II.5 Comment éviter des situations dangereuses ? II.5.2 Théorie du contrôle par supervision Présentation Pour déterminer un contrôleur garantissant à un système (le procédé) de respecter un en-semble d’exigences (les spécifications) et ainsi connaitre les évolutions acceptables du système (le procédé sous contrôle), une théorie a été développée : la Théorie du Contrôle par Supervision (TCS). Cette théorie a été initiée par Wonham et Ramadge en 1987 [Won10][Ram87][Ram89] et permet donc de séparer la modélisation d’un système à événements discrets et celles des II.5 Comment éviter des situations dangereuses ? spécifications qu’il doit respecter. Cette théorie est basée sur des formalismes mathématiques comme la théorie des langages [Car08] et les automates à états [Cas99] pour la représentation graphique. La théorie du contrôle par supervision est une approche générale pour synthétiser le contrôle des systèmes à événements discrets. Les spécifications sont de deux types : les spécifications de sécurité et les spécifications de vivacité. Les spécifications de sécurité représentent ce que le système ne doit pas faire, ce qui consiste à interdire des successions d’événements dangereuses. Les spécifications de viva-cité expriment ce que le système doit faire, ce qui revient à n’autoriser qu’un certain nombre d’événements dans un état donné. Par synthèse du procédé et de ses spécifications, un modèle de commande complet qui res-pecte l’ensemble des propriétés voulues est déterminé : un superviseur. Ce superviseur, s’il existe, va contraindre le comportement du procédé en interdisant et autorisant des événements. Il contrôle le procédé en l’empêchant dynamiquement de générer des événements qui auraient pu être générés, le procédé sous contrôle est ainsi défini et calculé. La théorie du contrôle par super-vision démontre qu’en associant un procédé et ses spécifications, il existe toujours un superviseur optimal vérifiant les propriétés du cahier des charges et permettant au système d’accomplir sa tâche. Le superviseur synthétisé est dit permissif car il laisse au système la plus grande liberté possible en terme de génération d’événements, tout en respectant les limites fixées par le cahier des charges. La théorie considère également une propriété de sécurité : la contrôlabilité des systèmes [Bra90] [Bra00]. Le superviseur est un dispositif de sécurité qui empêche le procédé d’exécuter des événements qui conduiraient le système contrôlé à un comportement non autorisé dans le cahier des charges. Cependant, le superviseur ne peut pas interdire certains événements dits incontrôlables. Le superviseur doit également être non bloquant et garantir ainsi qu’au moins un état final puisse être atteint par tous les états accessibles du système contrôlé. Le critère d’observabilité d’un événement est également intégré dans la théorie du contrôle par supervision et lors de la synthèse du superviseur. Un événement est observable s’il est visible par le superviseur et inobservable sinon. L’étude réalisée dans cette thèse se place dans un cadre idéal où le superviseur a une vision parfaite du système et observe tous les événements se produisant dans le système : l’ensemble des événements est donc observable. Pour résumer, la théorie du contrôle par supervision garantit l’existence d’un superviseur permissif au maximum, contrôlable et non bloquant pour un procédé et des spécifications don-nées. Le résultat obtenu peut être l’ensemble vide si aucune trajectoire ne respecte l’ensemble des spécifications ou si elles ne sont pas contrôlables. Le calcul du superviseur par la théorie du contrôle par supervision peut être long en raison de l’explosion combinatoire de la taille des modèles. Deux approches existent pour formuler les spécifications que le système doit respecter : l’ap-proche langage et l’apl’ap-proche état. Suivant l’apl’ap-proche choisie, le superviseur exprimera un langage à respecter en se basant sur les événements ou un ensemble d’états à éviter. L’approche langage décrit les spécifications sous forme de successions d’événements modélisées par automates à états alors que l’approche état considère les états du système à interdire. L’étude développée dans ce mémoire propose d’éviter un ensemble d’états identifiés comme dangereux dans un système à événements discrets et liés à la structure même du système. En adaptée puisque les exigences sont exprimées en termes d’états à éviter, les états interdits, et non en terme de comportements permettant d’atteindre ces états. Problème des états interdits Dans [Hol90], L.E.Holloway propose une solution algorithmique efficace pour résoudre le problème du contrôle des états interdits et l’applique à la coordination de chariots guidés dans une usine. En modélisant le système étudié par réseaux de Petri et en identifiant les marquages à ne pas atteindre, l’application de la théorie du contrôle par supervision permet d’obtenir un contrôleur maximum permissif assurant l’évitement des états non désirés. L’étude [Gha03b] développe les recherches effectuée par L.E.Holloway pour les étendre aux réseaux de Petri prenant en compte la contrôlabilité des transitions. Les états interdits sont alors caractérisés par des contraintes sur le marquage du RdP en définissant des bornes limites sur les marquages. Une zone d’influence pour un état donné regroupe l’ensemble des états qu’il faut éviter pour assurer que cet état ne soit pas atteignable dans le système. Les états de cette zone sont tous liés les uns aux autres par au moins une transition incontrôlable. B.Gaudin [Gau03] définit l’ensemble des séquences d’événements pour éviter d’atteindre un état interdit. Dans son étude, le contrôle du procédé, modélisé comme un automate à état asynchrone et hiérarchique, est réalisé afin de résoudre le problème de contrôle d’évitement d’état. Résolu localement, un superviseur global assurant la propriété globale est donné. Dans sa thèse[Gau04], il généralise son approche au problème d’interdiction d’états pour des systèmes concurrents modélisés par des réseaux de Petri saufs et conservatifs. Le problème étudié dans ces publications consiste à contrôler le système de manière à ce que celui-ci évolue dans un ensemble d’états admissibles et n’atteigne pas un ensemble d’états interditscorrespondant à des caractéristiques du système. Les séquences d’événements menant à un état interdit sont analysées et selon leur contrôlabilité, sont autorisées ou interdites. Choix de la modélisation Initialement basé sur les automates à états finis, la théorie du contrôle par supervision s’applique également aux réseaux de Petri par différentes intégrations [Hol97][Bou05][Lee06], dont les états interdits. L’approche état de la théorie du contrôle par supervision semble même plus adaptée à une modélisation par réseaux de Petri puisqu’un état interdit peut être défini par un marquage complet ou partiel. Inversement, pour l’approche langage, les spécifications à respecter sont plus facilement exprimées par des automates à états puisqu’elles décrivent des comportements à éviter et sont donc associées aux séquences d’événements des automates. Dans notre étude,la modélisation du système étudié se fera par réseaux de Petriafin d’appliquer l’approche états de la théorie du contrôle par supervision pour éviter un ensemble d’états définis comme dangereux dans le système. Après avoir identifié l’ensemble des états à ne pas atteindre pour respecter les exigences, l’existence d’un contrôleur doit être vérifiée puis le contrôleur pourra être intégré au système pour obtenir le procédé sous contrôle du système étudié. II.5 Comment éviter des situations dangereuses ? Dans le document Gestion de procédures et prise en compte du danger lors de l'occurrence d'incidents combinés : Application à la supervision d'une ligne de métro (Page 61-64)