Les états interdits, dangereux et autorisés

Les notions d'états interdits et autorisés sont proches de celles utilisées dans le cadre de

la théorie de Ramadge et Wonham et plus particulièrement pour le problème d'états interdits

(Achour et Rezg, 2004) ; à ceci près que ces états se rapportent à ceux des chaînes

fonction-nelles. En revanche, la notion d'états dangereux est, dans notre cas, diérente de celle des états

faiblement interdits.

Nous introduisons d'abord les notions d'états interdits, dangereux et autorisés pour ensuite

montrer qu'ils ont un sens uniquement vis à vis d'une chaîne fonctionnelle.

États interdits

Dénition 7 Il s'agit des états dans lesquels les contraintes de sécurité et d'écologie sont

violées.

De tels états ne sont pas réellement et physiquement atteignables sans détériorer le système

contrôlé et/ou son environnement conduisant alors à changer la nature du système et de ses

capacités. C'est par exemple le cas où les deux vérins (1 et 2) sont en position sortie. Cet

état n'est pas atteignable par le système réel sans modier ses caractéristiques physiques :

tige des vérins tordues avec ou sans détérioration des joints d'étanchéité, etc. Le modèle

du système contrôlé et de son environnement à des ns de conception de lois de commande

n'a pas vocation de représenter les défaillances, leurs causes et leurs conséquences dans

le contexte d'une approche CERBERE. Les détériorations subies par le système contrôlé

et son environnement n'étant pas modélisées et par conséquent les services encore oerts

par les chaînes fonctionnelles étant inconnus dans un état interdit, les évolutions autorisées

depuis un état interdit ne peuvent pas être modélisées.

États dangereux

Dénition 8 Ce sont des états dans lesquels il y a un risque de violer les contraintes de

sécurité et d'écologie.

2. Propriétés pour la validation du modèle 97

C'est le cas par exemple où les deux vérins 1 et 2 qui sont orthogonaux sont en position

intermédiaire. La précision du modèle ne permet pas dans cet état de savoir si les deux

vérins sont entrés en collision ou non. Aussi, il est impossible de savoir si les contraintes de

sécurité et d'écologie sont satisfaites. Il faut alors interdire d'atteindre un état dangereux

pour lequel la probabilité de violer les contraintes de sécurité et d'écologie est non nulle.

Cependant, suite à l'occurrence d'une défaillance, un état dangereux peut être atteint sans

détériorer le système contrôlé et son environnement (informations données par les fonctions

diagnostiquer et suivre cf. Chapitre 1). Depuis un tel état, il peut exister des évolutions

respectant les contraintes de sécurité et d'écologie.

États autorisés

Dénition 9 Ils représentent les états dans lesquels les contraintes de sécurité et d'écologie

sont satisfaites.

Hormis l'état initial du système contrôlé et de son environnement, depuis lequel une loi de

commande est applicable, tous les autres états par lesquels passera le système contrôlé et

son environnement sont des états autorisés en l'absence de défaillance. En eet, il n'existe

pas d'évolution dans le modèle conduisant à un état interdit ou dangereux. Dans ce cas,

seules des évolutions vers des états autorisés sont possibles.

Les notions d'états interdits, dangereux, et autorisés sont relatives à l'état d'un sous-système

qui se compose d'une chaîne fonctionnelle et des éléments avec lesquels elle est en interaction.

Nous démontrons cette proposition uniquement pour les états interdits. Mais un raisonnement

identique démontre également que les notions d'états dangereux et autorisés ont un sens

uniquement vis-à-vis d'une chaîne fonctionnelle et de son environnement.

En eet, les chaînes fonctionnelles et les produits dont l'état n'apparaît pas dans les conditions

et les pré-contraintes d'une opération peuvent violer les contraintes de sécurité, comme par

exemple deux chaînes fonctionnelles en collision. Dans ce cas, si la notion d'état interdit s'applique

à un état du système contrôlé, il y a contradiction entre la dénition d'un état interdit et les

dénitions des états initiaux. En eet, pour un même état, la dénition des états initiaux autorise

une évolution alors que la dénition des états interdits proscrit toute évolution.

En revanche, en appliquant la notion d'état interdit uniquement à un état d'un sous-système

composé d'une chaîne fonctionnelle et des éléments avec lesquels elle est en interaction, les

dénitions des états initiaux d'un comportement (d'une opération d'action ou d'information,

d'une évolution requise ou induite) et des états interdits sont conformes.

Considérons le module qui coordonne les quatre chaînes fonctionnelles suivantes : le magasin

rotatif, les deux vérins (1 et 2) et le poste de pesée. De surcroît, supposons que deux des

chaînes fonctionnelles sont dans un état violant les contraintes de sécurité et d'écologie (collision

d'une pièce dans le magasin rotatif avec le vérin 1). Alors ce n'est pas pour autant que nous

pouvons parler d'états interdits du système contrôlé par le module de coordination. En eet,

des opérations des deux autres chaînes fonctionnelles peuvent tout à fait être exécutées depuis

un tel état. L'opération d'identication reste en eet disponible car aucune condition, ni

pré-contrainte, ni contrainte ne contient des variables d'états du vérin 1, du magasin rotatif

et du ux de produits présent dans le magasin. Cet état est un état interdit du sous-système

constitué de la chaîne fonctionnelle associée au magasin rotatif et des éléments avec lesquels elle

98 Chapitre 6. Validation du Modèle et Guide de Modélisation

est en interaction : le vérin 1 et le ux de produits pour toutes les positions dans le magasin et

la position entre le magasin et le poste d'identication.

Les états interdits se dénissent pour un sous-système qui se compose d'une chaîne

fonc-tionnelle, notée ChFi, et des éléments avec lesquels elle est en interaction. Les états QS du

système contrôlé et de son environnement dans lesquels le sous-système ci-dessus est dans un

état interdit sont notésQ_I(ChF_i).

An d'illustrer cette notion d'états interdits dénie pour une chaîne fonctionnelle et de son

environnement, considérons l'exemple d'un système constitué de quatre vérins présenté dans

la Figure 6.1. L'état de chacun des vérins est déni par sa position qui peut prendre la valeur

sortie (S) et rentrée (R). L'ensemble des étatsQ_S du système composé des quatre vérins sans la

prise en compte du ux de produits comporte 16 états représentés (cf. Figure 6.1). Ainsi, pour

cet exemple, quatre états interdits liés au vérin 1, six états interdits liés au vérin 2, six états

interdits liés au vérin 3, et enn quatre états interdits liés au vérin 4 sont dénombrables.

Les ensembles d'états interdits, dangereux et autorisés, notés respectivementQ_I,Q_D etQ_A,

sont utilisées maintenant an d'exprimer les propriétés pour la validation du modèle du système

contrôlé.

Un état du système ci-dessous composé

de quatre vérins est caractérisé par

la position de chacun des vérins avec:

V1 en position rentrée: V1=R

V1 en position sortie V1=S

V1

V2

V3

V4

Q (ChF )_{I V1}

Q (ChF )_{I V4}

V1=R

V2=R

V3=R

V4=R

V1=S

V2=R

V3=R

V4=R

V1=R

V2=R

V3=S

V4=R

V1=S

V2=R

V3=S

V4=R

V1=R

V2=S

V3=S

V4=R

V1=R

V2=R

V3=S

V4=S

V1=S

V2=R

V3=S

V4=S

V1=R

V2=S

V3=S

V4=S

V1=R

V2=R

V3=R

V4=S

V1=S

V2=R

V3=R

V4=S

V1=R

V2=S

V3=R

V4=S

V1=S

V2=S

V3=R

V4=R

V1=S

V2=S

V3=S

V4=R

V1=S

V2=S

V3=S

V4=S

V1=S

V2=S

V3=R

V4=S

Q (ChF )_{I V2}

Q (ChF )_{I V3}

V1=R

V2=S

V3=R

V4=R

2. Propriétés pour la validation du modèle 99

Dans le document Synthèse de Lois de commande pour la configuration et la reconfiguration des systèmes industriels complexes (Page 97-100)