1

Les Modes de Marche et d’Arrêt (MMA)

Le dialogue d’exploitationLes constituants de dialoguesLe GemmaIntégration des MMA L’encapsulation

Philippe Raymond 09/12/04

2

I - Le dialogue d’exploitation

Le dialogue d'exploitation regroupe toutes les fonctions nécessaires à un opérateur pour

commander et surveiller le fonctionnement d'une machine ou d'une installation

3

Importance de l’opérateur

Il commande la mise en route et l'arrêt, ces deux phases pouvant éventuellement comporter des procédures de démarrage ou d'arrêt prises en charge par l'automatisme ou effectuées en mode manuel ou semi automatiques sous la responsabilité de l'opérateur.

Il effectue les commandes et les réglages nécessaires au déroulement normal du processus et surveiller l'état et l'évolution de celui-ci.

Il décèle une situation anormale et engager une action corrective avant que l'évolution de cette situation n'entraîne une aggravation des perturbations

Il Fait face à une défaillance du système, en stoppant la production ou en mettant en œuvre un mode de marche dégradée qui supplée tout ou partie des commandes automatiques par des commandes manuelles pour maintenir la production.

Il assure la sécurité des personnes et du matériel en intervenant si nécessaire sur les dispositifs de sécurité.

4

Conception d’une IHMInterface Homme Machine

Le système de dialogue doit être conçu de telle sorte qu'il facilite la tâche de l'opérateur

et lui permette d'assurer en toutes circonstances une conduite sûre.

5

Aspect cognitif

COMPRENDRE REAGIR

limiter les items de menus à 7

établir des liens entre éléments (couleurs, format, emplacements) pour faciliter le filtrage cognitif

écrire des messages concis

ne pas présenter d'informations inutiles

MEMOIRE A COURT TERME

mémorise 7 items (± 2 selon individu, fatigue...)

regroupe les mnèmes (unité d'information) par motifs visuels ( lettres, chiffres, mots, formes, taille, couleur, localisation) ou acoustiques

motifs visuels :

Durée de vie 15 à 30 secondes

PERCEVOIR

6

Conseils

Tout changement dans les conditions de marche d'une machine se traduit généralement par la modification ou l'apparition d'une information sur un voyant, un afficheur ou un écran. Cet événement doit avant tout être perçu par l'opérateur, ceci quelles que soient les conditions d'environnement (lumière ambiante,...). Différents moyens peuvent être mis en œuvre pour attirer son attention : clignotement de l'information, changement de couleur, signal sonore, protection contre les reflets, etc.

Pour éviter tout risque d'action préjudiciable à la sûreté, l'information perçue par l'opérateur doit être suffisamment lisible et précise pour être immédiatement comprise et exploitable. L'ergonomie de lecture des constituants intervient ici tout autant que la conception de la fonction :

Pour un voyant lumineux : respect de la couleur prescrite par la norme, cadences de clignotement lent ou rapide nettement différenciées,...Pour un afficheur : textes précis dans la langue de l'utilisateur, distance de lisibilité appropriée,...Pour un écran : emploi de symboles normalisés, zoom offrant une vue détaillée de la zone concernée par le message,...

Selon la teneur du message transmis parla machine, l'opérateur peut être amené à intervenir rapidement en agissant sur un ou plusieurs boutons-poussoirs ou touches de clavier. Cette action est facilitée par : un repérage clair pour identifier aisément boutons et touches, par exemple par marquage des poussoirs à l'aide de symboles normalisés,une ergonomie soignée avec des surfaces de poussoirs importantes, des touches à effet tactile, ...

PERCEVOIR

COMPRENDRE

REAGIR

7

II - Les constituants de dialogue

 Le dialogue homme-machine est la fonction par laquelle un opérateur reçoit l'information sur l'état d'une machine et peut lui transmettre des ordres et des consignes. Basées sur des échanges de messages numériques et alphanumériques et sur la représentation de machines ou d'installations par de l'imagerie animée, elles apportent non seulement une aide significative pour la conduite d'exploitation, mais aussi une aide au diagnostic et de larges possibilités de suivi de production et de contrôle de qualité.

8

Commande et signalisation tout ou rien

Ce sont des interfaces de dialogue parfaitement adaptées quand les

informations échangées entre opérateur et machine sont peu nombreuses et limitées à des signaux tout ou rien.

9

Norme NF EN 60204-1   couleurcouleur Significationnote  rouge

urgencele rouge doit être utilisée pour les organes de commande d'arrêt d'urgence

  jauneanormal

la couleur jaune est réservée pour les fonctions indiquant un avertissement ou une condition anormale.

  vertsur

la couleur verte est réservée pour les fonctions indiquant une condition sûre ou normale.

  bleuobligatoire

la couleur bleue est réservée pour les fonctions de signification obligatoire.

  blanc pour les organes de commande marche / mise sous tension

  noir pour les organes de commande arrêt / mise hors tension

10

Les terminaux d'exploitation

L'évolution des unités de fabrication vers une plus grande flexibilité impose de plus

en plus fréquemment des changements rapides et aisés des programmes de

production, des contrôles et des réglages précis, des modifications de données. Cela

entraîne par conséquent des échanges d'informations nombreuses et variées entre

l'opérateur et la machine.

11

La supervision

Assure la communication entre les équipements d'automatismes et les outils informatiques d'ordonnancement et de gestion de la production, pour lancer et gérer les différents programmes de fabrication,

Coordonne le fonctionnement d'un ensemble de machines enchaînées constituant un îlot ou une ligne de production, en assurant l'exécution d'ordres communs (marche, arrêt ...) et de tâches telles que la synchronisation, le pilotage de marches dégradées ...

Assure une gestion qualitative et quantitative de la production, cette tâche nécessitant la collecte en temps réel de nombreuses informations, leur archivage et leur traitement immédiat ou différé,

Assiste l'opérateur dans les opérations de diagnostic et de maintenance préventive et corrective.

12

Exemples

PcVue pour Tablette PCCette solution emploie les récentes technologies Wi-Fi répondant aux contraintes de mobilité, mais s'accompagne également de processus d'authentification des utilisateurs.L'utilisateur peut ainsi se déplacer au sein de son usine et disposer à tout instant de l'accès aux informations du process et interagir sur les opérations en cours ou bien encore traiter les alarmes

Intouch 9.0

13

Organes de services

Clairement visibles, identifiables et, le cas échéant, marqués de manière appropriée (les boutons, leviers et commutateurs seront placés là où l'opérateur s'attend à les trouver, suivant une disposition logique avec leur fonction, en utilisant les recommandations de l'ergonomie.Placés pour permettre une manœuvre sûre, sans hésitation ni perte de temps et sans équivoque (le bouton "montée" au-dessus du bouton "descente"... ).Conçus pour que leur mouvement soit cohérent avec l'effet commandé (un basculement de levier à gauche fait bouger un axe dans le même sens par rapport à l'opérateur…).Disposés en dehors des zones dangereuses, sauf si nécessaire pour certains organes tels qu'un arrêt d'urgence ou une console d'apprentissage pour les robots.Situés de façon que leurs manœuvres ne puissent engendrer de risques supplémentaires.Conçus ou protégés de telle façon que l'effet voulu, s'il peut entraîner un risque, ne puisse se produire sans une manœuvre intentionnelle (attention au levier qu'on accroche, au bouton en saillie qui s'enfonce parce qu'on pose un cahier ou une pièce sur la console opérateur).Fabriqués de façon à résister aux efforts prévisibles, notamment en ce qui concerne les dispositifs d'arrêt d'urgence qui risquent d'être soumis à des efforts importants. Lorsqu'un organe de service est conçu et construit pour permettre plusieurs actions différentes, c'est-à-dire que son action n'est pas univoque, notamment en cas d'utilisation d'un clavier, l'action commandée doit être affichée en clair et, si nécessaire, faire l'objet d'une confirmation.Les organes de service doivent avoir une configuration telle que leur disposition, leur course et leur effort résistant soient compatibles avec l'action commandée, compte tenu des principes de l'ergonomie. Les contraintes dues à l'utilisation, nécessaire ou prévisible, d'équipements de protection individuelle doivent être prises en considération.

14

Signalisation et contrôle

La machine doit être munie des dispositifs de signalisation tels que cadrans, signaux, et des indications dont la connaissance est nécessaire pour qu'elle puisse fonctionner de façon sûre. Depuis le poste de commande, l'opérateur doit pouvoir percevoir les indications de ces dispositifs. Depuis le poste de commande principal, l'opérateur doit pouvoir s'assurer de l'absence de personnes exposées dans les zones dangereuses.Si cela n'est pas possible, le système de commande doit être conçu et construit de manière que toute mise en marche soit précédée d'un signal d'avertissement sonore ou visuel. Les personnes exposées présentes dans la zone dangereuse doivent avoir le temps et les moyens de s'opposer rapidement au démarrage de la machine. Pour faciliter l'interruption de la signalisation, on évitera la surabondance d'informations inutiles. Si on utilise un superviseur, on fera une hiérarchie des écrans pour en faciliter la lecture. Le code des couleurs défini par la norme EN 60204 (rouge : alarme, vert : OK...) doit être utilisé.

15

Sélecteur de mode de marche

Le mode de commande sélectionné doit avoir priorité sur tous les autres systèmes de commande, à l'exception le la commande d'arrêt d'urgence. Cela implique que l'on doit considérer le mode affiché au sélecteur comme un ordre vis-à-vis de la commande et non pas comme une demande. Le passage du mode automatique au mode manuel par exemple doit générer un arrêt immédiat de la séquence en cours. Si la machine a été conçue et construite pour permettre son utilisation selon plusieurs modes de commande ou de fonctionnement présentant des niveaux de sécurité différents, tels que les modes de fonctionnement permettant le réglage, l'entretien, l'inspection, elle doit être munie d'un sélecteur de mode de marche verrouillable dans chaque position. Chaque position du sélecteur ne doit correspondre qu'à un seul mode de commande ou de fonctionnement.Compte tenu qu'il semble bien difficile de concevoir une machine avec les mêmes niveaux de sécurité suivant les modes de marche, le sélecteur de mode doit être un commutateur à clef ou à code. Le sélecteur peut être remplacé par d'autres moyens de sélection permettant de limiter l'utilisation de certaines fonctions de la machine à certaines catégories d'opérateurs, tels que codes d'accès à certaines fonctions de commandes numériques.

16

Sélecteur de mode de marche

Si, pour certaines opérations, la machine doit pouvoir fonctionner avec ses dispositifs de protection neutralisés, le sélecteur de mode de marche doit simultanément : Exclure le mode de commande automatique.N'autoriser la commande des mouvements que par des organes de service nécessitant une action maintenue N’autoriser le fonctionnement des éléments mobiles, dangereux que dans des conditions limitant le danger telles que marche à vitesse réduite, à effort réduit, par à-coups ou autre disposition adéquate et en évitant tout risque découlant d'un enclenchement de séquences ;Interdire tout mouvement susceptible de présenter un danger que pourrait déclencher une action volontaire ou involontaire sur les capteurs internes de la machine. En outre, au poste de réglage, l'opérateur doit avoir la maîtrise du fonctionnement es éléments sur lesquels il agit.

17

Dispositifs d'alerte

Si la machine est munie de dispositifs d'alerte, ils doivent être compris sans ambiguïté et facilement perçus. La permanence de l'efficacité de ces dispositifs d'alerte doit pouvoir être vérifiée par l'opérateur-

Un dispositif d'alerte ne doit pas tolérer une panne dormante. Il doit aussi être fiable sinon il ne remplit pas son rôle par perte de confiance.

…Installé dans ses fonctions vingt-six ans plus tôt et à quelques mois de la retraite, le concierge attitré du Palais de justice de Rennes fut pris dans une polémique autour du fait que l'alarme, connue pour des déclenchements intempestifs, avait été interrompue à trois reprises avant que l'alerte ne soit donnée. Seul mis en examen lors de l'instruction qui suivit, il a été mis hors de cause en 1996…

18

19

Le GEMMAguide graphique proposant des modes de marches et d'arrêts types

P.C. HORS ENERGIE

Remise en route

Mise P.O. dans état initialA6

Mise P.O. dans étatdéterminé

A7

A5 Préparation pour remiseen route après défaillance

A1 Arrêt dans état initial

A2 Arrêt de-mandé enfin de cycle

A3 Arrêt de-mandé dansétat déterminé

D2 Diagnostic et / outraitement dedéfaillance

D1 Marche ou arrêt en vue d'assurer la sécurité

D3 Production tout de même

A4 Arrêt obtenu

F1 Production normale

MarchesF3de clôture

Arrêt

PROCEDURES D'ARRET et DE REMISE EN ROUTEA F PROCEDURES DE FONCTIONNEMENT

F6 Marches de test

Marches devérification dansl'ordre

F5

F4 Marches devérification dansle désordre

mise en ou hors fonctionnementnormal

mise enénergie

de P.C.

mise horsénergie

de P.C.

mise horsénergie

de P.C.

mise enénergie

de P.C.

MarchesF2 de pré-paration

PRODUCTION

D PROCEDURES en DEFAILLANCE de la Partie Opérative fonctionnement normal essais et vérifications

Essais et vérifications

PZ

20

Procédures de fonctionnement

F1 production normale

Dans cet état la machine produit normalement : c'est l'état pour lequel elle a été conçue.On peut souvent faire correspondre à cet état un grafcet que l'on appelle "grafcet de base".Note : A cet état ne correspond pas nécessairement une marche automatique

F2 marche de préparationCet état est utilisé pour les machines nécessitant une préparation préalable à la production normale : Préchauffage de l'outillage, remplissage, mises en routes diverses...

F3 marche de clôture C'est l'état nécessaire pour certaines machines devant être vidées, nettoyées... en fin de journée ou en fin de série.

F4marche de vérification dans le désordre

Cet état permet de vérifier certaines fonction ou certainsmouvement sur la machine sans respecter l'ordre de déroulement du cycle

F5 marche de vérification dans l'ordre

Dans cet état, le cycle de production peut être exploré au rythme de production voulu par la personne effectuant la vérification

F6 marche de test Les machines de contrôle, de tri, de mesure... comportentdes capteurs qui doivent être réglés ou étalonnés : cet état permet les différentes opérations.

21

Procédures d’arrêt

A1 ARRET dans état initial C'est l'état repos de la machine. Il correspond en généralà la situation initiale du grafcet.

A2 Arrêt demandé en fin de cycle

Lorsque l'arrêt est demandé, la machine continue de produire jusqu'à la fin de cycle. l'état A2 est donc un état transitoire vers l'état A1

A3 Arrêt demandé dansétat déterminé La machine continue de produire jusqu'à un arrêt en une

position autre que la fin de cycle. c'est un état transitoire vers A4

A4 ARRET Obtenu La machine est alors arrêté dans un état autre que la fin de cycle.

A5Préparation pour remise enroute après défaillance

C'est dans cet état que l'on procède à toutes les opérations(désengagements, nettoyages...) nécessaires à une remise enroute après défaillance

A6 Mise PO dans état initial

La machine étant en A6, on remet manuellement ou automatiquement la partie opérative en position initiale pour unredémarrage dans l'état initial.

A7 Mise PO dans état déterminé La machine étant en A7, on remet la partie opérative en position pour

un redémarrage dans une position autre que l'état initial.

22

Procédures de défaillance

D1 ARRET d'URGENCEC'est l'état pris lors d'un arrêt d'urgence : on y prévoit non seulement les arrêts, mais aussi les cycles de dégagement,les procédures et précautions nécessaires pour éviter oulimiter les conséquences dues à la défaillance.

D2Diagnostic et/ou traitementde la défaillance

C'est dans cet état que la machine peut être examinée après défaillance et qu'il peut être apporté un traitement permettantle redémarrage.

D3 Production tout de mêmeIl est parfois nécessaire de continuer la production mêmeaprès une défaillance de la machine : on aura alors une production dégradée, forcée ou aidée par des opérateurs non prévus en production normale

23

P.C. HORS ENERGIE

Remise en route

Mise P.O. dans état initialA6

Mise P.O. dans étatdéterminé

A7

A5 Préparation pour remiseen route après défaillance

A1 Arrêt dans état initial

A2 Arrêt de-mandé enfin de cycle

A3 Arrêt de-mandé dansétat déterminé

D2 Diagnostic et / outraitement dedéfaillance

D1 Marche ou arrêt en vue d'assurer la sécurité

D3 Production tout de même

A4 Arrêt obtenu

F1 Production normale

MarchesF3de clôture

Arrêt

PROCEDURES D'ARRET et DE REMISE EN ROUTEA F PROCEDURES DE FONCTIONNEMENT

F6 Marches de test

Marches devérification dansl'ordre

F5

F4 Marches devérification dansle désordre

mise en ou hors fonctionnementnormal

mise enénergie

de P.C.

mise horsénergie

de P.C.

mise horsénergie

de P.C.

mise enénergie

de P.C.

MarchesF2 de pré-paration

PRODUCTION

D PROCEDURES en DEFAILLANCE de la Partie Opérative fonctionnement normal essais et vérifications

Essais et vérifications

PZ

Interprétation du GEMMAconception réalisation de la PC

Comment traduire que l’ARU peu survenir depuis

n’importe quel état ?

Comment traiter l’aspect HORS EN ENERGIE

(necessite que les schémas électriques soient réalisés)

Une traduction sous forme de grafcet est possible. Les conditions de passage d’un mode à l’autre sont des réceptivites.

les modes de marches et d'arrêt ne peuvent être perçus et traités que par une partie commande en ordre de marche

24

Proposition d’intégration des MMA

NIVEAU 1 Le module de gestion des défauts regroupe la surveillance des défauts autre que ceux gérés par la chaîne de sécurité.

NIVEAU 3 Le module de conduite, assure la gestion des modes de marche et d’arrêt, et est synchronisé avec les éléments du module d’exploitation.

NIVEAU 4 Le module d’exploitation regroupe la gestion de la production, de la préparation, du réglage…

secu

0

secu

F/DEF :(10)1

défaut

0

défaut

Figeage, signalisation…1

NIVEAU 0 Le module de sécurité est continuellement réactif à la chaîne de sécurité (arrêt d’urgence). Il constate son déclenchement et en averti le module de gestion des défaillances.

Secu.init.valid

F/MMA : (*)10

=0

XA0.XE0

F/MMA:(A1)11

F/PRO :(*)

F/PROD:(E0)

Secu.reprise.valid

9

NIVEAU 2 Le module de gestion des défaillances gère les différents mode de reprise après action sur la chaîne de sécurité ou après apparition d’un défaut.

XF1

XF1

E0

XF1

« Cycle  prod »E1

XA2

E2

PROD

Prod.^val

A1

Arrêt.val

F1

« arrêt demandé en fin de cycle »

A2

XE2

« Production normale »

MMA

25

hiérarchisation

NIV0 – Gestion de l’ARU

NIV3 – Gestion de la conduite normale du SAP

NIV4 – GCT,…

NIV1 – Gestion des défauts

NIV2 – Gestion de la reprise après défaillance

-

+

26

Exemple : installation

Une installation assure le mélange de 2 produits liquide A et B.L’eau assure le rôle de liquide de rinçage.Un constituant de dialogue assure la conduite de l’installation.

27

Exemple : schéma

S2=réarm

S1=ARU

28

Exemple : MMA

F3-Clôture / initialisationVidange puis rinçage de la cuve pendant 5 mn. Volume d’eau Ve

A1-Malaxeur initialisé

F2-PréparationAcquisition du volume de produit Va, Vb du nombre de mélange n et de la durée de mélange tm

F1-ProductionRéalisation des n mélanges

A2-Arrêt fin de cycleArrêt après fin du mélange en cours

D1-ARU coupure energie PO

A5-REMISE EN ROUTE

PROD.^valid

PROD.^valid

STOP.^valid PROD.^valid.fdc

STOP.^valid.fdcn mélange fait

Init_ok

REP.^valid

INIT.^valid

/ARU.réarm

(I0.3)ARU

(/I0.3)

29

NIV 4 : Grafcet F1

101 VA

vc>=Va

100

102 VB

vc>=Va+Vb

103 KM1

Tm/X103

105 C:=C+1

C<N

106

…

C=N

104 VC

Vc=0

… F1

30

NIV 4 : Grafcet F3

11 VC

vc=0

10

12 VE

vc>=Ve

13 KM1

5m/X13

15

14 VC

vc=0

…

…

F3

31

NIV 3 : Grafcet de conduite

F2

P.^v

A1

F1

S.^v

S.^v

?

P.^v

A2

P.^v

F3

?

COND

32

Synchro NIV 3 et NIV 4

11 VC

vc=0

10

12 VE

vc>=Ve

13 KM1

5m/X13

15

14 VC

vc=0

XF3

/XF3

F3

F2

P.^v

A1

F1

S.^v

S.^v

X15

P.^v

A2

P.^v

F3

?

COND

33

Synchro NIV 3 et NIV 4

F2

P.^v

A1

F1

X107.S.^v

S.^v.(C<N-1)

X15

P.^v

A2

X107.P.^v

F3

X106

CONDC:=0

101 VA

vc>=Va

100

102 VB

vc>=Va+Vb

103 KM1

Tm/X103

105 C:=C+1

XF1(C<N)

106

/XF1

(C=N).XF1

104 VC

Vc=0

F1

107

XA2

XF3

XF1

XF1

34

NIV 0 & NIV 1

1

I03

0

/I03

SECU

DEF{21}

21

I.^v

20

X10.X100.XF3

R.^v

=0

22

F1{*} F3{*} COND{*}

F1{100} F3{10} COND{F3}

DEF

35

21

I.^v

20

X10.X100.XF3

R.^v.

=0

22

F1{*} F3{*} COND{*}

F1{100} F3{10} COND{F3}

DEF

1

I03

0

/I03

SECU

DEF{21}

F2

P.^v

A1

F1

X107.S.^v

S.^v.(C<N-1)

X15

P.^v

A2

X107.P.^v

F3

X106

COND

C:=0

11 VC

vc=0

10

12 VE

vc>=Ve

13 KM1

5m/X13

15

14 VC

vc=0

XF3

/XF3

F3

SET FLAG

& FLAG101 VA

vc>=Va

100

102 VB

vc>=Va+Vb

103 KM1

Tm/X103

105 C:=C+1

XF1(C<N)

106

/XF1

(C=N).XF1

104 VC

Vc=0

F1

107

XA2

XF3

XF1

XF1

36

Unité de déclassementDes paquets de thé, provenant d'un poste de conditionnement, doivent recevoir une

marque par impression à l'aide d'un tampon encreur. Ils doivent quitter le poste, rangés par quatre, sur un tapis roulant vers le poste d'emballage.

37

Schéma pneumatique

38

Schéma electrique

ARU

réarm

39

MMA

A1SAP prêt

F1 Production

PROD.VALID.produit

A6Init PO Init PC

D1Figeage PCCoupure Energie PO

ARU

/ARU.réarm.INIT.VALID

fait

/ARU.réarm.REPRISE.VALID

A2 Arrêt fin de cycle ARRET.VALID

+ /produit

fin de cycle