Présentation de l’Action ConecsSdF Co-design de systèmes commandés en réseau et sûrs de fonctionnement Paris, 24 septembre 2009 Animation de la journée.

Présentation au sujet: "Présentation de l’Action ConecsSdF Co-design de systèmes commandés en réseau et sûrs de fonctionnement Paris, 24 septembre 2009 Animation de la journée."— Transcription de la présentation:

1 Présentation de l’Action ConecsSdF Co-design de systèmes commandés en réseau et sûrs de fonctionnement Paris, 24 septembre 2009 Animation de la journée : Christophe Aubrun (CRAN, Nancy), Laurent Cauffriez (LAMIH, Valenciennes) Jean-Marc Thiriet (GIPSA-Lab, Grenoble)

2 Excusés E. Benoit (Annecy) F. Lepage (Nancy) S. Lesecq (Grenoble)
M. Robert (Nancy)

3 Pourquoi cette journée
Fédérer les communautés autour d’un projet commun GdR MACS 2010 ARC S3 Echanger, discuter Incubation d’idées et de projets

4 Co-design réseau et diagnostic/SdF
ANR : SafeNECS Groupe SEE CIAME R R é é seau seau Contraintes Contraintes Adaptation Adaptation dynamique dynamique R R é é seau seau R R é é seau seau Co Co - - conception conception Contraintes Contraintes Adaptation Adaptation dynamique dynamique Diagnostic Diagnostic Diagnostic Diagnostic Diagnostic SdF Diagnostic

5 Technos actuellement d’intérêt :
Exemple : Transport PLATA (Plateforme télématique multistandard pour l’automobile) projet ANR-VTT-08 ( ) Communication véhicule infrastructures, inter-véhicules, intra-véhicules Applications routières et ferroviaires Technos actuellement d’intérêt : WIFI, WIMAX

6 Programme de la journée
9h30 Accueil 9h45 Présentation-objectif de la journée 10h00 « Approche de sûreté de fonctionnement pour des systèmes sans fil : le cas de Galiléo », Julie Beugin, Juliette Marais (INRETS) 10h35 “Monitoring of train to ground communication for train control application”, Jean Noel Vetillard (ALSTOM) 11h10 Pause « La problématique du co-design pour les opérateurs d’énergie » 11h20 « Un point de vue sur la conception conjointe commande et informatique temps-réel », Daniel Simon (INRIA Rhône-Alpes, Grenoble) 11h55 « Diagnostic robuste dans les systèmes contrôlés en réseaux » Fawaz Khaled (LAGIS, Lille) 12h30 Pause-repas 14h00 « Réseau et diagnostic distribué, Adaptation du réseau et de l'architecture aux besoins du diagnostic distribué » Amine Mechraoui (GIPSA-Lab, Grenoble) 14h35 « Co-design approaches to dependable networked control systems » Christophe Aubrun (CRAN, Nancy) 15h10 Pause 15h15 Table-Ronde « Co-design de systèmes commandés en réseaux Sûrs de Fonctionnement » 17h15 Fin

7 Table ronde Travail « collectif » (benchmark)
Actions collectives (sessions, projets…) …

8 Pour la table ronde, ne pourrait on pas ouvrir vers une proposition de cas d'étude (ex: systeme steer-by-wire ou autre) ?

9 Organisation Animation C. Aubrun (CRAN, Nancy)
L. Cauffriez (LAMIH, Valenciennes) JM Thiriet (GIPSA-Lab, Grenoble) - Un comité de pilotage composé de 7 à 8 personnes (y compris les animateurs) - Un comité scientifique, dont la composition reste à définir, chargé de : préparer les programmes des workshops, d'évaluer les papiers soumis pour ces workshops, positionner le GT à l'international (préparation de sessions pour les grandes conférences du domaine, participation à des groupes internationaux : IEEE, IFAC) Méthodes de travail : 3 réunions par an (sur 1 ou 2 journées) Homework entre les réunions + échange mails Livrables politique d'animation de notre "action" : sessions invitées, écoles d'été, workhop et autres en fonctions des idées

10 Les besoins et verrous (ex : transports)
Les besoins des applications ferroviaires ou routières : Mobilité Continuité de service Routage de l’information Interopérabilité QoS et bande passante Verrous que nous voyons approcher Sûreté de fonctionnement (traité pour certains aspects par l’équipe localisation/navigation, besoins dépendants de l’application cible) Système sûr et télécom Adaptabilité, reconfigurabilité

11 Enjeux: SdF des systèmes complexes (1)
1er verrou scientifique : Nature des systèmes Systèmes implexes (ou compliqués): Relations d’arborescence (hiérarchiques) entre des entités élémentaires en grand nombre Systèmes complexes: Entités moins nombreuses mais avec des inter-relations de type « rétromettance » càd l’existence de fonctions réentrantes et de rebouclages nombre technologique composants états intégration stochastique fonctionnelle structurelle Systèmes complexes comportementale Qu’est ce que ça fait? Qui fait quoi avec qui? Qu’est ce que ça devient? De quoi c’est fait? Transports

12 Commandes des systèmes contrôlés en réseaux tolérants aux défauts
Il s’agit, dans ce contexte de développer des méthodes de diagnostic/commande tolérantes aux fautes (FDI/FTC) qui considèrent le réseau comme une composante susceptible d’être défaillant au même titre que les autres sous-systèmes (capteurs, actionneurs, procédés). La FTC conduit à une autonomie des sous-systèmes afin d’éviter la défaillance totale du système global lorsque le réseau n’est plus complètement opérationnel.

13 P o s i t i o n n e me n t Sûreté de fonctionnement Systèmes complexes
LAMIH Valenciennes Équipes : SP Évaluation des indicateurs caractéristiques de la SdF GIPSA-Lab Grenoble LAGIS Lille Équipe : SFSD Tolérance aux fautes Conception de systèmes Intelligents distribués Détection décentralisée LGP Tarbes Équipe : PA Conception,pilotage Systèmes industriels LAI Lyon SdF des SAP Évaluation des performances LAP Bordeaux Équipe ADS : Modélisation des SAP Analyse de dysfonctionnement LURPA Cachan Équipe : ISA SdF, Performances Systèmes de commande discrets LAAS Toulouse Équipe : SINC Conception d’architecture informatique SdF des systèmes informatiques P o s i t i o n n e me n t Méthodologies pour l’analyse de la SdF LM2S Troyes Sûreté de fonctionnement CRAN Nancy Équipe : SurfDiag Conception, exploitation Systèmes complexes SdF Fraunhofer IVI Dresden Systèmes ferroviaires SdF Systèmes complexes Conception INSA Lyon Modélisation des réseaux de communication LCIS Valence Méthodes, outils, validation, aide à la conception de Systèmes complexes GDR MACS GDR HAMASYT GRAISYHM GRP PROSPER RTP 20, 21, 55 S3 ST2 Projet européen IMdR/SdF INRS INERIS INRETS CEA EDF/DER + LISTIC Annecy Outils pour la Spécification, Conception de systèmes d’informations

14 Positionnement de la thématique (1)
AS Conception de systèmes commandés en réseaux. National Régional Cisit (NdPC) ?? CIAME Graisyhm (NdPC) ?? ANR Safenecs GDR Automatique, S3, MACOD Europe Projet Nects CONECTSdF BOMBARDIER ALSTOM Transfert IAR/ICD RATP, SNCF ... Renault, PSA, Bosch, Daimler Transports

15 Labos intéressés - CRAN : Centre de Recherche en Automatique de Nancy
- A3SI, Arts et Métiers ParisTech - GIPSA-Lab : Grenoble Images Parole Signal Automatique - HEUDIASYC : Heuristique et Diagnostic des Systèmes Complexes - Institut Charles Delaunay – ICD - INRIA – RA - LAAS : Laboratoire d'Architecture et d'Analyse des Systèmes - LAGIS : laboratoire d'Automatique, Génie Informatique et Signal - LAMIH : Laboratoire d'Automatique et de Mécanique Industrielles et Humaines - LCIS : Laboratoire de Conception et d'Intégration de Systèmes - LORIA : Laboratoire Lorrain de Recherche en Informatique et ses Applications - INERIS, (Institut National de l'Environnement industriel et des RIsques) - INRS (Institut National de Recherche et de Sécurité) - INRETS (Institut National de Recherche sur les Transports et leur Sécurité)

16 Journée ARC/S3 « Co-design de systèmes commandés en réseau sûrs de fonctionnement »
Mercredi 10 juin 2009, à Paris (ENSAM, Bd de l’Hôpital, à confirmer…)

17 ARCHIVES

18 Plan Objectifs – Problématique scientifique Enjeux Outils et méthodes
Positionnement de la thématique Pourquoi un groupe de travail Résultats escomptés Retombées possibles (enseignement, transfert industriel) Organisation Groupe de pilotage Méthodes de travail

19 Objectifs – Problématique scientifique
Démarche de conception d’un système commandé en réseau sûr de fonctionnement Contraintes de sûreté, de performance, contraintes temporelles, logicielles, matérielles et technologiques Exigences de fiabilité, de disponibilité, de sécurité et de maintenabilité Exigences de sécurité globale Méthodes de co-design de système contraintes de sécurité (approche hors ligne) méthodes de détection et de localisation de défaillances, et de reconfiguration du système et de l'architecture (approche en ligne) ou de ses objectifs contraintes de Temps Réel/Temps Critique Caractère générique de la méthodologie à élaborer Cas des systèmes mécatroniques embarqués en automobile (In-Vehicle networks, Fault tolerant Drive-by-wire system) Systèmes de transport ferroviaires Evaluation du niveau de SIL global (Safety Integrated Level)

20 Enjeux: SdF des systèmes complexes (2)
2ème verrou scientifique : Études de sûreté Accidents arrivant en exploitation rarement envisagés lors des études de sûreté menées en conception Cahier des charges fonctionnel généralement restreint à la mission principale Études de sûreté généralement faites pour la mission principale Études peu approfondies pour les missions secondaires et techniques Dynamique fonctionnelle rarement étudiée Approche systémique rarement utilisée (flux matière, énergie, information, psychologiques) Méthodes classiques communiquent peu entre elles Hypothèse erronée des taux de défaillances constants (structure parallèle, vieillissement) « Les études de sûreté sont pauvres et ne détectent pas les problèmes réels » [Ligeron,03]   Études insatisfaisantes Transports

21 Quelques Activités Télécom de l’INRETS-LEOST
PLATA (Plateforme télématique multistandard pour l’automobile) projet ANR-VTT-08 ( ) Communication véhicule infrastructures, inter-véhicules, intra-véhicules Applications routières et ferroviaires Communication sans fil : Travaux sur l’optimisation de la couche PHY et la radio logicielle (notamment Marion Berbineau) Travaux sur les intergiciels (Christophe Gransart) Travaux sur la couche MAC et sans doute à venir couche réseau, simulation sous Opnet (Martine Wahl) Travaux actuels sur le handover – besoins en disponibilité Technos actuellement d’intérêt : WIFI, WIMAX, LTE

22 Pourquoi un groupe de travail (1)
Conception Sûreté de fonctionnement Modélisation systémique Pronostic Diagnostic Reconfiguration Complexité Réseaux sûrs Exploitation

23 Pourquoi un groupe de travail (2)
Maîtrise de la complexité des systèmes Modélisation Conception intégrée Utilisation des méthodes d ’analyse pour améliorer la sûreté de fonctionnement Pronostic Reconfiguration Reconfiguration Diagnostic

24 Pourquoi un groupe de travail (3)
Modèles Partie-Tout (1) Modéliser les systèmes complexes et les réseaux: prédire la fiabilité globale à partir de celle des parties Modèle pour l’aide à l’exploitation diagnostic/pronostic Reconfiguration de systèmes commandés en réseaux sûrs

25 Pourquoi un groupe de travail (4)
Retombées : Exemple d’attentes industrielles Modèle pour la quantification de niveaux SIL (safety integrated level) de systèmes intégrés de transports guidés (RATP, SNCF…) Evaluation de sécurité fonctionnelle d’un système mécatronique embarqué X-by-wire (Bosch, Daimler…)

26 Enjeux: SdF des systèmes complexes (3)
Exemple de la Fonction « Communiquer » qui est un BERCEAU de la rétromettance Mesurer_1 (VP, VC) Agir_1 (VP, VC) Décider_n (VP, VC) Réseau ID_Dat_VP Communiquer RP_Dat_VP ID_Dat_VC RD_Dat_VC Décider_1 (VP, VC) Mesurer_n (VP, VC) Agir_n (VP, VC) Contributions: Étude d’intégrité et de cohérence temporelle des informations échangées [CIAME, 04] Viabilité de l’information pour la prise de décision dégradée Proposition d’une méthodologie de Codesign et du formalisme SAFE-SADT pour la conception de systèmes d’automatisation sûrs de fonctionnement [HDR Cauffriez,05] AMDE de la fonction « Communiquer » selon approche modèle OSI réduit [CIAME, 09] Effets de la défaillance de la fonction Communiquer sur le système automatisé Transports

27 Enjeux: SdF des systèmes complexes (4)
Architecture fonctionnelle « Functional Requirement Specification FRS » Décomposition en fonctions secondaires et techniques Mission principale Modes de fonctionnement: nominaux/dégradés Codesign Macro-fonctions Service rendu (VC, VP) Fiable, disponible, maintenable Services élémentaires Entité matérielle Fiable, disponible, maintenable Entité logicielle Fiable, disponible, maintenable

28 Outils et méthodes (Etat de l’art)
Thèmes Positionnement Travaux recensés Instrumentation intelligente et réseaux de terrain Définition et modélisation de capteurs actionneurs intelligents Apparition de profils de communication [Bayart,93][Benoit,0][Robert,93] [Staroswiecki,96][Thomesse,99]... Garantir une qualité de service Garantir les exigences d’inter-opérabilité, interfonctionnement,interchangeabilité Définition de services et nouveaux protocoles [Decotignie,02] [Juanole,02][Kopetz,02][Thomesse,99] Conception d’application distribuée Modélisation et description d’architecture opérationnelle [Simonot-Lion,99][Elloy,02][Migge,00]... Définition d’outils logiciels [Son,03] Validation aspects fonctionnels, temporels, interopérabilité, dimensionnement, performance Implémentation, configuration et test d’applications distribuées Évaluation du niveau de sûreté d’applications distribuées [Barger,02] [Conrard,04][Juanole,95][Thiriet,04]… Validation des aspects sûreté, sécurité, qualité et conformité normative Prise en compte des contraintes réseau lors de la synthèse des lois de commande [Aubrun,08] [Georges 06] Reconfiguration/diagnostic–systèmes distribués-Méthodes d’analyses réseaux Analyses de la sûreté des systèmes complexes Fiabilité dynamique Simulation de Monte Carlo [Dubi,00] [Labeau,00] [Labeau,02] Réseaux Bayésiens [Becker,99] [Lin,97][Weber,08] UML [Booch,00] [Hasan,02] Méthode B [Abrial,02] Apports formels, méthodologiques et conceptuels pour l’analyse des systèmes complexes

29 Diagnosis of distributed systems Application to (radio)-localisation
Suzanne LESECQ Head of Research Team « SA-IGA » Signal and Automatic for diagnosis and supervision GIPSA-Lab, Grenoble

30 SAIGA main research interests
Supervision and Diagnosis in biomedical applications e.g. detection of epileptic event and crises arising during the night Automatic sleep disorder detection …

31 SAIGA main research interests
Avalanche detec. Diagnosis of industrial processes With signal processing techniques Source separation approach Time-frequency approach Fault signature in the frequency band [ 220 Hz , 245 Hz ] Fault generation on a mechanical system driven by a three-phase induction machine of 55 kW Acquisition of 20 synchronous measures: accelerations, currents, voltages, torques, velocities ... Database downloadable from the website GOTIX Test Bench

32 SAIGA main research interests
Diagnosis of industrial processes With analytical models Diagnosis of distributed systems Spatially distributed actuators/sensors Distributed control Wire and/or wireless communication architectures Interconnected windmills  extra faults Faults at the windmill level

33 SAIGA main research interests
Diagnosis of network controlled systems Influence of the network on the FDI algorithms Modification of FDI algorithms to take into account data loss or/and data desynchronization Test bench: quadrotor (control & FDI) Local Control Motor speed Micro-controller (ASIC-Silicon Laboratories µC+ADC+bus) Speed sensor Motor ~100Hz CAN network (type MPC555 with Unix) 1 for each motor Set points Motors speed Motor speed set points 9 measures 4 motors speed Voltage (ASIC or more) ~ Hz Attitude central Controller/observer/diagnosis 50 Hz Control & Diagnosis block diagram (Orccad platform, INRIA)

34 Example: Attitude estimation with low cost devices (faults…)
Data loss Delayed data Power supply … IMU diagnostic module Inertial Measurement Unit (IMU) (memsense) Network 9 Rotor speed sensor 4

35 SAIGA main research interests
Diagnosis of sensor network (large amount of data) Environmental monitoring (animal habitats (e.g. Strasbourg, France), migration, forest fires, natural disasters …) Environmental toxin detection Building monitoring Vehicle traffic monitoring & control Remote site power substation monitoring Remote site patient medical monitoring Smart home Various application areas Ref: F.L. Lewis,

36 Diagnosis of sensor network (large amount of data)
data fusion Computation distribution Power consumption limitation (life duration) … Local fusion … Reliable global information?  Need for FDI techniques Sensor fault Broken communication Data delays Data desynchronisation Ref: Rapid Deployment with Confidence: Calibration and Fault Detection in Environmental Sensor Networks Nithya Ramanathan, et al. Center for Embedded Networked Sensing, UCLA Department of Civil and Environmental Engineering, MIT

37 Application to (radio)localisation
Wireless applications (Non Line Of Sight pbs) Multi-sensor modality data IMU, radio Indoor applications Smart homes, museums,… Data loss data desynchronisation Faults at various level … Ref: An Advanced Wireless Sensor Network for Health Monitoring G. Virone, et al. Department of Computer Science, University of Virginia

38 To conclude Needs for further research Sensor networks
Fusion (computation distribution, energy consumption, …) ? Data loss: dynamical model between data / measurements ? Raw data / high level information transmission ? FDI (sensor, link, …) Fault Tolerant Reliability (estimates robust against faults & data losses) FDI through networks Distributed (controlled) systems Network controlled systems (wire, wireless, various technologies) Fault Tolerant Control Automatic interpretation Alarm filtering Mobility Self reconfigurability

39 Distribution de la FDI surveillance locale, surveillance du système distribué intégrant les erreurs liées au réseau A Strategy for Fault tolerant Control in Networked Control Systems in the presence of Medium Access Constraints C. Kambhampati, S. Klinkhieo and R. J. Patton Proceedings of the European Control Conference 2007 Kos, Greece, July 2-5, 2007

40 Pavol Barger Intégration d'exigences extra-fonctionneles pour la conception des systèmes embarqués orientés transport Sécurité (innocuité) Sûreté de Fonctionnement projet ANR RNTL Memvatex Diagnosticabilité Preuves de propriétés des modèles Diagnostique d'un modèle RdP Colorés accessibilité arrière [Bouali 09] [Bouali 09] – M. Bouali, P. Barger, W. Schön, Colored Petri Net inversion for Backward Reachability Analysis, 2nd IFAC Workshop on Dependable Control of Discreet Systems, Bari, Italie, juin 2009

41 BC : Du processus au Système d'Automatisation
Conception d'un Système d'Automatisation : Premières phases de conception : ? Réguler Déterminer : 1. Archi. matérielle 2. Archi. logicielle Critères : 1. Coût matériel 2. Sûreté de fonctionnement Déterminer de potentiels architectures malgré des informations parcellaires, imprécises ou incomplètes en vue de vérifier l'intérêt économique

42 Du processus au SdA Démarche de conception préliminaire :
Description des points potentiels d’instrumentation Système final 1 1 Q1 contrôlable par A1 ou (A2 et A3) Q2 mesurable par C1 ou C2 … Alternatives de réalisation 0 Optimisation 2 - à coût minimal respectant la SdF demandée  grâce à l'utilisation de redondance (mat./anal.) et de possibilités de reconf. dispo malgré 1 panne ou l <10-3 h-1 ou A(t) > 90% ou R(t) > 75% ou SIL > 3 … … Spécification de la sûreté de fonc. souhaitée

43 Du processus au SdA Besoins méthodologiques : Métrique pour la SdF :
Comment quantifier la SdF malgré des informations parcellaires Utilisable comme grandeur de spécification (ex. : SIL > 2)  Solution potentielle : niveau de tolérance aux pannes Evaluer la SdF : Comment évaluer la SdF pour de nombreuses solutions à comparer Quel modèle et pour quel système modélisation du processus ou du système d'automatisation adapté à une conception préliminaire (faible quantité de données) intégrant directement ou indirectement des alternatives de réalisation intégrant l'aspect dysfonctionnel (effet d'une défaillance) Déterminer les alternatives de réalisation : intégrant des possibilités de détection de fautes, de reconfiguration Solution potentielle : modélisation et analyse structurelles Identification des traitements : régulateurs, RRA, observateurs… Outils d'optimisation : algo. exhaustif ou stochastique… …

44 CS Evaluation prévisionnelle de paramètres de SdF
Performance d'un NCS (méthodes et paramètres) Performance des réseaux Niveau de performance du réseau pour contribuer à celle du système commandé Méthodes d'évaluation probabilistes ou quasi-probabilistes efficaces Formelle Simulation Interaction Sureté de Fonctionnement-diagnostic-Contrôle commande de NCS