Etude en simulation de l'impact du diagnostic à base d'observateur sur les performances fiabilistes du système supervisé

HAL Id: hal-01149771

https://hal.archives-ouvertes.fr/hal-01149771

Submitted on 7 May 2015

HAL is a multi-disciplinary open access archive for the deposit and dissemination of sci- entific research documents, whether they are pub- lished or not. The documents may come from teaching and research institutions in France or abroad, or from public or private research centers.

L’archive ouverte pluridisciplinaire HAL, est destinée au dépôt et à la diffusion de documents scientifiques de niveau recherche, publiés ou non, émanant des établissements d’enseignement et de recherche français ou étrangers, des laboratoires publics ou privés.

Etude en simulation de l’impact du diagnostic à base d’observateur sur les performances fiabilistes du système

supervisé

Samia Maza

To cite this version:

Samia Maza. Etude en simulation de l’impact du diagnostic à base d’observateur sur les performances

fiabilistes du système supervisé. 11ème Congrès International Pluridisciplinaire en Qualité, Sûreté

de Fonctionnement et Développement Durable, QUALITA 2015, Mar 2015, Nancy, France. �hal-

01149771�

Etude en simulation de l’impact du diagnostic à base d’observateur sur les performances fiabilistes du

système supervisé

Samia MAZA Université de Lorraine

Centre de Recherche en Automatique de Nancy-CRAN UMR 7039 2 avenue de la Forêt de Haye, 54500 Vandoeuvre lès Nancy

samia.maza@univ-lorraine.fr Abstract—Le progrès technologique et les exigences accrues en

termes de productivité, coût et fiabilité ont conduit les ingénieurs à concevoir des systèmes de plus en plus complexes. Une complexité qui rend le problème d’évaluation de la sûreté de fonctionnement difficile. En effet, dans le but de réduire les risques induits par la défaillance des systèmes, des architectures dites tolérantes aux fautes, sont mises en place. Plusieurs sous- systèmes et fonctionnalités comme la commande, le diagnostic et la reconfiguration, interagissent au sein de ces architectures pour améliorer les performances globales. Une approche de modélisation intégrant l’ensemble de ces fonctions et sous- systèmes est plus judicieuse pour étudier qualitativement et quantitativement leurs apports réels. Cet article propose d’utiliser une approche de modélisation intégrée par les réseaux d’activités stochastiques (SANs) conjointement avec la simulation Monte Carlo pour étudier l’impact de la fonction de diagnostic sur certaines performances du système.

Index Terms—Diagnostic, Disponibilité, Maintenance, Simulation Monte Carlo, Réseaux d’activités stochastiques (SANs).

I. I NTRODUCTION

L’analyse de la sûreté de fonctionnement des systèmes et l’évaluation de ses facteurs est cruciale pour maitriser les risques induits par la défaillance de ces systèmes. Les exigences en termes de coût, productivité, fiabilité et sécurité qui ne font qu’augmenter, ont conduit à la conception de systèmes de plus en plus complexes pour y répondre. Ainsi, des architectures matérielles et fonctionnelles plus ou moins complexes sont réalisées pour tolérer les défauts de fonctionnement et minimiser leurs conséquences en cherchant à satisfaire les exigences précédentes.

De tels systèmes, dits tolérants aux fautes, implémentent des procédures diverses permettant la détection et la localisation des défauts (la fonction de diagnostic) et le recouvrement de ceux-ci par des actions de maintenance (pour les systèmes réparables) et de reconfiguration. Cette dernière peut être matérielle si des redondances matérielles sont prévues pour le système ou certains de ses composants, ou fonctionnelles dans le cadre d’une commande tolérante aux fautes par exemple. Ces procédures de recouvrement, qui sont mises en place pour améliorer la fiabilité/disponibilité du

système, reposent essentiellement sur le système de supervision et sa capacité à diagnostiquer les défauts. Il a été montré dans [1] et [2] que les performances du diagnostic ont un impact sur ces procédures de tolérances aux fautes ainsi que les paramètres de sûreté de fonctionnement du système tolérant aux fautes. Ce qui justifie la nécessité d’une approche de modélisation et d’analyse intégrée pour évaluer les performances de tels systèmes. Cette intégration se fait par la modélisation explicite des procédures précédentes et de leurs performances [1].

La cohabitation de plusieurs sous systèmes et fonctionnalités comme le contrôle, la supervision (diagnostic), la reconfiguration, la maintenance, etc. qui sont mis en place pour, à priori, améliorer les performances d’un système, peut être à l’origine de comportement complexe et difficile à prévoir et donc à maitriser. En effet, chaque sous-système a sa propre dynamique, fiabilité et performances, et l’interaction entre leurs différentes fonctions peut améliorer les performances globales ou au contraire les dégrader [3]. Il peut alors être intéressant d’avoir un outil de modélisation et d’analyse qui permet d’étudier l’effet réel de ces fonctions et de répondre à des questions comme : cette fonction améliore-t-elle la fiabilité/disponibilité du système ? si oui, de combien ? si non, sur quels paramètres de cette fonction peut-on agir ?

Les études d’automatique (contrôle et diagnostic) et de sûreté de fonctionnement ont été souvent conduites séparément dans le passé. De plus en plus de travaux s’intéressent à l’interaction entre ces différents domaines d’étude. Par exemple dans [4], une approche est proposée pour améliorer le problème de prise de décisions en diagnostic en intégrant l’information sur la fiabilité des composants. Dans [5], Aslund et al. s’intéressent à l’étude de la sécurité d’un système, basée sur les arbres de défaillances statiques, en intégrant les performances du diagnostic exprimées en termes de taux de fausses alarmes et de manque à la détection. Bonivento et al.

proposent dans [6] une approche permettant d’évaluer la

fiabilité d’un superviseur en termes de capacité à ne pas

produire de fausses alarmes ou à manquer les défauts, en

utilisant des outils statistiques. Dans [7] et [8], les auteurs

proposent d’utiliser conjointement les outils de la sûreté de

fonctionnement et de l’analyse structurelle afin d’évaluer la

fiabilité de propriétés structurelles importantes dans les systèmes automatisés comme la commandabilité et l’observabilité en présence de défaillances composants.

Dans [1], une approche de modélisation intégrée utilisant les réseaux d’activités stochastiques (ou SANs) est proposée et qui intègre explicitement les performances du diagnostic, exprimées en probabilités de bonne détection P

, fausse alarme P

et manque à la détection P

. L’étude de l’impact de ces paramètres ainsi que des procédures de maintenance et de reconfiguration sur les performances fiabilistes du système tolérant aux fautes est faite dans [2]. Une telle approche fait l’hypothèse que les probabilités précédentes soient à priori connues, or en pratique ces probabilités sont souvent inconnues. Pour remédier à cela, une approche de modélisation par les SANs de la fonction de diagnostic à base d’observateur de Luenberger est proposée dans [9]. Intégré au modèle d’évaluation de la sûreté de fonctionnement global, le modèle SAN du superviseur permet de s’affranchir de la connaissance des probabilités précédentes et d’étudier de façon plus directe l’impact des paramètres de diagnostic sur les performances globales.

Cet article reprend l’approche proposée dans [9] et la complète pour pouvoir étudier en simulation l’impact conjoint du seuil de détection, qui est un paramètre de l’algorithme de diagnostic, ainsi que la probabilité d’occurrence d’un type de défaut, sur les performances du superviseur et du système supervisé. Pour ce dernier, on s’attachera à l’étude de la disponibilité et aux coûts des actions de maintenance.

Ce papier est organisé comme suit :

La section 2 explique le principe du diagnostic des systèmes à dynamique continue par observateur de Luenberger.

La section 3 présente les outils utilisés dans l’article pour l’étude de la sûreté de fonctionnement.

La section 4 présente l’approche de modélisation intégrée par les SANs des systèmes « superviseur-supervisé ».

La section 5 utilise ce modèle SAN sur un exemple numérique afin d’évaluer certains critères de performances liés au diagnostic et à la sûreté de fonctionnement.

La section 6 conclura le papier.

II. D IAGNOSTIC A B ASE D ’O BSERVATEUR DE L UENBERGER

La fonction de diagnostic joue un rôle clé dans les systèmes tolérants aux défauts. Un défaut est un dysfonctionnement dans le système qui l’empêche de réaliser sa mission correctement et dégrade ainsi ses performances. La capacité de détecter et de localiser les défauts/défaillances permet de mettre en œuvre des procédures de tolérance aux fautes telles que la reconfiguration et la maintenance qui sont importantes pour améliorer les paramètres de sûreté de fonctionnement du système.

Il existe un grand nombre de méthodes pour le diagnostic des systèmes dans la littérature, aussi bien pour les systèmes à dynamique continue ou discrète [10][11]. Ce papier s’intéresse au diagnostic des systèmes continus à base d’observateur de Luenberger.

Le rôle de l’observateur est de donner une estimation du vecteur d’état en se basant uniquement sur les mesures disponibles, sous contrainte d’observabilité du système. Les informations délivrées par l’observateur seront comparées à celles du système pour générer des résidus. Un résidu représente l’écart entre le comportement sans défaut (observateur) et le comportement fautif (système). Ci-dessous est rappelé brièvement le principe du diagnostic à base d’observateur de Luenberger.

Soit un système linéaire décrit par l’équation d’état suivante :

 ^{( ) ( ) ( ) ( )}

( ) ( ) ( ) ( ) ( )

x t Ax t B u t a

y t Cx t F t  G t  b

 

    



 

Où x  

, u  

et y  

sont respectivement les vecteurs d’état, de commande et de sortie du système. A B et C , sont respectivement les matrices d’état, d’entrée et de sortie avec des dimensions appropriées.

Le papier se focalise sur les défauts capteurs, d’où l’équation de sortie (1.b) modélisant les effets d’un bruit de mesure  ( ) t et d’un défaut de capteur  ( ) t avec leurs matrices de transfert respectives F et G avec des dimensions appropriées. Les défauts de capteurs peuvent être classés en trois classes : biais, oscillatoire ou dérive. Les défauts de classe

« biais » sont considérés ici, modélisant un changement brutal dans la mesure, c.à.d  ( ) t  constante .

Pour pouvoir utiliser un formalisme de modélisation des systèmes à événements discrets (les SANs), dans la modélisation du système et de son observateur comme on le verra en section IV, il est nécessaire de faire un échantillonnage du système [9]. Le modèle d’état du système discrétisé selon un pas d’échantillonnage T

est donné par l’équation suivante :



^{( )}

( )

k d k d k

k d k d k d k

x A x B u a

y C x F  G  b



 

    

 

L’indice k (resp. (k+1)) indique que la variable en question est évaluée à l’instant k T .

(resp. ( k  1). T

).

Ainsi, si le système est observable, son observateur discret est donné par l’équation d’état suivante :

 ^ˆ

^{( ) ˆ ( )}

ˆ ˆ ( )

k d d d k d k d k

k d k

x A L C x B u L y a

y C x b



   

  

 

avec L

est le gain de l’observateur, calculé pour que celui-ci soit stable, c.à.d que les valeurs propres de la matrice d’état de l’observateur (A

-L

C

) sont à l’intérieur du disque unité (Cf.

stabilité des systèmes échantillonnés).

Les résidus, r

, peuvent maintenant être définis comme étant l’écart entre les sorties mesurées, y

, et leur estimations

ˆ

y comme suit :

 r

 y

 y ˆ



où l’indice i désigne la i

composante du vecteur associé et k l’instant d’évaluation.

En l’absence de défauts les résidus doivent être nuls, et non nuls sinon. En pratique, ils ne sont pas nuls car entachés du bruit de mesure (équation (2.b)). En conséquence, les résidus sont comparés à une valeur seuil, J

, appelé seuil de détection.

Il représente un paramètre de l’algorithme de diagnostic. Ainsi, ce dernier va générer une alarme à l’instant . k T

si r

 J

et ne produit rien sinon. Lorsque l’algorithme de diagnostic (superviseur) produit une alarme alors que le composant supervisé n’est pas en défaut alors l’alarme est qualifiée de fausse et notée FA. Le fait que le superviseur ne produise pas d’alarme en présence de défaut, à cause d’un seuil trop important par exemple, est appelé manque à la détection et noté MD. Le nombre de fausses alarmes et de manques à la détection peut être considéré comme une mesure des performances du diagnostic notamment pour une étude en sûreté de fonctionnement comme dans [1].

De façon plus générale, le diagnostic se fait en utilisant une table de signatures de défauts en se basant sur plusieurs résidus issus d’un banc d’observateurs [11]. Le papier considère le diagnostic dans le cas d’un seul défaut et d’un seul résidu ce qui demande la synthèse d’un seul observateur.

Dans [1], il a été montré que les performances du diagnostic, en termes de probabilités de FA et de MD, ont un impact sur les paramètres de sûreté de fonctionnement comme la disponibilité. La modélisation de l’algorithme de diagnostic par les SANs permet d’intégrer celui-ci dans le modèle d’évaluation de la sûreté de fonctionnement comme expliqué à la section IV. Une telle modélisation permettra d’étudier directement l’impact de certains paramètres du système et du diagnostic sur les performances fiabilistes du système.

III. O UTILS POUR L ’E VALUATION DES P ARAMÈTRES DE

S ^{ÛRETÉ DE} F ONCTIONNEMENT

Il y a un grand nombre de méthodes et d’outils pour l’évaluation des paramètres de la sûréte de fonctionnement [12]. Cette section présente brièvement les deux outils utilisés dans ce papier.

A. Les réseaux d’activités stochastiques (SANs)

Les réseaux d’activités stochastiques, ou SANs, est un formalisme de modélisation des systèmes à événements discrets. Ils ont été introduits dans les années 80 par Mogavar et Meyer [13] essentiellement pour faire des études de la sûreté de fonctionnement en permettant une modélisation compacte.

Les SANs peuvent être vus comme une extension des réseaux de Petri (RdP) stochastiques. Ils comportent quatre éléments :

 Places: Comme pour les RdPs, une place peut modéliser l’état d’un système ou la condition/conséquence d’un événement. Dans les SANs, elles sont de deux types:

ordinaires et étendues. Contrairement aux places ordinaires qui peuvent recevoir des jetons, les places étendues permettent de définir des données de différents types : une variable, une matrice, ou encore une structure mixte de données. Le vecteur de marquage M d’un réseau SAN est défini pour les places ordinaires comme le nombre de jetons qu’elles contiennent et pour les places étendues par la valeur portée par celles-ci à un instant donné. Les jetons ne sont donc pas matérialisés pour les places étendues dont seule la valeur peut être lue ou modifiée. Dans le réseau SAN de (Fig. 1), réalisé avec Mobïus le support logiciel des SANs, les places ordinaires et étendues sont représentées par des disques de couleurs bleue et orange respectivement.

 Activités: Elles sont l’équivalent des transitions pour les RdPs. Elles sont immédiates ou temporisées. La temporisation peut être déterministe ou stochastique suivant différentes distributions contrairement aux RdPs stochastiques où la distribution est nécessairement exponentielle. Une activité peut se réaliser selon plusieurs chemins possibles modélisés par des cas de probabilités.

Ceux-ci sont représentés par des petits ronds à droite de l’activité (Fig. 1). La somme des probabilités associées à ces cas doit être égal à un. L’activité devant forcément se réaliser selon un chemin ou un autre. De plus, ces probabilités peuvent dépendre du marquage du réseau SAN.

 Portes d’entrée: elles relient des places d’entrée à une activité et se caractérisent par deux fonctions : La fonction de prédicat et la fonction d’entrée. La première permet de définir les conditions d’activation ou de validation d’une activité. La seconde fonction permet de définir le marquage de ses places d’entrées (ordinaires ou étendues) après réalisation de l’activité. Elles sont représentées par des triangles de couleur rouge (Fig. 1).

 Portes de sortie: Elles relient une activité à ses places de sortie et se caractérisent par la fonction de sortie. Celle-ci défini le marquage des places de sortie après réalisation de l’activité. Les portes de sorties sont représentées par des triangles de couleur noir (Fig. 1).

Fig. 1. Exemple d’un réseau SAN avec des places étendues.

Dans le réseau SAN de (Fig. 1) on retrouve tout les

éléments précédents. Ce réseau permet par exemple de calculer

le produit de deux nombres V et W modélisés par deux places

étendues du même nom. L’activité temporisée Tech,

représentée par un trait épais possède deux cas de probabilité qui modélisent deux conséquences différentes suite à la réalisation de cette activité : la première est le calcul du produit

V W  grâce à la porte de sortie OG et de rajout d’un jeton dans la place Place1 alors que la seconde consiste en l’ajout d’un jeton dans la place ordinaire Place2.

B. La simulation Monte Carlo

La méthode de Monte Carlo (MC) est une méthode d’approximation, au sens statistique du terme, qui utilise le hasard pour résoudre des problèmes centrés sur le calcul d’une valeur numérique. Elle a beaucoup de domaines d’applications et est particulièrement adaptée pour la simulation à évènements discrets, notamment lorsque ceux-ci sont aléatoires. Le principe d’utilisation de la simulation MC en sûreté de fonctionnement consiste à simuler un grand nombre de fois le comportement dynamique des composants d’un système, afin d’évaluer ses caractéristiques de fonctionnement. La simulation d’un scénario est dite histoire et représente une trajectoire possible dans l’espace des événements. Plus le nombre d’histoires simulées est grand, meilleure sera la précision des résultats.

La simulation MC sera conduite sur les modèles SAN présentés à la section suivante et développés sous Mobius afin d’évaluer certains critères de performances. Deux critères d’arrêt sont possibles : un nombre minimal N

et un nombre maximal N

d’histoires à simuler pour avoir une certaine précision. Le second critère d’arrêt est donc la précision atteinte par les résultats des simulations. Cette précision s’exprime par un intervalle de confiance et un niveau de confiance. Le niveau de confiance donne la probabilité désirée pour que la valeur exacte de la variable mesurée soit à l’intérieur de l’intervalle de confiance autour de la valeur estimée. Par exemple un niveau de confiance de 99% et intervalle de confiance de 5%  signifie que 99% des résultats obtenus sont contenus dans l’intervalle 5%  autour de leur valeur moyenne.

IV. L A M ODÉLISATION P AR L ES SAN S DES S YSTÈMES

S UPERVISEUR ET S UPERVISÉ

L’objectif de cette section est de rappeler l’approche de modélisation intégrée des systèmes tolérants aux fautes par les SANs développée dans [9]. Cette approche modélise explicitement l’algorithme de diagnostic par observateur en utilisant les SANs. Elle permet ainsi de faire une analyse prédictive et et d’évaluer des paramètres de la sûreté de fonctionnement du système sans connaitre à priori des probabilités P et P

comme dans [1][3].

Le modèle SAN du système tolérant aux fautes intégrant le diagnostic explicitement est développé selon la logique du schéma donné en (Fig. 2). De légères modifications sont apportées ici au modèle proposé dans [9] afin de permettre notamment l’étude des différentes actions de maintenance et leur coût (voir section V).

Selon la logique de ce schéma, le modèle SAN correspondant se caractérise par deux parties : le superviseur et le composant supervisé.

Fig. 2. Schéma de principe du modèle SAN du système tolérant aux fautes (systèmes superviseur et supervisé avec actions de maintenance).

A. Le modèle SAN de la partie supervision

La partie supervision comporte le modèle d’état du système et de son observateur, ainsi que l’algorithme de prise de décision.

A.1. Le modèle d’état du système et de son observateur :

Fig. 3. Le modèle SAN des équations d’état du système et de son observateur.

Les équations d’état discrétisées du système et de son observateur données par (2) et (3) sont modélisées par le réseau SAN de la Figure 3. Les matrices d’état, d’entrée et de sortie du système et le gain de l’observateur sont modélisées par des places étendues portant le même nom (Fig. 3). Les vecteurs d’état et de sortie x x

,

, , , y x x

ˆ ˆ

son représentés respectivement par les places étendues

_ , _ , _ , _ _ , _ _

x k x k1 y k x k obs x k1 obs . Les équations

Vers SAN- Diagnostic Vers SAN-Bruit

Vers SAN- Défaut

S yst èm e O b se rv a teu r

d’état proprement dites sont calculées grâce aux portes de sortie Calcul et Calcul obs _ . A chaque pas d’échantillonnage, modélisé par une activité temporisé (ici Pas et Pas obs _ ), les vecteurs d’état du système et de son observateur sont mis à jour grâce à la boucle formée par les places Aller et Retour (resp.

_ _

Aller obs et Retour obs . Pour plus de détails sur la modélisation, voir [9].

Le modèle SAN de la Figure 3 est connecté à celui du composant supervisé (Fig. 5) pour récupérer la valeur du bruit et du défaut nécessaire dans le calcul de l’équation de sortie (2.b). Il est également connecté à l’algorithme de diagnostic comme expliqué ci-après.

A.2. L’algorithme de prise de décision (diagnostic) : Le modèle SAN qui spécifie le seuil de détection, calcule les résidus et génère les alarmes est donné à la Figure 4. Il est connecté au modèle SAN de (Fig. 4) représentant les équations d’état du système et de son observateur, afin de calculer l’écart entre leurs deux sorties. Ceci se fait grâce à la porte de sortie Diagnostic . Il est également connecté au modèle SAN du composant supervisé (Fig. 5) pour d’une part connaître l’état réel du composant supervisé et d’autre part, déclencher les actions de maintenance. La comparaison du résidu au seuil permet de générer des alarmes dont la qualification « bonnes » (place D) ou « fausses » (place FA) dépendra de l’état réel du composant. La place MD représente le cas où le composant supervisé est défaillant alors que le résidu reste inférieur au seuil. Les calculs sont faits à chaque pas d’échantillonnage.

Fig. 4. Le modèle SAN de l’algorithme de prise de décision (Diagnostic).

Lorsqu’une alarme est produite, une action de maintenance peut avoir lieu. On va différencier deux types d’actions selon que l’alarme est bonne (action corrective) ou fausse (action préventive ou d’inspection).

B. Le modèle SAN de la partie supervisée

Le modèle SAN du composant supervisé, ici le capteur, comporte 3 parties (Fig. 5):

- Le bruit de mesure: est modélisé par une variable réelle associée à la place étendue Bruit dont la valeur est tirée de façon aléatoire suivant une distribution quelconque (par exemple une loi uniforme). Ce tirage est fait à chaque pas d’échatillonnage modélisé par l’activité temporisée

_

Pas Bruit , grâce à la porte de sortie Signal bruit _ .

- Le défaut de capteur: il est représenté par le modèle dysfonctionnel du capteur qui donne les états du capteur:

fonctionnel ou en défaut. L’état fonctionnel est modélisé par une place ordinaire (ici 1_ C Ok ) dont le marquage signfie que le capteur est opérationnel sans défaut. L’état de défaut (dyfonctionnement du capteur) est modélisé par une place étendue (ici AmpliDéfaut ) associée à une variable réelle, qui va représenter l’effet d’un défaut sur la sortie du système. Cet effet se traduit par l’ajout d’un biais constant, dont l’amplitude sera spécifié par les portes de sortie

_

Panne a1 et Panne b1(pour avoir deux effets différents _ comme expliqué ci-après). Les dates d’occurence de défauts suivent une distribution aléatoire quelconque. Ceci est modélisé par l’activité temporisée panne 1 . Cette dernière peut avoir plusieurs cas de probabilités modélisant des effets de défaut différents. En effet, l’hypothèse qu’un défaut puisse avoir des effets différents (en ayant différentes amplitudes) est plausible en pratique où on peut imaginer que l’amplitude du défaut peut dépendre du mode de fonctionnement ou de l’environnement du capteur/système. Le fait d’opérer dans un environnement plus ou moins agressif (chimique, pression et température ambiante, vents, etc.) pourrait avoir un impact sur l’effet du défaut. Le modèle SAN proposé ici permet de modéliser deux types d’effets Panne a1 _ et Panne b1 (modélisés _ par des portes de sortie du même nom) grâce aux deux cas de probabilité. Chaque défaut a son amplitude et sa probabilité d’occurrence tel que :

, pour , pour

k

Panne_a1 Panne_b1 avec

   



   

 et ^{( 1)}

( 2) 1

P cas P

P cas P P



 

 

   



avec a et b sont les amplitudes du défaut avec leurs probabilités d’occurrence respective P

et P

.

Notez que le but n’est pas de diagnostiquer le type de défaut, mais d’avoir des situations où le défaut sera manqué et d’autres où il sera détecté en ayant des amplitudes assez éloignées.

Fig. 5. Le modèle SAN du capteur supervisé.

Vers SAN- Système

Vers SAN- Diagnostic

SA N -B ru it S AN- Dé fa u t SA N -M aint en anc e SAN-{Système &

Observateur}

SAN-Maintenance corrective

SAN-Maintenance

préventive

- La maintenance du capteur: Comme dit précédemment, on distinguera deux types d’actions en fonction de l’alarme (Fig.

4) : une action corrective (place MaintenanceC ) et une action préventive (place MaintenanceP ). Le marquage de ces places dépendera du résultat du diagnostic. La durée de chaque action sera modélisée par une activité temporisée (ici resp. Duree C _ et Duree P _ ) dont la durée peut être soit déterministe soit aléatoire suivant une distribution quelconque.

Connaitre la durée totale de chaque type d’action permettra par exemple d’en estimer les coûts de maintenance (section V).

La section suivante permet de tester le modèle SAN global en simulation, afin étudier l’impact direct du seuil de détection ainsi que la probabilité d’occurrence du type de défaut sur les performances du diagnostic et celles du composant supervisé relativement à sa sûreté de fonctionnement.

V. E TUDE DE C AS

Cette section reprend le modèle linéaire discrétisé d’un système d’ordre 3, avec deux entrées et deux sorties vu dans [14]. Celui-ci est en boucle ouverte mais stable et est observable. Les équations d’état du système et son observateur sont données ci-dessous.

1 , 1 1 ,

1 ,

2 , 1 2 ,

2 ,

3 , 1 3 ,

1 .2 0 .9 0 .3 1 0

0 .7 0 .4 0 .3 1 1

0 .1 0 .1 0 .4 0 1

1 0 0

0 0 1 .

k k

k

k k

k

k k

k k

x x

x x u

x x u

y x







          

                

          

            

        

  

   

  



L’équation d’état de son observateur:

1 , 1 1 ,

2 , 1 2 ,

3 , 1 3 ,

1 , 2 , 1 , 2 ,

ˆ 0 . 4 9 0 4 0 . 9 0 . 0 8 7 ˆ

ˆ 0 0 . 4 0 . 0 0 0 3 ˆ

0 . 0 8 7 6 0 . 1 0 . 2 9 0 4

ˆ ˆ

0 . 7 0 9 6 0 . 2 1 3 1 0

0 . 7 0 . 3 0 0 3 1 1

0 . 0 1 2 4 0 . 6 9 0 4 0 1

ˆ ˆ

k k

k k

k k

k k k k k

x x

x x

x x

u u y y y







     

     

    

    

   

 

 

 

 

 

 

     

    

   

 x_k

















Cependant, quelques modifications ont été apportées à son modèle SAN, comme expliqué à la section précédente, afin d’étudier l’impact conjoint du seuil de détection ainsi que la probabilité d’occurrence du type de défaut sur les performances du superviseur et du capteur supervisé. Des simulations MC sont réalisées afin d’évaluer d’une part les performances du diagnostic et d’autre part la disponibilité et les coûts de maintenance du capteur supervisé en faisant varier deux paramètres simultanément. Dans cette étude, seul le capteur n°1 est supposé sujet aux défaillances, ce qui permet la détection avec un seul observateur.

La défaillance du capteur supervisé est supposée suivre une loi exponentielle de paramètre =0.002 h

, où  est le taux de défaillance du capteur. Le défaut de capteur est supposé de type « biais » avec deux amplitudes possibles   et , avec a=0.8 and b=0.3. En choisissant   , et compte tenu des paramètres du bruit donnés ci-après, on crée des cas de figures

où l’occurrence d’un défaut est manquée car de faible amplitude. En effet, le défaut de type1 ayant une amplitude plus grande que celle du type2, il est potentiellement plus facile et probable qu’il soit détecté. Chaque type de défaut va avoir une probabilité d’occurrence P

et P

avec P

+P

=1. P

est considéré comme un paramètre qu’on va faire varier ici dans l’ensemble P

{1, 0.8, 0.6, 0.4, 0.2, 0} afin d’étudier son impact sur les performances citées précédemment. On aura ainsi les cas d’un seul type de défaut : le défaut 1 si P

 1 et le défaut 2 si P

 0 .

Le bruit de mesure est supposé suivre une loi uniforme de paramètres g

=-0.3 and g

=0.3. Dans le modèle SAN de (Fig.

5), un nombre aléatoire sera tiré avec une égale probabilité dans   

,

 à chaque pas d’échantillonnage.

Les simulations MC sont conduites pour onze valeurs différentes du seuil J, afin d’étudier son effet conjoint avec P

. Le nombre d’histoires simulées est N

avec 2000£ N

£20000, et la durée T

d’une histoire est T

=10

u.t (unité de temps).

A. Evaluaion des performances du superviseur

Le modèle SAN développé permet de relever le nombre de fois où le superviseur a produit une fausse alarme FA et où il a manqué la détection MD. Pour cela, il suffit d’évaluer le marquage des places ordinaires portant le même nom (Fig. 4) à la fin de chaque histoire simulée et d’en calculer la moyenne.

Le nombre de manques à la détection et de fausses alarmes pour différentes valeurs du seuil de détection J ou de probabilité de type de défaut P

sont reportés sur les figures 6 et 7. En examinant ces courbes, on peut observer trois choses :

 Le nombre de fausses alarmes décroit avec le seuil contrairement au nombre de manques à détection qui augmente ce qui est conforme à la théorie. En effet, plus le seuil de détection est important moins le superviseur est enclin à détecter l’effet du bruit de mesure comme un étant un défaut. En même temps, les chances de passer à coté de défauts réels augmentent.

 La probabilité du type de défaut P

a un impact sur le nombre de manques à détection (MD). La courbe d’évolution MD est croissante par rapport au seuil J mais cette croissance est plus rapide et accentuée lorsque

P

diminue (Fig. 6). En effet, pour un seuil constant, on peut voir que la courbe de MD est croissante lorsque P

décroit. Ceci s’explique par le fait que le défaut de type 1 qui, à cause de son amplitude, a le plus de chances d’être détecté, a une probabilité d’occurrence de plus en plus faible au profit du défaut 2 de faible amplitude. A noter qu’au-delà d’un certain seuil, le nombre de MD est le même quelque soit la valeur de P

. Ceci est logique puisqu’avec un seuil trop important, le superviseur va manquer la détection des deux types de défaut.

 La probabilité P

semble n’avoir aucun impact sur le

nombre de fausses alarmes (FA) puisque les courbes de

FA restent inchangées en fonction de la valeur de P

(Fig.

7). Ceci s’explique par le fait que la fausse alarme est insensible au défaut, son amplitude ou sa probabilité d’occurrence. Elle est plutôt sensible au bruit de mesure.

Les caractéristiques de celui-ci restant inchangées, le nombre de FA ne change qu’en fonction du seuil de détection.

Fig. 6. Impact du seuil de détection et de la probabilité d’occurrence des défauts sur le nombre manques à détection.

Fig. 7. Impact du seuil de détection et de la probabilité d’occurrence des défauts sur le nombre de fausses alarmes.



B. Evaluaion des performances du système supervisé B.1. La disponibilité :

La disponibilité du capteur en fonction du seuil J et de la probabilité P

est reportée à la Figure 9.

Elle est évaluée à partir du modèle SAN (Fig. 5) en calculant le rapport entre le temps de séjour d’un jeton dans la place C 1_ Ok sur la durée T

d’une histoire de MC. La disponibilité du capteur supervisé décroit lorsque le seuil de détection augmente. Cette décroissance est plus rapide lorsque

P

diminue. L’allure de cette courbe peut s’expliquer par celle du nombre de MD (Fig. 6). Comme expliqué précédemment, lorsque le seuil de détection augmente et/ou la probabilité P

diminue, le manque à la détection devient de plus en plus important. Or, si le défaut/défaillance n’est pas détecté, les actions de recouvrement comme la maintenance et la reconfiguration matérielle ne peuvent avoir lieu, ce qui augmente le temps d’indisponibilité du capteur supervisé. Plus le seuil est faible, moins la disponibilité sera sensible à la probabilité du type de défaut P

. Les deux types de défauts étant bien détectés.

Fig. 8. Impact du seuil de détection et de la probabilité d’occurrence des défauts sur la disponibilité du capteur supervisé.

B.2. La maintenance :

Le modèle SAN proposé ici permet également de modéliser les actions de maintenance et d’étudier leur effet (disponibilité) et leur coût. En effet, la présence d’un superviseur permet d’effectuer des actions de maintenance lorsque celui produit une alarme. On distinguera alors deux types d’actions : une maintenance corrective lorsqu’une alarme est produite correctement (c.à.d que le capteur est réellement en défaut), et une action de maintenance préventive ou une simple action d’inspection lorsqu’une fausse alarme est produite. De ce fait, le temps de maintenance ne sera pas le même selon le type de l’action. Pour cet exemple, on suppose que la durée de l’action corrective T

suit une loi uniforme sur l’intervalle [10, 50] et la durée de l’action préventive T

suit une distribution uniforme sur l’intervalle [2, 10]. C'est-à-dire que l’action préventive est cinq fois plus rapide que l’action corrective. On supposera également que le coût horaire unitaire C

d’une action corrective est plus important que le coût unitaire C

d’une action préventive, avec C

 15  C

. Le coût total de la maintenance corrective (resp. préventive) est calculé par la multiplication du temps de séjour d’un jeton dans la place MaintenanceC (resp. MaintenanceP) du modèle SAN de (Fig.

5) par le coût unitaire C

(resp. C

).

1 1.5 2 2.5 3

0.2 0 0.6 0.4

1 0.8 0 2 4 6 8 10 12 14 16 18

Seuil J Probabilité Alpha

Manques à la détection MD

1 1.5 2 2.5 3

0 0.5 1

0 100 200 300 400 500

Seuil J Probabilité Alpha

Fausses alarmes FA

1

1.5 2

2.5 3

0 0.2 0.4 0.6 0.8 1 0.85 0.9 0.95 1

Seuil J Probabilité Alpha

Disponibilité

La contribution du coût (en %) de chacune de ces deux actions dans le coût de maintenance globale est reportée à la Figure 9.

Fig. 9. Contribution en % des actions de maintenance correctives et préventives au coût de maintenance global.

On fait le même constat que précédemment, à savoir qu’au fur à mesure que le seuil de détection augmente, le coût imputé aux actions préventives se réduit au profit de celui des actions correctives. La probabilité P

n’a pas d’effet. Comme pour la disponibilité, l’allure des courbes de (Fig. 9) s’explique par celle du nombre de fausses alarmes (Fig. 7). En effet, les actions de maintenance sont liées aux alarmes (les correctes et les fausses). Or, comme vu précédemment, le nombre de FA décroit avec J et reste insensible à P

. Ce qui implique la baisse des actions préventives et le coût qui leur est associé.

VI. C ONCLUSION

Cet article présente une étude en simulation de l’impact de quelques paramètres du diagnostic et du système supervisé sur certaines de leurs performances. Cette étude est basée sur l’approche de modélisation proposée dans [9] et qui utilise le formalisme des réseaux d’activités stochastiques, moyennant quelques rajouts.

L’intérêt d’un tel modèle est de considérer la fonction de diagnostic de façon explicite et détaillée ce qui permet l’étude de l’impact de certains de ses paramètres directement sur les performances globales.

L’étude en simulation proposée dans cet article permet d’analyser l’effet conjugué du choix du seuil de détection et de la probabilité d’occurrence de certains types de défauts (caractérisés par des amplitudes différentes) sur les performances du diagnostic exprimé en nombre de fausse alarmes et de manques à la détection. L’impact sur la disponibilité du composant supervisé ainsi que les coûts induits par les différentes actions de maintenance est également considéré.

Une des perspectives de ce travail est de considérer le cas le plus général de diagnostic à base de banc d’observateurs et sa modélisation en vu d’évaluer les facteurs de sûreté de fonctionnement du système globale.

R EFERENCES

[1] S. Maza, “Dynamic modeling and simulation of fault tolerant systems based on stochastic activity networks”, Proc IMechE Part O: Journal of Risk and Reliability, vol. 226, pp. 455-463, 2012.

[2] S. Maza, “Stochastic activity networks for the performance evaluation of fault-tolerant systems”, Proc IMechE Part O:

Journal of Risk and Reliability, vol. 228(3), pp. 243-253, 2014.

[3] S. Maza, J-F. Petin “Evaluation de la disponibilité d’un système tolérant aux fautes à l’aide des réseaux d’activités stochastiques”, Congrès Lambda Mu’12, Tours, France, 2012.

[4] P. Weber, D. Theilliol, and C. Aubrun, “Component reliability in fault-diagnosis decision making based on dynamic Bayesian networks”. In Proc IMechE Part O: Journal of Risk and Reliability, 222(2), pp.161-172, 2008.

[5] J. Aslund, J. Biteus, E. Frisk, M. Krysander and N. Nielson,

“Safety analysis of autonomous systems by extended fault tree analysis” International Journal of Adaptive Control and Signal Processing, 21, pp.287-298, 2007.

[6] C. Bonivento, M. Capiluppi, L. Marconi, A. Paoli and C. Rossi,

“Reliability evaluation for fault diagnosis in complex systems”, In SafeProcess, China, 2006.

[7] S. Maza, C. Simon, and T. Boukhobza, “Impact of the actuator failures on the structural controllability of linear systems: a graph theoretical approach”, IET Control Theory and Applications, Institution of Engineering and Technology (IET), 2012, 6 (3), pp.412-419.

[8] M. Dakil, C. Simon, and T. Boukhobza, “Reliability and availability analysis of the structural observability of bilinear systems: A graph-theoretical approach”, Proceedings of the Institution of Mechanical Engineers, Part O: Journal of Risk and Reliability, 228(3), pp.218-229, 2014.

[9] S. Maza, “Diagnosis modelling for the dependability assessment of fault-tolerant systems based on stochastic activity networks”, à paraitre dans International Journal of Quality and Reliability Engineering.

[10] Y. Zhang and J. Jiang, “Bibliographical review on reconfigurable fault-tolerant control systems”, Annual Reviews in Control, Vol. 32, 2008, pp.229-252.

[11] J. Ragot, D. Maquin and F. Kratz, “Analytical redundancy for systems with unknown inputs. Application to faults detection”.

Control Theory and Advanced Technology, 9 (3), p. 775-788, 1993.

[12] A. Villemeur, “Reliability, availability, maintainability and safety assessment: methods and techniques”. Wiley, 1992.

[13] A. Mogavar and J.F. Meyer, “Performability modeling with stochastic activity network”., Proceeding of real-time systems symposium, pp.215-224, Austin TX, USA, 1984.

[14] S. Maza, “Observer-based diagnosis modeling using stochastic activity networks for the dependability assessment purpose”, Systol’13 conference, Nice, France 2013.

1 1.5 2 2.5 3

0 0.5 1 10 20 30 40 50 60 70 80 90

Seuil J Probabilité Alpha

Coût en %

Maintenance préventive Maintenance

corrective