TITRE : Système pour la conduite et l’aide à la conduite d’un processus industriel critique et procédé associé

DOMAINE TECHNIQUE DE L’INVENTION

[0001] Le domaine technique de l’invention est celui des systèmes et procédés de pour la conduite et l’aide à la conduite d’un processus industriel et plus particulièrement celui des systèmes et procédés pour la conduite et l’aide à la conduite d’un processus industriel critique.

[0002] La présente invention concerne un système pour la conduite et l’aide à la conduite d’un processus industriel critique. La présente invention concerne également un procédé de conduite d’un processus industriel mis en oeuvre par le système, et un produit-programme d’ordinateur.

ARRIERE-PLAN TECHNOLOGIQUE DE L’INVENTION

[0003] Pour la conduite de processus industriels fonctionnant en continu, comme par exemple le processus de triage dans une gare de triage ou encore le processus automatique de fabrication d’un dispositif dans une usine, il est courant d’avoir recours à une architecture SCADA (pour « Supervisory Control And Data Acquisition ») réalisant l’acquisition de données et la commande en temps réel d’un processus industriel via des automates programmables industriels, en calculant à partir des données acquises, des informations sur l’état du processus industriel utilisées pour sa commande et sa supervision.

[0004] Pour assurer la sûreté du processus industriel et donc plus particulièrement dans le cas de la conduite de processus industriels critiques, comme par exemple le processus de gestion de la fourniture d’énergie par un réseau électrique ou par une centrale de production d’énergie électrique, l’architecture doit répondre à plusieurs exigences de sûreté, stipulées par exemple par la classe 2 selon IEC 61513 ou SIL2 selon IEC 61508. En particulier, l’architecture doit être fiable, à haute disponibilité, c’est-à-dire entièrement redondante et permettant de répondre à des exigences de disponibilité sur une période ayant une durée supérieure à une dizaine d’années, capable d’échanger un grand nombre d’informations, typiquement de l’ordre de 60 000 informations élémentaires et 20 000 commandes numériques, et de calculer un grand nombre d’informations, typiquement plus de 50 000 informations, dans des temps de traitement de quelques centaines de millisecondes à 2 ou 3 secondes et de mettre à disposition ces informations de manière centralisée et en cohérence temporelle au niveau des postes opérateurs.

[0005] Pour répondre à ces exigences de sûreté, il est connu d’utiliser des systèmes de haut niveau de sûreté complémentaires au système principal de conduite, tels que les systèmes SPDS pour « Safety Parameter Display System » configurés pour afficher les informations essentielles pour la sûreté de fonctionnement, éventuellement couplés à un panneau de repli permettant de mettre le processus en état sûr de repli en cas de panne du système principal de conduite.

[0006] Cependant, de tels systèmes ont une capacité de surveillance limitée, de l’ordre de 1000 à 3000 informations, et ne permettent pas de passer des commandes vers le processus. Ils ne sont donc pas adaptés à la conduite de gros processus industriels critiques.

[0007] Il existe donc un besoin d’un système pour la conduite d’un processus industriel critique répondant aux exigences de sûreté précitées et ne nécessitant pas de systèmes de sûreté complémentaires.

RESUME DE L’INVENTION

[0008] L’invention offre une solution aux problèmes évoqués précédemment, en proposant un système de conduite d’un processus industriel à haute disponibilité, fiable, et fournissant de manière centralisée aux postes opérateurs des informations cohérentes et fiables en temps réel.

[0009] Un premier aspect de l’invention concerne un système pour la conduite et l’aide à la conduite d’un processus industriel critique comprenant :

- Un premier ensemble de postes opérateurs comprenant chacun une interface graphique et étant chacun configuré pour :

- recevoir des consignes d’un opérateur via l’interface graphique ;

- afficher à un instant courant et sur demande de l’opérateur, des premières informations d’un sous-ensemble d’informations, le sous-ensemble d’informations étant compris dans un ensemble d’informations relatives au processus industriel, l’ensemble d’informations comprenant un groupe d’informations pour chaque instant d’acquisition d’une pluralité d’instants d’acquisition précédant l’instant courant, chaque groupe d’informations comprenant des premières informations pour la conduite du processus industriel et des deuxièmes informations pour l’aide à la conduite du processus industriel ;

- Un deuxième ensemble de postes opérateurs chacun configuré pour afficher à l’instant courant et sur demande de l’opérateur, les deuxièmes informations du sous-ensemble d’informations ;

- Un premier sous-système pour la conduite du processus industriel présentant un fonctionnement cyclique, un deuxième sous-système pour l’aide à la conduite du processus industriel présentant un fonctionnement événementiel et un dispositif de séparation unidirectionnel compris dans le premier sous-système et dans le deuxième sous-système, comportant un couple de calculateurs ;

- Le premier sous-système comprenant :

- Un module d’interface configuré pour collecter d’une pluralité d’automates programmables industriels présentant chacun un modèle d’automate, des données, chaque donnée étant associée à un instant d’acquisition de la pluralité d’instants d’acquisition, le module d’interface comportant au moins un couple de calculateurs pour chaque modèle d’automate, chaque calculateur du couple de calculateurs étant configuré pour :

- collecter chaque donnée reçue par chaque automate présentant le modèle d’automate et éliminer chaque donnée reçue en double ;

- envoyer à au moins un automate, au moins une commande dépendant des données collectées et/ou de consignes fournies par l’opérateur ;

- les calculateurs du module d’interface fonctionnant en redondance asynchrone ;

- Un premier module de traitement comportant un couple de calculateurs, chaque calculateur du couple de calculateurs étant configuré pour :

- recevoir de chaque calculateur du module d’interface, les données collectées ;

- trier les données reçues en fonction de leur instant d’acquisition et éliminer les données reçues en double ; - calculer pour chaque instant d’acquisition, les premières informations du groupe d’informations correspondant, à partir des données triées correspondantes ;

- envoyer à chaque calculateur du dispositif de séparation, chaque première information calculée ;

- Les calculateurs du premier module de traitement fonctionnant en redondance active ;

- Un premier module de gestion des postes opérateurs comportant un calculateur pour chaque poste opérateur du premier ensemble de postes opérateurs, chaque calculateur étant configuré pour :

- recevoir chaque première information calculée ;

- envoyer au poste opérateur correspondant, chaque première information correspondant au sous-ensemble d’informations demandé ;

- gérer l’interface graphique du poste opérateur correspondant ;

- Un premier réseau de communication doublé présentant une première voie et une deuxième voie distincte comprenant un premier module de redondance réparti sur chaque calculateur du premier sous-système, chaque calculateur du premier sous-système étant configuré pour :

- envoyer au premier module de redondance, chaque message destiné à au moins un autre calculateur du premier sous-système, simultanément sur la première voie et la deuxième voie ;

- recevoir chaque message qui lui est destiné du premier module de redondance et envoyer un acquittement au premier module de redondance ;

- le premier module de redondance étant configuré pour :

- recevoir le message envoyé via la première voie et/ou via la deuxième voie ;

- effacer le message reçu via la deuxième voie si le message a été reçu via la première voie ;

- modifier le message reçu en ajoutant une demande d’acquittement ; - diffuser vers l’autre calculateur du premier sous-système, le message modifié, simultanément sur la première voie et la deuxième voie ;

- le deuxième sous-système comprenant :

- Un deuxième module de traitement comportant un couple de calculateurs, chaque calculateur du couple de calculateurs étant configuré pour :

- recevoir de chaque calculateur du dispositif de séparation, les données collectées et les premières informations calculées ;

- éliminer les données et les premières informations reçues en double ;

- calculer pour chaque instant d’acquisition, les deuxièmes informations du groupe d’informations correspondant, à partir des données et des premières informations triées correspondantes ;

- les calculateurs du deuxième module de traitement fonctionnant en redondance active ;

- Un deuxième module de gestion des postes opérateurs comportant un calculateur pour chaque poste opérateur du deuxième ensemble de postes opérateurs, chaque calculateur étant configuré pour :

- recevoir chaque deuxième information calculée ;

- envoyer au poste opérateur correspondant, chaque deuxième information correspondant au sous-ensemble d’informations demandé ;

- gérer l’interface graphique du poste opérateur correspondant ;

- Un deuxième réseau de communication doublé présentant une première voie et une deuxième voie distincte, comprenant un deuxième module de redondance réparti sur chaque calculateur du deuxième sous-système, chaque calculateur du deuxième sous-système étant configuré pour :

- envoyer au deuxième module de redondance, chaque message destiné à au moins un autre calculateur du deuxième sous-système, simultanément sur la première voie et la deuxième voie ;

- recevoir chaque message qui lui est destiné du deuxième module de redondance et envoyer un acquittement au deuxième module de redondance ;

- le deuxième module de redondance étant configuré pour : - recevoir le message envoyé via la première voie et/ou via la deuxième voie ;

- effacer le message reçu via la deuxième voie si le message a été reçu via la première voie ;

- modifier le message reçu en ajoutant une demande d’acquittement ;

- diffuser vers l’autre calculateur du deuxième sous-système, le message modifié, simultanément sur la première voie et la deuxième voie.

[0010] Grâce à l’invention, le système est séparé en deux sous-systèmes distincts par un dispositif de séparation, le premier sous-système regroupant les fonctionnalités nécessaires à la conduite et le deuxième sous-système regroupant les fonctionnalités d’aide à la conduite moins exigeantes en termes de sûreté, ce qui permet de limiter les informations à gérer par le premier sous-système et ainsi de mettre en oeuvre un fonctionnement cyclique pour acquérir et calculer systématiquement à chaque cycle toutes les informations essentielles, tout en restant compatible avec les puissances atteignables par la technologie courante des calculateurs. Ce fonctionnement cyclique permet de garantir à la fois la prédictibilité des temps de réponse et aussi la fiabilité des informations traitées. La séparation des fonctionnalités permet aussi de faciliter la qualification du système en réduisant le volume de travail nécessaire aux démonstrations de sûreté.

[0011] Le dispositif de séparation permet d’envoyer toutes les informations acquises et calculées par le premier sous-système vers le deuxième sous-système, et le deuxième sous-système détectant les changements de valeurs pour fonctionner en mode événementiel. Etant unidirectionnel, le dispositif de séparation permet de garantir que les éventuelles défaillances du deuxième sous-système ne nuisent pas au fonctionnement fiable du premier sous-système.

[0012] Le couplage des deux sous-systèmes via le dispositif de séparation permet d’avoir une conduite centralisée et assise de chaque opérateur sur un poste opérateur regroupant par juxtaposition des écrans rafraîchis séparément par chacun des deux sous-systèmes.

[0013] Au sein du premier sous-système, un couple de calculateurs du module d’interface récupère les données acquises par une unique technologie d’automate et élimine les doublons, ce qui permet le découplage entre la gestion de la redondance de chaque technologie d’automate et la gestion de la redondance par le système selon l’invention. Au niveau du module d’interface, la redondance est assurée par chaque couple de calculateurs fonctionnant en redondance asynchrone, c’est-à-dire que chaque calculateur réalise les mêmes tâches sur les données qui lui sont affectées sans synchronisation avec les autres calculateurs.

[0014] Le couple de calculateurs du premier module de traitement récupère les données acquises par chaque couple de calculateurs du module d’interface et les ordonne temporellement en supprimant les doublons, ce qui permet d’assurer la cohérence temporelle et l’unicité des données. Les informations nécessaires à la conduite du processus, appelées premières informations, sont ensuite calculées à partir des données triées et donc cohérentes temporellement.

[0015] Le couple de calculateurs du deuxième module de traitement récupère les données acquises et triées et les premières informations calculées par le premier sous-système et supprime les doublons, ce qui permet d’assurer la cohérence temporelle et l’unicité des données et des premières informations. Les informations pour l’aide à la conduite du processus, appelées deuxièmes informations, sont ensuite calculées à partir des données et des premières informations triées et donc cohérentes temporellement.

[0016] Au niveau du premier module de traitement et du deuxième module de traitement, la redondance est assurée par le couple de calculateurs fonctionnant en redondance active, c’est-à-dire réalisant les mêmes tâches simultanément et envoyant uniquement les informations calculées par l’un des calculateurs.

[0017] Chaque calculateur du premier module de gestion des postes opérateurs récupère les premières informations calculées et envoient au poste opérateur du premier ensemble de postes opérateurs associé les premières informations demandées par l’opérateur et chaque calculateur du deuxième module de gestion des postes opérateurs récupère les deuxièmes informations calculées et envoient au poste opérateur du deuxième ensemble de postes opérateurs associé les deuxièmes informations demandées par l’opérateur. Chaque poste opérateur du premier ensemble de postes opérateurs étant identique et chaque poste opérateur du deuxième ensemble de postes opérateurs étant identique, la redondance est assurée au niveau des postes opérateurs.

[0018] Suite à l’affichage des informations demandées, l’opérateur peut fournir une consigne via l’interface graphique d’un poste opérateur du premier ensemble de postes opérateurs pour modifier la conduite du processus industriel. La consigne est transmise à au moins un automate concerné via une commande émise par le couple de calculateurs du module d’interface correspondant.

[0019] Lors des communications entre calculateurs, la redondance est assurée par le doublement du premier réseau de communication et du deuxième réseau de communication et la cohérence temporelle est assurée par le premier module de redondance et le deuxième module de redondance utilisant un mécanisme d’acquittement pour assurer la bonne réception simultanée des messages par l’ensemble des calculateurs destinataires.

[0020] La cohérence temporelle et l’unicité des données et informations, ainsi que la redondance sont donc assurées en chaque point du système qui répond donc aux exigences de haute disponibilité, de fiabilité et de prédictibilité des temps de réponse.

[0021] Outre les caractéristiques qui viennent d’être évoquées dans le paragraphe précédent, le système selon un premier aspect de l’invention peut présenter une ou plusieurs caractéristiques complémentaires parmi les suivantes, considérées individuellement ou selon toutes les combinaisons techniquement possibles.

[0022] Selon une variante de réalisation, le premier sous-système comporte en outre une première base de données répartie sur au moins une partie des calculateurs du premier sous-système, configurée pour stocker et gérer les données et les premières informations et/ou le deuxième sous-système comporte en outre une deuxième base de données répartie sur au moins une partie des calculateurs du deuxième sous-système, configurée pour stocker et gérer les données, les premières informations et les deuxièmes informations.

[0023] Ainsi, la première base de données répartie sur les calculateurs du premier sous-système et/ou la deuxième base de données répartie sur les calculateurs du deuxième sous-système gère une vue cohérente des données et informations représentatives de l’état du processus industriel, garantissant tout risque d’aléa temporel.

[0024] Selon une variante de réalisation compatible avec la variante de réalisation précédente, le deuxième sous-système comporte en outre un module d’instant courant comportant une pluralité de calculateurs, chaque calculateur du module d’instant courant étant configuré pour : - répliquer au moins une partie des données, des premières informations et des deuxièmes informations du deuxième module de traitement ;

- fournir au deuxième module de gestion des postes opérateurs, les données, les premières informations et les deuxièmes informations répliquées correspondant à l’instant d’acquisition précédant immédiatement l’instant courant ; les calculateurs du module d’instant courant fonctionnant en redondance fonctionnelle. [0025] Ainsi, les calculateurs du module d’instant courant gèrent les données relatives à l’instant courant et donc les modifications à apporter à l’affichage des postes opérateurs du deuxième ensemble de postes opérateurs en temps réel et décharge ainsi les calculateurs du deuxième module de gestion des postes opérateurs. Au niveau du module d’instant courant, la redondance est assurée par la pluralité de calculateurs fonctionnant en redondance fonctionnelle, c’est-à-dire réalisant les mêmes tâches simultanément.

[0026] Selon une variante de réalisation compatible avec les variantes de réalisation précédentes, le deuxième sous-système comporte en outre un module d’archivage comportant une pluralité de calculateurs, chaque calculateur du module d’archivage étant configuré pour :

- répliquer et archiver une partie des données, des premières informations et des deuxièmes informations du deuxième module de traitement ;

- fournir au deuxième module de gestion des postes opérateurs, les données, les premières informations et les deuxièmes informations archivées correspondant à chaque instant d’acquisition précédant l’instant d’acquisition précédant immédiatement l’instant courant ; les calculateurs du module d’archivage fonctionnant en redondance fonctionnelle.

[0027] Ainsi, les calculateurs du module d’archivage gèrent les données à afficher non relatives à l’instant courant, c’est-à-dire les données d’archives, et décharge ainsi les calculateurs du deuxième module de gestion des postes opérateurs. Au niveau du module d’archivage, la redondance est assurée par la pluralité de calculateurs fonctionnant en redondance fonctionnelle.

[0028] Un deuxième aspect de l’invention concerne un procédé de conduite d’un processus industriel critique mis en oeuvre par le système selon l’invention, comprenant les étapes suivantes réalisées pour chaque cycle d’un ensemble de cycles :

- Pour chaque calculateur de chaque couple de calculateurs du module d’interface, collecte de chaque donnée reçue par chaque automate présentant un modèle d’automate correspondant et élimination de chaque donnée reçue en double, chaque donnée étant associée à un instant d’acquisition précédant un instant courant ;

- Réception par chaque calculateur du premier module de traitement, des données collectées par le module d’interface, tri des données reçues en fonction de leur instant d’acquisition, élimination des données reçues en double et calcul de premières informations d’un groupe d’informations pour chaque instant d’acquisition, à partir des données triées correspondantes et envoi à chaque calculateur du dispositif de séparation, de chaque première information calculée

J

- Réception par chaque calculateur du premier module de gestion des postes opérateurs, de chaque première information calculée et envoi à chaque poste opérateur du premier ensemble de postes opérateurs, de chaque première information reçue comprise dans un sous-ensemble d’informations demandé par un opérateur ;

- Réception par chaque calculateur du deuxième module de traitement, des données collectées et des premières informations calculées par le premier sous- système, détection des données et premières informations modifiées par rapport au cycle précédent, élimination des données et premières informations reçues en double et calcul de deuxièmes informations du groupe d’informations pour chaque instant d’acquisition, à partir des données et des premières informations détectées correspondantes ;

- Réception par chaque calculateur du deuxième module de gestion des postes opérateurs, de chaque deuxième information calculée et envoi à chaque poste opérateur du deuxième ensemble de postes opérateurs, de chaque deuxième information reçue comprise dans le sous-ensemble d’informations demandé ;

- Affichage des premières informations du sous-ensemble d’informations demandé par chaque poste opérateur du premier ensemble de postes opérateurs et des deuxièmes informations du sous-ensemble d’informations demandé par chaque poste opérateur du deuxième ensemble de postes opérateurs, à l’instant courant ;

- Si l’opérateur fournit une consigne via l’interface graphique d’un poste opérateur du premier ensemble de postes opérateurs, envoi de la consigne au module d’interface ;

- Envoi par le module d’interface d’au moins une commande dépendant des données reçues et/ou de la consigne à au moins un automate ; chaque étape de réception par un calculateur du premier sous-système comportant un échange d’au moins un message entre le calculateur et un autre calculateur du premier sous-système comportant les sous-étapes suivantes :

- Envoi simultané sur la première voie et la deuxième voie du premier réseau de communication, du message par l’autre calculateur vers le premier module de redondance ;

- Réception par le premier module de redondance du message envoyé ;

- Si le message est reçu via la première voie et via la deuxième voie, effacement par le premier module de redondance, du message reçu via la deuxième voie ;

- Modification par le premier module de redondance, du message reçu par ajout d’une demande d’acquittement ;

- Diffusion simultanée sur la première voie et la deuxième voie, du message modifié vers le calculateur par le premier module de redondance ;

- Réception du message modifié par le calculateur et envoi d’un acquittement au premier module de redondance ; chaque étape de réception par un calculateur du deuxième sous-système comportant un échange d’au moins un message entre le calculateur et un autre calculateur du deuxième sous-système comportant les sous-étapes suivantes :

- Envoi simultané sur la première voie et la deuxième voie du deuxième réseau de communication, du message par l’autre calculateur vers le deuxième module de redondance ;

- Réception par le deuxième module de redondance, du message envoyé ;

- Si le message est reçu via la première voie et via la deuxième voie, effacement par le deuxième module de redondance, du message reçu via la deuxième voie

- Modification par le deuxième module de redondance, du message reçu par ajout d’une demande d’acquittement ; - Diffusion simultanée sur la première voie et la deuxième voie, du message modifié vers le calculateur par le deuxième module de redondance ;

- Réception du message modifié par le calculateur et envoi d’un acquittement au deuxième module de redondance.

[0029] Selon une variante de réalisation, le procédé selon l’invention comporte en outre les étapes suivantes réalisées par chaque calculateur du module d’instant courant :

- Réplication d’au moins une partie des données, des premières informations et des deuxièmes informations du deuxième module de traitement ;

- Envoi à chaque calculateur du deuxième module de gestion des postes opérateurs, des données, des premières informations et des deuxièmes informations répliquées correspondant à l’instant d’acquisition précédant immédiatement l’instant courant.

[0030] Selon une variante de réalisation compatible avec la variante de réalisation précédente, le procédé selon l’invention comporte en outre les étapes suivantes réalisées par chaque calculateur du module d’archivage :

- Réplication et archivage d’au moins une partie des données, des premières informations et des deuxièmes informations du deuxième module de traitement ;

- Envoi à chaque calculateur du deuxième module de gestion des postes opérateurs, des données, des premières informations et des deuxièmes informations archivées correspondant à chaque instant d’acquisition précédant l’instant d’acquisition précédant immédiatement l’instant courant.

[0031] Selon une sous-variante de réalisation des variantes de réalisation précédentes, l’étape d’envoi par un calculateur du deuxième sous-système comporte un échange d’au moins un message entre le calculateur et au moins un autre calculateur du deuxième sous-système comportant les sous-étapes suivantes :

- Envoi simultané sur la première voie et la deuxième voie du deuxième réseau de communication, du message par le calculateur vers le deuxième module de redondance ;

- Réception par le deuxième module de redondance, du message envoyé ; - Si le message est reçu via la première voie et via la deuxième voie, effacement par le deuxième module de redondance, du message reçu via la deuxième voie

- Modification par le deuxième module de redondance, du message reçu par ajout d’une demande d’acquittement ;

- Diffusion simultanée sur la première voie et la deuxième voie, du message modifié vers l’autre calculateur ;

- Réception du message modifié par l’autre calculateur et envoi d’un acquittement au deuxième module de redondance.

[0032] Un troisième aspect de l’invention concerne un produit-programme d’ordinateur comprenant des instructions qui, quand le programme est exécuté sur un ordinateur, conduisent celui-ci à mettre en oeuvre les étapes du procédé selon l’invention.

[0033] Selon une variante de réalisation, le produit-programme d’ordinateur est rédigé en langage ADA.

[0034] Ainsi, le produit-programme d’ordinateur est indépendant du matériel des calculateurs sur lesquels il est implémenté.

[0035] L’invention et ses différentes applications seront mieux comprises à la lecture de la description qui suit et à l’examen des figures qui l’accompagnent.

BREVE DESCRIPTION DES FIGURES

[0036] Les figures sont présentées à titre indicatif et nullement limitatif de l’invention.

- La figure 1 montre une représentation schématique d’un système selon l’invention.

- La figure 2 montre une représentation schématique d’un premier sous-système du système selon l’invention.

- La figure 3 montre une représentation schématique d’un deuxième sous- système du système selon l’invention.

- La figure 4 est un schéma synoptique illustrant l’enchaînement des étapes d’un procédé selon l’invention. - La figure 5 montre les données acquises et les informations calculées par le procédé selon l’invention en fonction du temps.

- La figure 6 est un schéma synoptique illustrant l’enchaînement des sous-étapes d’une étape du procédé selon l’invention comportant l’échange d’un message entre un calculateur et au moins un autre calculateur du premier sous-système du système selon l’invention.

- La figure 7 montre une représentation schématique de l’échange d’un message entre un calculateur et au moins un autre calculateur du premier sous-système du système selon l’invention.

- La figure 8 est un schéma synoptique illustrant l’enchaînement des sous-étapes d’une étape du procédé selon l’invention comportant l’échange d’un message entre un calculateur et au moins un autre calculateur du deuxième sous-système du système selon l’invention.

- La figure 9 montre une représentation schématique de l’échange d’un message entre un calculateur et au moins un autre calculateur du deuxième sous-système du système selon l’invention.

DESCRIPTION DETAILLEE

[0037] Sauf précision contraire, un même élément apparaissant sur des figures différentes présente une référence unique.

[0038] Un premier aspect de l’invention concerne un système permettant la conduite ou commande d’un processus industriel critique.

[0039] On entend par « conduite d’un processus industriel », la méthode utilisée pour régir la marche du processus industriel.

[0040] La conduite d’un processus industriel comporte classiquement des fonctionnalités nécessaires à la conduite, regroupant par exemple l’acquisition des données, l’affichage des informations pour la génération d’alarmes et pour la prise de décision, et des fonctionnalités d’aide à la conduite, regroupant par exemple l’affichage des informations pour la supervision ou des séquences de conduite, et l’archivage des données. [0041] Dans le contexte de l’invention, la prédictibilité des temps de réponse et la fiabilité des informations traitées sont garanties pour les fonctionnalités nécessaires à la conduite.

[0042] Pour assurer la prédictibilité des temps de réponse, le comportement du système vis-à-vis de son environnement doit être établi au moyen d’un modèle capable de déterminer les temps de réponse quel que soit le scénario.

[0043] Pour assurer la fiabilité des informations traitées, le système doit permettre de détecter pour un ensemble d’informations, l’absence de communications ou de traitements pour éviter le risque d’avoir des informations non rafraîchies, ou d’utiliser une information erronée ou absente suite à un aléa temporel non détecté.

[0044] Le processus industriel est un processus industriel critique, comme par exemple le processus de gestion de la fourniture d’énergie par un réseau électrique ou par une centrale de production d’énergie.

[0045] Le système selon l’invention est à haute disponibilité, c’est-à-dire que les fonctionnalités nécessaires à la conduite et les fonctionnalités d’aide à la conduite sont à haute disponibilité.

[0046] On entend par « disponibilité », la propriété d'un système capable d'assurer ses fonctions sans interruption, délai ou dégradation, au moment même où la sollicitation en est faite.

[0047] On entend par « système à haute disponibilité », un système capable de répondre aux exigences de disponibilité sur une période ayant une durée supérieure à une dizaine d’années.

[0048] Pour obtenir un système à haute disponibilité, le système doit être entièrement redondant, c’est-à-dire disposés de dispositifs ou de fonctions supplémentaires destinés à permettre la reprise de l'exploitation en cas de défaillance ou d'indisponibilité de n’importe quel dispositif ou fonction principal.

[0049] [Fig. 1 ] La figure 1 montre une représentation schématique du système 100 selon l’invention.

[0050] Le système 100 comporte : - Un premier sous-système 102 pour la conduite du processus industriel, c’est-à- dire réalisant les fonctionnalités nécessaires à la conduite du processus industriel, devant donc répondre aux exigences de prédictibilité des temps de réponse, de fiabilité des informations traitées et de haute disponibilité ;

- Un deuxième sous-système 104 pour l’aide à la conduite du processus industriel, c’est-à-dire réalisant les fonctionnalités d’aide à la conduite du processus industriel, devant donc répondre à l’exigence de haute disponibilité ;

- Un dispositif de séparation unidirectionnel 103, comportant un couple de calculateurs ;

- Un premier ensemble 1051 de postes opérateurs 105 et un deuxième ensemble 1052 de postes opérateurs 105, chaque poste opérateur 105 comprenant une interface graphique.

[0051] Pour répondre aux exigences de prédictibilité des temps de réponse et de fiabilité des informations traitées, le premier sous-système 102 présente un fonctionnement cyclique, c’est-à-dire que les processus mis en oeuvre par le premier sous-système 102 sont réalisés à chaque cycle et que les données sont transmises à chaque cycle, qu’elles aient été modifiées ou non entre deux cycles successifs.

[0052] En revanche, le deuxième sous-système 104 présente un fonctionnement événementiel, c’est-à-dire que les données sont transmises uniquement quand elles ont été modifiées entre deux cycles successifs.

[0053] Comme illustré sur la figure 1 , le dispositif de séparation 103 est compris à la fois dans le premier sous-système 102 et le deuxième sous-système 104, c’est-à- dire que le couple de calculateurs du dispositif de séparation 103 est considéré comme appartenant au premier sous-système 102 par les autres calculateurs du premier sous- système 102 et considéré comme appartenant au deuxième sous-système 104 par les autres calculateurs du deuxième sous-système 104.

[0054] En particulier, le dispositif de séparation 103 est physiquement compris dans le premier sous-système 102, c’est-à-dire que le couple de calculateurs du dispositif de séparation 103 appartient au premier sous-système 102, et héberge une partie logicielle du deuxième sous-système 104.

[0055] Le dispositif de séparation 103 est unidirectionnel puisqu’il peut recevoir des messages du premier sous-système 102 et envoyer des messages au deuxième sous-système 104 mais ne peut pas recevoir des messages du deuxième sous- système 104 et envoyer des messages au premier sous-système 102.

[0056] Le système 100 peut également comporter un poste d’administration non représenté sur les figures sur lequel est installé un système d’exploitation, et un module d’administration configuré pour gérer la liaison entre les calculateurs du système 100 et le poste d’administration, c’est-à-dire pour faire l’interface entre le système 100 et le poste d’administration.

[0057] Le poste d’administration est distinct des postes opérateurs 105.

[0058] [Fig. 2] La figure 2 montre une représentation schématique du premier sous- système 102 du système 100 selon l’invention.

[0059] Le premier sous-système 102 comporte :

- Un module d’interface 1021 ;

- Un premier module de traitement 1023 comportant un couple de calculateurs 1022 ;

- Un module de gestion des postes opérateurs 1024 comportant un calculateur 1022 par poste opérateur 105 du premier ensemble 1051 de postes opérateur 105.

[0060] Le module d’interface 1021 est configuré pour s’interfacer avec une pluralité d’automates 101 programmables industriels à haute disponibilité, présentant chacun un modèle d’automate. Le module d’interface 1021 comporte au moins un couple de calculateurs 1022 pour chaque modèle d’automate.

[0061] Sur la figure 2, le premier sous-système 102 s’interface avec douze automates 101 représentés par des triangles, trois automates 101 présentant un modèle 1 d’automate, deux automates 101 présentant un modèle 2 d’automate, trois automates 101 présentant un modèle 3 d’automate et quatre automates 101 présentant un modèle 4 d’automate.

[0062] Sur la figure 2, le module d’interface 1021 comporte un couple de calculateurs par modèle d’automate, c’est-à-dire un premier couple de calculateurs 1022 s’interfaçant avec les automates 101 présentant le modèle 1 d’automate, un deuxième couple de calculateurs 1022 s’interfaçant avec les automates 101 présentant le modèle 2 d’automate, un troisième couple de calculateurs 1022 s’interfaçant avec les automates 101 présentant le modèle 3 d’automate et un quatrième couple de calculateurs 1022 s’interfaçant avec les automates 101 présentant le modèle 4 d’automate.

[0063] Le module d’interface 1021 pourrait comporter une pluralité de couples de calculateurs 1022 par modèle d’automate.

[0064] Chaque automate 101 communique avec au moins un capteur 1011 et au moins un actionneur 1012.

[0065] Sur la figure 2, douze capteurs 101 1 représentés par des carrés et douze actionneurs 1012 représentés par des cercles sont visibles et chaque automate 101 communique avec un capteur 101 1 et un actionneur 1012.

[0066] Chaque automate 101 pourrait communiquer avec une pluralité de capteurs 101 1 et/ou une pluralité d’actionneurs 1012.

[0067] Sur la figure 2, le premier ensemble 1051 de postes opérateurs 105 comporte deux postes opérateurs 105 donc le premier module de gestion des postes opérateurs 1024 comporte deux calculateurs 1022.

[0068] Les calculateurs 1022 du module d’interface 1021 fonctionnent en redondance asynchrone, c’est-à-dire que chaque calculateur 1022 d’un couple de calculateurs 1022 réalise les mêmes tâches que l’autre calculateur 1022 du couple de calculateurs 1022 sans synchronisation entre eux et que chaque couple de calculateurs 1022 réalise les mêmes tâches que les autres couples de calculateurs 1022 sans synchronisation entre eux.

[0069] Le couple de calculateurs 1022 du premier module de traitement 1023 fonctionne en redondance active, c’est-à-dire que chaque calculateur 1022 réalise les mêmes tâches que l’autre calculateur 1022 en totale synchronisation mais seulement l’un des deux calculateurs 1022 communique des résultats au reste du système 100.

[0070] [Fig. 7] La figure 7 montre une représentation schématique du fonctionnement des communications entre calculateurs 1022 au sein du premier sous- système 102. [0071] Le premier sous-système 102 comporte un premier réseau de communication 1031 doublé présentant une première voie 1032 et une deuxième voie

1033 indépendantes l’une de l’autre et comprenant un premier module de redondance

1034 réparti sur les calculateurs 1022 du premier sous-système 102.

[0072] Le premier réseau de communication 1031 est par exemple un réseau Ethernet doublé.

[0073] Le premier sous-système 102 peut également comporter une première base de données 1025 répartie sur au moins une partie des calculateurs 1022 du premier sous-système 102.

[0074] Sur la figure 2, la première base de données 1025 est répartie sur les calculateurs 1022 du premier module de traitement 1023 et sur les calculateurs 1022 du premier module de gestion des postes opérateurs 1024 mais la première base de données 1025 pourrait également être répartie sur d’autres calculateurs 1022, par exemple sur les calculateurs 1022 du module d’interface 1021 .

[0075] La première base de données 1025 peut également être répartie sur l’ensemble des calculateurs 1022 du premier sous-système 102.

[0076] [Fig. 3] La figure 3 montre une représentation schématique du deuxième sous-système 104 du système 100 selon l’invention.

[0077] Le deuxième sous-système 104 comporte :

- Un deuxième module de traitement 1041 comportant un couple de calculateurs 1042 ;

- Un deuxième module de gestion des postes opérateurs 1043 comportant un calculateur 1042 par poste opérateur 105 du deuxième ensemble 1052 de postes opérateurs 105.

[0078] Sur la figure 3, le deuxième ensemble 1052 de postes opérateurs 105 comporte deux postes opérateurs 105 donc le deuxième module de gestion des postes opérateurs 1043 comporte deux calculateurs 1042. [0079] Le couple de calculateurs 1042 du deuxième module de traitement 1041 fonctionne en redondance active.

[0080] [Fig. 9] La figure 9 montre une représentation schématique du fonctionnement des communications entre calculateurs 1042 au sein du deuxième sous-système 104.

[0081] Le deuxième sous-système 104 comporte un deuxième réseau de communication 1035 doublé présentant une première voie 1036 et une deuxième voie 1037 indépendantes l’une de l’autre et comprenant un deuxième module de redondance 1038 réparti sur les calculateurs 1042 du deuxième sous-système 104.

[0082] Le deuxième réseau de communication 1035 est par exemple un réseau Ethernet doublé.

[0083] Le deuxième sous-système 104 peut également comporter :

- Une deuxième base de données 1046 répartie sur au moins une partie des calculateurs 1042 du deuxième sous-système 104 ;

- Un module d’instant courant 1044 comportant une pluralité de calculateurs 1042 ;

- Un module d’archivage 1045 comportant une pluralité de calculateurs 1042.

[0084] Sur la figure 3, la deuxième base de données 1046 est répartie sur les calculateurs 1042 du deuxième module de traitement 1041 et sur les calculateurs 1042 du deuxième module de gestion des postes opérateurs 1043 mais la deuxième base de données 1046 pourrait également être répartie sur d’autres calculateurs 1042.

[0085] La deuxième base de données 1046 peut également être répartie sur l’ensemble des calculateurs 1042 du deuxième sous-système 104.

[0086] La deuxième base de données 1046 peut également être répartie sur les calculateurs 1042 du module d'instant courant 1044 et/ou sur les calculateurs 1042 du module d’archivage 1045.

[0087] Les calculateurs 1042 du module d’instant courant 1044 fonctionnent en redondance fonctionnelle, c’est-à-dire que les tâches sont effectuées simultanément par chaque calculateur 1042 du module d’instant courant 1044. [0088] Les calculateurs 1042 du module d’archivage 1045 fonctionnent en redondance fonctionnelle.

[0089] Sur la figure 3, le module d’instant courant 1044 comporte trois calculateurs 1042 mais il pourrait comporter n’importe quel autre nombre de calculateurs 1042.

[0090] Sur la figure 3, le module d’archivage 1045 comporte quatre calculateurs 1042 mais il pourrait comporter n’importe quel autre nombre de calculateurs 1042.

[0091] Un deuxième aspect de l’invention concerne un procédé de conduite d’un processus industriel critique mis en oeuvre par le système 100 selon l’invention.

[0092] [Fig. 4] La figure 4 est un schéma synoptique illustrant l’enchaînement des étapes du procédé 200 selon l’invention.

[0093] Une première étape 201 du procédé 200 consiste, pour chaque calculateur 1022 de chaque couple de calculateurs 1022 du module d’interface 1021 , à collecter une pluralité de données de chaque automate 101 présentant un même modèle d’automate associé au couple de calculateurs 1022, et à éliminer chaque donnée reçue en double, chaque donnée étant associé à un instant d’acquisition précédant un instant courant.

[0094] Le premier sous-système 102 présentant un fonctionnement cyclique, la première étape 201 de collecte de données est réalisée cycliquement, c’est-à-dire à chaque cycle d’un ensemble de cycles.

[0095] [Fig. 5] La figure 5 montre les données Di acquises en fonction du temps.

[0096] Sur la figure 5, au moins une première donnée Di est associée à un premier instant d’acquisition ti , au moins une deuxième donnée D2 est associée à un deuxième instant d’acquisition t2, au moins une troisième donnée D3 est associée à un troisième instant d’acquisition ta et au moins une j-ème donnée Dj est associée à un j-ème instant d’acquisition ti, le j-ème instant d’acquisition tj étant le dernier instant d’acquisition précédant l’instant courant te.

[0097] L’intervalle de temps entre deux instants d’acquisition successifs peut être fixe ou variable. [0098] Par exemple, un premier automate 101 reçoit la première donnée Di et la troisième donnée D3 et un deuxième automate 101 reçoit la deuxième donnée D2 et la j-ème donnée Dj. Si le premier automate 101 présente un premier modèle d’automate et que le deuxième automate 101 présente un deuxième modèle d’automate, un premier couple de calculateurs 1022 du module d’interface 1021 collecte la première donnée D1 et la troisième donnée Ds et un deuxième couple de calculateurs 1022 du module d’interface 1021 collecte la deuxième donnée Da et la j-ème donnée Dj.

[0099] En prenant l’exemple de la figure 2, la première étape 201 consiste pour chaque cycle, pour le premier couple de calculateurs 1022 du module d’interface 1021 à collecter les données Di reçues par chaque automate 101 présentant le modèle 1 d’automate, pour le deuxième couple de calculateurs 1022 du module d’interface 1021 à collecter les données Di reçues par chaque automate 101 présentant le modèle 2 d’automate, pour le troisième couple de calculateurs 1022 du module d’interface 1021 à collecter les données Di reçues par chaque automate 101 présentant le modèle 3 d’automate et pour le quatrième couple de calculateurs 1022 du module d’interface

1021 à collecter les données Di reçues par chaque automate 101 présentant le modèle 4 d’automate.

[00100] Chaque calculateur 1022 du module d’interface 1021 collecte par exemple chaque donnée Di reçue par chaque automate 101 à un instant de collecte suivant immédiatement l’instant d’acquisition ti, c’est-à-dire que la transmission des données Di est réalisée en temps réel entre chaque automate 101 et chaque calculateur 1022 du module d’interface 1021 .

[00101] Une deuxième étape 202 du procédé 200 consiste, pour chaque calculateur

1022 du premier module de traitement 1023, à recevoir les données Di collectées par le module d’interface 1021 à la première étape 201 , c’est-à-dire à recevoir toutes les données Di collectées par le module d’interface 1021 .

[00102] En reprenant l’exemple précédent, chaque calculateur 1022 du premier module de traitement 1021 reçoit par exemple la première donnée D1 et la troisième donnée Da du premier couple de calculateurs 1022 et la deuxième donnée Ü2 et la j- ème donnée Dj du deuxième couple de calculateurs 1022. [00103] Chaque calculateur 1022 du premier module de traitement 1023 reçoit par exemple chaque donnée Di collectée à un instant de réception suivant immédiatement l’instant de collecte, c’est-à-dire que la transmission des données Di est réalisée en temps réel entre chaque calculateur 1022 du premier module de traitement 1023 et chaque calculateur 1022 du module d'interface 1021 .

[00104] La deuxième étape 202 consiste ensuite, pour chaque calculateur 1022 du premier module de traitement 1023, à trier les données Di reçues en fonction de leur instant d’acquisition ti, c’est-à-dire à ordonner temporellement les données Di reçues, puis à éliminer les données Di reçues en double.

[00105] En reprenant l’exemple de la figure 5, chaque calculateur 1022 du premier module de traitement 1023 trie les données Di reçues dans l’ordre suivant : la première donnée Di, la deuxième donnée D2, la troisième donnée D3 et la j-ème donnée Dj.

[00106] La deuxième étape 202 consiste enfin, pour chaque calculateur 1022 du premier module de traitement 1023, à calculer pour chaque instant d’acquisition ti, des premières informations Pi d’un groupe d’informations h à partir des données Di triées correspondantes et à envoyer à chaque calculateur 1022 du dispositif de séparation 103, chaque première information Pi calculée.

[00107] Chaque groupe d’information h comporte une pluralité d’informations h dépendant chacune d’au moins une donnée Di acquise à l’instant d’acquisition ti. Par exemple, une information h peut dépendre d’une donnée acquise à l’instant d’acquisition ti et de la même donnée acquise à l’instant d’acquisition ti-1 précédant immédiatement l’instant d’acquisition ti.

[00108] Chaque groupe d’information h comporte une pluralité de premières informations Pi pour la conduite du processus industriel et une pluralité de deuxièmes informations Si pour l’aide à la conduite du processus industriel.

[00109] En prenant l’exemple de la figure 5, la deuxième étape 202 consiste à calculer les premières informations Pi d’un premier groupe d’informations I1 pour le premier instant d’acquisition ti, les premières informations P2 d’un deuxième groupe d’informations I2 pour le deuxième instant d’acquisition t2, les premières informations P3 d’un troisième groupe d’informations h pour le troisième instant d’acquisition ta et les premières informations Pj d’un j-ème groupe d’informations lj pour le j-ème instant d’acquisition tj.

[00110] Le premier sous-système 102 présentant un fonctionnement cyclique, la deuxième étape 202 de réception et de tri des données Di collectées, et de calcul et d’envoi des premières informations Pi est réalisée cycliquement, c’est-à-dire qu’à chaque cycle, les données Di sont reçues et triées et les premières informations Pi sont calculées et envoyées au dispositif de séparation 103.

[00111] Une troisième étape 203 du procédé 200 consiste, pour chaque calculateur

1022 du premier module de gestion des postes opérateurs 1024, à recevoir chaque première information Pi calculée à la deuxième étape 202.

[00112] En prenant l’exemple de la figure 5, la troisième étape 203 consiste pour chaque calculateur 1022 du premier module de gestion des postes opérateurs 1024, à recevoir les premières informations Pi du premier groupe d’informations h, les premières informations P2 du deuxième groupe d’informations I2, les premières informations Pa du troisième groupe d’informations h et les premières informations Pj du j-ème groupe d’informations lj.

[00113] Chaque calculateur 1022 du premier module de gestion des postes opérateurs 1024 reçoit par exemple les premières informations Pi calculées à un instant de réception suivant immédiatement un instant de calcul des premières informations Pi, c’est-à-dire que la transmission des premières informations Pi est réalisée en temps réel entre chaque calculateur 1022 du premier module de traitement

1023 et chaque calculateur 1022 du premier module de gestion des postes opérateurs 1024.

[00114] La troisième étape 203 du procédé 200 consiste ensuite, pour chaque calculateur 1022 du premier module de gestion des postes opérateurs 1024, à envoyer au poste opérateur 105 correspondant du premier ensemble 1051 de postes opérateurs 105, chaque première information Pi reçue comprise dans un sous- ensemble d’informations S _c demandé par un opérateur. [00115] Le sous-ensemble d’informations S _c comprend au moins une partie des informations h comprises dans un ensemble d’informations E _c comprenant chaque groupe d’informations h calculé.

[00116] Chaque calculateur 1022 du premier module de gestion des postes opérateurs 1024 envoie par exemple chaque première information Pi à un instant d’envoi suivant immédiatement l’instant de réception de la première information Pi, c’est-à-dire que la transmission des premières informations Pi est réalisée en temps réel entre chaque calculateur 1022 du premier module de gestion des postes opérateurs 1024 et chaque poste opérateur 105.

[00117] Le premier sous-système 102 présentant un fonctionnement cyclique, la troisième étape 203 de réception et d’envoi des premières informations Pi calculées comprises dans l’ensemble d’informations E _c est réalisée cycliquement, c’est-à-dire qu’à chaque cycle, les premières informations Pi sont reçues et envoyées aux postes opérateurs 105 du premier ensemble 1051 de postes opérateurs 105.

[00118] Une quatrième étape 204 du procédé 200 consiste, pour chaque calculateur 1042 du deuxième module de traitement 1041 , à recevoir les données Di collectées et des premières informations Pi calculées par le premier module de traitement 1023 à la deuxième étape 202 de chaque calculateur 1022 du dispositif de séparation 103 et à détecter les données Di collectées et les premières informations Pi calculées par chaque calculateur 1022 du premier module de traitement 1023 modifiées entre deux cycles successifs, ce qui correspond à un fonctionnement événementiel.

[00119] En prenant l’exemple de la figure 5, la quatrième étape 204 consiste à chaque cycle, pour chaque calculateur 1042 du deuxième module de traitement 1041 , à recevoir la première donnée Di et les premières informations Pi du premier groupe d’informations h, la deuxième donnée D2 et les premières informations P2du deuxième groupe d’informations I2, la troisième donnée D3 et les premières informations Pa du troisième groupe d’informations h et la j-ème donnée Dj et les premières informations Pj du j-ème groupe d’informations lj, et à détecter parmi les données Di et les premières informations Pi reçues, celles qui ont été modifiées par rapport au cycle précédent. [00120] Chaque calculateur 1042 du deuxième module de traitement 1041 reçoit par exemple chaque donnée Di collectée et chaque première information Pi calculée à un instant de réception suivant immédiatement un instant de calcul des premières informations Pi, c’est-à-dire que la transmission des données Di est réalisée en temps réel entre chaque calculateur 1022 du premier module de traitement 1023 et chaque calculateur 1042 du deuxième module de traitement 1041 .

[00121] La quatrième étape 204 consiste ensuite à éliminer les données Di et les premières informations Pi reçues en double.

[00122] La quatrième étape 204 consiste enfin, pour chaque calculateur 1042 du deuxième module de traitement 1041 , à calculer pour chaque instant d’acquisition ti, les deuxièmes informations Si du groupe d’informations h correspondant, à partir des données Di et des premières informations Pi reçues correspondantes.

[00123] En prenant l’exemple de la figure 5, la quatrième étape 204 consiste à calculer les deuxièmes informations Si du premier groupe d’informations h pour le premier instant d’acquisition ti, les deuxièmes informations S2 du deuxième groupe d’informations h pour le deuxième instant d’acquisition t2, les deuxièmes informations S3 du troisième groupe d’informations h pour le troisième instant d’acquisition t3 et les deuxièmes informations Sj du j-ème groupe d’informations lj pour le j-ème instant d’acquisition tj.

[00124] Le deuxième sous-système 104 présentant un fonctionnement événementiel, à chaque cycle, lors de la quatrième étape 204, seules les deuxièmes informations Si dépendant d’au moins une donnée Di et/ou d’au moins une première information Pi détectée, c’est-à-dire modifiée par rapport au cycle précédent, sont calculées.

[00125] Une cinquième étape 205 du procédé 200 consiste, pour chaque calculateur 1042 du deuxième module de gestion des postes opérateurs 1043, à recevoir chaque deuxième information Si calculée à la quatrième étape 204. [00126] En prenant l’exemple de la figure 5, la cinquième étape 205 consiste pour chaque calculateur 1042 du deuxième module de gestion des postes opérateurs 1043, à recevoir les deuxièmes informations Si du premier groupe d’informations 11 , les deuxièmes informations S2 du deuxième groupe d’informations I2, les deuxièmes informations S3 du troisième groupe d’informations h et les deuxièmes informations Sj du j-ème groupe d’informations lj.

[00127] Chaque calculateur 1042 du deuxième module de gestion des postes opérateurs 1043 reçoit par exemple chaque deuxième information Si calculée à un instant de réception suivant immédiatement un instant de calcul des deuxièmes informations Si, c’est-à-dire que la transmission des deuxièmes informations Si est réalisée en temps réel entre chaque calculateur 1042 du deuxième module de traitement 1041 et chaque calculateur 1042 du deuxième module de gestion des postes opérateurs 1043.

[00128] La cinquième étape 205 du procédé 200 consiste ensuite, pour chaque calculateur 1042 du deuxième module de gestion des postes opérateurs 1043, à envoyer au poste opérateur 105 correspondant du deuxième ensemble 1052 de postes opérateurs 105, chaque deuxième information Si reçue comprise dans le sous- ensemble d’informations S _c demandé.

[00129] Chaque calculateur 1042 du deuxième module de gestion des postes opérateurs 1043 envoie par exemple chaque deuxième information Si à un instant d’envoi suivant immédiatement l’instant de réception de la deuxième information Si, c’est-à-dire que la transmission des deuxièmes informations Si est réalisée en temps réel entre chaque calculateur 1042 du deuxième module de gestion des postes opérateurs 1043 et chaque poste opérateur 105.

[00130] Le deuxième sous-système 104 présentant un fonctionnement événementiel, à chaque cycle, lors de la cinquième étape 205, seules les deuxièmes informations Si calculées à la quatrième étape 204 sont reçues et envoyées aux postes opérateurs 105 du deuxième ensemble 1052 de postes opérateurs 105, c’est-à-dire que seules les deuxièmes informations Si dépendant d’au moins une donnée Di et/ou d’au moins une première information Pi détectée à la quatrième étape 204 sont reçues et envoyées aux postes opérateurs 105 du deuxième ensemble 1052 de postes opérateurs 105.

[00131] Une sixième étape 206 du procédé 200 consiste, pour chaque poste opérateur 105 du premier ensemble 1051 de postes opérateurs 105, à afficher les premières informations Pi comprises dans le sous-ensemble d’informations S _c demandé à l’instant courant te et pour chaque poste opérateur 105 du deuxième ensemble 1052 de postes opérateurs 105, à afficher les deuxièmes informations Si comprises dans le sous-ensemble d’informations S _c demandé à l’instant courant te.

[00132] Une septième étape 207 du procédé 200 est réalisée si l’opérateur fournit une consigne via l’interface graphique d’un poste opérateur 105 donné du premier ensemble 1051 de postes opérateurs 105.

[00133] La septième étape 207 consiste, pour le module d’interface 1021 , à recevoir la consigne.

[00134] Lors de la septième étape 207, le poste opérateur 105 donné envoie la consigne au premier module de gestion des postes opérateurs 1024, qui envoie la consigne au premier module de traitement 1023, qui envoie la consigne au module d’interface 1021.

[00135] Une huitième étape 208 du procédé 200 consiste, pour le module d’interface 1021 , à envoyer au moins une commande dépendant des données Di reçues à la première étape 201 et/ou de la consigne reçue à la septième étape 207 à au moins un automate 101 .

[00136] L’automate 101 peut alors envoyer la commande à au moins un actionneur 1012 correspondant.

[00137] La commande peut donc dépendre des informations h calculées à partir des données Di reçues.

[00138] Par exemple, si le module d’interface 1021 reçoit à la septième étape 207 une consigne demandant d’éteindre un actionneur 1012 i, la huitième étape 208 consiste pour le module d’interface 1021 , à envoyer une commande à l’automate 101 j configuré pour envoyer des commandes à l’actionneur 1012 i. [00139] Dans le cas où le deuxième sous-système 104 comporte le module d’instant courant 1044, le procédé 200 comporte une neuvième étape 2091 et une dixième étape 2092 réalisées par chaque calculateur 1042 du module d’instant courant 1044.

[00140] La neuvième étape 2091 consiste à répliquer au moins une partie des données Di, des premières informations Pi et des deuxièmes informations Si du deuxième module de traitement 1041 , c’est-à-dire une partie des données Di, des premières informations Pi et des deuxièmes informations Si du deuxième module de traitement 1041 ou l’ensemble des données Di, des premières informations Pi et des deuxièmes informations Si du deuxième module de traitement 1041 .

[00141] On entend par « réplication », le partage d'informations pour assurer la cohérence de données entre plusieurs sources de données redondantes.

[00142] La partie des données Di, des premières informations Pi et des deuxièmes informations Si du deuxième module de traitement 1041 répliquée comporte par exemple les données Di, les premières informations Pi et les deuxièmes informations Si relatives à l’instant d’acquisition tj précédant immédiatement l’instant courant te.

[00143] La dixième étape 2092 consiste à envoyer à chaque calculateur 1042 du deuxième module de gestion des postes opérateurs 1043, les données Di, les premières informations Pi et les deuxièmes informations Si répliquées à la neuvième étape 2091 relatives à l’instant d’acquisition tj précédant immédiatement l’instant courant te.

[00144] Dans le cas où le deuxième sous-système 104 comporte le module d’archivage 1045, le procédé 200 comporte une onzième étape 2101 et une douzième étape 2102 réalisées par chaque calculateur 1042 du module d’archivage 1045.

[00145] La onzième étape 2101 consiste à répliquer et à archiver une partie des données Di, des premières informations Pi et des deuxièmes informations Si du deuxième module de traitement 1041 , c’est-à-dire une partie des données Di, des premières informations Pi et des deuxièmes informations Si du deuxième module de traitement 1041 ou l’ensemble des données Di, des premières informations Pi et des deuxièmes informations Si du deuxième module de traitement 1041 .

[00146] La partie des données Di, des premières informations Pi et des deuxièmes informations Si du deuxième module de traitement 1041 archivée comporte par exemple les données Di, les premières informations Pi et les deuxièmes informations Si relatives à chaque instant d’acquisition ti précédant l’instant d’acquisition tj précédant immédiatement l’instant courant te.

[00147] La douzième étape 2102 consiste à envoyer à chaque calculateur 1042 du deuxième module de gestion des postes opérateurs 1043 les données Di, les premières informations Pi et les deuxièmes informations Si archivées à la onzième étape 2101 relatives à chaque instant d’acquisition ti précédant l’instant d’acquisition tj précédant immédiatement l’instant courant te.

[00148] Sur la figure 5, l’instant d’acquisition ti précédant immédiatement l’instant courant t _c est le j-ème instant d’acquisition tj donc la douzième étape 2102 consiste à envoyer les données Di, les premières informations Pi et les deuxièmes informations Si relatives au premier instant d’acquisition ti, au deuxième instant d’acquisition t2, au troisième instant d’acquisition ta et de manière générale à tous les autres instants d’acquisition ti précédant le j-ème instant d’acquisition tj.

[00149] Dans le procédé 200, chaque étape de réception par un calculateur 1022 du premier sous-système 102, c’est-à-dire la deuxième étape 202 et la troisième étape 203 comporte un échange 212 d’au moins un message entre un calculateur 1022 expéditeur et au moins un autre calculateur 1022 destinataire.

[00150] [Fig. 6] La figure 6 est un schéma synoptique illustrant l’enchaînement des sous-étapes d’un échange 212.

[00151] Une première sous-étape 2121 de l’échange 212 consiste pour le calculateur 1022 expéditeur, à envoyer le message simultanément sur la première voie 1032 et la deuxième voie 1033 du premier réseau de communication 1031 à destination du premier module de redondance 1034. [00152] Une deuxième sous-étape 2122 de l’échange 212 consiste pour le premier module de redondance 1034, à recevoir le message envoyé.

[00153] Si à la deuxième sous-étape 2122, le premier module de redondance 1034 reçoit le message via la première voie 1032 et via la deuxième voie 1033 du premier réseau de communication 1031 , et donc reçoit le message en double, une troisième sous-étape 2123 de l’échange 212 consiste pour le premier module de redondance 1034, à effacer le message reçu via la deuxième voie 1033.

[00154] Une quatrième sous-étape 2124 de l’échange 212 consiste pour le premier module de redondance 1034, à modifier le message reçu par ajout d’une demande d’acquittement.

[00155] Une cinquième sous-étape 2125 de l’échange 212 consiste pour le premier module de redondance 1034, à diffuser le message modifié simultanément sur la première voie 1032 et la deuxième voie 1033 du premier réseau de communication 1031 à destination du ou des calculateurs 1022 destinataires.

[00156] Une sixième sous-étape 2126 de l’échange 212 consiste pour chaque calculateur 1022 destinataire, à recevoir le message modifié et à envoyer un acquittement au premier module de redondance 1034.

[00157] Dans le procédé 200, la cinquième étape 205 de réception par un calculateur 1042 du deuxième sous-système 104 et chaque étape d’envoi par un calculateur 1042 du deuxième sous-système 104, c’est-à-dire la dixième étape 2092 et la douzième étape 2102, comporte un échange 213 d’au moins un message entre un calculateur 1042 expéditeur et au moins un autre calculateur 1042 destinataire.

[00158] [Fig. 8] La figure 8 est un schéma synoptique illustrant l’enchaînement des sous-étapes d’un échange 213.

[00159] Une première sous-étape 2131 de l’échange 213 consiste pour le calculateur 1042 expéditeur, à envoyer le message simultanément sur la première voie 1036 et la deuxième voie 1037 du deuxième réseau de communication 1035 à destination du deuxième module de redondance 1038. [00160] Une deuxième sous-étape 2132 de l’échange 213 consiste pour le deuxième module de redondance 1038, à recevoir le message envoyé.

[00161] Si à la deuxième sous-étape 2132, le deuxième module de redondance 1038 reçoit le message via la première voie 1036 et via la deuxième voie 1037 du deuxième réseau de communication 1035, et donc reçoit le message en double, une troisième sous-étape 2133 de l’échange 213 consiste pour le deuxième module de redondance 1038, à effacer le message reçu via la deuxième voie 1037.

[00162] Une quatrième sous-étape 2134 de l’échange 213 consiste pour le deuxième module de redondance 1038, à modifier le message reçu par ajout d’une demande d’acquittement.

[00163] Une cinquième sous-étape 2135 de l’échange 213 consiste pour le deuxième module de redondance 1038, à diffuser le message modifié simultanément sur la première voie 1036 et la deuxième voie 1037 du deuxième réseau de communication 1035 à destination du ou des calculateurs 1042 destinataires.

[00164] Une sixième sous-étape 2136 de l’échange 213 consiste pour chaque calculateur 1042 destinataire, à recevoir le message modifié et à envoyer un acquittement au deuxième module de redondance 1038.

[00165] La première base de données 1025 est configurée pour stocker et gérer les données Di et les premières informations Pi utilisées par les calculateurs 1022 sur laquelle elle est répartie.

[00166] La deuxième base de données 1046 est configurée pour stocker et gérer les données Di, les premières informations Pi et les deuxièmes informations Si utilisées par les calculateurs 1042 sur laquelle elle est répartie.