photographie

n 175sretdes protectionsen MT et HT

CT 175 dition mars 1995

Marielle Lemaire

A obtenu son diplme dingnieurIEG, option gnie physique en 1986.Aprs deux ans passs dans unlaboratoire de luniversit deTUCSON (Arizona), elle entre chezMerlin Gerin o elle participe audveloppement de convertisseursstatiques de puissance.Spcialiste de la sret defonctionnement et expert franaisdans le groupe de travail WG7 ducomit technique fiabilit desprotections de la CEI (TC 95), elleparticipe depuis 5 ans audveloppement des systmes deprotection des installationsmoyenne et haute tension.

Cahier Technique Merlin Gerin n 175 / p.2

Cahier Technique Merlin Gerin n 175 / p.3

sret des protections en MT et HT

sommaire

1. Introduction Objectif du document p. 4L'quipement de protection p. 4Les besoins en sret : p. 4un compromis entredeux vnements redouts

2. Conception compte tenu Les termes employs p. 6Les outils du fiabiliste p. 6Les moyens de la sret p. 8

3. La sret s'intgre dans Qualit des logiciels p. 12Qualification des protections p. 12Contrle qualit p. 14

4. Analyse du retour d'exprience p. 155. Conclusion p. 156. Annexe p. 167. Bibliographie p. 16

d'un objectif de sret

une dmarche de qualit globale

Cahier Technique Merlin Gerin n 175 / p.4

1. introduction

objectif du documentCe document prsente les diffrentsfacteurs contribuant la sret desquipements de protection des rseauxMoyenne et Haute Tension ainsi queles mthodes qui peuvent tre misesen uvre pour rpondre aux objectifsde sret.Il dveloppe notamment :c la prise en compte de la sret enconception ;c lapproche qualit (logiciel,qualification, fabrication) avec destechniques adaptes aux contraintesrencontres en Moyenne et HauteTension ;c lanalyse du retour dexprience.Ce document est en accord avec lestechniques utilises dans lesannes 90 lors de la conception de lanouvelle gamme de protection Sepam.

lquipement de protectionUn quipement de protection a pourprincipales missions la dtection desdfauts du rseau par surveillance dedivers paramtres (courant, tension...)et lmission de lordre douverture audisjoncteur en cas de situationanormale. Lquipement de protectionest gnralement spcialis pourraliser la protection dun des diffrentscomposants dun poste de distributionlectrique tels que : arrive, dpartligne, moteur ou transformateur.En Moyenne Tension, ces matrielssont souvent intgrs dans la cellulequi contient le disjoncteur (cf. fig. 1).Les contraintes denvironnement sontalors svres (temprature, vibration,perturbations lectromagntiques).Les quipements de protection sontraliss soit en technologielectromcanique (la plus ancienne),ou bien en technologie lectronique

(dite statique) analogique ounumrique. Un quipement deprotection numrique (microprocesseur) peut effectuer, enplus de sa mission principale deprotection, des fonctionsdautomatisme, de mesure, dauto-surveillance et de communication. Untel quipement sinsre alorsnaturellement dans des systmes decontrle-commande assurant desfonctions dautomatismes, deconsignation dtats, de synoptique (cf.fig. 2).

les besoins en sret : uncompromis entre deuxvnements redoutsLes systmes de protection associsaux disjoncteurs ont pour mission degarantir la scurit de linstallationtout en assurant la meilleurecontinuit de la distribution delnergie.Au niveau de la protection, cettemission se traduit par deuxvnements dont loccurence doit trenulle en terme dobjectif :c premier vnement redout : le nondclenchement de la protection.Les consquences dun dfaut nonlimin peuvent tre catastrophiques(risque pour les personnes, destructionde postes lectriques, perte deproduction...). Pour la scurit delexploitation, lquipement deprotection doit dtecter slectivementet au plus vite les dfauts du rseaulectrique. Cet vnement peut trevit en amliorant la disponibilit dela protection.c deuxime vnement redout : ledclenchement intempestif de laprotection.

La continuit de la fourniture dnergieest imprative aussi bien pour unindustriel que pour un distributeurdlectricit. Un dclenchementintempestif d la protection peutgnrer des pertes financires

photographie

fig. 1 : quipement de protection intgrdans une cellule Moyenne Tension.

Cahier Technique Merlin Gerin n 175 / p.5

fig. 2 : exemple de systme numrique de contrle-commande dun poste.

considrables (arrt de production,cot dnergie non distribue...). Cetvnement peut tre vit enamliorant la scurit de laprotection.Disponibilit et scurit sont souventcontradictoires.Le meilleur moyen pour un avion de nepas scraser est de rester au sol. Sascurit est alors parfaite mais sadisponibilit est nulle ! Inversement, unavion qui vole trop, sans maintenance,met en danger la scurit despersonnes. La conception dunquipement, quel quil soit, fait appel un compromis disponibilit / scurit.Disponibilit et scurit sontaugmentes en jouant sur les deuxautres composantes de la sret : lamaintenabilit et la fiabilit (cf. fig. 3).En ce qui concerne les quipements deprotection, ceux-ci sont soumis de

multiples agressions qui influent sur lesvnements redouts, citons :v tempratures extrmes,v vibrations dues aux manuvres desdisjoncteurs,v atmosphres corrosives dans lesapplications industrielles (chimie,papeteries, cimenteries...),v champs lectromagntiquesimpulsionnels intenses (jusquplusieurs dizaines de kV/m 1 mtredune cellule avec des temps demonte de lordre de 5 ns).Cet environnement trs svre, et lefait que les rseaux MT et HTalimentent de nombreux utilisateurs delnergie lectrique, rendentncessaires une fiabilit et unemaintenabilit matrise et optimale.Les quipements de protection quiutilisent les micro-processeurs ontpermis un progrs important. A titredexemple :

G

A V/Hz W/ clear reset

I on trip

alarmWh

O off

MERLIN GERIN

A V/Hz W/ clear reset

I on trip

alarmWh

O off

MERLIN GERIN

A V/Hz W/ clear reset

I on trip

alarmWh

O off

MERLIN GERIN

A V/Hz W/ clear reset

I on trip

alarmWh

O off

MERLIN GERIN

A V/Hz W/ clear reset

I on trip

alarmWh

O off

MERLIN GERIN

A V/Hz W/ clear reset

I on trip

alarmWh

O off

MERLIN GERIN

v lintgration diminue les problmesde cblage et augmente la fiabilit,v lauto-surveillance augmente ladisponibilit.

fig. 3 : augmenter la fiabilit et lamaintenabilit (1) augmente la disponibilitet la scurit.

scurit

disponibilit0

(1)

100 %

100 %

Cahier Technique Merlin Gerin n 175 / p.6

protectionmarche

protectionpanne

dtection et signalisation

SCURIT

SCURIT !DISPONIBILIT !

FIABILIT(panne grave)

MAINTENABILIT(rparation)

dfaut rseau

dclenchementintempestif

nondclenchement

fig. 4 : graphe dtats de la protection et consquences sur la distribution lectrique (en orange).

Le ratio entre le temps pass dansltat de marche et le temps total derfrence est la disponibilit. Le lecteursintressant la quantification desgrandeurs de la sret voudra bien sereporter lannexe ainsi quau CahierTechnique n 144.Si lon revient la figure 3, lun desobjectifs du concepteur dquipementsde protection est de traiter de manireprventive le maximum de dfaillances(maintenabilit) pour augmenter ladisponibilit. Un minimumdvnements doivent conduire ladtrioration de la scurit de laprotection (le concept et les moyensdauto-surveillance seront voqusdans les chapitres suivants).Sagissant de protection des rseauxMT et HT, leur sret doit tre dunniveau trs lev comparativement celle de la plupart des quipements BT.Une Analyse Prliminaire de Risquespermet de dterminer les vnementsredouts lis aux fonctions remplies parlquipement de protection (cf. tableaufig. 5).Une quipe de spcialistesindpendante de lquipe de

conception ralise les tudesprvisionnelles de sret et proposedes solutions techniques compatiblesavec le niveau spcifi. Une dmarcheitrative permet de modifier laconception jusqu ce que les objectifssoient atteints.

les outils du fiabilisteDes techniques spcialisesdvaluation et de modlisation de lasret de fonctionnement permettentde dcliner les objectifs en contraintesde conception.c lanalyse prvisionnelle de la fiabilitdtermine le taux de dfaillance dechaque composant de lquipementdans les conditions relles dutilisation.Pour cela, des bases de donnes defiabilit telles que le Military Handbook217 (MIL-HDBK-217) (cf. tableauxfig. 6), ou le recueil du CNET (RDF 93)sont utilises. Elles permettent le calculde la fiabilit dun circuit comportantplusieurs composants. Si ncessaire, leconcepteur modifie le taux de chargede certains dentre eux, ou utilise descomposants haute dure de viegarantie (cest le cas pour lescondensateurs chimiques par exemple).

- -

2. conception compte tenu dun objectif de sret

les termes employsDs le dbut de la conception dunquipement de protection, les objectifsde Fiabilit, Scurit, Disponibilit etMaintenabilit doivent tre pris encompte.Rappelons les dfinitions de cesgrandeurs :c la disponibilit est la probabilit pourune protection dtre en tatdaccomplir sa fonction, dans desconditions donnes, un instantdonn ;c la scurit est la probabilit pour uneprotection de ne pas avoir defonctionnement intempestif, dans desconditions donnes, pour un intervallede temps donn ;c la fiabilit est la probabilit pour quela protection puisse accomplir safonction dans des conditions donnespour un intervalle de temps donn ;cest--dire principalement laptitude dclencher quand il le faut et laptitude ne pas dclencherintempestivement ;c la maintenabilit est la probabilitpour quune opration donne demaintenance active puisse treeffectue dans un intervalle de tempsdonn.Ces grandeurs nont pas forcment lamme signification selon que lon seplace du point de vue de la protectionou de linstallation lectrique.Ainsi, la disponibilit et la maintenabilitde la protection concourent lascurit des personnes et desmatriels. La scurit de la protectionconcourt la disponibilit de ladistribution de lnergie lectrique.Nota : ces dfinitions sont cohrentesavec le Vocabulaire ElectrotechniqueInternational-VEI 191- et sont dusagecourant. Une norme en prparation(WG 7 du TC 95) relative la fiabilitdes quipements de protection, donnedes dfinitions voisines mais inclut lanotion de sret de fonctionnementdans la fiabilit. Mais la sret reste levocable globalisateur.Les diffrents tats possibles de laprotection sont schmatiss par lafigure 4 avec leurs consquences pourla distribution lectrique.

Cahier Technique Merlin Gerin n 175 / p.7

fig. 6 : exemple de donnes de fiabilit selon le Military Handbook.

vnement redout effets causes prventiondclenchement c ouverture intempestive c internes, par exemple : par exemple :intempestif du disjoncteur v dtection intempestive c fonctions dauto-surveillance

c indisponibilit dnergie qui dun dfaut, c position de replientrane des pertes financires v actionnement intempestif c compatibilit lectromagntiqueimportantes (arrt de production...) de la commande... c capteurs amagntiques

c externes, par exemple :v perturbations lectromagntiquesv saturation des capteursv erreur dans la conception du plande protection...

masquage dun ordre c dclenchement dun niveau amont c internes, par exemple : par exemple :de dclenchement de protection avec possibilit de v non dtection dun dfaut c fonctions dauto-surveillance

destruction locale de matriel v commande bloque... c compatibilit lectromagntiquec destruction importante de c externes, par exemple : c capteurs amagntiquesmatriels (incendie...) sil ny a pas v perturbations lectromagntiques c module de secoursde protection amont v saturation des capteurs c surveillance du circuit de

v perte dalimentation auxiliaire dclenchementv circuit de dclenchement du c slectivit logiquedisjoncteur ouvertv erreur dans la conception du plande protection...

fig. 5 : vnements redouts relatifs la fonction protection.

Microcircuits, gate/logic arrays and microprocessorsDescription1. bipolar devices, digital and linear gate/logic arrays2. MOS devices, digital and linear gate/logic arrays3. microprocessorsp = (C1 . T + C2 . E) Q . L failures/106 hours

microprocessordie complexity failure rate - C1no. bits bipolar MOS

C1 C1up to 8 .060 .14up to 16 .12 .28up to 32 .24 .56

all other model parametersparameter sectionT 5.8C2 5.9E, Q, L 5.10

MOS digital and linear gate/logic array die complexity failure rate - C1digital linear floating gate prog. logic arrayno. gates C1 no. transistor C1 no. cells, C C11 to 100 .010 1 to 100 .010 up to 16 K .00085101 to 1,000 .020 101 to 300 .020 16 K < C i 64 K .00171,001 to 3,000 .040 301 to 1,000 .040 64 K < C i 256 K .00343,001 to 10,000 .080 1,001 to 10,000 .060 256 K < C i 1M .006810,001 to 30,000 .1630,001 to 60,000 .29

bipolar digital and linear gate/logic array die complexity failure rate - C1digital linear prog. logic arrayno. gates C1 no. transistors C1 no. gates C11 to 100 .0025 1 to 100 .010 up to 200 .010101 to 1,000 .0050 101 to 300 .020 201 to 1,000 .0211,001 to 3,000 .010 301 to 1,000 .040 1,001 to 5,000 .0423,001 to 10,000 .020 1,001 to 10,000 .06010,001 to 30,000 .04030,001 to 60,000 .080

Cahier Technique Merlin Gerin n 175 / p.8

c lAnalyse des Modes de Dfaillance,de leurs Effets et de leur Criticit(AMDEC), ralise aussi bien sur lematriel que sur le logiciel, value leseffets de chaque mode de dfaillanceconnu sur le fonctionnement delquipement.LAMDEC permet de corriger certainsrisques de dysfonctionnements et despcifier les fonctions dauto-surveillance. Elle peut tre faite auniveau dune fonction gnrale (lafonction protection), dune fonctionlmentaire (la fonction protection maximum dintensit) lune de sessous fonctions (cf. tableau fig. 7)jusquau niveau le plus bas descomposants de base (implants sur lescartes lectroniques).c les vnements redouts relatifs lquipement de protection sontmodliss par plusieurs techniques :v les arbres de dfaillance dcrivent partir dun vnement redout toutesles causes possibles de cet vnement(cf. tableau fig. 8).Larbre de dfaillance est unereprsentation boolenne qui permetde dterminer les chemins les pluscritiques pour la ralisation delvnement.v les graphes de Markov sont unereprsentation comportementale oapparaissent les tats de marche,marche dgrade et panne delquipement. Les transitions entretats sont quantifies par les taux dedfaillance () et de rparation (). Cesgraphes permettent de calculer lesprobabilits doccupation des tats depanne (cf. tableau fig. 9).v les rseaux de Petri ont le mme butque les graphes de Markov, cest--diremodliser les tats dun systme. Ils

fonction mode de dfaillance effet sur la protection moyens de dtection signalisationacqurir les courants courant mesur erron : protection active l'algorythme utilis inhibition naturelle de laphase niveau continu > seuil dclenchement fonctionne sur le calcul protection

de dclenchement intempestif du module du courant 50 Hzdtection par le calcul signaler la dfaillance en facepriodique de la avant et par la communicationcomposante continuedu signal

courant mesur erron : protection indisponible les moyens de dtection signalerniveau continu < seuil non dclenchement sont les mmesde dclenchement sur dfaut ventuel

fig. 7 : tableau dAMDEC ralis sur une sous-fonction de la protection maximum dintensit.

permettent de traiter des systmes pluscomplexes dont les transitions entretats nobissent pas ncessairement la loi exponentielle (loi de Weibull parexemple) (cf. tableau fig. 10).Ces modlisations permettentdeffectuer une simulation quantifie dela sret de fonctionnement et ainsidobtenir les probabilits correspondant la fiabilit, maintenabilit, disponibilitet scurit de lquipement deprotection.Le lecteur pourra trouver unedescription plus prcise de cesdiverses techniques dans lesrfrences [Villemeur] ou [Pages-Gondran].

les moyens de la sretPour garantir au mieux la sret duneinstallation lectrique, la fiabilit, lascurit et la maintenabilit desprotections doivent tre matrises.Les objectifs lis ces grandeurs tantfixs, le concepteur de la protection,aid par le fiabiliste, utilise un certainnombre de moyens pour russir :c grce au fiabiliste et ses outils, ilmatrise la fiabilit intrinsque avant etpendant le dveloppement ;c grce aux moyens dauto-surveillance, de signalisation desdfaillances, et de communication, ilpeut :v amliorer la sret avec la mise enposition de repli,v amliorer la maintenabilit et ladisponibilit de la protection.Examinons les moyens mis en uvre :c lauto-surveillanceLefficacit et la pertinence de lauto-surveillance sont essentielles la

sret de la protection. A titredexemples, quelques moyenspermettent daccrotre la disponibilit etla scurit :v un contrle dintgrit desinformations contenues dans lesbotiers mmoires programme etmmoires donnes constantes doittre effectu la mise sous tension etcycliquement pendant le fonctionnement.Le contrle se fait par calcul duChecksum avec retenue sur les zonesmmoires utilises. Le Checksum avecretenue couvre 99,95 % pour128 octets (99,998 % pour 128 Koctets)des collages de bits dadresse et debits mmoire. Pour un volumedinformations contrler suprieur quelques centaines doctets, le calculdu Checksum avec retenue est plusefficace que le calcul dun CRC 16 parexemple (cf. rfrence [INRS]).v on doit disposer dun chien de gardematriel et logiciel afin de dtecter toutblocage de lunit centrale (d undfaut composant, un parasite ou unesurcharge du microprocesseur). Il fautaussi sassurer de la validit du signalde sortie du chien de garde. Le chiende garde doit couvrir les dfaillances duquartz ou de loscillateur dumicroprocesseur (cf. fig. 11).v le temps de cycle du programme doittre matris. Si des interruptions sontutilises pour squencer les cycles, ilfaut sassurer du bon fonctionnementde ces mcanismes.v un contrle de la tensiondalimentation doit tre effectu enpermanence pour prvenir dune chuteventuelle de la tension et arrterproprement le microprocesseur(sauvegarde des paramtres).

Cahier Technique Merlin Gerin n 175 / p.9

fig. 9 : exemple dun graphe de Markov pour un systme constitu de deux composantsredondants et rparables, s'il s'agit de deux composants lectroniques (fiabilit exponentielle),a dure moyenne de bon fonctionnement aprs rparation est

v si lon utilise des mmoiresEEPROM, il faut surveiller lutilisationde ce composant en comptabilisant lenombre dcritures qui ne doit pasexcder 10 000.v il faut viter de traiter des donnesnumriques errones la suite dunedfaillance de la chane de conversionanalogique digitale. Pour cela uncontrle efficace consiste vrifier enpermanence deux signaux de rfrence lentre du multiplexeur deuxadresses complmentaires (on dtecteainsi 100 % des pannes duConvertisseur Analogique Numriqueet 100 % des collages 1 ou 0 des bitsde slection du Multiplexeur).

marche pannemarchedgrade

2

(un seul rparateur)

fig. 11 : les moyens d'auto contrle ennumrique.

Pour le contrle de lintgrit desdonnesPlusieurs techniques sont utilisables :c le contrle de paritIl consiste rendre systmatiquement pairle nombre de bits transmis en compltant lemessage utile par un bit de parit.Le rcepteur peut ainsi contrler le messagesil y a une erreur sur un bit ou 3 bitsLaltration dun nombre pair de bits nestpas dtectable.c le CRC (Cyclic Redundancy Check)consiste rajouter linformation utile lereste de sa division par un polynmenormalis par le CCIT.Par exemple, le polynome diviseur dedegr 16(X16 + X15 + X2 + 1 = 1100 0000 0000 0011)utilis pour le CRC 16 permet la dtectionde 16 erreurs simultanes.c le Checksum constiste faire la sommebinaire des octets et adjoindre le rsultat(tronqu sur un ou plusieurs octets) aumessage utile.Le Checksum peut tre coupl par exempleau contrle de parit sur les octetsLe contrle de lintgrit du message par lercepteur est plus facile que pour le CRC etpeut tre plus efficace.

Pour contrler la bonne excution dunprogrammeSouvent utilis en automatisme, la techniquedu chien de garde consiste excuterpriodiquement une instruction test.La non excution de cette instruction, dansun dlai fix, rvle une dfaillance etprovoque le dclenchement dune alarmeainsi que la mise en scurit delquipement.

fig. 10 : exemple dun rseau de Petri pour un systme constitu d'un lment rparable.

P1

P2

T1 T2

P1

P2

T1 T2

Le rseau de Petri reprsentpossde deux place (P1, P2),deux transitions (T1, T2)et quatre arcs.Ce rseau reprsente lecomportement d'un composantrparable en affectant par exemple les significations suivantes aux places et aux transitions :

P1 : le composant est en bon tat de marcheP2 : le composant est en panneT1 : le composant tombe en panneT2 : le composant finit d'tre rpar.

MUT = 12 .

fig. 8 : exemple simple darbre de dfaillance.

non ouverture du disjoncteursur dfaut de l'installation lectrique

pas d'ouverture du disjoncteur

indisponibilit du circuit de

dclenchement

ET

OU

prsence d'undfaut sur l'installationlectrique

indisponibilit de l'quipementde protection

indisponibilit des capteurs

indisponibilit de l'organede coupure

Cahier Technique Merlin Gerin n 175 / p.10

Beaucoup dautres mcanismes dedtection sont utiliss. Ils sontvidemment trs dpendants de latechnologie utilise.c la position de repli sreLes fonctions dauto-surveillancedtectent le maximum de dfaillancesmajeures. Une dfaillance estclasse dans la catgorie majeure sielle est susceptible dentraner unmauvais fonctionnement de laprotection.Une telle dfaillance ne doit pasdgnrer en dclenchementintempestif. La protection se met dansune position de repli sre etprdtermine afin dviter le passagedordres alatoires.Lexploitant est inform de cetteposition de repli, et peut procder lopration de maintenanceimmdiatement pour redonner laprotection sa disponibilit.Paralllement une dfaillance ditemineure, comme par exemple unedfaillance de priphriques (affichageou console de rglage), est signalemais naffecte pas la disponibilit de laprotection.c la signalisation des dfaillancesLes fonctions dauto-surveillancedoivent fournir des moyens dediagnostic adapts afin de permettre unretour rapide ltat de marche de laprotection dfaillante, cest--dire :v fournir lexploitant une informationexterne claire et globale sur ltat de saprotection,v fournir au constructeur, lors duneopration de maintenance, voire aprsretour usine de la protectiondfectueuse, une information interneclaire et prcise sur ltat de laprotection.Par exemple, la dfaillance de laprotection peut tre signale par :v un voyant en face avant,v une sortie relais Chien De Garde,v un message sur lafficheur en faceavant,

v une information sauvegarde eninterne dtaillant lorigine de ladfaillance,v un message via la communicationlorsque la protection est intgre dansun systme de contrle-commande.Ceci est un avantage sensible parrapport aux protections de technologieplus ancienne qui pouvaient rester enpanne longtemps sans que lexploitanten soit conscient (cf. fig. 12) et qui, afortiori, ne donnaient aucuneinformation sur lorigine de la panne...c louverture vers les systmes desupervision et de contrle-commandeComme voqu prcdemment, laprotection numrique peut intgrer desfonctions dautomatisme et decommunication. Elle devient ainsi undes maillons du systme desupervision et de contrle-commandede linstallation lectrique, lequel facilitelexploitation en permettant lasurveillance, la conduite et la gestiondu rseau de distribution :

fig. 12 : lauto-surveillance permet de rduire le temps dindisponibilit de la protection doncaugmente la sret de l'installation lectrique.

!

!

1 2 3maintenances priodiques 1, 2, 3...

mise en servicedfaillance internenon dtecte

installationnon protge

temps

pas de maintenance priodique

protection numrique

protection lectromcanique ou analogique

mise en servicedfaillance internedtecte

indisponibilit limiteau temps d'intervention

temps

v surveillance des tats et desgrandeurs lectriques (mesures),v surveillance des quipements(position de lappareillage, temprature,pression),v traitement des alarmes,v commande distance des organesde manuvre,v reconfiguration automatique desrseaux aprs dfaut,v gestion de lnergie consommefonction de la tarification dudistributeur,v dition de bilans dexploitation,v allocation des dpenses dnergieaux diffrents consommateurs du site.c la facilit de maintenancev auto-surveillance, signalisation,communication facilitent laconnaissance de ltat de panne, doaction immdiate de maintenance,v lauto-diagnostic permet audpanneur de connatre lorigine de lapanne, do rapidit du dpannage,

Cahier Technique Merlin Gerin n 175 / p.11

v les fonctions programmes, quipersonnalisent la protection en termedapplication/de fonctions ralises,sont stockes dans une cartoucheamovible. Ceci permet une remise enservice immdiate aprs remplacementde la partie physique (hard) qui eststandardise.c cas particuliersLa fiabilit de la protection peut ne pastre suffisante si elle subit desagressions exceptionnelles ou si lebesoin de disponibilit et de scurit dela distribution lectrique estexceptionnellement lev :v environnement svreLes systmes de protection sont parfoisinstalls dans des environnementsexceptionnels qui dpassent lescontraintes spcifies des matriels :- temprature,- vibrationDans chaque cas, les besoins doiventtre spcialement identifis par le

bureau dtude. Une solutionpersonnalise est alors propose :- vernis spcial sur les carteslectroniques,- contrat de maintenance spcifique.v le besoin de sret exceptionnelUn module de secours peut assurer laprotection en cas de :- dfaut dalimentation,- dfaut de la filerie,- dfaut du dclencheur,- protection principale hors service.Autre solution, doubler lquipement deprotection avec circuit ou dans lecircuit de commande de lorgane decoupure. Pour linstallation, la scuritest fortement augmente, et ladisponibilit de lnergie nest pasdiminue, lorsque lon utilise dessystmes de protection avec positionde repli sre.A lextrme des systmes de vote 2/3peuvent tre envisags.

Cahier Technique Merlin Gerin n 175 / p.12

qualit des logicielsUne part importante des fonctionnalitsdes quipements de protectionnumriques est ralise par le logiciel.Il est donc impratif de matriser laqualit du logiciel pour atteindre lesobjectifs globaux de sret.La matrise de la qualit du logiciel estobtenue par la mise en uvre dunemthode de dveloppementrigoureuse.Cette mthode, issue desrecommandations tablies par lesorganismes franais (AFCIQ) etinternationaux (IEEE) impose :c le dcoupage du dveloppement enune succession de phases (cf. fig. 13) :v spcification,v conception prliminaire,v conception dtaille,v codage,v test unitaires,v intgration et tests dintgration,v validation.A chacune des phases est associ unensemble de documents utiliss etproduits pendant la phase.Ces documents formalisent les tudesralises dans chaque phase et doiventtre valids avant de passer la phasesuivante.c lutilisation de rgles et mthodes deconception et codage qui ont pour butdobtenir un haut niveau destructuration du logiciel (par exempleSADT implment dans loutil ASA ouMACH).c lutilisation doutils de gestion deconfiguration logiciel qui permettent degrer tous les constituants dun logicielet notamment de matriser lesvolutions et les versions respectivesde tous ces constituants (exempleoutil CMS).Par ailleurs, les mthodes de revues decode sont utilises avec grand profit.Un vrificateur effectue une lecturecritique du code et indique sesobservations. Cette analysemanuelle reste ce jour une des

3. la sret sintgre dans une dmarche de qualit globale

fig. 13 : le cycle de dveloppement logiciel (dit en V).

mthodes les plus efficaces pourdcouvrir les erreurs logicielles (lesbogues).Enfin, chaque logiciel tant intgr etvalid, une dernire phase dequalification mene par une quipeindpendante de lquipe dedveloppement permet un contrle finalefficace.

qualification desprotectionsLes quipements de protection, avantleur mise sur le march, subissent unequalification complte.Quelques critres de qualificationspcifiques lenvironnement Moyenneet Haute Tension sont dtaills ici.c limmunit aux perturbationslectromagntiques (conduites etrayonnes)Les perturbations lectriquesrencontres dans les postes lectriquesont plusieurs origines :v les coups de foudre qui interviennentdirectement sur les lignes ou proximit du poste peuvent gnrer dessurtensions dune centaine de kV et de

front de monte de lordre de lamicroseconde ;v la manuvre normale delappareillage, louverture et lafermeture de lorgane de coupure MTou HT provoque des surtensions demanuvre (onde oscillatoireamortie). Ces surtensions peuventproduire des champs lectriquesimpulsionnels de lordre de 10 kV/m 1 mtre du disjoncteur ;v loprateur humain peut provoquerdes dcharges lectrostatiques qui setraduisent sur le matriel par desimpulsions de courant de quelquesdizaines dampres et de front trsraide de lordre de la nanoseconde ;v les metteurs radiolectriques(talkies-walkies par exemple) gnrentdes champs de plusieurs dizaines deV/m 1mtre.Le lecteur dsirant approfondir le sujetCompatibilit Electromagntique -CEM-peut se procurer le Cahier Techniquen 149.Des standards internes de tenues auxcontraintes lectriques dfinissent lesniveaux dimmunit ncessaires aufonctionnement des systmes deprotection dans un poste lectrique.

spcificationlogiciel

plan de validation logiciel

conceptionprliminaire

plan d'intgrationdu logiciel

conceptiondtaille

plandetests

validationdu logiciel

intgrationdu logiciel

testsunitaires

codage

Cahier Technique Merlin Gerin n 175 / p.13

Ces niveaux correspondent aux tenuesdfinies par les normes CEI 255 voireparfois plus svres. Le respect duniveau de svrit dfini est contrlpar des essais. 4 types dessais sontraliss :v onde oscillatoire amortie(CEI 255-22-1)svrit : classe III, 2,5 kV,v transitoires rapides (CEI-255-22-4)svrit : classe IV, 4 kV,v dcharges lectrostatiques(CEI 255-22-2)svrit : classe III, 8 kV,v champs rayonns (CEI-255-22-3)svrit : suprieur classe III, 30 V/m(cf. fig. 14).Note : lessai aux transitoires rapidesest la transcription en mode conduitdes champs lectromagntiquesimpulsionnels rayonns, gnrs lorsdes manuvres de lappareillage.

Au-del des essaIs de CEM, lesquipements de protection sont soumis des essais en situation.A titre dexemple, lquipement tantplac dans le compartimentBasse Tension dune cellule MoyenneTension, une centaine de manuvresfermeture-ouverture du disjoncteur. Lacharge faible, et de nature selfique,provoque des surtensions importantespar arrachement de courant.Durant ces essais, lquipement deprotection ne doit pas connatre defonctionnement intempestif.c le laboratoire Kirchhoff : essai desprotections

Les fonctions ralises par lessystmes de protection sontcomplexes. Le bon fonctionnement desprotections doit tre garanti pourlensemble des phnomnessusceptibles de se produire sur lesrseaux lectriques. Un laboratoireperformant dessais des protections,est ncessaire (cf. fig. 15).Le laboratoire Kirchhoff permet dereproduire en grandeur relle lesphnomnes tels quils apparaissentsur les rseaux lectriques (cf. fig. 16).Il est quip dun simulateur numriquequi permet de :v calculer les courants et les tensionssur le rseau, au moment o se produit

fig. 15 : laboratoire Kirchhoff dessais desprotections.

Photographie

fig. 14 : essais aux perturbationslectromagntiques en chambreanchoque.

Photographie

fig. 16 : description du systme dessais des protections.

stationde travailgraphique

calculateurlogiciels de modlisationMORGAT, EMTP

convertisseurnumriqueanalogique

systmed'acquisition

amplificateurcourantet tension

protection tester

adaptationdes courants

et des tensionsau niveau d'entre

de la protection

calcul des phnomnestransitoires des rseaux

conversion des rsultats des calculs numriquesen signaux analogiquestemps rel

gnrateur de signauxarbitraire

synthsede signauxspcifis

enregistrementde la rponse

de la protection

Cahier Technique Merlin Gerin n 175 / p.14

un court-circuit, une rupture disolementou une manuvre dappareil,v gnrer les signaux correspondantset les appliquer la protection tester.On analyse alors le comportement desprotections soumises des conditionsidentiques celles quellesrencontreront sur le rseau rel.La simulation numrique des rseauxlectriques du laboratoire Kirchhoff faitappel deux logiciels :v EMTP (ElectroMagnetic TransientProgram), programme de calcul desphnomnes transitoires. Ce logiciel,mondialement utilis, permet partirdune bibliothque de matriels(transformateurs, lignes, machines...)de modliser toutes sortes de rseauxlectriques, de simuler un dfaut ouune manuvre dappareil et de calculerprcisment lvolution des courants ettensions ;v MORGAT, simulateur de rseauxlectriques, dvelopp et distribu parEDF. Ce logiciel permet la foislanalyse fine du comportement durseau et le pilotage de laspect tempsrel du laboratoire Kirchhoff. Lescourants et les tensions, calculs endiffrents points du rseau lectriquesimul, sont convertis en signauxanalogiques pour tre appliqus laprotection tester.

contrle qualitEn cours de production, ainsi quen finde production, les quipements deprotection subissent de nombreux testsde contrle.Par exemple, les cartes lectroniquessubissent un premier contrle sur lebanc de test dilectrique qui effectueles essais disolement.Elles sont ensuite diriges vers letesteur in-situ (cf. fig. 17).

faon faire apparatre ces dfauts enfabrication plutt quen exploitation.De la mme faon, les statistiques dedfauts sont exploites par le servicequalit afin de ragir rapidement unedrive de qualit de fabrication.Des tests finals permettent de sassurerque les cartes assembles dialoguentcorrectement entre elles et que laconfiguration ralise correspond bien la commande du client. Pour celalensemble des fonctionnalitsattendues sont actives par des stimuliappliqus aux interfaces delquipement ralis.Outre les contrles systmatiquesraliss sur la production, des tests dequalification sont refaits priodiquementsur un chantillon reprsentatif de lagamme.

Le test in-situ vrifie le bonfonctionnement de chaque composantde la carte lectronique ainsi que leurbonne implantation. Il indiqueprincipalement les dfauts defabrication et certains dfauts decomposants. Il donne un diagnosticimplicite et permet une rparationrapide de la carte. Les rsultats sontensuite exploits par le service qualitet permettent de dtecter rapidementune drive dans la qualit descomposants ou de la fabrication descartes.Aprs tre passes par le test in-situ,les cartes sont dvermines souscontraintes thermiques et lectriquescombines. Le dverminage limine lesdfauts de jeunesse du matriellectronique. Il permet de rduire ladure de la priode dite de jeunesse de

fig. 17 : testeur in-situ.

Photographie

Cahier Technique Merlin Gerin n 175 / p.15

4. analyse du retour dexprience

Pour avoir un retour dexpriencesignificatif, il est ncessaire, lorsque lafiablit est trs bonne, davoir un parctrs important dquipements mis enservice. Il est alors possible danalyserles donnes de dfaillance enexploitation. Cette analyse du retourdexpriences est fondamentale pour :c mesurer la fiabilit oprationnelle desquipements ;c valider les tudes de sret ralisespendant la conception ;c cumuler lexprience technique pourprogresser ;c disposer dune base de dialogueentre le constructeur et lexploitant.Le retour dexprience repose sur unecollecte fiable et ordonne des

informations relatives aux incidents enclientle. La fiabilit oprationnelle(calcule sur le retour dexprience)nest pertinente que si la dfaillance estdtectable, dtecte et enregistre. Lesdonnes de dfaillance, issues dunparc dquipements qui nont pas defonctions dauto-surveillance ou dont lamaintenance priodique est peufrquente, peuvent ne pas trereprsentatives de la fiabilit relle.Les donnes de fiabilit oprationnellesur un parc de protections numriquessont pertinentes du fait de lauto-surveillance.Il a t constat que la fiabilitoprationnelle tait au moinssuprieure dun facteur 10 la fiabilit

prvisionnelle (calcule partir durecueil de donnes MIL-HDBK-217E).Cet cart provenait vraisemblablementdes recueils de donnes de fiabilitvolontairement pessimistes et parfoisanachroniques (les technologies et laqualit des composants lectroniquesvoluant trs rapidement).Les dernires mises jour des recueilsde donnes de fiabilit ontconsidrablement rduit lcart entreles rsultats de fiabilit oprationnelleet prvisionnelle.Aujourdhui, le MTBF correspondant audclenchement intempestif ou au nonfonctionnement de la protection atteintplusieurs centaines dannes.

5. conclusion

Les quipements de protection desrseaux Moyenne et Haute Tensionassurent une fonction de sretprimordiale. Ils doivent garantir laprotection des matriels et despersonnes tout en assurant ladisponibilit de lnergie. Leursdysfonctionnements peuvent infligeraux exploitants des pertes financiresleves. Il est donc essentiel quilsrpondent de hautes exigences defiabilit, scurit, disponibillit etmaintenabilit.

Pour cela les quipements deprotection doivent remplir certainescaractristiques techniques et indus-trielles dont les plus significatives sont :c bien protger les rseaux et lesquipements MT et HT, grce desalgorithmes adapts aux diversesfonctions de protection ;c tre simples mettre en uvre, exploiter et maintenir ;c tre fiables dans un environnementsvre, mais en plus :v tre capables de sauto-surveiller,v possder une position de repli sre.

Grce au travail des fiabilistes et desqualiticiens, en cours de conception,les quipements de protectionnumrique, actuellement sur lemarch, rpondent ces exigences.Aujourdhui, tirant parti dudveloppement des communicationsnumriques (bus) et de la supervision,la fonctionnalit des quipementsde protection stend dans le domainedu contrle-commande pourune gestion optimise de ladistribution lectrique.

Cahier Technique Merlin Gerin n 175 / p.16

Les temps moyens qui caractrisentla sret (cf. fig. 18) :Le MTTF (Mean Time To first Failure)est le temps moyen de bonfonctionnement avant dfaillance.Le MTTR (Mean Time To Repair) est letemps moyen de rparation.Le MTBF (Mean Time Between Failure)est le temps moyen entre deuxdfaillances (pour un systmerparable).Le MDT (Mean Down Time) est ladure moyenne de dfaillancecomprenant la dtection de la panne, ladure dintervention, le temps de larparation et le temps de remise enservice.Le MUT (Mean Up Time) est la duremoyenne de bon fonctionnement aprsrparation.Le terme de MTBF est traduit tortcomme la moyenne des temps de bonfonctionnement. Cette dfinition est enfait celle du MTTF ! La confusion vientdu fait que souvent le MTTR (de lordrede quelques heures) est ngligeabledevant le MTTF (de lordre de plusieursmilliers dheures).

6. annexe

Les probabilitsLa Fiabilit, R(t) (Reliability) est laprobabilit que le systme soit nondfaillant sur une dure t.La Maintenabilit (Maintenability) est laprobabilit que le systme soit rparsur une dure t.La Disponibilit (Availability) est laprobabilit que le systme fonctionne un instant t.La Scurit (Safety) est la probabilitdviter un vnement catastrophique.En gnral, on travaille avec unegrandeur qui est le taux dedfaillance (t). Cest la probabilit detomber en panne dans linstant qui suitsachant que le systme na pas eu dedfaillance.Pour un composant lectronique, letaux de dfaillance suit une volutiondans le temps appele la courbe enbaignoire. Pendant la priode ditede vie utile, le composant ne vieillitpas et son taux de dfaillance estconstant dans le temps. On a alors lesventuelles relations fondamentalessuivantes :Fiabilit R(t) = e - t et MTTF = 1 / .

fig. 18 : diagramme des temps moyens,tabli pour un systme ne ncessitant pasd'interruption de fonctionnement pourmaintenance prventive.

Exemple :Si un quipement a un MTTF de100 ans, son taux de dfaillance = 1 / MTTF est de 10-2 / an. Laprobabilit de panne chaque anne estdonc de 1 %.Un MTTF (ou MTBF) de 100 ans nesignifie surtout pas que le systme seranon dfaillant pendant 100 ans ! LeMTTF nest donc assimilable ni unedure de garantie, ni une dure de vie...

7. bibliographie

Cahiers techniques Merlin Gerinc Introduction la conception de lasret,Cahier Technique n 144P. BONNEFOIc La CEM : la compatibilitlectromagntique,Cahier Technique n 149F. VAILLANTc Protections des rseaux HTAindustriels et tertiaires,Cahier Technique n 174A. SASTR

c Fiabilit des systmesEyrolles EDFA. PAGES, M. GONDRAN, 1980.c Autotest dune mmoire programme :deux solutionsElectronique n 4, janvier 1991c Military Handbook 217 -F-Department Of Defense, USA.c Recueils de donnes de fiabilit descomposants lectroniques, RDF 93CNETc VEI 191

Publications diversesc Reliability design approach forprotection and control equipment forMV distribution networksSecond International Conference onThe Reliability of Transmission andDistribution EquipementM. LEMAIRE, J.C. TOBIAS,march 1995.c Sret de fonctionnement dessystmes industrielsEyrolles EDF.A. VILLEMEUR, 1988.

Ral. : Illustration Technique - Lyon - Photo. : Merlin GerinDTE - 03-95 - 2500 - Imp. : Clerc

MTTF MTBF

MDT MUT

dfaillance rparation

tat de panne tat de marche