La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Une méthode dévaluation de la fiabilité des SDH par construction dun graphe de Markov agrégé GT S3 Raphaël SCHOENIG, 08 / 06 / 2005

Présentations similaires


Présentation au sujet: "Une méthode dévaluation de la fiabilité des SDH par construction dun graphe de Markov agrégé GT S3 Raphaël SCHOENIG, 08 / 06 / 2005"— Transcription de la présentation:

1 Une méthode dévaluation de la fiabilité des SDH par construction dun graphe de Markov agrégé GT S3 Raphaël SCHOENIG, 08 / 06 / 2005

2 Plan Introduction Problématique Méthodes dévaluations existantes Principes de lapproche proposée Fondements théoriques Principes de lapproche: Méthode dagrégation des graphes de Markov Formulation mathématique Simplification de léquation : les perturbations singulières Critère de validité : méthode analytique et géométrique Illustration sur un cas test Conclusion

3 Introduction Contexte Objectifs Proposer des éléments méthodologique pour améliorer la conception et intégrer au plus tôt des analyses SdF Choix dune architecture fonctionnelle/matérielle robuste aux défaillances En adéquation avec les systèmes mécatroniques et les exigences des industriels Caractéristiques des systèmes étudiés : coopération de plusieurs sous-systèmes, forte proportion délectronique, interactions matériel/logiciel, contraintes temps réel, de SdF… Méthodes SdF les plus répandues de type « statique » non adaptées à lévaluation de la fiabilité des SDH

4 Introduction (2/2) Systèmes traités : systèmes mécatroniques Système complexe de nature hétérogène Fortement dépendant du temps, contraintes temps réels Interaction permanente Système Environnement Défaillances Méthodes et outils danalyse quantitative actuellement utilisées pour le calcul des PPM : les arbres de défaillance Méthode statique: 1 ER = combinaison logique de défaillances pas de dépendance temporelle !!! Signaux dentrée Commandes conducteur CapteursCalculateurActionneur Organe Véhicule Logiciel Électronique Mécanique Hydraulique Pneumatique…

5 Problématique Contraintes : Sadapter aux habitudes du concepteur : choix du formalisme de modélisation ? De temps: évaluer rapidement les grandeurs de SdF (disponibilité, fiabilité, sécurité … ) Comment valider au plus tôt le choix dune architecture fonctionnelle sur des critères de SdF ? Comment prendre en compte dans les analyses : les aspects temporels : fonctionnels, dysfonctionnels (ordre dapparition des défaillances) les modes de fonctionnement, les reconfigurations (logicielles ou matérielles), linfluence des grandeurs physiques et létat de fonctionnement du système dans les analyses ?

6 Exemple Exemple de phénomènes difficiles à intégrer dans un modèle de SdF : Effet dun mode de défaillance dun composant dépendant de létat du système: - Capteur figé à la valeur courante -Actionneur bloqué dans la position courante - Commande intempestive dun calculateur Conséquences différentes en fonction de linstant dapparition de la défaillance: dun point de vue qualitatif et quantitatif Exemple de phénomènes difficiles à intégrer dans un modèle de SdF : Effet dun mode de défaillance dun composant dépendant de létat du système: - Capteur figé à la valeur courante -Actionneur bloqué dans la position courante - Commande intempestive dun calculateur Conséquences différentes en fonction de linstant dapparition de la défaillance: dun point de vue qualitatif et quantitatif

7 Analyse de la Sûreté de Fonctionnement AvantagesInconvénients Simulation de Monte-Carlo Peu dhypothèses restrictives Insensible à la complexité du modèle Temps de simulation prohibitif Pas de support « visuel » Graphe de Markov Support graphique Résolution immédiate Hypothèses restrictives (lois expo) Explosion combinatoire Combiner les deux approches 1) Traiter les deux dynamiques séparément par découplage 2) Les ré-intégrer dans un modèle unique Systèmes étudiés problématique de la fiabilité dynamique des Systèmes Dynamiques Hybrides

8 Les graphes de Markov « Classiques » Deux composants matériels A et B non réparables en redondance : ABAB ABAB ABAB ABAB A B A B Marche (A et B OK) Marche (A et B OK) Panne (A et B KO) Panne (A et B KO) N composants 2 N états !!! Adaptation de la méthode pour: -Faciliter la construction (diminuer le nombre détats) -Être plus « parlant pour le concepteur » -Prendre en compte les phénomènes physiques influençant les résultats SdF Adaptation de la méthode pour: -Faciliter la construction (diminuer le nombre détats) -Être plus « parlant pour le concepteur » -Prendre en compte les phénomènes physiques influençant les résultats SdF Dégradé

9 Méthode dévaluation développée Construction dun graphe de Markov: A partir dune modélisation « détaillée » du système (Simulink/Stateflow) A partir de la connaissance (dys)fonctionnelle du système (modes de fonctionnement nominaux, dégradés, ER) En sappuyant sur des analyses existantes (APR, AMDEC) Mode nominal ER 1 ? Mode Dégradé 1 Mode Dégradé 2 Mode dégradé 3 ER 2 ? ? ? ? ? ? Taux de défaillance équivalents ( ?) de la forme : ? = p 1. capteur + p 2. ECU + p 3. Pompe + … Taux de défaillance équivalents ( ?) de la forme : ? = p 1. capteur + p 2. ECU + p 3. Pompe + …

10 Étapes de la construction du graphe Modélisation du système/environnement/défaillances Stimuli de lenvironnement (mesures capteurs, commandes conducteurs, perturbations…) SYSTEME PHYSIQUE + Système de Contrôle-Commande Défaillances Modèle complet : Simulation du comportement « réel » du système en fonctionnement nominal et en présence de défaillance Modèle complet : Simulation du comportement « réel » du système en fonctionnement nominal et en présence de défaillance

11 Principes de lapproche Construire un modèle comportemental : conception de larchi fonctionnelle du système de CC Op 3 = f(A) P1 P2 P3P4 T1 T2 T4 T5 T7 Op 0 =INIT e1e1 Op 1 e2e2 e3e3 e4e4 e4e4 Op 2 Op 4 T3 T6 P5 e4e4 e3e3 Modélisation du système de CC + Reconfiguration logicielle Modélisation dysfonctionnelle A OK A KO A ER États du capteur Mise en évidence des interactions système processus de défaillance sur le même modèle (places, transitions) Mise en évidence des interactions système processus de défaillance sur le même modèle (places, transitions) intégration des défaillances (occurrence dune panne capteur A)

12 Principes de lapproche Identifier les grandeurs du système influentes sur le processus de défaillance + Évaluation Qualitativement (Scénarios) Quantitativement (Probabilités) Op 3 = f(A) P1 P2 P3P4 T1 T2 T4 T5 T7 Op 0 =INIT e1e1 Op 1 e2e2 e3e3 e4e4 e4e4 Op 2 Op 4 T3 T6 P5 e4e4 e3e3 A OK A KO A ER États du capteur Sur occurrence dune défaillance de A: Passage en mode dégradé État Redouté (perte de la fonction) Dépend de létat du système à linstant doccurrence de la défaillance

13 Principes de lapproche Construction dun modèle markovien agrégé intégrant les grandeurs influentes Op 3 = f(A) P1 P2 P3P4 T1 T2 T4 T5 T7 Op 0 =INIT e1e1 Op 1 e2e2 e3e3 e4e4 e4e4 Op 2 Op 4 T3 T6 P5 e4e4 e3e3 Mode Nominal Reconfiguration logicielle État Redouté (1-p 4 ). A p 4. A Les taux de transition dépendent des probabilités de marquage (p 4 & p 1 +p 2 +p 3 ) Interprétation physique des Macro-états : modes de fonctionnement nominaux/dégradés/ER Les taux de transition dépendent des probabilités de marquage (p 4 & p 1 +p 2 +p 3 ) Interprétation physique des Macro-états : modes de fonctionnement nominaux/dégradés/ER Problème: Les probabilités p i dépendent du temps Elles sont liées à la dynamique du système de contrôle-commande+partie opérative Comment les évaluer ? Problème: Les probabilités p i dépendent du temps Elles sont liées à la dynamique du système de contrôle-commande+partie opérative Comment les évaluer ? !

14 Hypothèses : Toutes les transitions sont stochastiques Composantes Fortement Connexes composées de taux 2 ordres de grandeurs >> Formulation mathématique e 11 e 12 e 21 e 23 e 22 e 32 e 31 CFC = Q i (t) Probabilité Conditionnelle = p ij (t) Q 1 (t) Q 2 (t) Q 3 (t)

15 Simplification de léquation Approche par la méthode des perturbations singulières Sapplique aux systèmes de la forme (cas linéaire) : avec C.I. -x vecteur formé de n variables lentes -z vecteur formé de m variables rapides - petit paramètre (caractérise la différence dordre de grandeur des dynamiques) -x vecteur formé de n variables lentes -z vecteur formé de m variables rapides - petit paramètre (caractérise la différence dordre de grandeur des dynamiques) Objectif: Ramener le système dordre m+n à un système dordre n Objectif: Ramener le système dordre m+n à un système dordre n Principe de la simplification: négliger le transitoire des variables rapides : = 0

16 Simplification de léquation Application au système : Variables lentes identifiées : Probabilités Q i (t) Variables rapides identifiées: Probabilités conditionnelles p ij (t) Variables lentes identifiées : Probabilités Q i (t) Variables rapides identifiées: Probabilités conditionnelles p ij (t) En choisissant comme petit paramètre Calcul des valeurs asymptotiques p ij Taux équivalents = combinaisons linéaires en pondérés par les p ij Graphe de Markov agrégé homogène !

17 Simplification de léquation Calcul des probabilités asymptotiques : Traitement séparé de chaque composante fortement connexe (existence dune solution unique car CFC) e 11 e 12 e 21 e 23 e 22 e 32 e 31 Évaluation de la dynamique rapide uniquement Intégration des valeurs asymptotiques sur le modèle markovien agrégé

18 Critère de validité de la méthode Existence dune solution stationnaire pour les p ij (t) Macro- états = composantes fortement connexes (saufs les ME finaux) Graphe de Markov bien « structuré » : CFC composées de taux « rapides » Macro-états reliées par des taux « lents » Rapport des dynamiques suffisamment marqué Évaluation dun critère de séparation des dynamiques : Graphique : Méthode des Cercles de Gershgorin Analytique : Analyse spectrale directe

19 Critère de séparation: méthode analytique Un système a la propriété de double échelle de temps, sil peut être décomposé en deux sous-systèmes : avec Tels que (Norme Euclidienne) Nécessite de Bloc- Diagonaliser la matrice A Calcul du critère de séparation : Calcul du critère de séparation :

20 Critère de séparation: méthode graphique Cercles de Gershgorin dune matrice A = {a ij ; i,j N} Centres g ii = a ii Rayons R i = (définition en lignes) Centres g ii = a ii Rayons R i = (définition en lignes) Im( ) Re( ) C k (g kk, R k )k K (modes rapides) C l (g ll, R l )l L (modes lents) Théorème de Gershgorin : Les valeurs propres appartiennent au domaine formé par lunion des cercles C i (g ii, R i ) Théorème de Gershgorin : Les valeurs propres appartiennent au domaine formé par lunion des cercles C i (g ii, R i ) Théorème : Si lon peut définir deux ensembles dindice L et K avec L K= et L K={1, 2, …, N} tel que (l,k) LxK, les cercles C l (g ll, R l ) et C k (g kk, R k ) vérifient : l L, k K alors la matrice A possède deux ensembles de valeurs propres séparées. Théorème : Si lon peut définir deux ensembles dindice L et K avec L K= et L K={1, 2, …, N} tel que (l,k) LxK, les cercles C l (g ll, R l ) et C k (g kk, R k ) vérifient : l L, k K alors la matrice A possède deux ensembles de valeurs propres séparées.

21 Critère de séparation: méthode graphique Matrice de transition dun processus de Markov : R i = -g ii Im( ) Re( ) Im( ) Re( ) modes rapides modes lents Séparation Calibrage: Algorithme de Williams D -1 AD Matrice mal conditionnée Ne permet pas de visualiser les modes rapides et lents Matrice mal conditionnée Ne permet pas de visualiser les modes rapides et lents Algorithme dhomogénéisation des rayons des cercles de Gershgorin Itération sur D j

22 Exemple illustratif MnMn e1e1 3 M1M1 e2e2 e3e3 1 2 e1e1 3 M2M2 e2e2 e3e3 1 2 e1e1 3 M n-1 e2e2 e3e n-2 0 Valeurs normalisées: 1 =1; 2 =10; 3 =1 =1 Rapport r Valeurs normalisées: 1 =1; 2 =10; 3 =1 =1 Rapport r M1M1 M2M2 M n-1 p MnMn p p p Graphe Agrégé : n

23 Comparaison des temps de calcul Résolution des équations : (Solveur Ode45, pas variable) Comparaison des temps de calcul en fonction de n et r : n r Erreur absolue maximale de Pr(M n ) n r*10 Rapport entre les temps de calcul

24 Étude de la séparation des dynamiques Méthode graphique : 1 =100; 2 =1000; 3 =100 n=10, =10 n=10, =600 Séparation nette

25 Conclusion sur lanalyse de séparation des dynamiques Les méthodes présentées saffranchissent du calcul des valeurs propres La méthode dagrégation des graphes de Markov est efficace pour des rapports de dynamiques de lordre de quelques dizaines… (ce rapport étant beaucoup plus important en considérant les dynamiques réelles: système processus de défaillances) La méthode dagrégation des graphes de Markov est efficace pour des rapports de dynamiques de lordre de quelques dizaines… (ce rapport étant beaucoup plus important en considérant les dynamiques réelles: système processus de défaillances) Les calculs de bloc-diagonalisation et de calibrage de la matrice A sont assez lourds Nécessite de connaître la matrice de transition !!! Difficile voire impossible dans le cas général (phénomènes déterministes, interactions discret- continu,…) : estimation des coefficients de pondération ? Estimation directe des coefficients par simulation….

26 Application à un cas test Régulation du niveau de liquide dans un réservoir (cas test ISdF) : h0h0 h 0 + h h 0 +2 h h 0 - h h 0 -2 h Niveau h du liquidePompe 1Pompe 2Vanne h < ho – h Active Fermée ho – h h ho + h ActiveArrêtéeOuverte h > ho + h Arrêtée Ouverte Hypothèses fonctionnelles: h 0 =100 cm h=10 cm Débit PO1: Q 1 =10 cm/mn Débit PO2: Q 2 =5 cm/mn Débit V: Q 3 =12 cm/mn h 0 =100 cm h=10 cm Débit PO1: Q 1 =10 cm/mn Débit PO2: Q 2 =5 cm/mn Débit V: Q 3 =12 cm/mn Ajout de perturbations aux débits (phénomènes aléatoires):

27 Application à un cas test Hypothèses dysfonctionnelles : ActionneursModes de défaillance Taux de défaillance Pompe PO1 MdD1: blocage en ouverture 1 =2, MdD2: blocage en fermeture 1 =2, MdD3: blocage en position courante 1 =2, Pompe PO2 MdD1: blocage en ouverture 2 =2, MdD2: blocage en fermeture 2 =2, MdD3: blocage en position courante 2 =2, Vanne V MdD3: blocage en position courante 3 =1, Événements Redoutés à évaluer : ER1: Débordement (si h>h 0 +2 h) ER2: Assèchement (si hh 0 +2 h) ER2: Assèchement (si h

28 Application à un cas test Modélisation sous Simulink/Stateflow: Système de CC sous Stateflow Modélisation hybride Modèle triggé par des tops dhorloge: signal CPE (0,5s) Rajout de 2 états pour observer lapparition des ERs

29 Application à un cas test Modélisation dun actionneur sous Simulink : Position réelle de lactionneur Commande générée par le système Injection dune défaillance

30 Construction directe dun graphe de Markov agrégé Identification des Macro-états : 1 mode nominal (aucune défaillance) 3 États Redoutés : Assèchement Débordement Blocage du processus de régulation (niveau constant) 15 modes dégradés Présence dune ou plusieurs défaillance(s) mais la régulation est toujours assurée

31 Construction directe dun graphe de Markov agrégé p 1. 1 p 6. 1 p p p 2. 2 p p p p p p p p 5. 3 No Fail P1 P2 V P1.P2 P1.V P1.P2 … … P1.V P1.P2 P2.V ER1 ER2 P1.V P1.P2.V ER3 p p 7. 2 p 8. 2 P1 : Pompe 1 bloquée en ouverture P1 : Pompe 1 bloquée en fermeture P2 : Pompe 2 bloquée en ouverture P2 : Pompe 2 bloquée en fermeture V : Vanne bloquée en ouverture V : Vanne bloquée en fermeture P1 : Pompe 1 bloquée en ouverture P1 : Pompe 1 bloquée en fermeture P2 : Pompe 2 bloquée en ouverture P2 : Pompe 2 bloquée en fermeture V : Vanne bloquée en ouverture V : Vanne bloquée en fermeture Estimation des coefficients de pondération par simulation

32 Calcul des coefficients de pondération Le mode de défaillance de la vanne dépend de sa position à linstant de la panne Soit ER1 (coefficient p 5 ) Soit mode dégradé (démarrage de la pompe PO2) p 1. 1 p 2. 2 p p 5. 3 No Fail P1 P1.P2 P1.V ER1 Coefficient p 5 = Marquage moyen dans la place V_f Proportion de temps passé dans létat V_fermé Coefficient p 5 = Marquage moyen dans la place V_f Proportion de temps passé dans létat V_fermé V_ o V_f Composante conservative Simulation du modèle hybride dans le mode dégradé « P1 »

33 Calcul des coefficients de pondération Lensemble des coefficients de pondération nécessite 15 simulations Pas de problème de temps de calcul prohibitif, les coefficients convergent rapidement vers leur valeur moyenne Taille de la matrice de transition : 23x23 Temps de simulation total < 1H Méthode insensible au rapport des dynamiques (en terme de temps de calcul) grâce au principe de découplage Calcul analytique immédiat

34 Comparaison avec la simulation de Monte-Carlo Simulation N° Modèle TN max Dynamique des défaillances Solveur Non Triggé TriggéTypePas Ode 1 Fixe (0,1) Ode 45Variable Ode 1 Fixe (0,01) Ode 45Variable Ode 1 Fixe (0,1) Ode 1 Fixe (0,1) Ode 1 Fixe (0,1) Ode 45Variable La plus simple à mettre en œuvre Importance du paramétrage du solveur Très sensible à la différence de dynamique Machine utilisée: PIV. 2,6 GHz, 512 Mo RAM Simulations de Monte-Carlo : Objectifs: Temps de calcul ? Erreurs relative/absolue entre Monte-Carlo et approche markovienne Objectifs: Temps de calcul ? Erreurs relative/absolue entre Monte-Carlo et approche markovienne

35 Comparaison avec la simulation de Monte-Carlo Simulation N° Modèle TN max Dynamique des défaillances Solveur Non Triggé TriggéTypePas Ode 1 Fixe (0,1) Ode 45Variable Ode 1 Fixe (0,01) Ode 45Variable Ode 1 Fixe (0,1) Ode 1 Fixe (0,1) Ode 1 Fixe (0,1) Ode 45Variable Évaluation de lerreur: Débordement Assèchement Débordement Err. Abs.Err. Rel. > 200 % > 80 % Modèle non triggé – Solveur pas variable Comportement non conforme Dynamique rapide non détectée Modèle non triggé – Solveur pas variable Comportement non conforme Dynamique rapide non détectée

36 Comparaison avec la simulation de Monte-Carlo Simulation N° Modèle TN max Dynamique des défaillances Solveur Non Triggé TriggéTypePas Ode 1 Fixe (0,1) Ode 45Variable Ode 1 Fixe (0,01) Ode 45Variable Ode 1 Fixe (0,1) Ode 1 Fixe (0,1) Ode 1 Fixe (0,1) Ode 45Variable Évaluation de lerreur: Débordement Assèchement Simulations conformes Erreur relative en moyenne autour de 2-3 % Simulations conformes Erreur relative en moyenne autour de 2-3 % Meilleurs résultats Séparation des dynamiques non marquée: 15 % Séparation des dynamiques non marquée: 15 %

37 Comparaison avec la simulation de Monte-Carlo Simulation N° Modèle TN max Dynamique des défaillances Solveur Non Triggé TriggéTypePas Ode 1 Fixe (0,1) Ode 45Variable Ode 1 Fixe (0,01) Ode 45Variable Ode 1 Fixe (0,1) Ode 1 Fixe (0,1) Ode 1 Fixe (0,1) Ode 45Variable Évaluation des temps de calcul : Meilleur compromis (cas non triggé) Meilleur compromis (cas non triggé) Temps estimé pour obtenir le régime permanent: 70 H Temps estimé pour obtenir le régime permanent: 70 H Durée par histoire et par unité de temps simulée 1, , , , , , , Meilleur compromis (cas triggé) Meilleur compromis (cas triggé) Taux non réalistes !!! En réalité, la différence des dynamiques est beaucoup plus importante ! Temps de simulation beaucoup plus élevé ! Taux non réalistes !!! En réalité, la différence des dynamiques est beaucoup plus importante ! Temps de simulation beaucoup plus élevé !

38 Conclusion Multiplication des méthodes et outils SdF sur le marché : Exploitable si intégration dans un cadre méthodologique bien défini Ne pas bouleverser radicalement les habitudes des concepteurs Méthodologie de conception des systèmes mécatroniques : Adaptée aux spécificités (SDH), choix dun formalisme adéquat Amélioration de la conception: validation/vérification méthodes formelles Éviter le « tout » empirique et le « tout » formel compromis Généralisation de la méthode à des formalismes/outils de modélisation habituellement utilisés par les concepteur de lindustrie

39 Conclusion Méthode danalyse dysfonctionnelle par graphe de Markov agrégé Basée sur le découplage des dynamiques Exploitation de la simulation traitement des systèmes complexes (SDH), possibilité de considérer des détails très fins (SK/SF)!!! Analogie avec la modélisation Stateflow mise en évidence des modes de fonctionnement états du graphe de Markov Prise en compte de facteurs influençant lanalyse SdF : profil de conduite, variables internes, état du système… Répond à la problématique de modélisation et évaluation de la fiabilité dynamique des SDH Nécessite une analyse plus approfondie du comportement du système, bonne connaissance (modes opérationnels) vs simulation de MC Modèle graphique : améliore la compréhension des mécanismes de défaillance Points à approfondir ? Améliorer et/ou automatiser lélaboration du graphe agrégé (coeff. de pondération) Génération automatique à partir de Simulink/Stateflow ? Formalisme des RdP : vers un couplage avec un modèle continu ? Model-Checking & RdP : vers un outil intégré ?

40 Merci de votre attention


Télécharger ppt "Une méthode dévaluation de la fiabilité des SDH par construction dun graphe de Markov agrégé GT S3 Raphaël SCHOENIG, 08 / 06 / 2005"

Présentations similaires


Annonces Google