400 likes | 514 Views
Une méthode d’évaluation de la fiabilité des SDH par construction d’un graphe de Markov agrégé. GT S3 Raphaël SCHOENIG, 08 / 06 / 2005 raphael.schoenig@free.fr. Plan. Introduction Problématique Méthodes d’évaluations existantes Principes de l’approche proposée Fondements théoriques
E N D
Une méthode d’évaluation de la fiabilité des SDH par construction d’un graphe de Markov agrégé GT S3 Raphaël SCHOENIG, 08 / 06 / 2005 raphael.schoenig@free.fr
Plan • Introduction • Problématique • Méthodes d’évaluations existantes • Principes de l’approche proposée • Fondements théoriques • Principes de l’approche: Méthode d’agrégation des graphes de Markov • Formulation mathématique • Simplification de l’équation : les perturbations singulières • Critère de validité : méthode analytique et géométrique • Illustration sur un cas test • Conclusion
Introduction • Contexte • Objectifs • Proposer des éléments méthodologique pour améliorer la conception et intégrer au plus tôt des analyses SdF • Choix d’une architecture fonctionnelle/matérielle robuste aux défaillances • En adéquation avec les systèmes mécatroniques et les exigences des industriels • Caractéristiques des systèmes étudiés : coopération de plusieurs sous-systèmes, forte proportion d’électronique, interactions matériel/logiciel, contraintes temps réel, de SdF… • Méthodes SdF les plus répandues de type « statique » non adaptées à l’évaluation de la fiabilité des SDH
Mécanique Hydraulique Pneumatique… Signaux d’entrée Électronique Capteurs Calculateur Actionneur Organe Véhicule Commandes conducteur Logiciel Introduction (2/2) • Systèmes traités : systèmes mécatroniques • Système complexe de nature hétérogène • Fortement dépendant du temps, contraintes temps réels • Interaction permanente Système Environnement Défaillances • Méthodes et outils d’analyse quantitative actuellement utilisées pour le calcul des PPM: les arbres de défaillance • Méthode statique: 1 ER = combinaison logique de défaillances pas de dépendance temporelle !!!
Problématique • Comment valider au plus tôt le choix d’une architecture fonctionnelle sur des critères de SdF ? • Comment prendre en compte dans les analyses : • les aspects temporels : fonctionnels, dysfonctionnels (ordre d’apparition des défaillances) • les modes de fonctionnement, les reconfigurations (logicielles ou matérielles), • l’influence des grandeurs physiques et l’état de fonctionnementdu système dans les analyses ? • Contraintes : • S’adapter aux habitudes du concepteur : choix du formalisme de modélisation ? • De temps: évaluer rapidement les grandeurs de SdF (disponibilité, fiabilité, sécurité … )
Exemple • Exemple de phénomènes difficiles à intégrer • dans un modèle de SdF : • Effet d’un mode de défaillance d’un composant dépendant de l’état du système: • Capteur figé à la valeur courante • Actionneur bloqué dans la position courante • Commande intempestive d’un calculateur • Conséquences différentes en fonction de l’instant d’apparition de la défaillance: • d’un point de vue qualitatif et quantitatif
Combiner les deux approches Analyse de la Sûreté de Fonctionnement • Systèmes étudiés problématique de la fiabilité dynamique des Systèmes Dynamiques Hybrides 1) Traiter les deux dynamiques séparément par découplage 2) Les ré-intégrer dans un modèle unique
A B A B A B A B A B A B Les graphes de Markov « Classiques » • Deux composants matérielsA et B non réparables en redondance : Panne (A et B KO) Marche (A et B OK) Dégradé N composants 2N états !!! • Adaptation de la méthode pour: • Faciliter la construction (diminuer le nombre d’états) • Être plus « parlant pour le concepteur » • Prendre en compteles phénomènes physiques influençant les résultats SdF
Méthode d’évaluation développée • Construction d’un graphe de Markov: • A partir d’une modélisation « détaillée » du système (Simulink/Stateflow) • A partir de la connaissance (dys)fonctionnelle du système (modes de fonctionnement nominaux, dégradés, ER) • En s’appuyant sur des analyses existantes (APR, AMDEC) ER 1 Mode Dégradé 1 Mode dégradé 3 ? ? ? Mode nominal ? ? ER 2 ? Mode Dégradé 2 ? Taux de défaillance équivalents ( ?) de la forme : ? = p1. capteur + p2. ECU + p3. Pompe + …
Défaillances Étapes de la construction du graphe • Modélisation du système/environnement/défaillances Stimuli de l’environnement (mesures capteurs, commandes conducteurs, perturbations…) SYSTEME PHYSIQUE + Système de Contrôle-Commande Modèle complet : Simulation du comportement « réel » du système en fonctionnement nominal et en présence de défaillance
États du capteur AOK P1 Op0=INIT A e1 T1 AKO Op1 P2 e2 e3 e3 T4 T3 T2 Op2 Op3 = f(A) Op4 P3 P4 P5 e4 e4 e4 T7 T6 T5 Mise en évidence des interactions système processus de défaillance sur le même modèle (places, transitions) ER Principes de l’approche • Construire un modèle comportemental : conception de l’archi fonctionnelle du système de CC • intégration des défaillances (occurrence d’une panne capteur A) Modélisation du système de CC + Reconfiguration logicielle Modélisation dysfonctionnelle
États du capteur AOK P1 Op0=INIT A e1 T1 AKO Op1 P2 e2 e3 e3 T4 T3 T2 Op2 Op3 = f(A) Op4 P3 P4 P5 e4 e4 e4 T7 T6 T5 Dépend de l’état du système à l’instant d’occurrence de la défaillance ER Principes de l’approche • Identifier les grandeurs du système influentes sur le processus de défaillance + Évaluation • Qualitativement (Scénarios) • Quantitativement (Probabilités) • Sur occurrence d’une défaillance de A: • Passage en mode dégradé • État Redouté (perte de la fonction)
Problème: • Les probabilités pidépendent du temps • Elles sont liées à la dynamique du système de contrôle-commande+partie opérative • Comment les évaluer ? ! P1 Op0=INIT e1 T1 Op1 P2 Mode Nominal e2 e3 e3 T4 T3 T2 (1-p4).A p4.A Op2 Op3 = f(A) Op4 P3 P4 P5 État Redouté Reconfiguration logicielle e4 e4 e4 T7 T6 T5 Principes de l’approche • Construction d’un modèle markovien agrégé intégrant les grandeurs influentes • Les taux de transition dépendent des probabilités de marquage(p4 & p1+p2+p3) • Interprétation physique des Macro-états : modes de fonctionnement nominaux/dégradés/ER
Q2(t) Q1(t) Q3(t) e21 e11 e22 e12 e23 e31 e32 Formulation mathématique • Hypothèses : • Toutes les transitions sont stochastiques • Composantes Fortement Connexes composées de taux • 2 ordres de grandeurs >> CFC = Qi(t) Probabilité Conditionnelle = pij(t)
Principe de la simplification: négliger le transitoire des variables rapides : = 0 Simplification de l’équation • Approche par la méthode des perturbations singulières • S’applique aux systèmes de la forme (cas linéaire) : avec C.I. • x vecteur formé de n variables lentes • z vecteur formé de m variables rapides • petit paramètre (caractérise la différence d’ordre de grandeur des dynamiques) Objectif: Ramener le système d’ordre m+n à un système d’ordre n
Simplification de l’équation • Application au système : En choisissant comme petit paramètre Variables lentes identifiées : Probabilités Qi(t) Variables rapides identifiées: Probabilités conditionnelles pij(t) Calcul des valeurs asymptotiques pij Taux équivalents = combinaisons linéaires en pondérés par les pij Graphe de Markov agrégé homogène !
e21 e11 e22 e12 e23 e31 e32 Simplification de l’équation • Calcul des probabilités asymptotiques : Traitement séparé de chaque composante fortement connexe (existence d’une solution unique car CFC) Évaluation de la dynamique rapide uniquement Intégration des valeurs asymptotiques sur le modèle markovien agrégé
Critère de validité de la méthode • Existence d’une solution stationnaire pour les pij(t) Macro-états = composantes fortement connexes (saufs les ME finaux) • Graphe de Markov bien « structuré » : • CFC composées de taux « rapides » • Macro-états reliées par des taux « lents » • Rapport des dynamiques suffisamment marqué • Évaluation d’un critère de séparation des dynamiques : • Graphique : Méthode des Cercles de Gershgorin • Analytique : Analyse spectrale directe
Calcul du critère de séparation : Critère de séparation: méthode analytique • Un système a la propriété de double échelle de temps, s’il peut être décomposé en deux sous-systèmes : avec Tels que (Norme Euclidienne) Nécessite de Bloc-Diagonaliser la matrice A
Centres gii = aii • Rayons Ri = • (définition en lignes) • Théorème : • Si l’on peut définir deux ensembles d’indice L et K avec LK= et LK={1, 2, …, N} tel que (l,k) LxK, les cercles Cl(gll, Rl) et Ck(gkk, Rk) vérifient : • lL, kK alors la matrice A possède deux ensembles de valeurs propres séparées. Im() Re() Ck(gkk, Rk)kK (modes rapides) Cl(gll, Rl)lL (modes lents) Critère de séparation: méthode graphique • Cercles de Gershgorin d’une matrice A = {aij; i,j N} Théorème de Gershgorin : Les valeurs propres appartiennent au domaine formé par l’union des cercles Ci(gii, Ri)
Algorithme d’homogénéisation des rayons des cercles de Gershgorin Itération sur Dj Calibrage: Algorithme de William’s D-1AD Im() Im() Séparation Re() Re() modes lents modes rapides Critère de séparation: méthode graphique • Matrice de transition d’un processus de Markov : Ri = -gii Matrice mal conditionnée Ne permet pas de visualiser les modes rapides et lents
3n-2 p p p p M1 M2 Mn-1 Mn 0 n M2 M1 Mn-1 Mn e1 e1 e1 1 1 3 3 1 3 e3 e3 e2 e2 e3 e2 2 2 2 Exemple illustratif • Valeurs normalisées: • 1=1; 2=10; 3=1 • =1 • Rapport r Graphe Agrégé :
Erreur absolue maximale de Pr(Mn) Rapport entre les temps de calcul r n n r*10 Comparaison des temps de calcul • Résolution des équations : (Solveur Ode45, pas variable) • Comparaison des temps de calcul en fonction de n et r :
Méthode graphique :1=100;2=1000;3=100 Séparation nette Étude de la séparation des dynamiques n=10, =600 n=10, =10
Conclusion sur l’analyse de séparation des dynamiques Les méthodes présentées s’affranchissent du calcul des valeurs propres La méthode d’agrégation des graphes de Markov est efficace pour des rapports de dynamiques de l’ordre de quelques dizaines… (ce rapport étant beaucoup plus important en considérant les dynamiques réelles: système processus de défaillances) Les calculs de bloc-diagonalisation et de calibrage de la matrice A sont assez lourds Nécessite de connaître la matrice de transition !!! Difficile voire impossible dans le cas général (phénomènes déterministes, interactions discret-continu,…) : estimation des coefficients de pondération ? Estimation directe des coefficients par simulation….
Niveau h du liquide Pompe 1 Pompe 2 Vanne h < ho – h Active Active Fermée ho – h h ho + h Active Arrêtée Ouverte h > ho + h Arrêtée Arrêtée Ouverte Ajout de perturbations aux débits (phénomènes aléatoires): h0+2h h0+h h0 h0-h h0-2h Application à un cas test • Régulation du niveau de liquide dans un réservoir (cas test ISdF) : Hypothèses fonctionnelles: • h0=100 cm • h=10 cm • Débit PO1: Q1=10 cm/mn • Débit PO2: Q2=5 cm/mn • Débit V: Q3=12 cm/mn
h0+2h h0+h h0 h0-h h0-2h Application à un cas test Hypothèses dysfonctionnelles : Événements Redoutés à évaluer : ER1: Débordement (si h>h0+2h) ER2: Assèchement (si h<h0+2h) Comparaison des deux approches: • Simulation de Monte-Carlo • Graphe de Markov agrégé
Application à un cas test • Modélisation sous Simulink/Stateflow: • Système de CC sous Stateflow • Modélisation hybride • Modèle triggé par des tops d’horloge: signal CPE (0,5s) • Rajout de 2 états pour observer l’apparition des ERs
Application à un cas test • Modélisation d’un actionneur sous Simulink : Commande générée par le système Position réelle de l’actionneur Injection d’une défaillance
Construction directe d’un graphe de Markov agrégé • Identification des Macro-états : • 1 mode nominal (aucune défaillance) • 3 États Redoutés : • Assèchement • Débordement • Blocage du processus de régulation (niveau constant) • 15 modes dégradés Présence d’une ou plusieurs défaillance(s) mais la régulation est toujours assurée
P1 : Pompe 1 bloquée en ouverture • P1 : Pompe 1 bloquée en fermeture • P2 : Pompe 2 bloquée en ouverture • P2 : Pompe 2 bloquée en fermeture • V : Vanne bloquée en ouverture • V : Vanne bloquée en fermeture p5.3 p43.3 p2.2 P1 P1.P2 P1.V p1.1 p10.3 p49.2 P1.P2 P1.V P1 p6.1 p39.2 ER1 p8.2 No Fail p11.2 P2 P2.V P1.P2 p34.3 p12.1 p7.2 p26.3 p40.3 V p33.3 P1.P2.V … P1.P2 … ER2 P1.V ER3 P1.P2.V Construction directe d’un graphe de Markov agrégé Estimation des coefficients de pondération par simulation
p5.3 Composante conservative No Fail P1.V p1.1 ER1 p2.2 P1 P1.P2 p43.3 V_o V_f Calcul des coefficients de pondération • Le mode de défaillance de la vanne dépend de sa position à l’instant de la panne • Soit ER1 (coefficient p5) • Soit mode dégradé (démarrage de la pompe PO2) Coefficient p5 = • Marquage moyen dans la place V_f • Proportion de temps passé dans l’état V_fermé Simulation du modèle hybride dans le mode dégradé « P1 »
Calcul des coefficients de pondération • L’ensemble des coefficients de pondération nécessite 15 simulations • Pas de problème de temps de calcul prohibitif, les coefficients convergent rapidement vers leur valeur moyenne • Taille de la matrice de transition : 23x23 • Temps de simulation total < 1H • Méthode insensible au rapport des dynamiques (en terme de temps de calcul) grâce au principe de découplage Calcul analytique immédiat
Comparaison avec la simulation de Monte-Carlo • La plus simple à mettre en œuvre • Importance du paramétrage du solveur • Très sensible à la différence de dynamique • Machine utilisée: PIV. 2,6 GHz, 512 Mo RAM Simulations de Monte-Carlo : Objectifs: • Temps de calcul ? • Erreurs relative/absolue entre Monte-Carlo et approche markovienne
Débordement > 200 % > 80 % Assèchement Err. Abs. Err. Rel. Débordement Assèchement Comparaison avec la simulation de Monte-Carlo Évaluation de l’erreur: Modèle non triggé – Solveur pas variable • Comportement non conforme • Dynamique rapide non détectée
Assèchement Débordement Comparaison avec la simulation de Monte-Carlo Évaluation de l’erreur: Meilleurs résultats Séparation des dynamiques non marquée: 15 % Simulations conformes • Erreur relative en moyenne autour de 2-3 %
Comparaison avec la simulation de Monte-Carlo Évaluation des temps de calcul : Meilleur compromis (cas non triggé) Taux non réalistes !!! • En réalité, la différence des dynamiques est beaucoup plus importante ! • Temps de simulation beaucoup plus élevé ! Temps estimé pour obtenir le régime permanent: 70 H Meilleur compromis (cas triggé)
Conclusion • Multiplication des méthodes et outils SdF sur le marché : • Exploitable si intégration dans un cadre méthodologique bien défini • Ne pas bouleverser radicalement les habitudes des concepteurs • Méthodologie de conception des systèmes mécatroniques : • Adaptée aux spécificités (SDH), choix d’un formalisme adéquat • Amélioration de la conception: validation/vérification méthodes formelles • Éviter le « tout » empirique et le « tout » formel compromis • Généralisation de la méthode à des formalismes/outils de modélisation habituellement utilisés par les concepteur de l’industrie
Conclusion • Méthode d’analyse dysfonctionnelle par graphe de Markov agrégé • Basée sur le découplage des dynamiques • Exploitation de la simulation traitement des systèmes complexes (SDH), possibilité de considérer des détails très fins (SK/SF)!!! • Analogie avec la modélisation Stateflow mise en évidence des modes de fonctionnement états du graphe de Markov • Prise en compte de facteurs influençant l’analyse SdF : profil de conduite, variables internes, état du système… • Répond à la problématique de modélisation et évaluation de la fiabilité dynamique des SDH • Nécessite une analyse plus approfondie du comportement du système, bonne connaissance (modes opérationnels) vs simulation de MC • Modèle graphique : améliore la compréhension des mécanismes de défaillance • Points à approfondir ? • Améliorer et/ou automatiser l’élaboration du graphe agrégé (coeff. de pondération) • Génération automatique à partir de Simulink/Stateflow ? • Formalisme des RdP : vers un couplage avec un modèle continu ? • Model-Checking & RdP : vers un outil intégré ?