Spécication et validation de cahier des charges de systèmes à événements

permet de représenter tous les états nécessaires (recenser sans risque d'oublis les états

importants), ainsi que les conditions de transition d'un état à l'autre. Cette procédure est

présentée dans la Figure 2.3.

HORS PRODUCTION _PRODUCTION

FONCTIONNEMENT NORMAL

FONCTIONNEMENT ANORMAL

Etat initial Arrêt normal Maintenance lourde Arrêts de sécurité Production à performances réduites Production normale T1 T5 T4 T7 T6 T9 T8 T3 T2 Etat stable du processus Changement d’état

(Transition) ^{De tout état}

Fig. 2.3: Exemple d'un graphe d'état déni pour un bloc fonction

Cette approche ore une méthodologie pour la spécication de la commande sûre de

fonctionnement d'un système de production. Elle propose ainsi une structuration pour la

conception de la commande-surveillance-supervision. En ce sens, elle peut être caractérisée

d'approche intégrée. Elle ore ainsi des avantages certains en terme de réactivité aux

défaillances de la partie opérative puisque toutes les situations, normales ou anormales,

auront été prévues à l'avance. Cependant, comme nous avons pu le signaler plus haut,

elle n'est pas adaptée à la surveillance-supervision des procédés dits complexes bien que

proposant une méthode de décomposition du problème. Enn, nous pouvons regretter le

manque de exibilité lié au traitement de défaillances ; seules deux issues ont été prévues :

états d'arrêt de sécurité ou production forcée dans le cas d'une défaillance prévue.

An d'apporter une solution à la carence d'outils formels pour la validation et la

véri-cation du GEMMA, l'équipe ISA (Ingénierie des Systèmes Automatisés) du Laboratoire

Universitaire de Recherche en Production Automatisée (LURPA) a proposé des travaux

que nous exposons dans le paragraphe suivant.

2.3 Spécication et validation de cahier des charges de

systèmes à événements discrets (LURPA-Cachan)

Les travaux de l'équipe ISA visent à assister et à optimiser les activités de conception

de la commande et de la conduite des systèmes de production. Dans ce paragraphe, nous

présentons brièvement une approche développée au sein de cette équipe.

En 1998, dans le cadre de la thèse (Lampérière-Coun [1998]), une méthode

permet-tant de couvrir les phases allant de la vérication du cahier des charges des systèmes à

événements discrets à la validation des spécications décrites en Grafcet est développée

(Figure 2.4). L'objectif principal est de proposer des techniques de vérication et de

validation formelles concernant à la fois des propriétés de sûreté et de vivacité.

La méthode utilisée pour la vérication et la validation de la spécication est basée

sur une formalisation algébrique du cahier des charges (exprimé initialement en langage

naturel) et du grafcet de spécication. Cette formalisation rend plus facile la vérication

Chapitre 2. État de l'art 35

CONCEPTION

DÉTAILLÉE

CONCEPTION

PRÉLIMINAIRE

FABRICATION

CODAGE

TESTS

INTÉGRATION

VALIDATION

RÉDACTION DU

CAHIER DE CHARGES

MAINTENANCE

EXPLOITATION

SPÉCIFICATION

Remise en cause

Validation

Fig. 2.4: Cycle de vie des systèmes réactifs (Deleu [1995])

de ces éléments car ils sont décrits avec le même formalisme. La méthode adoptée est

représentée dans la gure 2.5.

Fig. 2.5: Méthode pour la validation d'un grafcet de spécication

L'outil de modélisation Grafcet décrit un ensemble de règles qui doivent être vériées

dans les grafcets de commande. La vérication du grafcet correspond à la vérication de

ces règles. Elle comporte deux aspects : une vérication syntaxique et une vérication

dy-namique. La première vérication concerne les propriétés structurelles du grafcet (respect

de l'alternance étape-transition, respect de la hiérarchie de forçage, etc.). Quant à la

véri-cation dynamique, elle concerne les propriétés comportementales telles que réinitiabilité,

stabilité, blocage, etc. (Deleu [1995]).

La méthode de vérication de grafcet comprend 5 étapes (Figure 2.6).

1. vérication syntaxique du grafcet,

2. écriture du grafcet de spécication en TSH8,

36^{2.3. Spécication et validation de cahier des charges de systèmes à événements discrets}(LURPA-Cachan)

3. déduction de propriétés dynamiques de la structure grafcet,

4. simplication des équations d'évolution du grafcet de spécication,

5. vérication des équations représentant le grafcet de spécication.

Fig. 2.6: Méthode pour la vérication d'un grafcet de spécication

Par ailleurs, la vérication des cahiers des charges représente la preuve de la

cohé-rence des contraintes exprimées dans ce cahier, c'est-à-dire, l'élimination d'incohécohé-rences

ou de redondances. Les incohérences correspondent aux contraintes impossibles à réaliser

simultanément. Les redondances décrivent les contraintes exprimées plusieurs fois ou les

contraintes induites par d'autres contraintes.

La modélisation du cahier des charges sous une forme algébrique a besoin d'une étape

intermédiaire, l'expression du cahier des charges en logique temporelle. La logique

tem-porelle a l'avantage de disposer des opérateurs proches du langage naturel (Figure 2.7).

La logique utilisée pour la spécication des systèmes réactifs est la logique temporelle

ar-borescente PCTL (Laroussinie [1994] . Ensuite, le cahier des charges est traduit en TSH

(Frachet et al. [1996b,a]) an qu'il puisse être vérié à partir des expressions algébriques

résultantes.

Fig. 2.7: Méthode pour la vérication d'un cahier de charges

Finalement, la validation du grafcet consiste à prouver que les évolutions possibles du

grafcet satisfont bien aux propriétés extraites du cahier des charges. Elle est donc relative

à l'existence ou à l'enchaînement des situations possibles du grafcet.

Chapitre 2. État de l'art 37

La validation du grafcet est eectuée en utilisant les représentations du cahier des

charges et des évolutions du grafcet sous forme d'équations diérentielles développées en

TSH (Figure 2.8). En eet, puisque les spécications du cahier des charges et le grafcet de

spécications sont représentées sous la forme d'équations, la démonstration des propriétés

se ramène alors à la manipulation de ces équations en utilisant des techniques de calcul

algébrique.

Fig. 2.8: Méthode pour la validation de spécications décrites en Grafcet

Cette approche ore une méthode formelle pour vérier la cohérence entre ce qui a

été déni par l'utilisateur (cahier des charges) et les résultats obtenus en termes de

com-mande (grafcet de comcom-mande). De plus, la technique proposée permet de valider ce grafcet

an de s'assurer qu'il vérie les propriétés de sûreté et d'absence de blocages, propriétés

primordiales dans la sûreté des systèmes (Zaytoon et al. [1997]). Du point de vue de la

surveillance et de la supervision, cette approche prévoit des actions correctrices associées

aux défaillances prévues dans le cahier des charges. En ce sens, cette approche peut être

qualiée d'approche intégrée. A ce titre, elle présente les avantages et les inconvénients

inhérents à ce type d'approches. Enn, nous remarquerons que la méthode proposée par

cette approche pour prendre en compte les défaillances de la partie opérative s'appuie

exclusivement sur l'analyse des risques selon un point de vue unique : la sécurité des

hommes et des machines. Comme nous le verrons par la suite dans la partie III de ce

mémoire, la sécurité n'est pas le seul critère qui doit être pris en compte lors de la

spé-cication des traitements de défaillances, que ce soit pour une approche intégrée, séparée

ou mixte. D'autres, comme par exemple des critères écologiques ou économiques, doivent

être considérés.

2.4 Synthèse de commande des systèmes à événements

Dans le document Synthèse de lois de surveillance pour les procédés industriels complexes (Page 35-38)