Современные требования к системам управления

[Степа]

Даже риск не оценил.

При любом риске: есть отказ - тормозим процесс. Если можем устранить - устраняем. Но пока у нас дублирования-троирования и прочего "ирования" нет и не предвидится, устранить невозможно, т.е. останавливаем и тормозим процесс. А на риск в данном случае начхать - работать все равно нельзя, отказ. Главное - максимально быстро и максимально безопасно остановить: не все процессы можно остановить безопасно просто отрубив оперативку. Вот там нужны напряжения мозга: как сделать максимально быстро и максимально безопасно в максимально возможных случаях.

[-AA-]

Почитав ваши сообщения, пришел к выводу, что так или иначе, но все начали использовать панели оператора и формировать различного рода сообщения. Но это теперь СТАНДАРТ или прихоть сиюминутная? На всех объектах это делается?

[Мишок]

Ради простого примера: тот самый стенд в 111. Отказал, скажем, большой насос и возникли вопросы по кодовому датчику. После включения стенда сейчас у нас будет красная кнопка пуска большого насоса, в списке аварий будет сообщение, наверху главного экрана будет такое же сообщение /но, возможно, не то - там только одно выводится и если их несколько, то.../. Но все элементы управления доступны и мне никто и ничто не может помешать начать движения для тестирования кодового датчика.
Теперь, если мы сделаем визуалку по твоему методу: включаем стенд и у нас полокна закрыто окном с сообщением. И? То, что двиган отказал, я и так уже знаю. Данный отказ мне не может помешать выполнить свою задачу, но действия программиста-визуализатора - уже помешали: работать с кодовым датчиком я не могу. Ну нажал я "ОК", в список записалось, когда оператор сквитировал. А дальше? Авария не устранена, да и оператор /то бишь в данной ситуации я/ включил стенд не для устранения этой проблемы, да и не интересна она ему.
Вывод прост: в первом случае оператор обратит свой взор на проблему тогда, когда это действительно станет интересно. Во втором же случае ему будут совать в глаза сообщение с неинтересной ему проблемой и мешать решать те задачи, ради чего он тут есть.

Еще принципиальная ошибка: квитировать сообщения кнопкой на экране. С какой целью? Особенно если повода написания сообщения уже нет? Если разрабу или еще кому интересно, что происходило в ретроспективе - надо вести лог сообщений: когда какое появлялось. В остальном же...
Если авария /скажем, сработало тепловое реле/ и устройство с места оператора видно, то квитирование - лишние действия: авария зафиксирована, СУ что-то там поотключала, оператор сбросил тепловуху /если она ручного сброса/ и продолжил работу с какого-то предыдущего этапа /отключенный механизм надо снова включать/. Если авария и устройство с места оператора не видно, то квитировать аварию кнопкой на экране - попытка совершить преступление: что там случилось и почему - неизвестно, там может быть все, что угодно. Надо убедиться, что оператор не просто кнопку нажал /это и так понятно/, но и сходил и посмотрел на проблемный механизм. Т.е. кнопка квитирования должна быть там, рядом с механизмом.

Полная профанация.
1. Красная кнопка ПУСК. Вы что, решили оператора в страхе держать? Я Вам уже говорил, что у вас много красноты на экране по мелким причинам, которые не являются аварийными. Это грубое нарушение всех правил.
2. Скорее всего, появление неисправности УПП в режиме ожидания не следует выводить как аварию. Ибо никакой аварии нет. Вот и все дела.
3. Кнопка квитирования нужна для того, чтобы сообщение оператор мог увидеть, без нее в принципе иногда никак. Читай выше мое обоснование необходимости квитируемых сообщений.
4. Пульт у нас стоит рядом со стендом. Какие нафиг проблемы? Ты хочешь рядом с каждым механизмом кнопки понавешать? Ты что-нибудь реальное предлагай, а не утопические требования. Опасные отказы в машине не должны предотвращаться исключительно человеком. Человеческий фактор понимаешь. Если у тебя авария, то должна сработать противоаварийная автоматика. Человек лишь квитирует и снова запускает механизм, противоаварийная автоматика при этом не смыкает глаз, если конечно верно разработана...

[Степа]

Но это теперь СТАНДАРТ или прихоть сиюминутная? На всех объектах это делается?

Стандарт в том, что пульты оператора заменены в большинстве случаев на панели: так проще для всех /кроме оператора/.
Но не на всех - очень часто оператору нужны специфические кнопки. Скажем, на линии клепки оператору надо одну ба-а-ашую кнопку, под ладонь и все. Вот на той линии панель нужна только наладчику. Есть объекты, куда операторы будут приходить только ради того, чтобы нажать "Вкл" или "Выкл", там тоже панели не очень, чтобы очень...

[Мишок]

Для меня диагностика - это функция ради функции. Хотя некоторые сообщения весьма полезны получаются на практике. Остальные - зря потраченное время, учитывая, что оператор часто и без соплей разжует.

[Степа]

1. Красная кнопка ПУСК. Вы что, решили оператора в страхе держать? Я Вам уже говорил, что у вас много красноты на экране по мелким причинам, которые не являются аварийными.

Являются. Скажем, без набора номера схемы работы работать по циклу нельзя.

2. Скорее всего, появление неисправности УПП в режиме ожидания не следует выводить как аварию. Ибо никакой аварии нет.

Сигнал "Авария" есть? Есть. Он в активном? В активном. Т.е. УПП дает сигнал аварии, а мы тут будем анализом заниматься "может быть авария или нет"? Пока не снят сигнал "Авария" - авария УПП и без всяких анализов. Анализами нехай наладчики занимаются и разбираются, с каких таких радостей блок выставил сигнал аварии.

3. Кнопка квитирования нужна для того, чтобы сообщение оператор мог увидеть, без нее в принципе иногда никак.

Зачем он должен увидеть сообщение?
Если тебе надо посмотреть, что было, то ты делай логирование /или закажи тому, кто делает СУ/. Не заморачивай голову оператору, у него другие задачи.

4. Пульт у нас стоит рядом со стендом. Какие нафиг проблемы? Ты хочешь рядом с каждым механизмом кнопки понавешать?

Напомни, где я предлагал понавешать кнопки рядом с каждым механизмом?

Для меня диагностика - это функция ради функции

А блокировок у тебя нет вовсе, да? Или они от генератора псевдослучайных чисел работают?

[Мишок]

И еще: когда скрещиваете диагностику с противоаварийной автоматикой, не забывайте, что защита не должна ЗРЯ мешать оператору работать, а то появляется желание блокировку вывести из строя. Это в одном из стандартов было вроде даже написано.

[Мишок]

У меня блокировки не скрещиваются с диагностикой. Или ты еще не понял? У меня сделано надежно: сложное/ненадежное и простое/надежное отделены друг от друга. Это принцип.

[Степа]

защита не должна ЗРЯ мешать оператору работать, а то появляется желание блокировку вывести из строя. Это в одном из стандартов было вроде даже написано.

И этот человек предлагает

Вылазит окошко на пол-экрана с текстом и кнопкой ОК. Окружающие графические объекты перекрываются.

[Степа]

У меня блокировки не скрещиваются с диагностикой.

Блокировки откуда сигнал берут на начало\окончание действия? От ГПСЧ?

[Мишок]

Степа, ты неисправим. У меня разработана система из 4-х типов сообщений. Система блокирования отдельно от диагностики. Ничто ни кому не мешает. Тебе советую подумать, как я все сделаю в конкретной машине.
На ваши экраны я уже насмотрелся. Каждый чих в красном цвете. Вы читайте стандарт: красным помечаются только аварийные ситуации. Вы понимаете, что такое аварийное состояние, предаварийное состояние, нормальное состояние? Различаете. Или у вас каждая фобия разработчика окрашивается в красный цвет?

[Мишок]

Это все свидетельствует лишь о том, что вы всего боитесь. Никакого анализа рисков.

[Мишок]

Вот ты пишешь "для привлечения внимания сделан красный цвет". Блин, ну я тогда весь экран сделаю красным, чтобы оператор не отвлекался, гад. Обосновывайте, что нужно привлечение внимания! Человек нажимает на кнопку, у него не запускается. Это уже внимание привлекает!

[Степа]

У меня разработана система из 4-х типов сообщений. Система блокирования отдельно от диагностики.

Ну что у тебя, это понятно. Вопрос: система блокирования откуда берет сигналы начала\окончания блокировки?

то все свидетельствует лишь о том, что вы всего боитесь. Никакого анализа рисков.

Зато операторам ничего не мешает. Есть краснота на дисплее - принимай меры. Нет - действуй, как планируешь. В обычном состоянии красноты нет.

Человек нажимает на кнопку, у него не запускается. Это уже внимание привлекает!

Это у тебя. А у меня он кнопку даже не заденет - ему уже прошел сигнал, что что-то не так.

[Мишок]

Ну что у тебя, это понятно. Вопрос: система блокирования откуда берет сигналы начала\окончания блокировки?

Обычно это один вход ПЛК. Или несколько блокировок, собранных контактами последовательно. Иные варианты ненадежны. Блокировки необходимо видеть непосредственно на релейной цепочке с защищаемой катушкой. Или рядом. Диагностика в другом обособленном блоке.
Я никогда не сделаю блокировку, которая будет отслеживать два конечника на одной оси движения. Потому что это бредятина, не связанная с безопасностью. Если есть большой риск, то надо разрабатывать специальные решения, а не частное ненадежное решение в виде диагностики.

Зато операторам ничего не мешает. Есть краснота на дисплее - принимай меры. Нет - действуй, как планируешь. В обычном состоянии красноты нет.

Да я бы не сказал. Сердце ёкает, глядя на ваши экраны. Хотя на деле ничего аварийного не происходило ни разу.

Это у тебя. А у меня он кнопку даже не заденет - ему уже прошел сигнал, что что-то не так.

А смысл? Ну заденет и что? Будет хуже чем у вас? В вашей ситуации оператор уже не будет ничего бояться: красного, желтого, белого, синего. Зеленое будет пугать. Он дезориентирован в цветовой раскраске.

[Степа]

Обычно это один вход ПЛК.

Один вход ПЛК - это значит, некий набор информации кто-то где-то обработал или там информация простейшая: тепловуха сработала, ящик открыли, какой не должны были. Это все так, мелочи. А вот чтобы твоя "блокировка" заметила, что у тебя механизм куда-то поехал без команды - это второй комплекс СУ навешивать придется.

Я никогда не сделаю блокировку, которая будет отслеживать два конечника на одной оси движения. Потому что это бредятина, не связанная с безопасностью.

Да ну? У тебя механизм неизвестно где, а ты считаешь, что это вполне безопасно?

Да я бы не сказал.

Бодливой корове бог рог не дает. (с)
Уже была комиссия по предварительной /тренировочной, так сказать/ приемке. К интерфейсу только одно замечание: устранить саму возможность оператору гнать брак - выбросить кнопку "Пропуск цикла".

А смысл? Ну заденет и что? Будет хуже чем у вас?

У нас он даже задевать не будет. Если думает, что знает, что надо делать - пойдет делать. Или звать наладчика. У вас же пока не нажмет даже не догадается, что у него проблемы.

[Мишок]

Да ну? У тебя механизм неизвестно где, а ты считаешь, что это вполне безопасно?

Определенно. Не зря именно "нормально закрытые" конечники аварийные придуманы. Если срабатывают оба, то механизм просто не движется.

[Мишок]

К интерфейсу только одно замечание: устранить саму возможность оператору гнать брак - выбросить кнопку "Пропуск цикла".

Эта кнопка для наладчика. В нашей установке до введения АСУ можно было пропустить не только 1 или 2 цикла, но и все испытание целиком (!), так что эта кнопка ничего не решала.

[Мишок]

Да ну? У тебя механизм неизвестно где, а ты считаешь, что это вполне безопасно?

Степан, у тебя очень развито ассоциативное мышление. У тебя безопасность=надежность, безопасность=отсутствие неисправностей. На самом деле все не так. В правильно разработанной системе безопасность, надежность и неисправность слабо коррелируют.

[Степа]

В правильно разработанной системе безопасность, надежность и неисправность слабо коррелируют.

А тебе не смешно называть безопасной систему, которая продолжает работу при наличии неисправности?