C.4 Analyse qualitative par génération du graphe d’occurrence

Cette analyse a pour objectif d’énumérer tous les scénarios redoutés sous forme de séquences d’événements. Elle permet également la vérification des « bonnes » propriétés que l’on attend d’un modèle en réseau de Petri. Elle est basée sur la construction du graphe des marquages accessibles du réseau de Petri coloré (dit aussi graphe d’occurrence), fonction supportée par l’outil DesignCPN lorsque les variables prennent leurs valeurs dans des ensembles finis.

Rappelons tout d’abord la définition d’une composante fortement connexe (notée cfc). C’est un ensemble de nœuds dans lequel tout nœud est accessible depuis n’importe quel autre. Cette notion de cfc est utile pour la recherche des scénarios redoutés. En effet, tout mode de fonctionnement du système est nécessairement inclus dans une composante fortement connexe non triviale (c’est-à-dire une cfc contenant un seul nœud dont aucun arc de sortie n’a pour destination lui même). Les passages d’une cfc à une autre correspondent donc à des dégradations irréversibles du système. Elles font passer d’un mode de fonctionnement à un autre et mènent ainsi à un état de défaillance totale (marquage puits).

L’analyse qualitative est réalisée en trois étapes : le graphe d’occurrence et le graphe des

cfc sont tout d’abord calculés par DesignCPN. On identifie ensuite les modes de fonctionnement aux cfc correspondantes et les états redoutés aux états de blocage du graphe. Enfin, pour chaque cfc, tous les chemins menant aux plus proches cfc sont construits et les scénarios correspondants sont identifiés.

V.C.5 Résultats

Compte tenu de la complexité inhérente aux systèmes mécatroniques, les deux principaux résultats auxquels ont abouti les travaux de Gilles Moncelet sont les suivants :

La simulation de Monte Carlo du modèle quantitatif nécessite un temps prohibitif, L’analyse qualitative est confrontée au problème de l’explosion combinatoire du

nombre d’états du graphe d’occurrence.

En ce qui concerne l’analyse quantitative, la rareté des scénarios redoutés rend inefficaces les méthodes basées sur la seule simulation de Monte Carlo du modèle global. En effet, le système passe la majorité de son temps dans un fonctionnement nominal qui n’apporte aucune information sur la sûreté de fonctionnement. Seule nous intéresse la réaction du système face à l’occurrence d’une ou de plusieurs défaillances. On pourrait par conséquent envisager de ne

simuler le comportement du système qu’à la suite de l’occurrence d’une défaillance et d’arrêter cette simulation quand le système retrouve un fonctionnement nominal (après une reconfiguration réussie). Toutefois, se pose le problème de la reconstitution de l’état du système à l’instant de l’occurrence de cette défaillance et de sa probabilité d’occurrence.

Outre la complexité des systèmes mécatroniques (nombre important de composants en interaction et complexité des lois de pilotage), l’explosion combinatoire du nombre d’états du graphe d’occurrence est due d’une part à la discrétisation de la partie continue et d’autre part à l’entrelacement.

La prise en compte de la dynamique continue par discrétisation de l’intervalle de variation des variables continues en un certain nombre de sous intervalles (pertinent du point de vue sûreté de fonctionnement) contribue à accroître le nombre d’états global du graphe d’occurrence. En effet, prenons l’exemple d’un système dont la dynamique continue est régie par l’évolution de deux variables d’états continues. Supposant que l’intervalle de variation de chaque grandeur soit représenté par trois sous intervalles (chacun correspondant à un niveau bas, moyen ou haut). C’est le passage d’un sous intervalle à un autre qui régit la dynamique continue (le cycle {bas, moyen, haut, moyen, bas} dans le cas d’une régulation classique). Le nombre d’états résultant de la prise en compte de la partie continue est de 32. Le nombre global d’états du système augmente exponentiellement avec le nombre de sous intervalles nécessaires pour représenter la dynamique des variables continues.

Dans un graphe d’occurrence, le parallélisme est représenté par entrelacement. En effet, pour deux transitions parallèles t et t’, leur représentation par entrelacement donne les deux séquences suivantes : {t ; t’} et {t’ ; t}. Cet entrelacement dans le traitement du parallélisme engendre une multiplication des séquences dans le graphe qui contribue à alourdir d’une part la construction, et, d’autre part le traitement a posteriori du graphe. Il est pourtant, en général, non significatif. Agréger les composantes fortement connexes sous la forme d’un nœud unique permet l’élimination de certains comportements non significatifs, mais cela peut aussi cacher des relations de causalités significatives.

V.C.6 Discussion

Les travaux de Gilles Moncelet traitent de l’évaluation de la sécurité prévisionnelle des systèmes mécatroniques par une analyse qualitative et quantitative à base de réseaux de Petri colorés. La modélisation adoptée consiste à prendre en compte les aspects discrets (défaillances et commandes) et continus (dynamique des variables énergétiques) et de les regrouper au sein d’un même modèle : un réseau de Petri coloré. Cela revient à discrétiser les aspects continus.

L’analyse quantitative repose sur la simulation de Monte Carlo du modèle du système afin d’estimer la probabilité d’occurrence des événements redoutés. Cette analyse montre qu’il est plus judicieux d’effectuer la simulation à partir du modèle abstrait sans se préoccuper de la représentation explicite de l’échantillonnage. Toutefois, cela suppose des hypothèses et des approximations fortes sur la dynamique de la partie continue du système. Pour les systèmes complexes, ce type de simulation nécessite des temps de calcul prohibitifs. Deux voies ont été abordées pour accélérer la simulation. La première consiste à remplacer le joueur de réseau de Petri, très lent, par un code compilé en langage ML (langage fonctionnel supporté par DesignCPN). Une accélération sensible a été obtenue. Toutefois, cette solution reste très contraignante car elle oblige le concepteur à traduire le réseau de Petri en langage ML.

La deuxième voie pour accélérer la simulation consiste à caractériser, au préalable, les scénarios redoutés de manière qualitative afin de ne simuler que les comportements susceptibles de conduire vers une situation dangereuse. Ceci a donc conduit à effectuer une analyse qualitative de la sécurité des systèmes mécatroniques. Cette analyse qualitative est basée sur la génération du graphe d’occurrence à partir d’un modèle qualitatif. Cette étude a montré que ce graphe explose avec le nombre de défaillances et le nombre de niveaux discrets nécessaires pour prendre en compte la dynamique continue. La recherche de scénarios par exploration de ce graphe est d’autant plus difficile qu’il contient bon nombre d’informations sans intérêt car décrivant des comportements sans défaillances.

VI Synthèse

Après ce tour d’horizon sur les principaux travaux récents ayant attrait à la fiabilité dynamique des systèmes complexes, nous allons résumer leurs principales contributions. Au travers de cette synthèse, nous évoquerons ce que nous avons retenu de ces travaux et développé dans le cadre de mes travaux de thèse.

Les travaux de J.L. Chabot nous ont montré la bonne adéquation des réseaux de Petri à la modélisation de systèmes dynamiques hybrides et les bonnes performances de la simulation de Monte Carlo couplant un joueur de réseau de Petri et un code continu pour l’évaluation des scénarios d’incendie. Toutefois, cette méthode a été appliquée dans un cas particulier : le scénario redouté à évaluer est connu. C’est pourquoi nous avons considéré qu’avant toute analyse quantitative il était nécessaire d’élaborer une méthode systématique de détermination des ces scénarios. S’ils sont inconnus, toute simulation hybride est vouée à des temps de simulation prohibitifs surtout quand il s’agit de scénarios redoutés très rares (problématique des événements rares). C’est effectivement le cas dans les systèmes mécatroniques au travers de toutes les reconfigurations prévues.

Quant à la méthodologie des Graphes de flux dynamiques, elle permet de prendre en compte l’aspect dynamique des systèmes embarqués ainsi que l’interaction entre la partie logicielle et la partie matérielle des systèmes. A partir de la construction d’un seul modèle du système étudié, il est possible de générer automatiquement des arbres de défaillance, et ce, pour chaque événement redouté. Cette approche est très bien adaptée aux études de sécurité pendant la phase de conception où les modèles ne cessent d’évoluer. Ce que nous retenons de cette méthode, c’est la prise en compte explicite des interactions entre la partie logicielle et la partie matérielle sous la forme de relations de causalité et la génération automatique de modèles de scénarios redoutés (arbres de défaillance temporisés).

Nous venons enfin aux travaux de thèse de G. Moncelet. En plus de la bonne prise en compte de l’aspect hybride, la principale contribution de G. Moncelet est d’avoir montré la nécessité de séparer les études de sécurité des systèmes mécatroniques en deux parties : une analyse qualitative suivie d’une analyse quantitative. L’analyse qualitative a été effectuée à partir de la génération du graphe d’accessibilité et permet de déterminer les scénarios redoutés, et l’analyse quantitative a été basée sur la simulation de Monte Carlo et permet d’estimer les probabilités d’occurrence de ces scénarios. L’explosion combinatoire du nombre d’états du graphe était le principal obstacle face à cette technique d’analyse qualitative, tandis que l’analyse quantitative souffre des temps de simulation prohibitifs dus à la prise en compte par discrétisation de la partie continue. L’extraction des scénarios redoutés à partir du graphe d’occurrence n’est pas efficace car, en raison de l’entrelacement, les relations de cause à effet entre les événements sont gommées. Eviter le passage par ce graphe nous semble donc nécessaire.

En conclusion, ce que nous retenons de cet état de l’art par rapport à nos travaux c’est le choix du modèle des réseaux de Petri pour la modélisation de l’aspect discret des systèmes mécatroniques, le couplage de ce modèle avec un modèle de la partie continue (des équations algébro-différentielles) pour l’aspect hybride et la nécessité d’extraire les scénarios redoutés directement à partir d’un modèle du système sans passer par le graphe d’accessibilité. Comme dans le cas des DFM, l’analyse des relations de cause à effet (ou relations de causalité) dans le modèle permettrait une meilleure caractérisation des scénarios redoutés.