Table des Matières
Publicité
SOMMAIRE
Conditionneur de signaux analogiques programmable
avec relais à seuil
Analyse fonctionnelle
Le convertisseur se compose :
d'un étage d'alimentation
d'un étage d'entrée convertisseur analogique numérique
d'un microcontrôleur (linéarisation, compensation et mise à l'échelle du signal ainsi que le traitement des alarmes)
d'un étage d'isolation (transmission du signal)
d'un étage de sortie (amplificateur de courant)
et de relais d'alarmes.
Définition de l'évènement redouté
Pour le convertisseur CNL35D, l'événement redouté (c'est-à-dire la défaillance dangereuse, telle que définie dans la
section précédente) est l'émission d'un courant de sortie erroné :
Soit un courant de sortie erroné de plus de 2% par rapport à la demande du procédé.
Soit un courant de sortie, bloqué à une valeur, tel qu'il ne peut prendre une valeur de repli de sécurité:
courant de sortie bloqué dans une gamme > 3,6mA ou < 21mA
ou l'impossibilité de transmettre une alarme.
Définition de la position de repli de sécurité
L'état de repli de sécurité est défini par un courant de sortie hors de la gamme 3,6mA – 21mA.
Soit un courant de sortie =< 3,6 mA, soit un courant de sortie >= 21 mA.
La valeur de repli du convertisseur devra impérativement être programmé pour l'une de ces valeurs.
Le programme d'application de l'« Equipement logique de sécurité » devra impérativement être configuré
pour détecter toute valeur de courant hors gamme (=< 3,6 mA et >= 21 mA) et les considérées "Invalides".
L'équipement de sécurité devra également détecter l'ouverture de contact des relais d'alarmes et les considéré com-
me "invalide". De ce fait, dans l'étude AMDEC, cet état est considéré comme non dangereux.
Hypothèses d'étude
Les taux de défaillance des composants sont considérés constants sur toute la durée de vie du système.
L'évaluation des caractéristiques de sûreté d'un module fait intervenir un certain nombre d'hypothèses :
Seul l'aspect matériel est traité. L'aspect sûreté de fonctionnement du logiciel n'est pas abordé.
(la sureté du logiciel est prise en compte durant la phase de développement, de vérification et de validation de
la conception dans les procédures d'assurance qualité, ainsi que dans le choix des outils de développement.)
Seules les défaillances catalectiques sont prises en compte : Défaillances franches, soudaines et non prévisibles.
Ne sont pas considérées, les défauts qui pourraient être dus à :
- des erreurs de conception,
- à des défauts de lot en production,
- à l'environnement (interférences électriques, cycles de température, vibrations) ;
- des erreurs humaines en fonctionnement ou en maintenance,
(des précautions sont prises pour les éviter : gestion d'une L.O.F.C. (liste des opérations de fabrication et de contrôle)
Ne sont traitées que les pannes simples. Les défauts de soudure, qui sont généralement dus à une non qualité
détectable en fin de fabrication par un déverminage spécifique, ne sont pas pris en compte.
Tous les aspects touchant aux fonctionnalités spécifiques à la phase de mise sous tension ne sont pas traités.
Taux de défaillance
Les taux de pannes élémentaires des composants du convertisseur CNL35D sont disponible dans le document :
AMDEC CNL35D rev0.XLS
Etabli avec " ALD MTBF calculator " selon : MIL-HDBK-217F Notice 2 Electronic Reliability Prediction.
E 10
LOREME 12, rue des Potiers d'Etain - 57071 Metz 03.87.76.32.51 - Fax 03.87.76.32.52 - Email: Commercial@Loreme.fr - Techni-
disponible sur demande.
CNL35D
Publicité
Table des Matières
