• Aucun résultat trouvé

II.5 Comment éviter des situations dangereuses ?

II.5.2 Théorie du contrôle par supervision

Présentation

Pour déterminer un contrôleur garantissant à un système (le procédé) de respecter un

en-semble d’exigences (les spécifications) et ainsi connaitre les évolutions acceptables du système

(le procédé sous contrôle), une théorie a été développée : la Théorie du Contrôle par Supervision

(TCS). Cette théorie a été initiée par Wonham et Ramadge en 1987 [Won10][Ram87][Ram89]

et permet donc de séparer la modélisation d’un système à événements discrets et celles des

II.5 Comment éviter des situations dangereuses ?

spécifications qu’il doit respecter. Cette théorie est basée sur des formalismes mathématiques

comme la théorie des langages [Car08] et les automates à états [Cas99] pour la représentation

graphique. La théorie du contrôle par supervision est une approche générale pour synthétiser le

contrôle des systèmes à événements discrets.

Les spécifications sont de deux types : les spécifications de sécurité et les spécifications

de vivacité. Les spécifications de sécurité représentent ce que le système ne doit pas faire, ce

qui consiste à interdire des successions d’événements dangereuses. Les spécifications de

viva-cité expriment ce que le système doit faire, ce qui revient à n’autoriser qu’un certain nombre

d’événements dans un état donné.

Par synthèse du procédé et de ses spécifications, un modèle de commande complet qui

res-pecte l’ensemble des propriétés voulues est déterminé : un superviseur. Ce superviseur, s’il

existe, va contraindre le comportement du procédé en interdisant et autorisant des événements.

Il contrôle le procédé en l’empêchant dynamiquement de générer des événements qui auraient pu

être générés, le procédé sous contrôle est ainsi défini et calculé. La théorie du contrôle par

super-vision démontre qu’en associant un procédé et ses spécifications, il existe toujours un superviseur

optimal vérifiant les propriétés du cahier des charges et permettant au système d’accomplir sa

tâche. Le superviseur synthétisé est dit permissif car il laisse au système la plus grande liberté

possible en terme de génération d’événements, tout en respectant les limites fixées par le cahier

des charges.

La théorie considère également une propriété de sécurité : la contrôlabilité des systèmes

[Bra90] [Bra00]. Le superviseur est un dispositif de sécurité qui empêche le procédé d’exécuter

des événements qui conduiraient le système contrôlé à un comportement non autorisé dans le

cahier des charges. Cependant, le superviseur ne peut pas interdire certains événements dits

incontrôlables. Le superviseur doit également être non bloquant et garantir ainsi qu’au moins

un état final puisse être atteint par tous les états accessibles du système contrôlé.

Le critère d’observabilité d’un événement est également intégré dans la théorie du contrôle

par supervision et lors de la synthèse du superviseur. Un événement est observable s’il est

visible par le superviseur et inobservable sinon. L’étude réalisée dans cette thèse se place dans

un cadre idéal où le superviseur a une vision parfaite du système et observe tous les événements

se produisant dans le système : l’ensemble des événements est donc observable.

Pour résumer, la théorie du contrôle par supervision garantit l’existence d’un superviseur

permissif au maximum, contrôlable et non bloquant pour un procédé et des spécifications

don-nées. Le résultat obtenu peut être l’ensemble vide si aucune trajectoire ne respecte l’ensemble

des spécifications ou si elles ne sont pas contrôlables. Le calcul du superviseur par la théorie

du contrôle par supervision peut être long en raison de l’explosion combinatoire de la taille des

modèles.

Deux approches existent pour formuler les spécifications que le système doit respecter :

l’ap-proche langage et l’apl’ap-proche état. Suivant l’apl’ap-proche choisie, le superviseur exprimera un langage

à respecter en se basant sur les événements ou un ensemble d’états à éviter. L’approche langage

décrit les spécifications sous forme de successions d’événements modélisées par automates à états

alors que l’approche état considère les états du système à interdire.

L’étude développée dans ce mémoire propose d’éviter un ensemble d’états identifiés comme

dangereux dans un système à événements discrets et liés à la structure même du système. En

adaptée puisque les exigences sont exprimées en termes d’états à éviter, les états interdits, et

non en terme de comportements permettant d’atteindre ces états.

Problème des états interdits

Dans [Hol90], L.E.Holloway propose une solution algorithmique efficace pour résoudre le

problème du contrôle des états interdits et l’applique à la coordination de chariots guidés dans

une usine. En modélisant le système étudié par réseaux de Petri et en identifiant les marquages

à ne pas atteindre, l’application de la théorie du contrôle par supervision permet d’obtenir un

contrôleur maximum permissif assurant l’évitement des états non désirés.

L’étude [Gha03b] développe les recherches effectuée par L.E.Holloway pour les étendre aux

réseaux de Petri prenant en compte la contrôlabilité des transitions. Les états interdits sont alors

caractérisés par des contraintes sur le marquage du RdP en définissant des bornes limites sur

les marquages. Une zone d’influence pour un état donné regroupe l’ensemble des états qu’il faut

éviter pour assurer que cet état ne soit pas atteignable dans le système. Les états de cette zone

sont tous liés les uns aux autres par au moins une transition incontrôlable.

B.Gaudin [Gau03] définit l’ensemble des séquences d’événements pour éviter d’atteindre un

état interdit. Dans son étude, le contrôle du procédé, modélisé comme un automate à état

asynchrone et hiérarchique, est réalisé afin de résoudre le problème de contrôle d’évitement

d’état. Résolu localement, un superviseur global assurant la propriété globale est donné. Dans

sa thèse[Gau04], il généralise son approche au problème d’interdiction d’états pour des systèmes

concurrents modélisés par des réseaux de Petri saufs et conservatifs.

Le problème étudié dans ces publications consiste à contrôler le système de manière à ce que

celui-ci évolue dans un ensemble d’états admissibles et n’atteigne pas un ensemble

d’états interditscorrespondant à des caractéristiques du système. Les séquences d’événements

menant à un état interdit sont analysées et selon leur contrôlabilité, sont autorisées ou interdites.

Choix de la modélisation

Initialement basé sur les automates à états finis, la théorie du contrôle par supervision

s’applique également aux réseaux de Petri par différentes intégrations [Hol97][Bou05][Lee06],

dont les états interdits. L’approche état de la théorie du contrôle par supervision semble même

plus adaptée à une modélisation par réseaux de Petri puisqu’un état interdit peut être défini

par un marquage complet ou partiel. Inversement, pour l’approche langage, les spécifications à

respecter sont plus facilement exprimées par des automates à états puisqu’elles décrivent des

comportements à éviter et sont donc associées aux séquences d’événements des automates.

Dans notre étude,la modélisation du système étudié se fera par réseaux de Petriafin

d’appliquer l’approche états de la théorie du contrôle par supervision pour éviter un ensemble

d’états définis comme dangereux dans le système. Après avoir identifié l’ensemble des états à

ne pas atteindre pour respecter les exigences, l’existence d’un contrôleur doit être vérifiée puis

le contrôleur pourra être intégré au système pour obtenir le procédé sous contrôle du système

étudié.

II.5 Comment éviter des situations dangereuses ?