Terminologie

Dans le cadre de cette section, nous proposons au lecteur un ensemble de définitions du domaine de la reconfiguration des systèmes industriels complexes. Elles sont essentiellement basées sur une étude terminologique [COM-2000] [NIE-2002] issue du GT INCOS (Groupe de Travail INgénierie de la COmmande et de la Supervision des SED) du GDR MACS

(Groupement de Recherche, Modélisation, Analyse et Conduite des Systèmes dynamiques). La transposition aux systèmes électriques sera ensuite effectuée plus loin dans ce mémoire. Il est illusoire de considérer qu'un appareillage réel exécute toujours correctement le service qui lui est demandé. Dans ce cas, il s'agit de traiter l'occurrence de défaillances de la partie opérative. Cependant, cette classe de problèmes n'est pas la seule à devoir être prise en compte. En effet, si nous prenons l'exemple d'un système complexe constitué de plusieurs centres de commande interconnectées via un réseau de communication, lorsque ce dernier est victime d'une rupture le rendant incapable de remplir son rôle, le système de commande est alors en panne. Traiter ce type de défaillances relève entièrement de la sûreté de fonctionnement. La mise en œuvre du principe de redondance matérielle (doublage du réseau de communication, des calculateurs, etc.) est souvent préconisée. Cependant, retenons dès à présent que nous ne nous intéresserons pas dans la suite de notre mémoire à cette dernière classe de défaillances. Seules les défaillances de la partie opérative retiendront toute notre attention. Cette précision étant faite, nous nous proposons maintenant de clarifier la terminologie du domaine.

2.2.1Termes généraux

Avant d'aller plus avant dans la terminologie, il est nécessaire de bien s'accorder sur les concepts liés à la remise en cause d'une décision.

- La faute : action, volontaire ou non, dont le résultat est la non prise en compte

correcte d'une directive, d'une contrainte exprimée par le cahier des charges.

- Le défaut : écart existant entre la valeur réelle d'une caractéristique du système et sa

valeur nominale.

- L’erreur : partie du système ne correspondant pas (ou ne correspondant pas

complètement) au cahier des charges. En toute logique, une erreur est la conséquence d'une faute.

- L’erreur latente : l'erreur est latente tant que la partie erronée du système n'est pas

Chapitre 2 – Etat de l’art : reconfiguration des systèmes complexes

- Le dysfonctionnement : exécution d'une fonction du système au cours de laquelle le

service rendu n'est pas délivré ou est délivré de manière incomplète.

- La panne : état d'un système incapable (à la suite d'une défaillance) d'assurer le

service spécifié.

- Le symptôme : événement ou ensemble de données au travers desquels le système de

détection identifie le passage de la partie opérative dans un fonctionnement anormal. C'est le seul élément dont a connaissance le système de surveillance au moment de la détection d'une anomalie.

- La défaillance : événement caractéristique d'une situation pour laquelle une opération

n'est pas exécutée par un appareillage parce que son état ne correspond pas aux spécifications nominales.

2.2.2Supervision

La supervision recouvre les aspects fonctionnement normal et fonctionnement anormal d'un système automatisé :

- en fonctionnement normal, son rôle est surtout de prendre en temps réel les décisions correspondant aux degrés de liberté exigés par la flexibilité décisionnelle. Pour cela, elle est amenée à faire de l'ordonnancement temps réel, de l'optimisation, à modifier en ligne la commande et à gérer le passage d'un algorithme de surveillance à un autre. - en présence de défaillances, la supervision doit prendre toutes les décisions nécessaires

pour assurer le retour vers un fonctionnement normal. Il peut s'agir de choisir par exemple une solution curative, d'effectuer des ré-ordonnancements "locaux", de déclencher des procédures d'urgence, etc.

Le concept de supervision s'applique dans un cadre hiérarchisé à deux niveaux au moins. A un niveau local, la supervision peut disparaître complètement (tout est prévu et figé à l'avance : la surveillance est intégrée à la commande). C’est typiquement le cas d’une protection dans un réseau électrique. En revanche, à des niveaux plus abstraits, la supervision doit devenir prépondérante par rapport à la commande et à la surveillance.

2.2.3Surveillance

La surveillance est chargée de recueillir en permanence tous les signaux en provenance de la partie opérative et de la commande, de suivre en temps réel les évolutions du système commandé, de faire toutes les inférences nécessaires pour dresser des historiques de

Chapitre 2 – Etat de l’art : reconfiguration des systèmes complexes

fonctionnement, et, le cas échéant, pour mettre en œuvre un processus de traitement de défaillance.

Dans cette définition, la surveillance est limitée aux fonctions qui collectent des informations, les archivent, font des inférences, etc., sans agir réellement, ni sur le procédé, ni sur le système de commande. La surveillance a donc un rôle passif vis-à-vis du système de commande et du procédé. Elle intègre des fonctions telles que la détection, le diagnostique, la supervision ou la surveillance [HOL-1990] [ZAM-1997] [CHA-1994] [COM-1991].

2.2.4Niveaux d'intégration de la supervision, de la surveillance, de la commande

Jusqu'à présent, nous nous sommes attachés à décrire, d'un point de vue fonctionnel, les systèmes de commande, de surveillance et de supervision. En revanche, nous ne nous sommes pas préoccupés de l'interaction de ces systèmes. Faut-il en effet considérer les systèmes de surveillance-supervision comme intégrés au système de commande ? séparés ? ou encore mixtes ?

La première approche consiste à intégrer la surveillance-supervision au système de commande. On parlera alors de "surveillance-supervision intégrée". Ici, toutes les évolutions possibles du système commandé doivent être prévues hors ligne, que ce soit en fonctionnement normal ou anormal, afin de leur affecter un traitement spécifique. De cette façon, et en particulier sur l'occurrence d'une défaillance de la partie opérative, le système de commande-surveillance-supervision peut appliquer le "bon" traitement correctif. Cependant, ce concept d'intégration pose un problème majeur. Est-il toujours envisageable de modéliser exhaustivement le comportement du système commandé à la fois en fonctionnement normal et anormal? Ceci peut se concevoir aisément pour un appareillage simple dont l'interface est constituée de peu de capteurs/actionneurs. Mais qu'en est-il pour des niveaux de commande plus agrégés ? Dans ce cas, la couverture totale des situations de défaillance est parfaitement illusoire. En conclusion, nous pouvons dire que ce type d'approche se prête bien à la commande de procédés non complexes et qui nécessitent de surcroît une forte réactivité. La deuxième approche revient à séparer le système de surveillance-supervision de la commande. On parlera alors de "surveillance-supervision séparée". Ici, la commande a la charge du fonctionnement normal alors que la surveillance-supervision gère le fonctionnement anormal. Le principal avantage de cette approche réside dans le choix adapté des outils attribués à chacun des systèmes. Cependant, une telle séparation entraîne forcément un risque de conflits décisionnels. En effet, en présence de défaillances, la supervision peut être amenée à lancer des ordres (de reprise par exemple) vers le système commandé tout à fait

Chapitre 2 – Etat de l’art : reconfiguration des systèmes complexes

contradictoires avec ceux de la fonction commande. Une solution à ces problèmes consiste à jouer sur les avantages des deux approches précédentes. On parlera alors de surveillance – supervision mixte. Ici, la commande intègre un sous-ensemble de fonctions comme la détection et la reprise alors que les autres fonctions de surveillance – supervision sont séparées de la commande [COM-1991]. Dans ce cas, le besoin de recenser toutes les situations de défaillance observables disparaît. En effet, seules les évolutions normales doivent être prises en compte, toute évolution qui diffère de celle prévue par la commande est immédiatement considérée comme anormale.

Dans ce cas, la détection (intégrée dans le système de commande) caractérise cette situation sous la forme d'un symptôme de défaillance afin que le reste des fonctions de surveillance-supervision (diagnostic, décision, etc.) prenne le relais.

2.2.5Reconfiguration des systèmes industriels

La reconfiguration [NIE-2002] [DES-2005] est donc clairement une fonction décisionnelle appartenant à la supervision. De manière plus détaillée, « le processus de reconfiguration est un processus de réorganisation matérielle et/ou logicielle du système. L’objectif de cette réorganisation est de pouvoir assurer la production dans des délais compatibles avec le cahier de charges en dépit d’un contexte indéterminé. L’indéterminisme résulte soit de la nécessité de produire de manière différente (en quantité et/ou en qualité) que celle prévue initialement ou de la nécessité de faire face à des aléas de fonctionnement issus de la partie opérative » [ZAM-2005]. Bien que de prime abord éloigné du domaine des réseaux électriques, il n’en demeure pas moins que cette définition se prête parfaitement à la problématique de la reconfiguration dans les réseaux électriques. En effet, si une défaillance se produit dans un réseau électrique, le travail des exploitants sera de réorganiser les composants matériels sains pour trouver une configuration de secours qui permette de réalimenter le maximum de clients (modification de la configuration du système).

Les raisons principales amenant une demande de reconfiguration dans des systèmes de conduite peuvent être nombreuses [HEN-2005], nous en listons ci-après les principales raisons :

- le développement continuel des systèmes entraîne des changements de la structure du système comme les extensions des parties opératives avec de nouveaux appareils insérés.

- les exigences changeantes des demandes des clients vers le type ou vers la qualité du produit conduisent à ce que les séquences de commande doivent être changées.

Chapitre 2 – Etat de l’art : reconfiguration des systèmes complexes

- les défaillances des matériels dans le système mettent les exploitants dans la situation où il faut chercher une solution de secours pour exploiter coûte que coûte le système avant que les matériels défaillants soient changés ou réparés.

- Pour améliorer ou optimiser quelques caractéristiques du système afin d’améliorer un rendement, une satisfaction des clients, etc.

Afin de proposer des solutions rapides pour la reconfiguration du système de conduite, les systèmes industriels sont généralement conçus en intégrant une flexibilité physique [TRE-2002] [BER-1998]. Cette flexibilité physique apporte plusieurs possibilités pour fabriquer un même produit dans un système manufacturier par exemple ou pour réacheminer l’énergie électrique dans un réseau électrique. Elle offre également au système de conduite une plus grande réactivité aux variations de la demande client en jouant sur la redondance des machines. Cependant, et en anticipant un peu sur la suite de ce document, notons que cette flexibilité joue également un rôle primordial pour répondre aux incertitudes liées aux aléas de fonctionnement de la partie opérative.

La seule flexibilité physique ne permet pas de garantir la flexibilité de l'ensemble du système industriel. Le système de conduite doit lui aussi être en mesure de s'adapter d'une part à la demande du client, et d'autre part aux défaillances matérielles. Nous parlerons alors de flexibilité décisionnelle.