Les automates surveillent le bon fonctionnement des
Transcription
Les automates surveillent le bon fonctionnement des
Solutions A AU UTTO OM MA ATTIISSM MEESS Les automates surveillent le bon fonctionnement des téléphériques Reportage Vu chez Semer ▼ Reliant les stations des Arcs et de la Plagne 380 mètres au-dessus de la vallée, le téléphérique Vanoise Express qui a été inauguré au début de l’année établit de nouveaux records de performances. Pour réaliser la partie électricité/automatismes, Pomagalski a fait appel aux services de sa filiale Semer. Cette dernière a fait appel à des solutions novatrices, basées sur un automate de sécurité Siemens, avec un réseau de terrain Profibus longue distance à fibre optique. S i vous avez eu la chance d’aller aux sports d’hiver, il y a de fortes chances que vous ayez emprunté des remontées mécaniques (télésièges, télécabines ou téléphériques) Poma.Si ce n’est pas le cas, et pour peu que vous regardez la télé ou lisez la presse, la mise en service cet hiver du spectaculaire téléphérique Vanoise Express aura sans doute retenu votre attention. Ce téléphérique bi-étages, qui traverse une vallée pour relier les stations de ski des Arcs et de La Plagne établit en effet de nombreux records, notamment en termes de capacité (200 personnes par cabine) et de portée (1 830 m, sans pylônes). Pomagalski, qui l’a conçu, ne s’illustre pas que dans la montagne. Le groupe a par exemple réalisé la London Eye, la fameuse grande roue de Londres. Il compte aussi de nombreuses références dans les transports publics et industriels (par câble, en particulier). MESURES 764 - AVRIL 2004 Derrière la plupart de ces réalisations, on trouve Semer,qui assure l’étude, la réalisation, l’installation et la maintenance d’équipements électriques, électroniques, d‘automatismes et d’informatique industrielle. Cette société créée en 1979 est entrée dans le groupe Pomagalski en 1990. Elle est toujours dirigée par son fondateur (Gérard Roger) et emploie 80 personnes. Semer,qui est basée à Passy (en Haute Savoie, près de l’entrée du tunnel du Mont-Blanc), est devenue l’intégrateur électricité/automatismes de Pomagalski. Mais toutes ses commandes ne viennent pas de la maison-mère : « Nous travaillons aussi pas mal pour l’industrie.Ceci nous permet de nous confronter à la concurrence et de nous remettre en cause. Grâce à cette diversification,nous avons pu étendre notre savoir-faire,ce qui profite à nos réalisations de transport par câble », indique Marcel Felice, directeur technique de Semer. La société a de nombreuses réalisations dans le domaine du traitement des déchets, dans les industries métal- lurgiques, chimiques, pharmaceutiques et alimentaires. Les remontées mécaniques sont soumises à des exigences administratives très sévères en matière de sécurité, aussi bien nationales qu’internationales (il existe une directive européenne). Celles-ci imposent des niveaux de sécurité pour certaines des fonctions. Par exemple, la survitesse doit être traitée avec un niveau SIL 3 (c’est-à-dire que le système de sécurité doit avoir une probabilité de défaillanL’essentiel ce inférieure à 10-7 par heure, soit une défaillan- Semer œuvre depuis 25 ans dans les automatismes de ce tous les 11 siècles…). sécurité pour remontées Au fil des ans, la manière mécaniques de traiter les applications Elle fait désormais appel de sécurité a considéraaux automates programmables pour réaliser les blement évolué. Pendant applications de sécurité longtemps, jusqu’au début des années 80, Sur l’application Vanoise Express, un automate S7seules les logiques à relais 400F de Siemens est utilisé, avaient droit de cité. Le qui assure à la fois la partie plus souvent, les applicacontrôle-commande et la tions concernaient des partie sécurité installations simples. Le développement du logiciel s’appuie sur des blocs Entre 1980 et 1990, les de fonction certifiés et un automates programplan qualité logiciel extrêmables commencent à mement rigoureux être acceptés… mais on 47 Reportage Vu chez Semer Solutions cations de sécurité, il faut à tout prix éviter les erreurs de programmation ainsi que les modifications effectuées sans contrôle. Il n’était pas facile de s’en assurer.Alors, dans certaines applications pointues, certains allaient jusqu’à concevoir deux programmes applicatifs différents, réalisés par des équipes indépendantes, et écrits dans des langages différents. Les deux programmes étaient alors chargés sur la cible et tournaient en parallèle : toute discordance entre les résultats du traitement entraînait la mise en sécurité de l’application. Les deux lignes de téléphériques Vanoise Express relient les stations de ski des Arcs et de La Plagne,380 m au-dessus de la vallée Peisey-Vallandry. Chaque cabine,qui fonctionne en va ou vient,peut transporter 200 personnes.La sécurité mise en œuvre fait appel à des techniques novatrices. Toutes les hypothèques sont levées ne leur fait pas entièrement confiance et on leur impose d’être doublés par une logique à relais. « Le véritable tournant arrive au début des années 1990 :on accepte de supprimer les chaînes à relais. A la condition expresse que les automates programmables utilisés pour assurer la fonction de sécurité soient en redondance massive et que leur logiciel applicatif soit développé suivant un plan qualité logiciel », explique M. Felice. Un automate de sécurité, c’est un équipement qui, en cas d’une défaillance interne, se met dans une position de repli définie à l’avance. Les entrées/sorties agissent alors sur une logique à relais qui assure la gestion de l’arrêt sécurisé de l’équipement piloté. Pour s’assurer que l’automate de sécurité est opérationnel, il est soumis en permanence à une batterie d’autotests. Exemple d’autotest pratiqué par Semer : tous les jours, les automates sont redémarrés et ils testent les temporisations de relais temporisés, et s’il y a un écart entre la valeur mesurée et la valeur théorique, l’installation est immédiatement arrêtée (même si le problème vient du relais).Autre exemple d’autotest : l’alimentation des capteurs est coupée et on s’assure que toutes les entrées de l’automate “tombent” à zéro. Mais, bien entendu, les pannes sont extrêmement rares et les vérifications effectuées permettent de constater que tout va bien, et que l’automate de sécurité est pleinement opérationnel pour remplir sa fonction de sécurité. Dans les applications de remontées mécaniques, il surveille tout, en permanence, un peu comme font les automates de sécurité dans les applications de process chimiques. Dès qu’il constate une anomalie (une survitesse par exemple), il déclenche l’organe de sécurité associé à l’anomalie. Si c’est une survitesse, l’organe en question va agir sur le moteur de façon à opérer un ralentissement. L’automate de sécurité véri- 48 fie que ce ralentissement se fait correctement. Et si ce n’est pas le cas? Il déclenche alors un deuxième système de freinage, en l’occurrence le frein de service. Là aussi, l’automate vérifie que le freinage se passe correctement. Et s’il y a toujours un problème? Il déclenche l’arrêt d’urgence. On le voit, il ne prend pas en charge les opérations proprement dites, il fait avant tout de la surveillance, envoie des ordres en cas de problème, surveille leur exécution et, s’ils ne sont pas correctement exécutés, envoie d’autres ordres à d’autres organes. L’unité centrale de l’automate assure à la fois les fonctions de sécurité et de contrôle-commande. Si les automates ont mis du temps pour être reconnus dans les applications de sécurité, c’est un peu de leur faute ou plutôt de certains abus de langage. Certains constructeurs, sous prétexte qu’ils offraient une fonction de redondance, n’hésitaient pas à affirmer que leurs automates étaient aptes pour réaliser des applications de sécurité. Cela n’était évidemment pas suffisant. Par exemple, en présence d’une défaillance, le basculement d’une unité centrale sur l’autre n’était pas instantané et il pouvait y avoir une perte d’information. Autre handicap pour l’automate, les organismes de contrôle des installations de sécurité avaient du mal à faire confiance au logiciel pour assurer une fonction de sécurité. Dans les appli- « Aujourd’hui, ces obstacles ont été levés. Et pas que ceux-là. Par exemple, il n’y a plus de difficulté à utiliser des entrées/sorties déportées. Autre exemple, les communications inter-automates par réseau n’étaient pas admises dans les applications de sécurité. Cela ne pose plus de difficulté aujourd’hui, et on utilise le même réseau Profibus DP pour transmettre les signaux standards et les signaux de sécurité. On peut aussi, dans certaines conditions, utiliser la même unité centrale pour faire tourner le programme du contrôle commande et le programme de sécurité. Qui aurait cru la chose possible il y a encore quelques années? », explique M. Felice. Il faut dire que les automates classiques se sont imposés partout et ils peuvent se prévaloir de solides états de service. C’est sur eux que repose la responsabilité du bon fonctionnement des chaînes de production dans de nombreuses usines, ils font la preuve quotidienne de leur robustesse, tant sur le plan du matériel que sur celui du logiciel. Mais leurs galons dans les applications de sécurité, les automates les ont définitivement gagnés avec l’arrivée sur le marché de modèles “APIdS” (automates programmables industriels “dédiés” applications de sécurité), proposés par des spécialistes et livrés accompagnés de certificats délivrés par des organismes spécialisés (notamment le TüV, en Allemagne). Très impliqué dans les applications de sécurité, Semer a été relativement prudent pour confier la sécurité à des automates programmables, même spécialisés. Le pas est définitivement franchi en 1996 avec l’adoption des modèles de Siemens. Un choix qui permettait de travailler dans la continuité, argumente M. Felice : « Depuis 1990,nous utilisions les automates de ce constructeur dans nos applications de contrôle-commande.Nous utilisions à l’époque des automates redondants et avions demandé à Bureau Veritas d’effectuer les calculs de disponibilité afin de vérifier s’ils confirmaient ceux que nous avaient donnés le constructeur.Ce qui fut le cas.Fort de cette expérience,nous nous sommes intéressés à l’offre développée par Siemens MESURES 764 - AVRIL 2004 Solutions Reportage Vu chez Semer Architecture de l’installation Station Motrice G1 dans le domaine de la sécurité.Elle nous intéressait d’autant plus qu’elle ne remettait pas en cause nos acquis, notamment au niveau des outils de développement. La migration était facile ». La certification accordée par le TüV,le développement de modules de sécurité certifiés, l’avènement d’une version sécurisée de Profibus allaient par la suite renforcer la pertinence de ce choix. Un autre point a également séduit Semer : sur les automates de sécurité Siemens, la mémoire EEPROM (non volatile, c’est-à-dire qu’elle conserve ses informations en cas de coupure de l’alimentation) n’est pas fixée sur la carte unité centrale mais enfichée dans un logement indépendant. C’est peut-être un point de détail mais il a son importance dans les applications de sécurité pour remontées mécaniques, où la législation interdit à l’utiMESURES 764 - AVRIL 2004 360 entrées/sorties se répartissant en : - 190 entrées de sécurité - 18 sorties de sécurité - 4 entrées analogiques de sécurité - 96 entrées non sécuritaires - 46 sorties non sécuritaires - 10 entrées analogiques non sécuritaires - 2 sorties analogiques non sécuritaires. lisateur de toucher au programme applicatif. « Grâce à cette mémoire séparée de la carte, l’exploitant peut remplacer lui-même une unité centrale qui tomberait en panne », explique M. Felice. Ceci n’est pas possible lorsque la mémoire est soudée sur la carte, car le changement de la carte implique de charger le programme automate, ce qui ne peut être effectué par celui qui a conçu et validé l’applicatif, avec la console de programmation. Autrement dit, si la mémoire n’était pas indépendante, Semer serait amené à se déplacer sur site pour tout changement d’unité centrale. Et si c’est la mémoire elle-même qui tombe en panne? Là aussi, c’est simple : Semer programme une mémoire dans ses locaux et l’envoie à l’exploitant. L’automate S7-400F de Siemens retenu pos- Station Retour G2 sède une seule CPU, mais celle-ci est orientée sécurité. Elle contient en particulier dans son firmware toute une série d’auto-tests qu’elle effectue en permanence. En cas de défaut interne, l’automate se met dans une position de repli définie à l’avance. Pour augmenter la disponibilité de l’automate, il est possible de lui ajouter une deuxième CPU. La redondance est gérée par le firmware (il n’y a pas de ligne de code à écrire). Le même niveau de sécurité est assuré. Une procédure de développement très rigoureuse Pour la réalisation des automatismes des remontées mécaniques, Pomagalski s’appuie très fortement sur sa filiale Semer.Ici comme ailleurs, tout part du cahier des charges. 49 Reportage Vu chez Semer Solutions Celui-ci, dans sa première version, décrit l’installation et les performances attendues. La description porte surtout sur les caractéristiques mécaniques : poids, portée, profils de vitesse, courbes de couple, mais aussi les emplacements des capteurs et des actionneurs. C’est à partir de ces éléments que Semer décrit les fonctionnalités de l’installation en termes de contrôle-commande et de sécurité, et définit les différents modes de marche. Ce travail est fait en étroite coopération avec Pomagalski, afin de s’assurer que tout le monde est sur la même longueur d’onde. Toute cette étude s’accompagne d’une analyse des risques suivie d’une démarche de conception de l’architecture basée sur l’IEC61508. Le développement du programme applicatif est réalisé selon un plan qualité logiciel, qui suit notamment les recommandations du document Z67-130 de l’Afnor. Ce plan mis en place par Semer en 1992,extrêmement rigoureux, décrit toute l’organisation du projet, le rôle de chacun, le suivi des modifications, avec de multiples vérifications et validations à tous les niveaux.Tout est consigné, tout est à jour, tout est soigneusement rangé, il n’y a aucune perte de temps pour retrouver un document recherché. Le rêve! Si quelqu’un peut se réclamer de l’application de la méthode 5S* (trier, ranger, nettoyer, etc.), c’est bien Semer. Pourtant, la société n’en fait pas état, tellement la chose lui est naturelle et ancrée dans ses habitudes. De toute façon, ce qui importe, c’est le résultat… « A partir des différentes documentations, n’importe qui peut comprendre ce que fait et comment est faite l’application.Même s’il ne fait pas partie du sérail », commente M. Felice. Le développement se fait suivant l’archi-classique cycle enV. Mais ici, on l’aura compris, il est appliqué ici avec un soin extrêmement méticuleux. Il n’est pas question de “shunter” une ou deux étapes pour se précipiter vers le codage applicatif, comme cela se fait trop souvent. Chaque étape du cycle en V prend ici toute sa dimension, avec une réflexion approfondie, accompagnée d’un dossier détaillé : on trouve successivement, dans la branche descendante duV, le dossier de spécification du logiciel, le dossier de conception préliminaire, le dossier de conception détaillée et enfin le dossier du programme applicatif. Une fois ce dernier réalisé, il faut effectuer les indispensables vérifications. C’est l’objet de la branche “montante” duV. Ici aussi, on procède étape par étape, avec un dossier pour chacune d’elle. Les dossiers en question, qui indiquent les vérifications à réaliser, ont été préparés lors des étapes de la branche descendante duV. Ainsi, les tests successifs réalisés permettent de s’assurer que le programme applicatif répond bien aux spécifications du logiciel. Ici aussi, rien n’est laissé au hasard : les équipes qui réalisent les tests de validation successifs sont différentes de celles qui ont écrit le logiciel. C’est le meilleur moyen de relever un point que le développeur aurait négligé… « Si une phase de test ne s’avère pas concluante,il est alors nécessaire de reboucler sur le cycle Les automatismes du Vanoise Express Le téléphérique Vanoise Express est constitué de deux lignes indépendantes avec sur chacune d’elle une seule cabine va ou vient. Les automatismes de gestion des départs et arrivées en gare sont plus compliqués que pour les téléphériques à deux cabines classiques. Et ceci d’autant plus qu’il y a très peu de dénivelé (Les Arcs sont 1 630 m, La Plagne est à 1 560 m). Chaque cabine est à double étage et peut transporter 200 passagers à la vitesse de 12,5 m/s sur une longueur (en ligne droite) de 1 830 mètres. Chaque cabine est entraînée par un ensemble de deux moteurs à courant continu de 1 420 kW, solution plus facile à mettre en œuvre et moins onéreuse qu’une solution basée sur des moteurs asynchrones. Les automatismes sont pilotés par un automate S7-400F de Siemens. Le programme de 50 contrôle-commande est indépendant du programme sécurité mais tous deux tournent dans la même unité centrale. Le traitement d’une fonction de sécurité se fait en 100 ms environ. Il y a un seul automate : celui-ci est placé dans la gare de la station “motrice”. En plus des entrées/sorties situées à proximité, cet automate pilote des entrées/sorties déportées dans la gare de la station “retour”, à 2 km de là. Une interface homme-machine est placée dans chacune des deux gares, ce qui facilite les opérations de maintenance. Les échanges d’informations entre les deux gares sont assurés par un réseau Profibus DP/ProfiSafe à fibre optique et d’un débit de 12 Mbit/s : les signaux standards et les signaux de sécurité sont acheminés par le même réseau. enV les documents de conception et tests concernés (…). Aucun écart par rapport aux résultats des tests attendus n’est tolérable(…). Chaque demande de modification doit faire l’objet d’une demande par l’intermédiaire d’un document,qui sera analysé par le chef de projet et le groupe de développement (…).Une modification des documents de référence (cahier des charges,règlement) impose le redémarrage d’un nouveau cycle enV (…).Tout incident décelé par le groupe validation doit être inscrit dans une fiche d’incident(…).C’est l’automate avec son programme qui subit la qualification du système », peut-on lire dans un des documents internes de Semer. On l’aura compris, la sécurité, c’est du sérieux! Des outils standards Les outils de programmation et de vérification utilisés sont classiques. Semer utilise les outils et les consoles de Siemens.La programmation s’effectue en langage SFC (forme graphique proche du Grafcet), spécialement pensé pour les applications de sécurité. Semer utilise aussi des blocs de fonction certifiés par le TüV, répondant donc bien à des exigences de sécurité. La société a également développé un certain nombre de blocs, liés à son métier de concepteur d’automatismes pour remontées mécaniques, comme par exemple les blocs de gestion des survitesses, des accélérations et décélérations, etc. « Nous avons fait valider ces fonctions par des organismes indépendants (Apave,Norisko,par exemple),reconnus par les autorités de contrôle STRMTG (Services Techniques des Remontées Mécaniques et des Transports Guidés). C’est très important pour nous qu’il y ait des organismes qui s’engagent, qui nous permettent d’aller de l’avant », indique M. Felice. Allusion à peine voilée à l’INRS, qui se voit parfois reproché de faire preuve d’une prudence excessive (cet organisme de recherche aux compétences reconnues n’a cependant pas vocation à délivrer des attestations). Lors de la mise en route sur site, des modifications peuvent être nécessaires. En général mineures, elles entrent dans le plan qualité logiciel et doivent donc être consignées et testées avant d’être validées. Dans certains cas, la procédure de validation, qui impose de rebalayer tout le cycle enV, peut prendre plusieurs jours. La sécurité n’a pas de prix… Jean-François Peyrucat *5S est un concept d’origine japonaise. Il vient de 5 mots en S : Seiri (trier et débarrasser), Seiton (ranger), Seiko (nettoyer régulièrement), Seiketsu (standardiser le rangement) et Shitsuke (respecter et maintenir) Semer PAE du Pays du Mont-Blanc - Passy BP 2 - 74190 LE FAYET Tél.: 04 50 93 0 07 - Fax: 04 50 93 67 59 MESURES 764 - AVRIL 2004