Partie II Modèle du Système Contrôlé 61
Chapitre 6 Validation du Modèle et Guide de Modélisation 95
2.2 Les états interdits, dangereux et autorisés
Les notions d'états interdits et autorisés sont proches de celles utilisées dans le cadre de
la théorie de Ramadge et Wonham et plus particulièrement pour le problème d'états interdits
(Achour et Rezg, 2004) ; à ceci près que ces états se rapportent à ceux des chaînes
fonction-nelles. En revanche, la notion d'états dangereux est, dans notre cas, diérente de celle des états
faiblement interdits.
Nous introduisons d'abord les notions d'états interdits, dangereux et autorisés pour ensuite
montrer qu'ils ont un sens uniquement vis à vis d'une chaîne fonctionnelle.
États interdits
Dénition 7 Il s'agit des états dans lesquels les contraintes de sécurité et d'écologie sont
violées.
De tels états ne sont pas réellement et physiquement atteignables sans détériorer le système
contrôlé et/ou son environnement conduisant alors à changer la nature du système et de ses
capacités. C'est par exemple le cas où les deux vérins (1 et 2) sont en position sortie. Cet
état n'est pas atteignable par le système réel sans modier ses caractéristiques physiques :
tige des vérins tordues avec ou sans détérioration des joints d'étanchéité, etc. Le modèle
du système contrôlé et de son environnement à des ns de conception de lois de commande
n'a pas vocation de représenter les défaillances, leurs causes et leurs conséquences dans
le contexte d'une approche CERBERE. Les détériorations subies par le système contrôlé
et son environnement n'étant pas modélisées et par conséquent les services encore oerts
par les chaînes fonctionnelles étant inconnus dans un état interdit, les évolutions autorisées
depuis un état interdit ne peuvent pas être modélisées.
États dangereux
Dénition 8 Ce sont des états dans lesquels il y a un risque de violer les contraintes de
sécurité et d'écologie.
2. Propriétés pour la validation du modèle 97
C'est le cas par exemple où les deux vérins 1 et 2 qui sont orthogonaux sont en position
intermédiaire. La précision du modèle ne permet pas dans cet état de savoir si les deux
vérins sont entrés en collision ou non. Aussi, il est impossible de savoir si les contraintes de
sécurité et d'écologie sont satisfaites. Il faut alors interdire d'atteindre un état dangereux
pour lequel la probabilité de violer les contraintes de sécurité et d'écologie est non nulle.
Cependant, suite à l'occurrence d'une défaillance, un état dangereux peut être atteint sans
détériorer le système contrôlé et son environnement (informations données par les fonctions
diagnostiquer et suivre cf. Chapitre 1). Depuis un tel état, il peut exister des évolutions
respectant les contraintes de sécurité et d'écologie.
États autorisés
Dénition 9 Ils représentent les états dans lesquels les contraintes de sécurité et d'écologie
sont satisfaites.
Hormis l'état initial du système contrôlé et de son environnement, depuis lequel une loi de
commande est applicable, tous les autres états par lesquels passera le système contrôlé et
son environnement sont des états autorisés en l'absence de défaillance. En eet, il n'existe
pas d'évolution dans le modèle conduisant à un état interdit ou dangereux. Dans ce cas,
seules des évolutions vers des états autorisés sont possibles.
Les notions d'états interdits, dangereux, et autorisés sont relatives à l'état d'un sous-système
qui se compose d'une chaîne fonctionnelle et des éléments avec lesquels elle est en interaction.
Nous démontrons cette proposition uniquement pour les états interdits. Mais un raisonnement
identique démontre également que les notions d'états dangereux et autorisés ont un sens
uniquement vis-à-vis d'une chaîne fonctionnelle et de son environnement.
En eet, les chaînes fonctionnelles et les produits dont l'état n'apparaît pas dans les conditions
et les pré-contraintes d'une opération peuvent violer les contraintes de sécurité, comme par
exemple deux chaînes fonctionnelles en collision. Dans ce cas, si la notion d'état interdit s'applique
à un état du système contrôlé, il y a contradiction entre la dénition d'un état interdit et les
dénitions des états initiaux. En eet, pour un même état, la dénition des états initiaux autorise
une évolution alors que la dénition des états interdits proscrit toute évolution.
En revanche, en appliquant la notion d'état interdit uniquement à un état d'un sous-système
composé d'une chaîne fonctionnelle et des éléments avec lesquels elle est en interaction, les
dénitions des états initiaux d'un comportement (d'une opération d'action ou d'information,
d'une évolution requise ou induite) et des états interdits sont conformes.
Considérons le module qui coordonne les quatre chaînes fonctionnelles suivantes : le magasin
rotatif, les deux vérins (1 et 2) et le poste de pesée. De surcroît, supposons que deux des
chaînes fonctionnelles sont dans un état violant les contraintes de sécurité et d'écologie (collision
d'une pièce dans le magasin rotatif avec le vérin 1). Alors ce n'est pas pour autant que nous
pouvons parler d'états interdits du système contrôlé par le module de coordination. En eet,
des opérations des deux autres chaînes fonctionnelles peuvent tout à fait être exécutées depuis
un tel état. L'opération d'identication reste en eet disponible car aucune condition, ni
pré-contrainte, ni contrainte ne contient des variables d'états du vérin 1, du magasin rotatif
et du ux de produits présent dans le magasin. Cet état est un état interdit du sous-système
constitué de la chaîne fonctionnelle associée au magasin rotatif et des éléments avec lesquels elle
98 Chapitre 6. Validation du Modèle et Guide de Modélisation
est en interaction : le vérin 1 et le ux de produits pour toutes les positions dans le magasin et
la position entre le magasin et le poste d'identication.
Les états interdits se dénissent pour un sous-système qui se compose d'une chaîne
fonc-tionnelle, notée ChFi, et des éléments avec lesquels elle est en interaction. Les états QS du
système contrôlé et de son environnement dans lesquels le sous-système ci-dessus est dans un
état interdit sont notésQI(ChFi).
An d'illustrer cette notion d'états interdits dénie pour une chaîne fonctionnelle et de son
environnement, considérons l'exemple d'un système constitué de quatre vérins présenté dans
la Figure 6.1. L'état de chacun des vérins est déni par sa position qui peut prendre la valeur
sortie (S) et rentrée (R). L'ensemble des étatsQS du système composé des quatre vérins sans la
prise en compte du ux de produits comporte 16 états représentés (cf. Figure 6.1). Ainsi, pour
cet exemple, quatre états interdits liés au vérin 1, six états interdits liés au vérin 2, six états
interdits liés au vérin 3, et enn quatre états interdits liés au vérin 4 sont dénombrables.
Les ensembles d'états interdits, dangereux et autorisés, notés respectivementQI,QD etQA,
sont utilisées maintenant an d'exprimer les propriétés pour la validation du modèle du système
contrôlé.
Un état du système ci-dessous composé
de quatre vérins est caractérisé par
la position de chacun des vérins avec:
V1 en position rentrée: V1=R
V1 en position sortie V1=S
V1
V2
V3
V4
Q (ChF )I V1
Q (ChF )I V4
V1=R
V2=R
V3=R
V4=R
V1=S
V2=R
V3=R
V4=R
V1=R
V2=R
V3=S
V4=R
V1=S
V2=R
V3=S
V4=R
V1=R
V2=S
V3=S
V4=R
V1=R
V2=R
V3=S
V4=S
V1=S
V2=R
V3=S
V4=S
V1=R
V2=S
V3=S
V4=S
V1=R
V2=R
V3=R
V4=S
V1=S
V2=R
V3=R
V4=S
V1=R
V2=S
V3=R
V4=S
V1=S
V2=S
V3=R
V4=R
V1=S
V2=S
V3=S
V4=R
V1=S
V2=S
V3=S
V4=S
V1=S
V2=S
V3=R
V4=S
Q (ChF )I V2
Q (ChF )I V3
V1=R
V2=S
V3=R
V4=R
2. Propriétés pour la validation du modèle 99
Dans le document
Synthèse de Lois de commande pour la configuration et la reconfiguration des systèmes industriels complexes
(Page 97-100)