permet de représenter tous les états nécessaires (recenser sans risque d'oublis les états
importants), ainsi que les conditions de transition d'un état à l'autre. Cette procédure est
présentée dans la Figure 2.3.
HORS PRODUCTION PRODUCTION
FONCTIONNEMENT NORMAL
FONCTIONNEMENT ANORMAL
Etat initial Arrêt normal Maintenance lourde Arrêts de sécurité Production à performances réduites Production normale T1 T5 T4 T7 T6 T9 T8 T3 T2 Etat stable du processus Changement d’état(Transition) De tout état
Fig. 2.3: Exemple d'un graphe d'état déni pour un bloc fonction
Cette approche ore une méthodologie pour la spécication de la commande sûre de
fonctionnement d'un système de production. Elle propose ainsi une structuration pour la
conception de la commande-surveillance-supervision. En ce sens, elle peut être caractérisée
d'approche intégrée. Elle ore ainsi des avantages certains en terme de réactivité aux
défaillances de la partie opérative puisque toutes les situations, normales ou anormales,
auront été prévues à l'avance. Cependant, comme nous avons pu le signaler plus haut,
elle n'est pas adaptée à la surveillance-supervision des procédés dits complexes bien que
proposant une méthode de décomposition du problème. Enn, nous pouvons regretter le
manque de exibilité lié au traitement de défaillances ; seules deux issues ont été prévues :
états d'arrêt de sécurité ou production forcée dans le cas d'une défaillance prévue.
An d'apporter une solution à la carence d'outils formels pour la validation et la
véri-cation du GEMMA, l'équipe ISA (Ingénierie des Systèmes Automatisés) du Laboratoire
Universitaire de Recherche en Production Automatisée (LURPA) a proposé des travaux
que nous exposons dans le paragraphe suivant.
2.3 Spécication et validation de cahier des charges de
systèmes à événements discrets (LURPA-Cachan)
Les travaux de l'équipe ISA visent à assister et à optimiser les activités de conception
de la commande et de la conduite des systèmes de production. Dans ce paragraphe, nous
présentons brièvement une approche développée au sein de cette équipe.
En 1998, dans le cadre de la thèse (Lampérière-Coun [1998]), une méthode
permet-tant de couvrir les phases allant de la vérication du cahier des charges des systèmes à
événements discrets à la validation des spécications décrites en Grafcet est développée
(Figure 2.4). L'objectif principal est de proposer des techniques de vérication et de
validation formelles concernant à la fois des propriétés de sûreté et de vivacité.
La méthode utilisée pour la vérication et la validation de la spécication est basée
sur une formalisation algébrique du cahier des charges (exprimé initialement en langage
naturel) et du grafcet de spécication. Cette formalisation rend plus facile la vérication
Chapitre 2. État de l'art 35
CONCEPTION
DÉTAILLÉE
CONCEPTION
PRÉLIMINAIRE
FABRICATION
CODAGE
TESTS
INTÉGRATION
VALIDATION
RÉDACTION DU
CAHIER DE CHARGES
MAINTENANCE
EXPLOITATION
SPÉCIFICATION
Remise en cause
Validation
Fig. 2.4: Cycle de vie des systèmes réactifs (Deleu [1995])
de ces éléments car ils sont décrits avec le même formalisme. La méthode adoptée est
représentée dans la gure 2.5.
Fig. 2.5: Méthode pour la validation d'un grafcet de spécication
L'outil de modélisation Grafcet décrit un ensemble de règles qui doivent être vériées
dans les grafcets de commande. La vérication du grafcet correspond à la vérication de
ces règles. Elle comporte deux aspects : une vérication syntaxique et une vérication
dy-namique. La première vérication concerne les propriétés structurelles du grafcet (respect
de l'alternance étape-transition, respect de la hiérarchie de forçage, etc.). Quant à la
véri-cation dynamique, elle concerne les propriétés comportementales telles que réinitiabilité,
stabilité, blocage, etc. (Deleu [1995]).
La méthode de vérication de grafcet comprend 5 étapes (Figure 2.6).
1. vérication syntaxique du grafcet,
2. écriture du grafcet de spécication en TSH8,
362.3. Spécication et validation de cahier des charges de systèmes à événements discrets(LURPA-Cachan)
3. déduction de propriétés dynamiques de la structure grafcet,
4. simplication des équations d'évolution du grafcet de spécication,
5. vérication des équations représentant le grafcet de spécication.
Fig. 2.6: Méthode pour la vérication d'un grafcet de spécication
Par ailleurs, la vérication des cahiers des charges représente la preuve de la
cohé-rence des contraintes exprimées dans ce cahier, c'est-à-dire, l'élimination d'incohécohé-rences
ou de redondances. Les incohérences correspondent aux contraintes impossibles à réaliser
simultanément. Les redondances décrivent les contraintes exprimées plusieurs fois ou les
contraintes induites par d'autres contraintes.
La modélisation du cahier des charges sous une forme algébrique a besoin d'une étape
intermédiaire, l'expression du cahier des charges en logique temporelle. La logique
tem-porelle a l'avantage de disposer des opérateurs proches du langage naturel (Figure 2.7).
La logique utilisée pour la spécication des systèmes réactifs est la logique temporelle
ar-borescente PCTL (Laroussinie [1994] . Ensuite, le cahier des charges est traduit en TSH
(Frachet et al. [1996b,a]) an qu'il puisse être vérié à partir des expressions algébriques
résultantes.
Fig. 2.7: Méthode pour la vérication d'un cahier de charges
Finalement, la validation du grafcet consiste à prouver que les évolutions possibles du
grafcet satisfont bien aux propriétés extraites du cahier des charges. Elle est donc relative
à l'existence ou à l'enchaînement des situations possibles du grafcet.
Chapitre 2. État de l'art 37
La validation du grafcet est eectuée en utilisant les représentations du cahier des
charges et des évolutions du grafcet sous forme d'équations diérentielles développées en
TSH (Figure 2.8). En eet, puisque les spécications du cahier des charges et le grafcet de
spécications sont représentées sous la forme d'équations, la démonstration des propriétés
se ramène alors à la manipulation de ces équations en utilisant des techniques de calcul
algébrique.
Fig. 2.8: Méthode pour la validation de spécications décrites en Grafcet
Cette approche ore une méthode formelle pour vérier la cohérence entre ce qui a
été déni par l'utilisateur (cahier des charges) et les résultats obtenus en termes de
com-mande (grafcet de comcom-mande). De plus, la technique proposée permet de valider ce grafcet
an de s'assurer qu'il vérie les propriétés de sûreté et d'absence de blocages, propriétés
primordiales dans la sûreté des systèmes (Zaytoon et al. [1997]). Du point de vue de la
surveillance et de la supervision, cette approche prévoit des actions correctrices associées
aux défaillances prévues dans le cahier des charges. En ce sens, cette approche peut être
qualiée d'approche intégrée. A ce titre, elle présente les avantages et les inconvénients
inhérents à ce type d'approches. Enn, nous remarquerons que la méthode proposée par
cette approche pour prendre en compte les défaillances de la partie opérative s'appuie
exclusivement sur l'analyse des risques selon un point de vue unique : la sécurité des
hommes et des machines. Comme nous le verrons par la suite dans la partie III de ce
mémoire, la sécurité n'est pas le seul critère qui doit être pris en compte lors de la
spé-cication des traitements de défaillances, que ce soit pour une approche intégrée, séparée
ou mixte. D'autres, comme par exemple des critères écologiques ou économiques, doivent
être considérés.
2.4 Synthèse de commande des systèmes à événements
Dans le document
Synthèse de lois de surveillance pour les procédés industriels complexes
(Page 35-38)