Les Modes de Marche et d’Arrêt (MMA)

Le dialogue d’exploitation
Les constituants de dialogues
Le Gemma
Intégration des MMA
L’encapsulation

1
Philippe Raymond 09/12/04
 I - Le dialogue d’exploitation

Le dialogue d'exploitation regroupe toutes

les fonctions nécessaires à un opérateur pour
commander et surveiller le fonctionnement d'une
machine ou d'une installation

2
 Importance de l’opérateur
Il commande la mise en route et l'arrêt, ces deux phases pouvant
éventuellement comporter des procédures de démarrage ou d'arrêt prises en
charge par l'automatisme ou effectuées en mode manuel ou semi
automatiques sous la responsabilité de l'opérateur.

Il effectue les commandes et les réglages nécessaires au déroulement

normal du processus et surveiller l'état et l'évolution de celui-ci.

Il décèle une situation anormale et engager une action corrective avant

que l'évolution de cette situation n'entraîne une aggravation des
perturbations

Il Fait face à une défaillance du système, en stoppant la production ou en

mettant en œuvre un mode de marche dégradée qui supplée tout ou partie
des commandes automatiques par des commandes manuelles pour
maintenir la production.

Il assure la sécurité des personnes et du matériel en intervenant si

nécessaire sur les dispositifs de sécurité.
3
 Conception d’une IHM
Interface Homme Machine

Le système de dialogue doit être conçu de

telle sorte qu'il facilite la tâche de l'opérateur
et lui permette d'assurer en toutes
circonstances une conduite sûre.

4
 Aspect cognitif

MEMOIRE A COURT TERME

mémorise 7 items (± 2 selon individu, fatigue...)
regroupe les mnèmes (unité d'information) par motifs visuels
( lettres, chiffres, mots, formes, taille, couleur, localisation) ou
acoustiques
motifs visuels :
Durée de vie 15 à 30 secondes

PERCEVOIR COMPRENDRE REAGIR

limiter les items de menus à 7

établir des liens entre éléments (couleurs, format, emplacements) pour faciliter
le filtrage cognitif
écrire des messages concis
ne pas présenter d'informations inutiles
5
 Conseils
PERCEVOIR
Tout changement dans les conditions de marche d'une machine se traduit généralement par la modification ou l'apparition d'une information sur un
voyant, un afficheur ou un écran. Cet événement doit avant tout être perçu par l'opérateur, ceci quelles que soient les conditions d'environnement
(lumière ambiante,...). Différents moyens peuvent être mis en œuvre pour attirer son attention : clignotement de l'information, changement de
couleur, signal sonore, protection contre les reflets, etc.

COMPRENDRE
Pour éviter tout risque d'action préjudiciable à la sûreté, l'information perçue par l'opérateur doit être suffisamment lisible et précise pour être
immédiatement comprise et exploitable. L'ergonomie de lecture des constituants intervient ici tout autant que la conception de la fonction :

Pour un voyant lumineux : respect de la couleur prescrite par la norme, cadences de clignotement lent ou rapide nettement différenciées,...
Pour un afficheur : textes précis dans la langue de l'utilisateur, distance de lisibilité appropriée,...
Pour un écran : emploi de symboles normalisés, zoom offrant une vue détaillée de la zone concernée par le message,...

REAGIR
Selon la teneur du message transmis parla machine, l'opérateur peut être amené à intervenir rapidement en agissant sur un ou plusieurs boutons-
poussoirs ou touches de clavier. Cette action est facilitée par :
 
un repérage clair pour identifier aisément boutons et touches, par exemple par marquage des poussoirs à l'aide de symboles normalisés,
une ergonomie soignée avec des surfaces de poussoirs importantes, des touches à effet tactile, ...

6
 II - Les constituants de dialogue

 
Le dialogue homme-machine est la
fonction par laquelle un opérateur reçoit
l'information sur l'état d'une machine et
peut lui transmettre des ordres et des
consignes. Basées sur des échanges de
messages numériques et alphanumériques
et sur la représentation de machines ou
d'installations par de l'imagerie animée,
elles apportent non seulement une aide
significative pour la conduite
d'exploitation, mais aussi une aide au
diagnostic et de larges possibilités de
suivi de production et de contrôle de
qualité.

7
 Commande et signalisation tout ou rien

Ce sont des interfaces de dialogue

parfaitement adaptées quand les
informations échangées entre opérateur
et machine sont peu nombreuses et
limitées à des signaux tout ou rien.

8
 Norme NF EN 60204-1
 
couleur
couleur
note
Signification

  rouge le rouge doit être utilisée pour les organes de commande d'arrêt
urgence d'urgence

  jaune la couleur jaune est réservée pour les fonctions indiquant un

anormal avertissement ou une condition anormale.

  vert la couleur verte est réservée pour les fonctions indiquant une
sur condition sûre ou normale.

  bleu la couleur bleue est réservée pour les fonctions de signification

obligatoire obligatoire.

  blanc pour les organes de commande marche / mise sous tension

  noir pour les organes de commande arrêt / mise hors tension

9
 Les terminaux d'exploitation

L'évolution des unités de fabrication vers

une plus grande flexibilité impose de plus
en plus fréquemment des changements
rapides et aisés des programmes de
production, des contrôles et des réglages
précis, des modifications de données. Cela
entraîne par conséquent des échanges
d'informations nombreuses et variées entre
l'opérateur et la machine.

10
 La supervision

Assure la communication entre les équipements

d'automatismes et les outils informatiques d'ordonnancement
et de gestion de la production, pour lancer et gérer les
différents programmes de fabrication,

Coordonne le fonctionnement d'un ensemble de machines

enchaînées constituant un îlot ou une ligne de production, en
assurant l'exécution d'ordres communs (marche, arrêt ...) et de
tâches telles que la synchronisation, le pilotage de marches
dégradées ...

Assure une gestion qualitative et quantitative de la production,

cette tâche nécessitant la collecte en temps réel de
nombreuses informations, leur archivage et leur traitement
immédiat ou différé,

Assiste l'opérateur dans les opérations de diagnostic et de

maintenance préventive et corrective.

11
 Exemples

Intouch 9.0

PcVue pour Tablette PC

Cette solution emploie les récentes technologies Wi-Fi répondant aux contraintes de
mobilité, mais s'accompagne également de processus d'authentification des utilisateurs.
L'utilisateur peut ainsi se déplacer au sein de son usine et disposer à tout instant de
l'accès aux informations du process et interagir sur les opérations en cours ou bien
encore traiter les alarmes

12
 Organes de services

Clairement visibles, identifiables et, le cas échéant, marqués de manière appropriée (les boutons, leviers et
commutateurs seront placés là où l'opérateur s'attend à les trouver, suivant une disposition logique avec
leur fonction, en utilisant les recommandations de l'ergonomie.
Placés pour permettre une manœuvre sûre, sans hésitation ni perte de temps et sans équivoque (le bouton
"montée" au-dessus du bouton "descente"... ).
Conçus pour que leur mouvement soit cohérent avec l'effet commandé (un basculement de levier à gauche
fait bouger un axe dans le même sens par rapport à l'opérateur…).
Disposés en dehors des zones dangereuses, sauf si nécessaire pour certains organes tels qu'un arrêt
d'urgence ou une console d'apprentissage pour les robots.
Situés de façon que leurs manœuvres ne puissent engendrer de risques supplémentaires.
Conçus ou protégés de telle façon que l'effet voulu, s'il peut entraîner un risque, ne puisse se produire sans
une manœuvre intentionnelle (attention au levier qu'on accroche, au bouton en saillie qui s'enfonce parce
qu'on pose un cahier ou une pièce sur la console opérateur).
Fabriqués de façon à résister aux efforts prévisibles, notamment en ce qui concerne les dispositifs d'arrêt
d'urgence qui risquent d'être soumis à des efforts importants. Lorsqu'un organe de service est conçu et
construit pour permettre plusieurs actions différentes, c'est-à-dire que son action n'est pas univoque,
notamment en cas d'utilisation d'un clavier, l'action commandée doit être affichée en clair et, si nécessaire,
faire l'objet d'une confirmation.
Les organes de service doivent avoir une configuration telle que leur disposition, leur course et leur effort
résistant soient compatibles avec l'action commandée, compte tenu des principes de l'ergonomie. Les
contraintes dues à l'utilisation, nécessaire ou prévisible, d'équipements de protection individuelle doivent
être prises en considération.
13
 Signalisation et contrôle

La machine doit être munie des dispositifs de signalisation tels que cadrans, signaux, et des indications dont
la connaissance est nécessaire pour qu'elle puisse fonctionner de façon sûre. Depuis le poste de
commande, l'opérateur doit pouvoir percevoir les indications de ces dispositifs. Depuis le poste de
commande principal, l'opérateur doit pouvoir s'assurer de l'absence de personnes exposées dans les zones
dangereuses.
Si cela n'est pas possible, le système de commande doit être conçu et construit de manière que toute mise
en marche soit précédée d'un signal d'avertissement sonore ou visuel. Les personnes exposées présentes
dans la zone dangereuse doivent avoir le temps et les moyens de s'opposer rapidement au démarrage de la
machine. Pour faciliter l'interruption de la signalisation, on évitera la surabondance d'informations inutiles. Si
on utilise un superviseur, on fera une hiérarchie des écrans pour en faciliter la lecture. Le code des couleurs
défini par la norme EN 60204 (rouge : alarme, vert : OK...) doit être utilisé.

14
 Sélecteur de mode de marche

Le mode de commande sélectionné doit avoir priorité sur tous les autres systèmes de commande, à
l'exception le la commande d'arrêt d'urgence. Cela implique que l'on doit considérer le mode affiché au
sélecteur comme un ordre vis-à-vis de la commande et non pas comme une demande. Le passage du mode
automatique au mode manuel par exemple doit générer un arrêt immédiat de la séquence en cours.
 
Si la machine a été conçue et construite pour permettre son utilisation selon plusieurs modes de commande
ou de fonctionnement présentant des niveaux de sécurité différents, tels que les modes de fonctionnement
permettant le réglage, l'entretien, l'inspection, elle doit être munie d'un sélecteur de mode de marche
verrouillable dans chaque position. Chaque position du sélecteur ne doit correspondre qu'à un seul mode de
commande ou de fonctionnement.
Compte tenu qu'il semble bien difficile de concevoir une machine avec les mêmes niveaux de sécurité suivant
les modes de marche, le sélecteur de mode doit être un commutateur à clef ou à code.
Le sélecteur peut être remplacé par d'autres moyens de sélection permettant de limiter l'utilisation de
certaines fonctions de la machine à certaines catégories d'opérateurs, tels que codes d'accès à certaines
fonctions de commandes numériques.

15
 Sélecteur de mode de marche

Si, pour certaines opérations, la machine doit pouvoir fonctionner avec ses dispositifs de protection
neutralisés, le sélecteur de mode de marche doit simultanément :
 
Exclure le mode de commande automatique.
N'autoriser la commande des mouvements que par des organes de service nécessitant une action
maintenue
N’autoriser le fonctionnement des éléments mobiles, dangereux que dans des conditions limitant le
danger telles que marche à vitesse réduite, à effort réduit, par à-coups ou autre disposition adéquate et
en évitant tout risque découlant d'un enclenchement de séquences ;
Interdire tout mouvement susceptible de présenter un danger que pourrait déclencher une action
volontaire ou involontaire sur les capteurs internes de la machine. En outre, au poste de réglage,
l'opérateur doit avoir la maîtrise du fonctionnement es éléments sur lesquels il agit.

16
 Dispositifs d'alerte

Si la machine est munie de dispositifs d'alerte, ils doivent être compris sans ambiguïté et facilement
perçus. La permanence de l'efficacité de ces dispositifs d'alerte doit pouvoir être vérifiée par
l'opérateur-

Un dispositif d'alerte ne doit pas tolérer une panne dormante. Il doit aussi être fiable sinon il ne
remplit pas son rôle par perte de confiance.

…Installé dans ses fonctions vingt-six ans plus tôt et à quelques mois de la retraite, le concierge attitré du
Palais de justice de Rennes fut pris dans une polémique autour du fait que l'alarme, connue pour des
déclenchements intempestifs, avait été interrompue à trois reprises avant que l'alerte ne soit donnée. Seul
mis en examen lors de l'instruction qui suivit, il a été mis hors de cause en 1996…

17
18
 Le GEMMA
guide graphique proposant des modes de marches et d'arrêts types
P.C. HORS A PROCEDURES D'ARRET et DE REMISE EN ROUTE F PROCEDURES DE FONCTIONNEMENT
ENERGIE

Remise en route Arrêt mise en ou hors fonctionnement Essais et vérifications

normal

PZ F4 Marches de
vérification dans
A6 Mise P.O. dans état initial le désordre
A1 Arrêt dans état initial

mise en
énergie

de P.C.
F2 Marches F3 Marches
de pré-
A7 Mise P.O. dans état A4 Arrêt obtenu paration de clôture
déterminé

F5 Marches de
vérification dans
l'ordre

mise hors
énergie A5 Préparation pour remise A2 Arrêt de- A3 Arrêt de-
en route après défaillance mandé en mandé dans
fin de cycle état déterminé F1 Production normale
de P.C.

F6 Marches de test
D2 Diagnostic et / ou D3 Production tout de même
traitement de
mise en défaillance
énergie
de P.C.

PRODUCTION

mise hors D1 Marche ou arrêt en vue d'assurer la sécurité

énergie

de P.C.
19 fonctionnement normal essais et vérifications
D PROCEDURES en DEFAILLANCE de la Partie Opérative
 Procédures de fonctionnement
Dans cet état la machine produit normalement : c'est l'état
pour lequel elle a été conçue.
F1 production normale On peut souvent faire correspondre à cet état un grafcet que
l'on appelle "grafcet de base".
Note : A cet état ne correspond pas nécessairement une
marche automatique

Cet état est utilisé pour les machines nécessitant

F2 marche de préparation une préparation préalable à la production normale :
Préchauffage de l'outillage, remplissage, mises en
routes diverses...

F3 marche de clôture C'est l'état nécessaire pour certaines machines devant

être vidées, nettoyées... en fin de journée ou en fin de série.

marche de vérification
Cet état permet de vérifier certaines fonction ou certains
F4 dans le
mouvement sur la machine sans respecter l'ordre de
désordre
déroulement du cycle

marche de vérification Dans cet état, le cycle de production peut être exploré au
F5
dans l'ordre rythme de production voulu par la personne effectuant
la vérification

Les machines de contrôle, de tri, de mesure... comportent

F6 marche de test
des capteurs qui doivent être réglés ou étalonnés : cet
état permet les différentes opérations.

20
 Procédures d’arrêt
A1 ARRET dans état initial C'est l'état repos de la machine. Il correspond en général
à la situation initiale du grafcet.

Arrêt demandé en fin Lorsque l'arrêt est demandé, la machine continue de produire
A2
de cycle jusqu'à la fin de cycle. l'état A2 est donc un état transitoire
vers l'état A1

Arrêt demandé dans

A3 La machine continue de produire jusqu'à un arrêt en une
état déterminé
position autre que la fin de cycle. c'est un état transitoire vers A4

A4 ARRET Obtenu La machine est alors arrêté dans un état autre que la
fin de cycle.

Préparation pour
C'est dans cet état que l'on procède à toutes les opérations
A5 remise en
(désengagements, nettoyages...) nécessaires à une remise en
route après défaillance
route après défaillance

Mise PO dans état La machine étant en A6, on remet manuellement ou

A6
initial automatiquement la partie opérative en position initiale pour un
redémarrage dans l'état initial.

Mise PO dans état

A7 La machine étant en A7, on remet la partie opérative en position pour
déterminé
un redémarrage dans une position autre que l'état initial.

21
 Procédures de défaillance
C'est l'état pris lors d'un arrêt d'urgence : on y prévoit
D1 ARRET d'URGENCE non seulement les arrêts, mais aussi les cycles de dégagement,
les procédures et précautions nécessaires pour éviter ou
limiter les conséquences dues à la défaillance.

Diagnostic et/ou
C'est dans cet état que la machine peut être examinée après
D2 traitement
défaillance et qu'il peut être apporté un traitement permettant
de la défaillance
le redémarrage.

Il est parfois nécessaire de continuer la production même

D3 Production tout de même après une défaillance de la machine : on aura alors une production
dégradée, forcée ou aidée par des opérateurs non prévus
en production normale

22
 Interprétation du GEMMA
conception  réalisation de la PC
P.C. HORS A PROCEDURES D'ARRET et DE REMISE EN ROUTE F PROCEDURES DE FONCTIONNEMENT
ENERGIE

Remise en route Arrêt mise en ou hors fonctionnement

Essais et vérifications
Comment traiter l’aspect normal

PZ HORS  EN ENERGIE F4 Marches de

vérification dans
A6 Mise P.O. dans état initial le désordre
A1 (necessite
Arrêt que les schémas
dans état initial

mise en
énergie électriques soient réalisés)
de P.C.
F2 Marches F3 Marches
de pré-
A7 Mise P.O. dans état A4 Arrêt obtenu paration de clôture
déterminé
les modes de marches et d'arrêt ne peuvent être
perçus et traités que par une partie commande F5 Marches de
vérification dans
l'ordre
en ordre de marche
mise hors
énergie A5 Préparation pour remise A2 Arrêt de- A3 Arrêt de-
en route après défaillance mandé en mandé dans
fin de cycle état déterminé F1 Production normale
de P.C. Comment traduire
Une traduction sous forme de
que l’ARU peu
grafcet est possible. Les conditions
survenir depuis
de passage d’un mode à l’autre
n’importe quel état
D2 Diagnostic et / ou sont desD3réceptivites.
Production tout de même
F6 Marches de test

mise en
traitement de
défaillance
?
énergie
de P.C.

PRODUCTION

mise hors D1 Marche ou arrêt en vue d'assurer la sécurité

énergie

de P.C.
23 D PROCEDURES en DEFAILLANCE de la Partie Opérative fonctionnement normal essais et vérifications
 0
Proposition d’intégration des MMA
secu
NIVEAU 0 Le module de sécurité est continuellement
réactif à la chaîne de sécurité (arrêt d’urgence). Il constate
1 F/DEF :(10)
son déclenchement et en averti le module de gestion des 0
défaillances.
secu
défaut

NIVEAU 1 Le module de gestion des Figeage,

défauts regroupe la surveillance des défauts 1
signalisation…
NIVEAU 2 Le module de gestion des autre que ceux gérés par la chaîne de
défaillances gère les différents mode de sécurité. défaut
reprise après action sur la chaîne de
sécurité ou après apparition d’un défaut.
NIVEAU 3 Le module de conduite,
assure la gestion des modes de marche A1

9 et d’arrêt, et est synchronisé avec les MMA

éléments du module d’exploitation. Prod.^val

=0
F1 « Production normale »
10 F/MMA : (*) F/PRO :(*)
Arrêt.val

E0 A2 « arrêt demandé en fin de

Secu.init.valid Secu.reprise.valid cycle »
XF1
11 F/MMA:(A1) XE2
E1 « Cycle  prod »
F/PROD:(E0)

XA0.XE0 XF1XF1
E2
NIVEAU 4 Le module d’exploitation regroupe la
gestion de la production, de la préparation, du
24 PROD réglage…
XA2
 hiérarchisation
+
NIV0 – Gestion de
l’ARU

NIV1 – Gestion des défauts

NIV2 – Gestion de la reprise

après défaillance

NIV3 – Gestion de la conduite

normale du SAP

NIV4 – GCT,…
-
25
 Exemple : installation

Une installation assure le mélange de 2

produits liquide A et B.
L’eau assure le rôle de liquide de
rinçage.
Un constituant de dialogue assure la
conduite de l’installation.

26
 Exemple : schéma

S2=réarm
S1=ARU

27
 Exemple : MMA
/ARU.réarm
ARU
(I0.3) REP.^valid
(/I0.3)
D1-ARU A5-REMISE EN ROUTE
coupure energie PO

INIT.^valid
F3-Clôture / initialisation
A1-Malaxeur initialisé Vidange puis rinçage de la cuve pendant 5 mn.
Volume d’eau Ve

Init_ok

n mélange fait STOP.^valid.fdc

PROD.^valid
PROD.^valid

F2-Préparation F1-Production
Acquisition du volume de produit Va, Vb du Réalisation des n mélanges
nombre de mélange n et de la durée de mélange
tm

STOP.^valid PROD.^valid.f
dc

A2-Arrêt fin de cycle

Arrêt après fin du mélange en cours

28
 NIV 4 : Grafcet F1
100

… F1
101 VA

vc>=Va

102 VB

vc>=Va+Vb

103 KM1

Tm/X103

104 VC

Vc=0

105 C:=C+1

C<N C=N

106
29

…
 NIV 4 : Grafcet F3

10 F3
…

11 VC

vc=0

12 VE

vc>=Ve

13 KM1

5m/X13

14 VC

vc=0

15

30
 NIV 3 : Grafcet de conduite
A1

P.^v

F2 COND
P.^v

F1

?
S.^v

A2

P.^v
S.^v

F3

31
 Synchro NIV 3 et NIV 4

10 F3 A1

XF3
P.^v

11 VC F2 COND
vc=0
P.^v

12 VE F1

vc>=Ve
?
13 KM1 S.^v

5m/X13 A2

14 VC P.^v
S.^v

vc=0
F3
15

X15
/XF3

32
 Synchro NIV 3 et NIV 4
100

F1 A1
XF1

P.^v
101 VA
F2 C:=0 COND
vc>=Va

P.^v
102 VB
F1
vc>=Va+Vb

103 KM1 X106

S.^v.(C<N-1)
Tm/X103
A2
104 VC
X107.P.^v
Vc=0
X107.S.^v
105 C:=C+1

F3

XF1(C<N) (C=N).XF1 XA2

X15
106 107
33
/XF1 XF1 XF3
 NIV 0 & NIV 1
SECU
0

/I03

1 DEF{21}

I03

20
DEF
=0

21
F1{*} F3{*} COND{*}

R.^v
I.^v

F1{100} F3{10} COND{F3}

22

X10.X100.XF3

34
 SECU
0
20
DEF
/I03
=0
10 F3
1 DEF{21} XF3
21
F1{*} F3{*} COND{*}
100
I03 11 VC
F1
R.^v. XF1
I.^v
& FLAG vc=0

A1 101 VA
12 VE

P.^v vc>=Va
F1{100} F3{10} COND{F3} vc>=Ve
22
F2 C:=0 SET FLAG 102 VB
13 KM1
X10.X100.XF3 vc>=Va+Vb
P.^v
5m/X13

F1 103 KM1
14 VC

Tm/X103
X106 vc=0
S.^v.(C<N-1) 104 VC
15

A2
Vc=0
/XF3
X107.P.^v 105 C:=C+1

X107.S.^v
XF1(C<N) (C=N).XF1 XA2

F3
106 107
35 COND
X15 /XF1 XF3
XF1
 Unité de déclassement
Des paquets de thé, provenant d'un poste de conditionnement, doivent recevoir une
marque par impression à l'aide d'un tampon encreur. Ils doivent quitter le poste, rangés
par quatre, sur un tapis roulant vers le poste d'emballage.

36
 Schéma pneumatique

37
 Schéma electrique

ARU

réarm

38
 MMA
PROD.VALID.produit
A1 F1
SAP prêt Production

A2
fin de Arrêt fin de
ARRET.VALID
fait cycle cycle + /produit

ARU
A6 D1
Init PO /ARU.réarm.INIT.VALID Figeage PC
Init PC Coupure Energie PO

/ARU.réarm.REPRISE.VALID

39