Les automates surveillent le bon fonctionnement des

Solutions
A
AU
UTTO
OM
MA
ATTIISSM
MEESS
Les automates
surveillent
le bon
fonctionnement
des téléphériques
Reportage
Vu
chez
Semer
▼
Reliant les stations des Arcs et de la Plagne 380 mètres au-dessus de la vallée, le
téléphérique Vanoise Express qui a été inauguré au début de l’année établit de
nouveaux records de performances. Pour réaliser la partie électricité/automatismes, Pomagalski a fait appel aux services de sa filiale Semer. Cette dernière a fait
appel à des solutions novatrices, basées sur un automate de sécurité Siemens,
avec un réseau de terrain Profibus longue distance à fibre optique.
S
i vous avez eu la chance d’aller aux
sports d’hiver, il y a de fortes
chances que vous ayez emprunté
des remontées mécaniques (télésièges, télécabines ou téléphériques) Poma.Si
ce n’est pas le cas, et pour peu que vous
regardez la télé ou lisez la presse, la mise en
service cet hiver du spectaculaire téléphérique Vanoise Express aura sans doute retenu votre attention. Ce téléphérique bi-étages,
qui traverse une vallée pour relier les stations de ski des Arcs et de La Plagne établit
en effet de nombreux records, notamment
en termes de capacité (200 personnes par
cabine) et de portée (1 830 m, sans
pylônes). Pomagalski, qui l’a conçu, ne
s’illustre pas que dans la montagne. Le groupe a par exemple réalisé la London Eye, la
fameuse grande roue de Londres. Il compte aussi de nombreuses références dans les
transports publics et industriels (par câble,
en particulier).
MESURES 764 - AVRIL 2004
Derrière la plupart de ces réalisations, on
trouve Semer,qui assure l’étude, la réalisation,
l’installation et la maintenance d’équipements électriques, électroniques, d‘automatismes et d’informatique industrielle. Cette
société créée en 1979 est entrée dans le groupe Pomagalski en 1990. Elle est toujours dirigée par son fondateur (Gérard Roger) et
emploie 80 personnes. Semer,qui est basée à
Passy (en Haute Savoie, près de l’entrée du
tunnel du Mont-Blanc), est devenue l’intégrateur électricité/automatismes de Pomagalski. Mais toutes ses commandes ne viennent pas de la maison-mère : « Nous travaillons
aussi pas mal pour l’industrie.Ceci nous permet de nous
confronter à la concurrence et de nous remettre en cause.
Grâce à cette diversification,nous avons pu étendre notre
savoir-faire,ce qui profite à nos réalisations de transport
par câble », indique Marcel Felice, directeur
technique de Semer. La société a de nombreuses réalisations dans le domaine du traitement des déchets, dans les industries métal-
lurgiques, chimiques, pharmaceutiques et
alimentaires.
Les remontées mécaniques sont soumises à
des exigences administratives très sévères en
matière de sécurité, aussi bien nationales
qu’internationales (il existe une directive
européenne). Celles-ci imposent des niveaux
de sécurité pour certaines des fonctions. Par
exemple, la survitesse doit être traitée avec
un niveau SIL 3 (c’est-à-dire que le système
de sécurité doit avoir une
probabilité de défaillanL’essentiel
ce inférieure à 10-7 par
heure, soit une défaillan- Semer œuvre depuis 25 ans
dans les automatismes de
ce tous les 11 siècles…).
sécurité pour remontées
Au fil des ans, la manière
mécaniques
de traiter les applications Elle fait désormais appel
de sécurité a considéraaux automates programmables pour réaliser les
blement évolué. Pendant
applications de sécurité
longtemps, jusqu’au
début des années 80, Sur l’application Vanoise
Express, un automate S7seules les logiques à relais
400F de Siemens est utilisé,
avaient droit de cité. Le
qui assure à la fois la partie
plus souvent, les applicacontrôle-commande et la
tions concernaient des
partie sécurité
installations simples. Le développement du logiciel s’appuie sur des blocs
Entre 1980 et 1990, les
de fonction certifiés et un
automates programplan qualité logiciel extrêmables commencent à
mement rigoureux
être acceptés… mais on
47
Reportage
Vu
chez
Semer
Solutions
cations de sécurité, il faut à tout prix éviter
les erreurs de programmation ainsi que les
modifications effectuées sans contrôle. Il
n’était pas facile de s’en assurer.Alors, dans
certaines applications pointues, certains
allaient jusqu’à concevoir deux programmes
applicatifs différents, réalisés par des équipes
indépendantes, et écrits dans des langages
différents. Les deux programmes étaient
alors chargés sur la cible et tournaient en
parallèle : toute discordance entre les résultats du traitement entraînait la mise en sécurité de l’application.
Les deux lignes de téléphériques Vanoise
Express relient les stations de ski des Arcs et
de La Plagne,380 m
au-dessus de la vallée
Peisey-Vallandry.
Chaque cabine,qui
fonctionne en va ou
vient,peut transporter
200 personnes.La
sécurité mise en œuvre
fait appel à des techniques novatrices.
Toutes les hypothèques sont levées
ne leur fait pas entièrement confiance et on
leur impose d’être doublés par une logique
à relais. « Le véritable tournant arrive au début des
années 1990 :on accepte de supprimer les chaînes à relais.
A la condition expresse que les automates programmables
utilisés pour assurer la fonction de sécurité soient en redondance massive et que leur logiciel applicatif soit développé suivant un plan qualité logiciel », explique M. Felice.
Un automate de sécurité, c’est un équipement qui, en cas d’une défaillance interne,
se met dans une position de repli définie à
l’avance. Les entrées/sorties agissent alors
sur une logique à relais qui assure la gestion de l’arrêt sécurisé de l’équipement piloté. Pour s’assurer que l’automate de sécurité est opérationnel, il est soumis en
permanence à une batterie d’autotests.
Exemple d’autotest pratiqué par Semer : tous
les jours, les automates sont redémarrés et ils
testent les temporisations de relais temporisés, et s’il y a un écart entre la valeur mesurée et la valeur théorique, l’installation est
immédiatement arrêtée (même si le problème vient du relais).Autre exemple d’autotest : l’alimentation des capteurs est coupée et on s’assure que toutes les entrées de
l’automate “tombent” à zéro.
Mais, bien entendu, les pannes sont extrêmement rares et les vérifications effectuées
permettent de constater que tout va bien, et
que l’automate de sécurité est pleinement
opérationnel pour remplir sa fonction de
sécurité. Dans les applications de remontées
mécaniques, il surveille tout, en permanence, un peu comme font les automates de
sécurité dans les applications de process chimiques. Dès qu’il constate une anomalie
(une survitesse par exemple), il déclenche
l’organe de sécurité associé à l’anomalie. Si
c’est une survitesse, l’organe en question va
agir sur le moteur de façon à opérer un
ralentissement. L’automate de sécurité véri-
48
fie que ce ralentissement se fait correctement. Et si ce n’est pas le cas? Il déclenche
alors un deuxième système de freinage, en
l’occurrence le frein de service. Là aussi, l’automate vérifie que le freinage se passe correctement. Et s’il y a toujours un problème?
Il déclenche l’arrêt d’urgence. On le voit, il
ne prend pas en charge les opérations proprement dites, il fait avant tout de la surveillance, envoie des ordres en cas de problème, surveille leur exécution et, s’ils ne
sont pas correctement exécutés, envoie
d’autres ordres à d’autres organes.
L’unité centrale de l’automate assure à la fois les fonctions de
sécurité et de contrôle-commande.
Si les automates ont mis du temps pour être
reconnus dans les applications de sécurité,
c’est un peu de leur faute ou plutôt de certains abus de langage. Certains constructeurs, sous prétexte qu’ils offraient une
fonction de redondance, n’hésitaient pas à
affirmer que leurs automates étaient aptes
pour réaliser des applications de sécurité.
Cela n’était évidemment pas suffisant. Par
exemple, en présence d’une défaillance, le
basculement d’une unité centrale sur l’autre
n’était pas instantané et il pouvait y avoir
une perte d’information. Autre handicap
pour l’automate, les organismes de contrôle des installations de sécurité avaient du
mal à faire confiance au logiciel pour assurer une fonction de sécurité. Dans les appli-
« Aujourd’hui, ces obstacles ont été levés. Et pas que
ceux-là. Par exemple, il n’y a plus de difficulté à utiliser des entrées/sorties déportées. Autre exemple, les
communications inter-automates par réseau n’étaient
pas admises dans les applications de sécurité. Cela ne
pose plus de difficulté aujourd’hui, et on utilise le
même réseau Profibus DP pour transmettre les signaux
standards et les signaux de sécurité. On peut aussi,
dans certaines conditions, utiliser la même unité centrale pour faire tourner le programme du contrôle
commande et le programme de sécurité. Qui aurait
cru la chose possible il y a encore quelques années? »,
explique M. Felice.
Il faut dire que les automates classiques se
sont imposés partout et ils peuvent se prévaloir de solides états de service. C’est sur
eux que repose la responsabilité du bon
fonctionnement des chaînes de production
dans de nombreuses usines, ils font la preuve quotidienne de leur robustesse, tant sur le
plan du matériel que sur celui du logiciel.
Mais leurs galons dans les applications de
sécurité, les automates les ont définitivement gagnés avec l’arrivée sur le marché de
modèles “APIdS” (automates programmables industriels “dédiés” applications de
sécurité), proposés par des spécialistes et
livrés accompagnés de certificats délivrés par
des organismes spécialisés (notamment le
TüV, en Allemagne).
Très impliqué dans les applications de sécurité, Semer a été relativement prudent pour
confier la sécurité à des automates programmables, même spécialisés. Le pas est
définitivement franchi en 1996 avec l’adoption des modèles de Siemens. Un choix qui
permettait de travailler dans la continuité,
argumente M. Felice : « Depuis 1990,nous utilisions les automates de ce constructeur dans nos applications de contrôle-commande.Nous utilisions à l’époque
des automates redondants et avions demandé à Bureau
Veritas d’effectuer les calculs de disponibilité afin de vérifier s’ils confirmaient ceux que nous avaient donnés le
constructeur.Ce qui fut le cas.Fort de cette expérience,nous
nous sommes intéressés à l’offre développée par Siemens
MESURES 764 - AVRIL 2004
Solutions
Reportage
Vu
chez
Semer
Architecture de l’installation
Station Motrice G1
dans le domaine de la sécurité.Elle nous intéressait d’autant plus qu’elle ne remettait pas en cause nos acquis,
notamment au niveau des outils de développement. La
migration était facile ». La certification accordée
par le TüV,le développement de modules de
sécurité certifiés, l’avènement d’une version
sécurisée de Profibus allaient par la suite renforcer la pertinence de ce choix. Un autre
point a également séduit Semer : sur les automates de sécurité Siemens, la mémoire
EEPROM (non volatile, c’est-à-dire qu’elle
conserve ses informations en cas de coupure de l’alimentation) n’est pas fixée sur la
carte unité centrale mais enfichée dans un
logement indépendant. C’est peut-être un
point de détail mais il a son importance dans
les applications de sécurité pour remontées
mécaniques, où la législation interdit à l’utiMESURES 764 - AVRIL 2004
360 entrées/sorties
se répartissant en :
- 190 entrées de sécurité
- 18 sorties de sécurité
- 4 entrées analogiques de
sécurité
- 96 entrées non sécuritaires
- 46 sorties non sécuritaires
- 10 entrées analogiques non
sécuritaires
- 2 sorties analogiques non
sécuritaires.
lisateur de toucher au programme applicatif. « Grâce à cette mémoire séparée de la carte, l’exploitant peut remplacer lui-même une unité centrale qui
tomberait en panne », explique M. Felice. Ceci
n’est pas possible lorsque la mémoire est
soudée sur la carte, car le changement de la
carte implique de charger le programme
automate, ce qui ne peut être effectué par
celui qui a conçu et validé l’applicatif, avec
la console de programmation. Autrement
dit, si la mémoire n’était pas indépendante, Semer serait amené à se déplacer sur site
pour tout changement d’unité centrale. Et
si c’est la mémoire elle-même qui tombe
en panne? Là aussi, c’est simple : Semer programme une mémoire dans ses locaux et
l’envoie à l’exploitant.
L’automate S7-400F de Siemens retenu pos-
Station Retour G2
sède une seule CPU, mais celle-ci est orientée sécurité. Elle contient en particulier dans
son firmware toute une série d’auto-tests
qu’elle effectue en permanence. En cas de
défaut interne, l’automate se met dans une
position de repli définie à l’avance. Pour augmenter la disponibilité de l’automate, il est
possible de lui ajouter une deuxième CPU.
La redondance est gérée par le firmware (il
n’y a pas de ligne de code à écrire). Le même
niveau de sécurité est assuré.
Une procédure de développement
très rigoureuse
Pour la réalisation des automatismes des
remontées mécaniques, Pomagalski s’appuie
très fortement sur sa filiale Semer.Ici comme
ailleurs, tout part du cahier des charges.
49
Reportage
Vu
chez
Semer
Solutions
Celui-ci, dans sa première version, décrit
l’installation et les performances attendues. La
description porte surtout sur les caractéristiques mécaniques : poids, portée, profils de
vitesse, courbes de couple, mais aussi les
emplacements des capteurs et des actionneurs. C’est à partir de ces éléments que Semer
décrit les fonctionnalités de l’installation en
termes de contrôle-commande et de sécurité, et définit les différents modes de
marche. Ce travail est fait en étroite coopération avec Pomagalski, afin de s’assurer que
tout le monde est sur la même longueur
d’onde. Toute cette étude s’accompagne
d’une analyse des risques suivie d’une
démarche de conception de l’architecture
basée sur l’IEC61508.
Le développement du programme applicatif
est réalisé selon un plan qualité logiciel, qui
suit notamment les recommandations du
document Z67-130 de l’Afnor. Ce plan mis en
place par Semer en 1992,extrêmement rigoureux, décrit toute l’organisation du projet, le
rôle de chacun, le suivi des modifications, avec
de multiples vérifications et validations à tous
les niveaux.Tout est consigné, tout est à jour,
tout est soigneusement rangé, il n’y a aucune
perte de temps pour retrouver un document
recherché. Le rêve! Si quelqu’un peut se réclamer de l’application de la méthode 5S* (trier,
ranger, nettoyer, etc.), c’est bien Semer. Pourtant, la société n’en fait pas état, tellement la
chose lui est naturelle et ancrée dans ses habitudes. De toute façon, ce qui importe, c’est le
résultat… « A partir des différentes documentations,
n’importe qui peut comprendre ce que fait et comment est
faite l’application.Même s’il ne fait pas partie du sérail »,
commente M. Felice.
Le développement se fait suivant l’archi-classique cycle enV. Mais ici, on l’aura compris,
il est appliqué ici avec un soin extrêmement
méticuleux. Il n’est pas question de “shunter” une ou deux étapes pour se précipiter
vers le codage applicatif, comme cela se fait
trop souvent. Chaque étape du cycle en V
prend ici toute sa dimension, avec une
réflexion approfondie, accompagnée d’un
dossier détaillé : on trouve successivement,
dans la branche descendante duV, le dossier
de spécification du logiciel, le dossier de
conception préliminaire, le dossier de
conception détaillée et enfin le dossier du
programme applicatif. Une fois ce dernier
réalisé, il faut effectuer les indispensables
vérifications. C’est l’objet de la branche
“montante” duV. Ici aussi, on procède étape par étape, avec un dossier pour chacune
d’elle. Les dossiers en question, qui indiquent les vérifications à réaliser, ont été préparés lors des étapes de la branche descendante duV. Ainsi, les tests successifs réalisés
permettent de s’assurer que le programme
applicatif répond bien aux spécifications du
logiciel. Ici aussi, rien n’est laissé au hasard :
les équipes qui réalisent les tests de validation successifs sont différentes de celles qui
ont écrit le logiciel. C’est le meilleur moyen
de relever un point que le développeur aurait
négligé… « Si une phase de test ne s’avère pas
concluante,il est alors nécessaire de reboucler sur le cycle
Les automatismes du Vanoise Express
Le téléphérique Vanoise Express est constitué de deux lignes indépendantes avec sur
chacune d’elle une seule cabine va ou vient.
Les automatismes de gestion des départs et
arrivées en gare sont plus compliqués que
pour les téléphériques à deux cabines classiques. Et ceci d’autant plus qu’il y a très peu
de dénivelé (Les Arcs sont 1 630 m, La Plagne
est à 1 560 m). Chaque cabine est à double
étage et peut transporter 200 passagers à la
vitesse de 12,5 m/s sur une longueur (en
ligne droite) de 1 830 mètres. Chaque cabine
est entraînée par un ensemble de deux
moteurs à courant continu de 1 420 kW, solution plus facile à mettre en œuvre et moins
onéreuse qu’une solution basée sur des
moteurs asynchrones.
Les automatismes sont pilotés par un automate S7-400F de Siemens. Le programme de
50
contrôle-commande est indépendant du programme sécurité mais tous deux tournent
dans la même unité centrale. Le traitement
d’une fonction de sécurité se fait en 100 ms
environ. Il y a un seul automate : celui-ci est
placé dans la gare de la station “motrice”. En
plus des entrées/sorties situées à proximité,
cet automate pilote des entrées/sorties
déportées dans la gare de la station “retour”,
à 2 km de là. Une interface homme-machine
est placée dans chacune des deux gares, ce
qui facilite les opérations de maintenance.
Les échanges d’informations entre les deux
gares sont assurés par un réseau
Profibus DP/ProfiSafe à fibre optique et d’un
débit de 12 Mbit/s : les signaux standards et
les signaux de sécurité sont acheminés par le
même réseau.
enV les documents de conception et tests concernés (…).
Aucun écart par rapport aux résultats des tests attendus
n’est tolérable(…). Chaque demande de modification
doit faire l’objet d’une demande par l’intermédiaire d’un
document,qui sera analysé par le chef de projet et le groupe de développement (…).Une modification des documents de référence (cahier des charges,règlement) impose le redémarrage d’un nouveau cycle enV (…).Tout
incident décelé par le groupe validation doit être inscrit
dans une fiche d’incident(…).C’est l’automate avec son
programme qui subit la qualification du système »,
peut-on lire dans un des documents internes
de Semer. On l’aura compris, la sécurité, c’est
du sérieux!
Des outils standards
Les outils de programmation et de vérification utilisés sont classiques. Semer utilise les
outils et les consoles de Siemens.La programmation s’effectue en langage SFC (forme graphique proche du Grafcet), spécialement
pensé pour les applications de sécurité. Semer
utilise aussi des blocs de fonction certifiés
par le TüV, répondant donc bien à des exigences de sécurité. La société a également
développé un certain nombre de blocs, liés
à son métier de concepteur d’automatismes
pour remontées mécaniques, comme par
exemple les blocs de gestion des survitesses,
des accélérations et décélérations, etc. « Nous
avons fait valider ces fonctions par des organismes indépendants (Apave,Norisko,par exemple),reconnus par les
autorités de contrôle STRMTG (Services Techniques des
Remontées Mécaniques et des Transports Guidés). C’est
très important pour nous qu’il y ait des organismes qui
s’engagent, qui nous permettent d’aller de l’avant »,
indique M. Felice. Allusion à peine voilée à
l’INRS, qui se voit parfois reproché de faire
preuve d’une prudence excessive (cet organisme de recherche aux compétences reconnues n’a cependant pas vocation à délivrer
des attestations).
Lors de la mise en route sur site, des modifications peuvent être nécessaires. En général mineures, elles entrent dans le plan qualité logiciel et doivent donc être consignées
et testées avant d’être validées. Dans certains
cas, la procédure de validation, qui impose
de rebalayer tout le cycle enV, peut prendre
plusieurs jours. La sécurité n’a pas de prix…
Jean-François Peyrucat
*5S est un concept d’origine japonaise. Il vient de 5 mots
en S : Seiri (trier et débarrasser), Seiton (ranger), Seiko
(nettoyer régulièrement), Seiketsu (standardiser le rangement) et Shitsuke (respecter et maintenir)
Semer
PAE du Pays du Mont-Blanc - Passy
BP 2 - 74190 LE FAYET
Tél.: 04 50 93 0 07 - Fax: 04 50 93 67 59
MESURES 764 - AVRIL 2004