimé
1o peuvent être montées dans un boîtier compact éventuellement scellé pour
qu'il soit impossible à un opérateur d'exploitation d'accéder à l'ensemble de
!a chaîne de sécuritë électromécanique.
Selon un mode de réalisation particulier du dispositif de sécurité selon
l'invention, des convertisseurs de courant associés respectivement à des
relais de la chaîne de sécurité électromécanique sont prévus pour convertïr
un signal électrique d'entrée d'un relais en un signal électronique, les
signaux électroniques fournis par les convertisseurs étant traités dans un
circuit intégré logique constituant avec les convertisseurs une chaîne de
sécurité électronique redondante à la chaîne de sécurité électromécanique.
Une telle chaîne de sécuritë électronique satisfait les conditions de ta norme
NF D36504 dans le sens où il est possible d'évaluer la sûreté de
fonctionnement du système électronique, au simple énoncé de sa
conception, et est plus simple à valider par des tests qu'une chaîne de
sécurité informatique. Le circuit intégré logique est de préférence un circuit
programmable du type « PAL ».
Selon encore un autre mode de réalisation particulier du dispositif de
sécurité selon l'invention, un relais et le convertisseur de courant associé
au
relais sont montés sur une même carte de circuit imprimé de sorte à obtenir
un agencement compact du dispositif de sécurité.
Selon encore un autre mode de réalisation particulier du dispositif de
sécuritë selon l'invention, chaque convertisseur de courant est un opto
coupleur de sorte à isoler du point de vue électrique les deux chaînes de
sécurité électromécanique et électronique. De la sorte, un défaut électrique
dans la chaîne de sécurité électromécanique n'a pas d'incidence sur le
fonctionnement de la chaîne de sécurité électronique.
CA 02451033 2003-12-17
WO 03/001116 PCT/FR02/01675
4
Selon encore un autre mode de. réalisation particulier du dispositif de
sécurité selon l'invention, les signaux électroniques sont convertis en
signaux informatiques par l'intermédiaire de microcontrôleurs pour ôtre
envoyés à une chaîne de sécurité informatique redondante à la chaîne de
sécurité électronique ce qui permet de renforcer le degré de sécurisation du
dispositif de sécurité sans augmenter sa complexité de mise en oeuvre
puisque cette chaîne de sécurité informatique constituant une troisième
chaîne de sécurité, n'est pas assujettie aux procédures de test selon la
norme NF D36504 décrites plus haut.
1Ö L'invention sera maintenant décrite plus en détail, et en référence aux
dessins annexés qui en illustrent une forme de réalisation à titre d'exemple
non limitatif.
La figure 1 est une représentation très schématique de l'invention ;
La figure 2 est une représentation très schématique d'un circuit imprimé
du dispositif de sécurité selon l'invention ;
La figure 3 est une représentation très schématique de l'agencement des
circuits imprimés du dispositif selon l'invention.
Comme représenté dans la figure 1, le dispositif selon l'invention est relié
à au moins un capteur PTE, et à au moins un actionneur EVm qui sont
généralement montés dans la chaudière industrielle CHA. Le capteur PT" qui
est ici un pressostat envoie un courant électrïque I" à un dispositif de
sécurité DS qui est ici montë dans une armoire électrique AE. En cas de
réception de ce courant I", le dispositif de sécurité renvoie à son tour un
second courant électrique Jm en direction de l'actionneur EVm qui est ici une
ëlectrovanne, pour maintenir cet actionneur dans une position de marche
normale. Si Je courant In n'est pas reçu, le dispositif de sécurité DS
commande un relais d'ouverture (non représenté) du circuit d'alimentation
électrique de l'actionneur EV pour annuler le courant Jm, et déclencher ainsi
l'arrêt de la chaudière. Les courants électriques I" et Jm sont généralement
des courants alternatifs élevés sous 230 Volts. Selon l'invention, le
dispositif
de sécurité DS comprend un boîtier renfermant des cartes de circuit imprimé
ci-après appelés circuits imprimés qui fiorment une chaîne de sécurité
électromécanique CH1. Ce boîtier comprend un ou plusieurs circuits
imprimés sur lesquels sont montés les relais formant la première chaîne de
sécurité CH1, de telle sorte que ces relais ne sont pas interconnectés par
une logique câblée, mais par des pistes conductrices des circuits imprimés.
CA 02451033 2003-12-17
WO 03/001116 PCT/FR02/01675
Ces différents circuits peuvent ainsi former un ensemble compact enfermé
dans un boîtier éventuellement scellé pour interdire à un opérateur d'en
modifier la configuration.
Ce genre de chaudière comprend généralement une pluralité de capteurs
5 associés à une pluralité d'actionneurs, et le boîtier peut renfermer par
exemple plusieurs circuits imprimés CIA, CIB, Clc pour gérer les différents
capteurs de ia chaudière, comme représenté dans la figure 3.
Avantageusement, ces circuits sont brochés dans des connecteurs d'une
carte dite carte de fond de panier (non représentée) qui est également
équipée de connecteurs assurant la connexion électrique avec les capteurs
et avec les actionneurs.
Dans la figure 2 a été représenté le circuit imprimé CIS mais les circuits
CIA, CIB, Clc sont analogues au circuit C18. Comme représenté dans cette
figure, chaque circuit imprimé CIA, CIB, Clc comprend un relais RE" qui est
maintenu fermé s'il reçoit un courant I" du capteur correspondant PT" pour
former la chaîne de sécurité ëlectromécanique classique CH1. Plus
particulièrement, les circuits CIA, Cls, Clc ont leurs sorties réunies dans un
circuit principal CIP visible dans la figure 3 qui comprend les connexions
formant la première chaîne de sécurité CH1. Ce circuit principal est
également monté sur la carte de fond de panier. II réalise par exemple la
mise en série des différents relais RE" de chaque circuit imprimé CIA, CIB,
Clc, et commande un relais d'ouverture du circuit d'alimentation électrique de
l'actionneur ou des actionneurs de la chaudière, dès que l'un des relais REn
est ouvert.
En variante, le dispositif de sécurïté pourra inclure une seconde chaîne de
sécurité CH2 redondante à la première, cette seconde chaîne étant
électronique. Cette chaîne électronique est également capable d'ouvrir le
circuit d'alimentation électrïque de l'actionneur EVm pour couper son
alimentation électrique en cas de non réception d'un courant électrique In.
L'avantage d'une gestion électronique pour cette seconde chaîne est que tes
tests de validation sont plus simples que dans ie cadre d'une gestion
informatisée. Cette chaîne électronique CH2 pourra être montée dans un
boîtier séparé, et:, reliée à la carte de fond de panier par des connecteurs
spécifiques. Mais elle peut avantageusement être intégrée aux circuits
imprimés qui définissent la chaîne électromécanique, comme expliqué ci-
après.
CA 02451033 2003-12-17
WO 03/001116 PCT/FR02/01675
6
Dans cette variante, le courant In fourni par un capteur PT" est converti
dans le circuit imprimé sur lequel est monté le relais correspondant RE" par
un convertisseur correspondant OCn en un signal électronique. Ce signal
électronique est un courant continu sous 12 Volts destiné à être reçu par un
circuit intégré logique CIL pour former la seconde chaîne de sécurité CH2.
Le circuit intégré logique CIL peut être monté sur le circuit imprimé
principal
CIP du dispositif de sécurité DS, ce circuit principal étant lui-même connecté
sur la carte de fond de panier. Ainsi, le circuit imprimé principal CIP reçoit
les
signaux électrorüques produits par chaque circuit imprimé ClA, C1B, Cl~ pour
commander un relais d'ouverture du circuit d'alimentation électrique de
l'actionneur EV", sur ordre du circuit intégré logique CIL.
Un tel circuit intégré logiqûe sera avantageusement réalisé par exemple
avec un circuit de Type "PAL". Ces circuits "PAL" fonctionnent sous 12 Volts
et permettent de réaliser à moindre coût des opérateurs logiques entre des
voies d'entrée et des voies de sortie. Ils sont configurés de façon définitive
par claquage électrique.
Dans la figure 2, on a représenté un circuit imprimé CIA, CIB, CI~ encore
appelé carte électronique recevant le courant I" d'un seul capteur. Mais une
même carte peut recevoir les courants I" fournis par plusieurs capteurs, de
manière à gérer tous (es capteurs d'un organe de la chaudiére tel que par
exemple le brûleur. Dans une telle configuration, la carte comprend un relais
et un optocoupleur pour chaque capteur, les relais étant mis en série sur la
carte de manière à fournir uné unique sortie pour la chaîne de sécurité
électromécanique CH1. Les signaux électroniques issus des différents
optocoupleurs sont alors réunis à travers un circuit intégré logique local qui
est également monté sur la carte CIA, CIB, CIC. Ce circuit fournit ainsi un
seul
signal électronique de sortie reflétant l'état de l'organe concerné, destiné à
la
chaîne de sécurité électronique CH2.
En variante, le dispositif de sécurité selon !'invention peut également
comprendre une troisième chaîne de sécurité CH3 redondante aux autres
chaînes de sécurité CH1 et CH2, cette troisième chaîne étant informatique.
Dans cette variante, chaque circuit imprimé CI inclut un microcontrôleur qui
convertit le signal électronique 12 Volts en un signal informatique cadencé ,
par une horloge que contient le microcontrôleur. Ce signal informatique est
émis sous 5 Volts environ. Comme pour les autres chaînes de sécurité, les
différents signaux informatiques sont collectés par le circuit imprimé
principal
CA 02451033 2003-12-17
WO 03/001116 PCT/FR02/01675
7
CIP. Ce circuit CIP est équipé d'un microcontrôleur réunissant les différents
signaux informatiques, et qui communique avec un microprocesseur MP
pour former la troisième chaîne de sécurité. Plus particulièrement, le
microprocesseur MP communique égaiement avec ie microcontrôleur MCP
pour déclencher un arrêt de la chaudière sur ordre du programme
informatique de gestion de la troisième chaîne. Le microprocesseur ouvre
alors le relais d'ouverture du circuit d'alimentation du ou des actionneurs
EV~, à travers un'transistor qui est montë sur le circuit imprimé principal.
Un
avantage supplémentaire de !'invention est que cette chaîne de sécurité qui
est informâtique est une troisième chaîne, de sorte qu'elle n'est pas
assujettie aux spécifications de tests de la norme NF D36504 évoquées plus
haut.
Dans le cas d'un circuit imprimé CI réunissant plusieurs capteurs d'un
même organe de la chaudière, le microcontrôleur MC de ce circuit imprimé
peut être un convertisseur parallèle-série. Un tel convertisseur reçoit en
entrée les signaux électroniques sous 12 Volts de chaque capteur et fournit
en sortie un signal informatique série cadencé sous 5 Volts reflétant l'état
de
chacun des capteurs gérés par le circuit CIA, CIB, Clc. De cette manière, le
microcontrôleur MCP du circuit imprimé principal est en mesure de
communiquer au microprocesseur MP des données informatiques
définissant l'êtat précis de chaque capteur de la chaudïère.
Comme on le voit, Je dispositif de sécurité selon l'invention avec une
redondance hétérogène donne lieu à une compacité améliorée et à un degré
de sécurisation augmenté puisqu'un opérateur d'exploitation ne peut en
modifier la configuration. De plus, la mise en oeuvre d'une troisième chaîne
de sécurité informatique permet de relier la chaudière à un système
d'information donnant une indication précise de l'état de chaque capteur de
la chaudière.
