Modèle des composants

La période d’échantillonnage est affectée au modèle du process (réservoir sous pression) et de ce fait tous les autres composants réagissent à des événements discrets.

La description globale du modèle sous Möbius est donnée et les modèles des composants du SIS sont montrés. Le modèle est conçu d’une façon hiérarchique et sa composition est donnée en figure 4.16.

Figure 4.16 : Conception hiérarchique du process équipé du système de sécurité

5.2.1. Modèle du process

Le process (réservoir) et modélisé par un système échantillonné. Il est connecté aux capteurs à l’aide de la place "vers_capteur" qui est une place partagée. La place "process" contient un jeton de type float (réel) qui correspond à l’état normal du fonctionnement du réservoir et donc à la pression nominale.

Figure 4.17 : Modèle SAN du réservoir

Pour le franchissement de la transition instantanée "dirac1", la porte d’entrée IG1 permet le test sur la présence d’un jeton dans la "Place1". Le jeton apparaît dans cette place seulement aux instants k*Te (k = 0, 1, 2, 3, …), il est temporisé par la période d’échantillonnage (transition "T_echat"). Cette présence de jeton est synonyme de la possibilité de l’exécution de l’algorithme présent dans la porte de sortie OG1. En effet, la non occurrence de l’effet dangereux dans le réservoir qui prend la forme d’une surpression entraîne un fonctionnement normal et l’attribution de la marque de la place "process" à la place partagée "vers_capteur". En cas de surpression (présence d’un jeton dans la place "surpression"), la pression ne varie pas instantanément et elle va varier selon un système du premier ordre décrit par les équations suivantes : ) 1 ( ) ( ) ( 135 . 0 ) ( 99 . 0 ) 1 ( + = + = + k x k x k u k x k x

où x(k+1) et x(k) sont des variables internes du système et u(k) est une entrée. Après chaque simulation, les valeurs de x(k+1) et x(k) sont réinitialisées par la présence d’un jeton dans la "Place2".

La transition "def" dispose d’une distribution de loi exponentielle et le taux affecté à cette transition est calculée dans l’hypothèse de la faible demande.

Le système va évoluer aux instants k*Te (k=0,1, 2, 3, …). Cette évolution est observée dans la figure 4.18 avec l’adjonction d’une surpression.

Figure 4.18 : Evolution de la pression dans le réservoir

Cette figure montre l’évolution de la pression dans le process (réservoir). On constate que la valeur nominale de la pression est de 150 et que l’événement dangereux a lieu dans cet exemple vers la date t = 4984 heures. Ce n’est évidemment pas la seule date à laquelle peut survenir cette surpression, en effet, d’autres simulations permettront d’avoir des dates autres que celle-là.

Aussitôt la surpression arrivée, la demande d’activation de la fonction de sécurité est déclenchée. Les deux vannes en redondance 1oo2 vont pouvoir assurer la mise en état sûr du process en cas de leur bon fonctionnement.

5.2.2. Modèle du capteur

Dans le modèle du capteur (figure 4.19), il y a cohabitation entre la partie fonctionnelle et la partie dysfonctionnelle. Les deux modes de défaillances qui affectent ce composant sont représentés dans la partie dysfonctionnelle par les places "capt1_danger" et "capt1_sur". Ces places caractérisent respectivement les défaillances dangereuses et les défaillances sûres. La transition "def_capt1" est tirée au moment de l’avènement de la défaillance qui suit une distribution exponentielle et qui est suivi d’une possibilité de couverture de diagnostic pour permettre de répartir les défaillances dans les deux modes existants. Le tir de la transition déterministe "restore" permet la restauration du composant vers l’état de fonctionnement normal représenté par la place "capteur1_OK".

Figure 4.19: Modèle du capteur

La place "entree_capteur1" qui est une place partagée avec le modèle du réservoir dispose de la valeur de la mesure. A chaque période d’échantillonnage, une nouvelle mesure est établie et préparée pour l’envoi à condition que le capteur ne soit pas dans une situation de défaillance dangereuse. Les messages sont donc envoyés périodiquement. La défaillance dangereuse ne modifie pas la capacité de communication du capteur. Elle arrête uniquement la prise de mesures.

Pour le cas des défaillances sûres, la procédure utilisée (cf. chapitre1) est basée sur l’utilisation de modèles et elle consiste en la génération de résidus par la reconstruction de la sortie et sa comparaison avec la sortie mesurée et ensuite l’étape de la validation consiste en la prise de décision vis-à-vis de ce modèle qui ne donne qu’une approximation du comportement réel.

Ainsi, les résidus élaborés seront stockés dans la place "memoire1" et le contenu de cette place sera utilisé au moment où le capteur quitte son état de fonctionnement normal et se trouve en état de défaillances sûres.

5.2.3. Modèle de l’automate

La partie dysfonctionnelle est similaire pour tous les composants (capteurs, automate, actionneurs). Ce sont les traitements qui vont différer d’un composant à un autre suivant qu’on est dans cette situation ou une autre.

L’automate reçoit en son entrée les deux mesures qui proviennent des deux capteurs redondants. Les places "entree1_automate" et "entree2_automate" sont partagées avec les places de sorties de deux capteurs ("sortie_capteur1" pour le premier capteur dans la figure précédente par exemple). Au cas de la disponibilité d’au moins un des deux capteurs et du bon fonctionnement de l’automate, celui-ci va pouvoir élaborer un ordre (franchissement de la transition instantanée "ordre") et le transmettre aux deux actionneurs qui sont en redondance 1oo2. L’ordre transmis est soit ne rien faire lorsque la pression mesurée par les capteurs est nominale ou agir par la fermeture des actionneurs au cas où il y a une surpression.

Figure 4.20 : Modèle de l’automate

5.2.4. Modèle de l’actionneur

L’autorisation de l’actionnement des actionneurs est assujettie à leur bon fonctionnement. En cas de défaillance, l’ordre émanant de l’automate ne peut aboutir.

Les actionneurs dans les applications relatives à la sécurité sont considérés comme des composants dormants. C’est pourquoi, la seule fois où ils vont être mis en actionnement est le cas de la surpression et l’apparition de l’événement dangereux dans le réservoir. Dans ce cas la place "Place2" sera marquée par un jeton qui va permettre le franchissement de la transition "depression" synonyme du retour à un état de sécurité.

Figure 4.21 : Modèle de l’actionneur

Après interaction entre les différents composants du système global, celui-ci peut se trouver dans quatre états possibles.