dj_jean_jean, le 31 juillet 2012 - 08:36 , dit :
petite vérification Mrik, normalement il ne devrait pas y avoir 3 CPU ? Normalement il y a 2 automates de sécurité distincts identique travaillant en redondance l'un de l'autre et un automate de service à côté, plus après d'autres automates pour le fonctionnement de fonctions distinctes ?
Par exemple la RM où je travail il y a 5 automates (2 automates de sécurité travaillant en redondance, 1 automate de service, 1 automate pour le cadenceur, 1 automate pour le fonctionnement du garage).
Il y a souvent confusion entre la notion de disponibilité (Verfügbarkeit, availability) et celle de de sécurité (Sicherheit, safety). Certaines installations ont des hautes exigences pour ce qui est de la disponibilité mais non de la sécurité (p.ex. une grande station de traitement d'eau potable, typiquement on y trouvera une partie de l'automation redondante) alors que pour d'autres c'est l'opposé (p.ex. un massicot industriel ou une presse où l'opérateur mets ses mains dans une zone dangereuse à chaque cycle de travail requiert une commande dont la disponibilité est convetionnelle mais dont la sécurité est élevée). Dans l'avionique, le nucléaire, certains procédés chimiques et prétrochimiques requièrent de systèmes d'automation à la fois sûrs et disponibles.
Un automate programmable dit de sécurité (niveau SIL 3 ou PL e) n'est pas forcément redontant en tant qu'automate même, p.ex. les Siemens S7-F sont monocanaux hardware et sont supposer assurer la sécurité par une exécution diversitaire du programme alors que les Pilz PSS 3000 sont tricanaux diversitaires hardware en interne.
Evidemment qu'à partir d'un certain niveau de sécurité il est nécessaire doubler voire tripler les canaux afin de diminuer suffisamment la probabilité de défaut dangereux.
Le redondance fonctionnelle seule ne permet pas forcément d'atteindre le niveau de sécurité requis, p.ex. exploiter en parallèle deux automates conventionnels comme cela était très courant aux USA pour des commandes supposée être des commandes sécurité, p.ex. pour des RM ou des roller coasters ne remplit pas les exigences SIL 3.
Du point de vue de l'automation, une RM correspond à une machine peu complexe (quelques centaines d'entrées/sorties). L'architecture de commande, et notamment le nombre d'automates, est une question de choix et le nombre d'automates en soi ne dit absolument rien sur la sécurité ni sur la fiabilité.
En pratique, vu que l'on dispose le plus souvent d'un entraînement de secours (qui est lui exploitable indépendamment des automates), la redondances fonctionnelle intégrale de l'automation principale est rare dans les RM, Siemens a réalisé des commandes de RM avec redondance fonctionnelle mais c'est un cas particulier.
Comme dans une RM les sous-systèmes fonctionnels sont quasiment tous liés, on pourrait très bien avoir un seul automate de sécurité et un seul automate conventionnel pour toute la RM, avec des entrées/sorties déportées (liaison à fibres optiques entre les gares).
D'un point de vue pratique il peut être judicieux de dédier un automate de sécurité et une automate convetionnel à chaque gare et éventuellement prévoir des automates supplémentaires pour des tâches spécialisées comme p.ex. la gestion du garage ou le prétraitement des signaux analogiques issus des pesées de pinces.
Détail intéressant, à mon avis la règlementation relative aux commandes des tapis roulants (embarquement ou transport) est trop laxiste, les fonctions de sécurité devraient être en SIL 3. Sauf erreur suite à divers accidents graves les normes ont été revisées ou sont encore en révision (à l'origine les tapis roulants étaient soumis à une réglementation non liée aux RM, à l'origine prévue pour les installations dans les stations de métro, aéroports etc.).
Voir aussi:
http://www.remontees...p?showtopic=500
http://www.remontees...p?showtopic=418
Ce message a été modifié par Velro - 20 février 2013 - 16:44 .