Supervision industrielle

Reportage
Vu
au
CERN
Solutions
SUPERVISIO N I N D U S T R I E L L E
Une supervision dynamique pour

Mener à bien un projet avec le CERN, c’est apporter une petite contribution au progrès de la science. Il y a aussi l’effet vitrine : toute application réalisée sur ce site retient l’attention. Pour Arc Informatique, dont le logiciel de supervision a été choisi par le prestataire Spie pour
mettre en place un nouveau système de gestion des alarmes sur tout le site du CERN, un troisième élément entrait en jeu : relever des
défis techniques pour en faire bénéficier les prochaines versions du logiciel PcVue. Le challenge, et de taille, consistait à créer une supervision à la fois sécurisée, dynamique, et autonome.
A
pprouvé par le conseil du CERN
en 1994, le projet de création
du LHC (Large Hadron Collider,
ou Grand Collisionneur de
Hadrons) est l’un des projets scientifiques
les plus ambitieux de notre époque. Avec
6 milliards d’euros de budget, il s’agira en
effet du plus grand et du plus complexe des
instruments scientifiques existant dans le
monde. L’Organisation européenne pour la
Recherche nucléaire (appelée encore
aujourd’hui CERN) effectue des travaux sur
les particules depuis plus de 50 ans, mais
pour la première fois on a vu le Japon et les
États-Unis s’associer au projet en tant qu’États
observateurs.Tous comptent sur les résultats
des nombreuses expériences menées dans le
LHC, qui devrait être opérationnel l’année
prochaine, pour lever
quelques grandes inL’essentiel
terrogations de la physique moderne. Les
 Le système de supervision
des alarmes du CERN mis au
chercheurs comptent
point et installé par Spie, est
améliorer leur combasé sur le logiciel PcVue
préhension des partid’Arc Informatique.
cules élémentaires qui
 L’objectif est de surveiller les
composent la matière,
infrastructures liées aux
mais aussi l’antimaaccélérateurs de particules,
tière. Et en recréant
d’assurer la sécurité du personnel
dans de gigantesques
européen et du matériel.
capteurs des condi Le système, entièrement
tions proches du Big
redondé, a en charge plus de
Bang, ils espèrent uti300 000 variables. Il gère
liser cet accélérateur de
17 000 alarmes réparties sur
particules comme une
33 zones, sous terre comme
machine à remonter le
à la surface.
temps, et élucider ainsi
 Les ingénieurs Spie ont
le mystère de la créadéveloppé une interface
tion de l’univers.
de génération dynamique
Ce nouvel outil se prédes fenêtres pour la supervisente sous la forme
sion, reliée aux bases de
données centrales du CERN.
d’un anneau de 27 km
de circonférence, en-
74
terré à environ 100 m de profondeur sous
le Pays de Gex, à cheval sur la frontière
franco-suisse. Sa construction aura duré
moins longtemps que celle du précédent
accélérateur, le LEP, car il le remplace dans la
même galerie. Cependant, une volonté de
pousser à l’extrême la surveillance des expériences, et l’accession du CERN au statut
d’INB (Installation Nucléaire de Base) ont
amené leur lot de nouvelles exigences. C’est
dans ce contexte qu’en 2000, le CERN lança
un appel d’offre pour la fourniture d’un
outil de supervision des alarmes de sûreté,
dans le cadre du projet CSAM (CERN Safety
Alarm Monitoring).
Prestataire de services en hautes technologies
implanté depuis longtemps aux abords du
CERN (à Saint-Genis-Pouilly, près de
Genève), Spie s’est particulièrement investi
pour remporter cet appel d’offre. Après avoir
retenu dans un premier temps le logiciel
PVSS de l’éditeur autrichien ETM (racheté
par Siemens récemment), l’équipe de Spie s’est
finalement tournée vers Arc Informatique et son
logiciel PcVue, préférés pour leur plus grande
aptitude à s’adapter aux contraintes imposées par l’application.
neau LHC sera opérationnel, car le moment
sera déjà venu de travailler sur la génération
suivante d’accélérateur de particules. Rudolf
Knoors, responsable de l’agence locale Spie,
explique que « pour une application de supervision industrielle classique, on aurait envisagé de
profiter de la nuit pour remettre à jour le système.
Mais les niveaux de disponibilité exigés par le cahier
des charges interdisaient ce mode de fonctionnement.
En effet, en cas d’arrêt, le serveur central met environ
une vingtaine de minutes à redémarrer, ce qui est
beaucoup trop long car la criticité des applications
du CERN impose qu’il ne soit pas inactif pendant
plus de cent minutes par an ». Ceci imposait
donc la mise en place d’une base de données
dynamique, et l’augmentation du nombre
maximum de variables acceptées par le logiciel.
Une solution innovante a donc été développée, grâce à un partenariat étroit entre Spie et
Arc Informatique, afin d’obtenir une supervision capable de se mettre à jour de manière
dynamique et autonome. Les développeurs
de Spie ont mis au point une série d’interfaces de communication avec les serveurs centraux du CERN, permettant ainsi la génération automatique des fenêtres pour
l’application de supervision. Lorsque des
La nécessité d’une supervision
travaux sont terminés, le schéma de descripdynamique
tion de l’infrastructure (développé par Spie)
L’implantation d’un système de supervision est entré dans la base de données Oracle, et
sur un site aussi vaste n’a rien d’aisé, mais la les informations sont récupérées par PcVue
principale difficulté tient à son évolution pour créer la base de données et les synoppermanente. « Sur les dizaines de kilomètres car- tiques. Plus précisément, les écrans PcVue
rés du chantier, on peut être sûr de trouver à tout sont obtenus en partant des plans des locaux
moment des employés qui construisent des bâti- et en y ajoutant les données informatiques
ments, effectuent des modifications de câblage, des associées : topologies de réseaux, position
ajouts de capteurs, ou encore qui font des exercices des capteurs, procédures d’évacuation, ainsi
de simulation de pannes, déclare Sylvain Damge, que tous les synoptiques d’expériences avec
responsable de projet chez Spie. Concrètement, leurs variables et leurs états associés. Les plans
ces mouvements se traduisent par l’ajout ou la mo- des installations, au format WMF, sont issus
dification de quelque 500 à 1 000 capteurs chaque de fichiers AutoCAD fournis par le CERN. Les
mois ». Et cela continuera une fois que l’an- objets interactifs sont des objets issus de biMESURES 796 - JUIN 2007 - www.mesures.com
Solutions
Reportage
Vu
au
CERN
la gestion des alarmes au CERN
mique du logiciel, travailler sur ce projet nous a
donné l’occasion de développer des fonctions innovantes. Celles-ci ont ensuite été intégrées aux nouvelles versions du logiciel, et elles profitent donc à
tous nos clients ». Pour preuve, l’aptitude à
générer des fenêtres à partir de plans
AutoCAD a valu à PcVue d’être choisi plus
tard par Aéroports De Paris pour une application
similaire de gestion d’alarmes (voir Mesures
n° 763, mars 2004). Depuis, cette fonction
a encore été améliorée et aujourd’hui, en
plus des plans, même les objets AutoCAD
peuvent être détectés par PcVue et transfor-
L’accélérateur de particules LHC est installé dans une galerie
souterraine de près de 27 km de longueur, située sous la
frontière franco-suisse.
bliothèques PcVue. Pour éviter tout problème
de mise à jour ou de gestion des versions, la
base de donnée Oracle est considérée comme
“unique et fédératrice”. Cette base de données compte aujourd’hui plus de 300 000 variables. Bien que ce chiffre ait été au départ
la limite supérieure de traitement contrôlée
par le logiciel, un travail collaboratif avec les
ingénieurs d’Arc Informatique a permis de mettre en place les dispositifs pour gérer autant
de paramètres.
Un autre aspect illustrant le caractère dynamique de la supervision est la création de
postes multilingues. En effet, le CERN emploie des scientifiques de toute l’Europe,
voire du monde entier. Présentés en français
par défaut, les écrans peuvent à tout moment
basculer vers un affichage en anglais.
De plus, l’application PcVue se devait de satisfaire à l’un des grands principes du CERN,
à savoir la mise à disposition à distance des
informations. Le fait n’est pas très connu,
mais c’est aux équipes du CERN que l’on
doit l’invention du World Wide Web (adresses Internet commençant par “www”), créé
pour la diffusion des résultats des expériences aux scientifiques du monde entier.
Pour permettre à PcVue de répondre au ca-
hier des charges, des fonctionnalités supplémentaires ont été développées, afin que le
logiciel soit finalement accepté par les responsables du projet. Le code du superviseur
a dû gagner en sûreté de fonctionnement
pour atteindre un niveau SIL2 (selon la
norme IEC 61508). « Si pour un éditeur, l’enjeu
est grand d’engager autant de ressources sur un projet, toutes ces contraintes sont considérées par nos
équipes comme une opportunité d’améliorer notre
produit, assure Alain Faisant, directeur commercial chez Arc Informatique, qui relativise le
risque encouru en avant-projet. Si l’on considère les aspects de sécurité ou de mise à jour dyna-
MESURES 796 - JUIN 2007 - www.mesures.com
més en objets interactifs sans aucune intervention extérieure.
Une gestion poussée des alarmes
La mise en œuvre du projet LHC a nécessité
la construction d’un centre de contrôle.
Baptisé CCC, pour “CERN Control Centre”,
il fut inauguré en mars 2006. Cette salle a
pour rôle de centraliser tous les postes de
surveillance technique (liés aux procédés
d’accélération des particules) pour les trois
accélérateurs que compte le CERN, et les
postes de surveillance d’alarmes CSAM. Sur
chaque poste client dédié à la surveillance
75
Reportage
Vu
au
CERN
Solutions
des alarmes, on retrouve une carte du centre
sur laquelle il est possible de zoomer, pour
aller explorer une des 33 zones de sécurité
du site. Les alarmes sont divisées en quatre
degrés, en fonction de l’importance de l’évènement associé. Les alarmes de niveau 0
(blanc) correspondent à de simples informations, les alarmes de niveau 1 (bleu) sont
des informations plus importantes, nécessitant l’intervention d’un technicien dans la
journée. Le niveau 2 (jaune) correspond à
des alarmes techniques qui imposent l’intervention immédiate d’un technicien. Enfin,
le niveau 3 (rouge) désigne toutes les alarmes remontant au poste de pompiers. Il
s’agit des alertes déclenchées par un incendie, une fuite de gaz, une inondation, un
blocage d’ascenseur, une personne blessée
ou encore l’usage d’une ligne spéciale pour
les pompiers, appelée “téléphone rouge”. Au
total, ce sont près de 17 000 alarmes qui
peuvent être transmises au centre de contrôle par le biais d’un automate central redondé, de 64 automates et d’un couple de
serveurs de remontée d’alarmes.
Toutes les alarmes de niveau 3 sont systématiquement remontées jusqu’au bâtiment des
pompiers du CERN, sur des postes de super-
vision rigoureusement identiques à ceux
présents dans le centre de contrôle. En visitant le local des pompiers dédié à la supervision, on se rend compte de l’importance
du nombre d’alarmes à gérer : il est en effet
difficile de voir s’écouler plus de dix minutes sans que ne se déclenche une alarme de
niveau 3 ! Cela est dû à la taille du site bien
sûr, mais aussi et surtout au fait que le LHC
soit encore en phase de construction. « On
peut dire que 99 % des alarmes aujourd’hui correspondent à des tests, des exercices ou de nouveaux
raccordements », indique le responsable des
pompiers. Tout se joue donc sur le 1 % restant, et pour cela les 53 pompiers issus de
tous les pays européens se tiennent prêts à
tout moment. « Si un incident s’avère être réel,
poursuit-il, une fiche d’intervention est aussitôt
éditée ». Les fiches d’intervention reprennent
le plan de la zone concernée, sur laquelle
sont tracés les chemins pour l’accès et l’évacuation, mais aussi les différentes précautions à prendre avant de se rendre sur la zone.
Les installations sont tellement différentes
d’un site à l’autre ou d’un bâtiment à un
autre que l’équipement à prévoir est différent. Les pompiers sont évidemment formés
à tous les types d’incidents, mais ils ne doi-
Le LHC
Sylvain Damge, responsable du projet, présente les Panel PC de
supervision installés dans chaque zone de sécurité.
vent pas s’équiper de la même manière selon
le type d’évènement : incendie, pic de radioactivité, fuite de gaz rare ou de liquide
cryogénique, ou encore… inondation... En
effet, il ne faut pas oublier que les installations sont enterrées, et le risque d’inondation est amplifié par la proximité avec les
Monts Jura et le lac de Genève. On estime en
effet qu’en cas de panne de toutes les pompes de relevage installées dans les galeries, il
ne faudrait pas plus d’une dizaine de minutes pour inonder entièrement les installations ! On comprend donc la nécessité de
mettre en place le système de supervision le
plus performant possible.
Une redondance omniprésente
Le Grand Collisionneur de Hadrons ou
LHC, gigantesque anneau souterrain de
26,7 km de longueur pour 1 m de
diamètre environ, contient une enceinte
cryogénique entourée de vide. A
l’intérieur de cette enceinte, on trouve
les deux conduits servant au déplacement des faisceaux de particules. Chaque
faisceau est orienté dans un sens
différent, afin de pouvoir créer des
collisions dans une des quatre chambres
d’expérimentation (ou “puits”) prévues à
cet effet. Ces canaux sont entourés
d’aimants en matériau supraconducteur,
qui créent un champ magnétique à la fois
puissant et rapide, afin de pouvoir centrer
le paquet de particules au milieu du
conduit et de l’orienter dans le conduit. Ce
matériau supraconducteur a des
propriétés conductrices extrêmes lorsqu’il
76
est porté à des températures très basses.
Et dans le but de faire tourner des
particules qui sont lancées à une vitesse
proche de celle de la lumière
(300 000 km/s), il a fallu descendre la
température de l’enceinte à 2 K,
soit -271 °C !
Cela constitue bien entendu une
première mondiale sur une installation
de cette taille.
On espère des expériences menées au
LHC qu’elles permettront de repousser
les limites de modèles physiques établis
afin de les valider, les compléter, voire
même les infirmer. Il sera utilisé pour
l’étude des particules élémentaires
(constitution, comportement, et masse),
et l’on pense qu’il améliorera notre
compréhension de la liaison entre
la matière et l’antimatière.
Le superviseur est la clef de voûte du système
mis en place par Spie. Mais pour l’intégrateur,
une grosse partie du travail a porté sur la
conception de l’architecture de remontée
des alarmes. Les ingénieurs de Spie ont
d’abord cherché à s’appuyer sur l’existant.
Le système de panneaux d’affichage d’alarmes a été maintenu. Présents au centre de
contrôle et au centre des pompiers, il s’agit
de panneaux de surveillance représentant
une carte du site, sur lesquels sont placées de
simples diodes DEL correspondant aux différentes installations. Mais ce système arrivait
à ses limites. Le nombre d’informations remontées était insuffisant pour organiser une
réponse adaptée, et d’autre part la traçabilité
y était totalement absente. Ceci a conduit au
déploiement d’un nouveau réseau, spécialement pour les alarmes. « Dans le cadre du projet CSAM, un réseau Gigabit Ethernet redondant
MESURES 796 - JUIN 2007 - www.mesures.com
Solutions
Reportage
Vu
au
CERN
Le centre de contrôle du CERN, en haut à
gauche, rassemble les fonctions de
surveillance des infrastructures mais aussi
de tous les processus d’accélération de
particules. Autour, trois exemples de
fenêtres de supervision sous PcVue.
avec deux médias différents a été installé, expose
M. Damge. L’un des câbles est à base de paires de
cuivre torsadées et l’autre utilise la fibre optique, ce
qui apporte une sécurité supplémentaire en raison de
la grande variété d’incidents potentiels ». Ce réseau
effectue la liaison entre le CSAC (automate
central de gestion des alarmes, redondant)
et les SAMC (serveurs d’acquisition), et fait
le lien entre les automates présents dans chacune des 33 zones et ces SAMC. Toutes les
zones de sécurité du CERN ont été équipées
de deux automates redondants pour la cen-
tralisation des informations des différents
capteurs (contrôle d’accès, état des machines
et des processus, nombreux détecteurs de
gaz et d’incendie). Chaque automate dispose
de 512 entrées et 256 sorties, qui sont connectées par l’intermédiaire de borniers
Wago.
Dans chaque zone, les ingénieurs Spie ont
installé des coffrets, à base de Panel PC tactiles, faisant office de clients PcVue. On retrouve donc exactement les mêmes fonctions
que sur les postes du centre de contrôle, aux-
Spie et Arc Informatique : les acteurs du projet
Prestataire de service pluridisciplinaire,
spécialisé parmi beaucoup d’autres
domaines dans celui de l’énergie, Spie
accompagne les industriels dans la mise
en œuvre de leurs projets, depuis la
conception des installations jusqu’à
l’exploitation et la maintenance. La
société française dispose depuis
plusieurs années d’une agence toute
proche du CERN, à Saint-Genis-Pouilly.
Les projets initiés par le centre de
recherche font travailler 260 personnes
pour le déploiement d’applications
diverses, sur les 23 000 collaborateurs
Spie répartis en Europe et dans le monde.
Pour ce projet de gestion des alarmes de
sûreté, Spie a dépêché une dizaine
d’ingénieurs dont le premier travail a été
d’identifier un logiciel de supervision
capable de répondre aux spécifications,
avant de s’attacher à la mise en œuvre
proprement dite du projet.
Le logiciel PcVue d’Arc Informatique a été
préféré pour sa flexibilité, et grâce
notamment à la volonté d’Arc
Informatique de réaliser des développements complémentaires afin de l’adapter
aux contraintes du CERN. Un travail
conséquent a été entrepris pour
respecter les exigences en matière de
disponibilité et de performance. Mais le
jeu en valait la chandelle, car ces
modifications sont implémentées sur les
versions standard de PcVue, permettant
ainsi à Arc Informatique de se démarquer
de la concurrence.
MESURES 796 - JUIN 2007 - www.mesures.com
quelles s’ajoute la possibilité
de faire fonctionner des équipements en mode “dégradé”
(marche forcée malgré la présence d’une alarme). Depuis
ces postes, les techniciens ont
accès aux “Safety Actions”. A
l’aide de fonctions “ET” et “OU”, les installateurs mettent en place les synoptiques ou
les procédures à appliquer en fonction des
évènements (ouverture ou fermeture des
cloisons coupe-feu, déclaration des seuils de
déclenchement des alarmes, etc.). Ils gagnent
donc un temps précieux lors de la construction de bâtiments ou d’extensions, et les
modifications sont immédiatement actives
sur l’ensemble des 46 postes de supervision
du CERN. Enfin, des pupitres opérateurs ont
été ajoutés. En liaison directe avec les automates, ils permettent de récupérer les informations des capteurs du bâtiment en cas de
panne du superviseur central.
Si le lancement du LHC n’est pas prévu avant
2008, le système de gestion des alarmes est
déjà opérationnel, Tout est mesuré, édité et
archivé, depuis les courbes de détection des
gaz dans les bâtiments jusqu’aux temps de
transmission des alarmes (horodatage). Et
cela afin d’assurer au système une disponibilité sans faille. « Nous nous sommes en effet
engagés sur une disponibilité supérieure à 99,98 %,
indique Rudolf Knoors. Cela représente un
temps d’arrêt de 100 minutes au maximum en un
an ». Si l’on sait qu’un arrêt prolongé du
système pendant plus de quatre heures déclencherait la mise en place immédiate d’un
plan ORSEC (Organisation de la Réponse de
SÉcurité Civile) sur toute la zone du CERN,
on se rend compte de l’importance d’une
supervision sans faille.
Frédéric Parisot
77