La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

GT S3 Raphaël SCHOENIG, 08 / 06 / 2005

Présentations similaires


Présentation au sujet: "GT S3 Raphaël SCHOENIG, 08 / 06 / 2005"— Transcription de la présentation:

1 GT S3 Raphaël SCHOENIG, 08 / 06 / 2005 raphael.schoenig@free.fr
Une méthode d’évaluation de la fiabilité des SDH par construction d’un graphe de Markov agrégé GT S3 Raphaël SCHOENIG, 08 / 06 / 2005

2 Plan Introduction Problématique Méthodes d’évaluations existantes
Principes de l’approche proposée Fondements théoriques Principes de l’approche: Méthode d’agrégation des graphes de Markov Formulation mathématique Simplification de l’équation : les perturbations singulières Critère de validité : méthode analytique et géométrique Illustration sur un cas test Conclusion

3 Introduction Contexte Objectifs
Proposer des éléments méthodologique pour améliorer la conception et intégrer au plus tôt des analyses SdF Choix d’une architecture fonctionnelle/matérielle robuste aux défaillances En adéquation avec les systèmes mécatroniques et les exigences des industriels Caractéristiques des systèmes étudiés : coopération de plusieurs sous-systèmes, forte proportion d’électronique, interactions matériel/logiciel, contraintes temps réel, de SdF… Méthodes SdF les plus répandues de type « statique »  non adaptées à l’évaluation de la fiabilité des SDH

4 Introduction (2/2) Systèmes traités : systèmes mécatroniques
Système complexe de nature hétérogène Fortement dépendant du temps, contraintes temps réels Interaction permanente Système  Environnement  Défaillances Méthodes et outils d’analyse quantitative actuellement utilisées pour le calcul des PPM : les arbres de défaillance Méthode statique: 1 ER = combinaison logique de défaillances  pas de dépendance temporelle !!! Signaux d’entrée Commandes conducteur Capteurs Calculateur Actionneur Organe Véhicule Logiciel Électronique Mécanique Hydraulique Pneumatique…

5 Problématique Comment valider au plus tôt le choix d’une architecture fonctionnelle sur des critères de SdF ? Comment prendre en compte dans les analyses : les aspects temporels : fonctionnels, dysfonctionnels (ordre d’apparition des défaillances) les modes de fonctionnement, les reconfigurations (logicielles ou matérielles), l’influence des grandeurs physiques et l’état de fonctionnement du système dans les analyses ? Contraintes : S’adapter aux habitudes du concepteur : choix du formalisme de modélisation ? De temps: évaluer rapidement les grandeurs de SdF (disponibilité, fiabilité, sécurité … )

6 Exemple Exemple de phénomènes difficiles à intégrer
dans un modèle de SdF : Effet d’un mode de défaillance d’un composant dépendant de l’état du système: Capteur figé à la valeur courante Actionneur bloqué dans la position courante Commande intempestive d’un calculateur  Conséquences différentes en fonction de l’instant d’apparition de la défaillance:  d’un point de vue qualitatif et quantitatif

7 Analyse de la Sûreté de Fonctionnement
Systèmes étudiés  problématique de la fiabilité dynamique des Systèmes Dynamiques Hybrides Avantages Inconvénients Simulation de Monte-Carlo Peu d’hypothèses restrictives Insensible à la complexité du modèle Temps de simulation prohibitif Pas de support « visuel » Graphe de Markov Support graphique Résolution immédiate Hypothèses restrictives (lois expo) Explosion combinatoire Combiner les deux approches 1) Traiter les deux dynamiques séparément par découplage 2) Les ré-intégrer dans un modèle unique

8 Les graphes de Markov « Classiques »
Deux composants matériels A et B non réparables en redondance : A B A B Panne (A et B KO) Marche (A et B OK) Dégradé N composants : dans Des dizaines de composants : des milliards d’états ! N composants  2N états !!! Adaptation de la méthode pour: Faciliter la construction (diminuer le nombre d’états) Être plus « parlant pour le concepteur » Prendre en compte les phénomènes physiques influençant les résultats SdF

9 Méthode d’évaluation développée
Construction d’un graphe de Markov: A partir d’une modélisation « détaillée » du système (Simulink/Stateflow) A partir de la connaissance (dys)fonctionnelle du système (modes de fonctionnement nominaux, dégradés, ER) En s’appuyant sur des analyses existantes (APR, AMDEC) ER 1 Mode Dégradé 1  ? Mode dégradé 3  ?  ? Mode nominal  ?  ? Nombre limité d’états Taux de défaillance équivalent à identifier: somme de taux de défaillance élémentaire des composants, pondérés par des coefficients pi ER 2  ? Mode Dégradé 2  ? Taux de défaillance équivalents ( ?) de la forme :  ? = p1. capteur + p2. ECU + p3. Pompe + …

10 Étapes de la construction du graphe
Modélisation du système/environnement/défaillances Stimuli de l’environnement (mesures capteurs, commandes conducteurs, perturbations…) SYSTEME PHYSIQUE + Système de Contrôle-Commande Défaillances Modèle du système nominal : Si on veut prendre en compte la dynamique du système pour le calcul des taux de défaillance, si on veut prendre en compte l’ordre d’occurrence des défaillances On est alors obligé de modéliser l’impact des défaillances sur le comportement du système; Modèle complet : Simulation du comportement « réel » du système en fonctionnement nominal et en présence de défaillance

11 Principes de l’approche
AOK AKO A ER États du capteur Construire un modèle comportemental : conception de l’archi fonctionnelle du système de CC Op3 = f(A) P1 P2 P3 P4 T1 T2 T4 T5 T7 Op0=INIT e1 Op1 e2 e3 e4 Op2 Op4 intégration des défaillances (occurrence d’une panne capteur A) T3 T6 P5 e4 e3 Mise en évidence des interactions système  processus de défaillance sur le même modèle (places, transitions) Modélisation du système de CC + Reconfiguration logicielle Modélisation dysfonctionnelle

12 Principes de l’approche
AOK AKO A ER États du capteur Identifier les grandeurs du système influentes sur le processus de défaillance + Évaluation Qualitativement (Scénarios) Quantitativement (Probabilités) Op3 = f(A) P1 P2 P3 P4 T1 T2 T4 T5 T7 Op0=INIT e1 Op1 e2 e3 e4 Op2 Op4 T3 T6 P5 e4 e3 Sur occurrence d’une défaillance de A: Passage en mode dégradé État Redouté (perte de la fonction) Dépend de l’état du système à l’instant d’occurrence de la défaillance

13 Principes de l’approche
Problème: Les probabilités pi dépendent du temps Elles sont liées à la dynamique du système de contrôle-commande+partie opérative Comment les évaluer ? ! Construction d’un modèle markovien agrégé intégrant les grandeurs influentes Op3 = f(A) P1 P2 P3 P4 T1 T2 T4 T5 T7 Op0=INIT e1 Op1 e2 e3 e4 Op2 Op4 Mode Nominal Reconfiguration logicielle État Redouté (1-p4).A p4.A T3 T6 P5 e4 e3 Les taux de transition dépendent des probabilités de marquage (p4 & p1+p2+p3) Interprétation physique des Macro-états : modes de fonctionnement nominaux/dégradés/ER

14 Formulation mathématique
Hypothèses : Toutes les transitions sont stochastiques Composantes Fortement Connexes composées de taux  2 ordres de grandeurs >> Q1(t) Q2(t) Q3(t) e11 e12 e21 e23 e22 e32 e31 CFC = Qi(t) Probabilité Conditionnelle = pij(t)

15 Simplification de l’équation
Approche par la méthode des perturbations singulières S’applique aux systèmes de la forme (cas linéaire) : avec C.I. x vecteur formé de n variables lentes z vecteur formé de m variables rapides  petit paramètre (caractérise la différence d’ordre de grandeur des dynamiques) Objectif: Ramener le système d’ordre m+n à un système d’ordre n Le principe de la méthode des perturbations singulières s’applique à des systèmes possédant un petit paramètre dans leur modèle pouvant être négligé, et qui par annulation, introduit une singularité correspondant à une diminution de l’ordre du modèle. En effet, l’existence de petits paramètres dans le modèle accroît l’ordre et introduit des variables et des transitoires rapides en regard de la vitesse d’évolution des grandeurs recherchées. Principe de la simplification: négliger le transitoire des variables rapides : = 0

16 Simplification de l’équation
Application au système : En choisissant comme petit paramètre Variables lentes identifiées : Probabilités Qi(t) Variables rapides identifiées: Probabilités conditionnelles pij(t) Calcul des valeurs asymptotiques pij Taux équivalents  = combinaisons linéaires en  pondérés par les pij Graphe de Markov agrégé homogène !

17 Simplification de l’équation
Calcul des probabilités asymptotiques : e11 e12 e21 e23 e22 e32 e31 Traitement séparé de chaque composante fortement connexe (existence d’une solution unique car CFC) Évaluation de la dynamique rapide uniquement Intégration des valeurs asymptotiques sur le modèle markovien agrégé

18 Critère de validité de la méthode
Existence d’une solution stationnaire pour les pij(t)  Macro-états = composantes fortement connexes (saufs les ME finaux) Graphe de Markov bien « structuré » : CFC composées de taux « rapides » Macro-états reliées par des taux « lents » Rapport des dynamiques suffisamment marqué Évaluation d’un critère de séparation des dynamiques : Graphique : Méthode des Cercles de Gershgorin Analytique : Analyse spectrale directe

19 Critère de séparation: méthode analytique
Un système a la propriété de double échelle de temps, s’il peut être décomposé en deux sous-systèmes : avec Tels que (Norme Euclidienne) Calcul du critère de séparation : Nécessite de Bloc-Diagonaliser la matrice A

20 Critère de séparation: méthode graphique
Cercles de Gershgorin d’une matrice A = {aij; i,j  N} Im() Re() Ck(gkk, Rk)kK (modes rapides) Cl(gll, Rl)lL (modes lents) Centres gii = aii Rayons Ri = (définition en lignes) Théorème de Gershgorin : Les valeurs propres appartiennent au domaine formé par l’union des cercles Ci(gii, Ri) Théorème : Si l’on peut définir deux ensembles d’indice L et K avec LK= et LK={1, 2, …, N} tel que  (l,k)  LxK, les cercles Cl(gll, Rl) et Ck(gkk, Rk) vérifient : lL,  kK alors la matrice A possède deux ensembles de valeurs propres séparées.

21 Critère de séparation: méthode graphique
Matrice de transition d’un processus de Markov : Ri = -gii Im() Re() Matrice mal conditionnée  Ne permet pas de visualiser les modes rapides et lents Algorithme d’homogénéisation des rayons des cercles de Gershgorin Itération sur Dj Im() Re() modes rapides modes lents Séparation Calibrage: Algorithme de William’s D-1AD

22 Exemple illustratif Graphe Agrégé : M1 M2 Mn-1 Mn n p
Valeurs normalisées: 1=1; 2=10; 3=1 =1 Rapport r 3n-2 Mn e1 3 M1 e2 e3 1 2 M2 Mn-1 n Graphe Agrégé : M1 M2 Mn-1 p Mn

23 Comparaison des temps de calcul
Résolution des équations : (Solveur Ode45, pas variable) Comparaison des temps de calcul en fonction de n et r : n r*10 Rapport entre les temps de calcul n r Erreur absolue maximale de Pr(Mn)

24 Étude de la séparation des dynamiques
Méthode graphique :1=100;2=1000;3=100 n=10, =10 n=10, =600 Séparation nette

25 Conclusion sur l’analyse de séparation des dynamiques
Les méthodes présentées s’affranchissent du calcul des valeurs propres La méthode d’agrégation des graphes de Markov est efficace pour des rapports de dynamiques de l’ordre de quelques dizaines… (ce rapport étant beaucoup plus important en considérant les dynamiques réelles: système  processus de défaillances) Les calculs de bloc-diagonalisation et de calibrage de la matrice A sont assez lourds Nécessite de connaître la matrice de transition !!! Difficile voire impossible dans le cas général (phénomènes déterministes, interactions discret-continu,…) : estimation des coefficients de pondération ? Estimation directe des coefficients par simulation….

26 Application à un cas test
Régulation du niveau de liquide dans un réservoir (cas test ISdF) : h0 h0+h h0+2h h0-h h0-2h Hypothèses fonctionnelles: Niveau h du liquide Pompe 1 Pompe 2 Vanne h < ho – h Active Fermée ho – h  h  ho + h Arrêtée Ouverte h > ho + h h0=100 cm h=10 cm Débit PO1: Q1=10 cm/mn Débit PO2: Q2=5 cm/mn Débit V: Q3=12 cm/mn Ajout de perturbations aux débits (phénomènes aléatoires):

27 Application à un cas test
Hypothèses dysfonctionnelles : h0 h0+h h0+2h h0-h h0-2h Actionneurs Modes de défaillance Taux de défaillance Pompe PO1 MdD1: blocage en ouverture 1=2, MdD2: blocage en fermeture MdD3: blocage en position courante Pompe PO2 2=2, Vanne V 3=1, Événements Redoutés à évaluer : ER1: Débordement (si h>h0+2h) ER2: Assèchement (si h<h0+2h) Comparaison des deux approches: Simulation de Monte-Carlo Graphe de Markov agrégé

28 Application à un cas test
Modélisation sous Simulink/Stateflow: Système de CC sous Stateflow Modélisation hybride Modèle triggé par des tops d’horloge: signal CPE (0,5s) Rajout de 2 états pour observer l’apparition des ERs

29 Application à un cas test
Modélisation d’un actionneur sous Simulink : Commande générée par le système Position réelle de l’actionneur Injection d’une défaillance

30 Construction directe d’un graphe de Markov agrégé
Identification des Macro-états : 1 mode nominal (aucune défaillance) 3 États Redoutés : Assèchement Débordement Blocage du processus de régulation (niveau constant) 15 modes dégradés  Présence d’une ou plusieurs défaillance(s) mais la régulation est toujours assurée

31 Construction directe d’un graphe de Markov agrégé
No Fail P1 P2 V P1.P2 P1.V P2.V ER1 ER2 P1.P2.V ER3 p39.2 p7.2 p8.2 P1 : Pompe 1 bloquée en ouverture P1 : Pompe 1 bloquée en fermeture P2 : Pompe 2 bloquée en ouverture P2 : Pompe 2 bloquée en fermeture V : Vanne bloquée en ouverture V : Vanne bloquée en fermeture Visualisation des séquences de défaillance aboutissant aux états redoutés Estimation des coefficients de pondération par simulation

32 Calcul des coefficients de pondération
Le mode de défaillance de la vanne dépend de sa position à l’instant de la panne Soit ER1 (coefficient p5) Soit mode dégradé (démarrage de la pompe PO2) p1.1 p2.2 p43.3 p5.3 No Fail P1 P1.P2 P1.V ER1 V_o V_f Composante conservative Coefficient p5 = Marquage moyen dans la place V_f Proportion de temps passé dans l’état V_fermé Simulation du modèle hybride dans le mode dégradé « P1 »

33 Calcul des coefficients de pondération
L’ensemble des coefficients de pondération nécessite 15 simulations Pas de problème de temps de calcul prohibitif, les coefficients convergent rapidement vers leur valeur moyenne Taille de la matrice de transition : 23x23 Temps de simulation total < 1H Méthode insensible au rapport des dynamiques (en terme de temps de calcul) grâce au principe de découplage  Calcul analytique immédiat

34 Comparaison avec la simulation de Monte-Carlo
Simulations de Monte-Carlo : La plus simple à mettre en œuvre Importance du paramétrage du solveur Très sensible à la différence de dynamique Machine utilisée: PIV. 2,6 GHz, 512 Mo RAM Simulation N° Modèle T Nmax Dynamique des défaillances Solveur Non Triggé Triggé Type Pas 1 3000 10000 10-3 Ode 1 Fixe (0,1) 2 Ode 45 Variable 3 Fixe (0,01) 4 15000 10-4 5 6 7 10-1 8 17000 10-5 Objectifs: Temps de calcul ? Erreurs relative/absolue entre Monte-Carlo et approche markovienne

35 Comparaison avec la simulation de Monte-Carlo
Débordement Assèchement Évaluation de l’erreur: Simulation N° Modèle T Nmax Dynamique des défaillances Solveur Non Triggé Triggé Type Pas 1 3000 10000 10-3 Ode 1 Fixe (0,1) 2 Ode 45 Variable 3 Fixe (0,01) 4 15000 10-4 5 6 7 10-1 8 17000 10-5 Err. Abs. Err. Rel. > 200 % > 80 % Modèle non triggé – Solveur pas variable Comportement non conforme Dynamique rapide non détectée

36 Comparaison avec la simulation de Monte-Carlo
Évaluation de l’erreur: Débordement Assèchement Simulation N° Modèle T Nmax Dynamique des défaillances Solveur Non Triggé Triggé Type Pas 1 3000 10000 10-3 Ode 1 Fixe (0,1) 2 Ode 45 Variable 3 Fixe (0,01) 4 15000 10-4 5 6 7 10-1 8 17000 10-5 Meilleurs résultats Séparation des dynamiques non marquée:  15 % Simulations conformes Erreur relative en moyenne autour de 2-3 %

37 Comparaison avec la simulation de Monte-Carlo
Évaluation des temps de calcul : Simulation N° Modèle T Nmax Dynamique des défaillances Solveur Non Triggé Triggé Type Pas 1 3000 10000 10-3 Ode 1 Fixe (0,1) 2 Ode 45 Variable 3 Fixe (0,01) 4 15000 10-4 5 6 7 10-1 8 17000 10-5 Durée par histoire et par unité de temps simulée 1, 3, 2, 8, 2, 2, 8, Meilleur compromis (cas non triggé) Taux non réalistes !!! En réalité, la différence des dynamiques est beaucoup plus importante ! Temps de simulation beaucoup plus élevé ! Temps estimé pour obtenir le régime permanent:  70 H Meilleur compromis (cas triggé)

38 Conclusion Multiplication des méthodes et outils SdF sur le marché :
Exploitable si intégration dans un cadre méthodologique bien défini Ne pas bouleverser radicalement les habitudes des concepteurs Méthodologie de conception des systèmes mécatroniques : Adaptée aux spécificités (SDH), choix d’un formalisme adéquat Amélioration de la conception: validation/vérification  méthodes formelles Éviter le « tout » empirique et le « tout » formel  compromis Généralisation de la méthode à des formalismes/outils de modélisation habituellement utilisés par les concepteur de l’industrie

39 Conclusion Méthode d’analyse dysfonctionnelle par graphe de Markov agrégé Basée sur le découplage des dynamiques Exploitation de la simulation  traitement des systèmes complexes (SDH), possibilité de considérer des détails très fins (SK/SF)!!! Analogie avec la modélisation Stateflow  mise en évidence des modes de fonctionnement  états du graphe de Markov Prise en compte de facteurs influençant l’analyse SdF : profil de conduite, variables internes, état du système… Répond à la problématique de modélisation et évaluation de la fiabilité dynamique des SDH Nécessite une analyse plus approfondie du comportement du système, bonne connaissance (modes opérationnels) vs simulation de MC Modèle graphique : améliore la compréhension des mécanismes de défaillance Points à approfondir ? Améliorer et/ou automatiser l’élaboration du graphe agrégé (coeff. de pondération) Génération automatique à partir de Simulink/Stateflow ? Formalisme des RdP : vers un couplage avec un modèle continu ? Model-Checking & RdP : vers un outil intégré ?

40 Merci de votre attention


Télécharger ppt "GT S3 Raphaël SCHOENIG, 08 / 06 / 2005"

Présentations similaires


Annonces Google