La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

"Recherche de scénarios redoutés à partir d'un modèle réseau de Petri" Hamid DEMMOU LAAS/CNRS Atelier «Analyse et évaluation de la sûreté de fonctionnement.

Présentations similaires


Présentation au sujet: ""Recherche de scénarios redoutés à partir d'un modèle réseau de Petri" Hamid DEMMOU LAAS/CNRS Atelier «Analyse et évaluation de la sûreté de fonctionnement."— Transcription de la présentation:

1 "Recherche de scénarios redoutés à partir d'un modèle réseau de Petri" Hamid DEMMOU LAAS/CNRS Atelier «Analyse et évaluation de la sûreté de fonctionnement a base de modèles » du club SEE-SIC Jeudi 2 février 2006

2 Méthodes classiques de sûreté de fonctionnement peu efficaces Explosion combinatoire des états, difficulté dune recherche exhaustive Problème Problématique Étude de la fiabilité et de la sécurité de systèmes (complexes, hybrides mais avec forte composante discrète) comprenant des mécanismes de reconfigurations Caractérisation et recherche de scénarios critiques menant à des situations redoutées. Objectif Recherche dune démarche analogue aux arbres de défaillance permettant la prise en compte du comportement dynamique Solution ?

3 Liste dévénements ordonnée – Étiquetage des événements : permet de différencier les événements même si ils correspondent à des instances dun même événement Ordre dapparition de ces événements – Ordre partiel comme information sur la causalité – « A précède B » car « A est cause de B » et non pas simplement temporellement Scénario ? « Un scénario redouté est une liste d événements qui conduisent dun état de fonctionnement normal à un état redouté avec une relation dordre partiel entre ces événements »

4 Approche ? Arbres de défaillances: réponse partielle car non prise en compte de lordre doccurrence des événements délai entre événements non explicitement exploité pas de prise en compte des reconfigurations Simulation: problématique des événements rares ( solution avec technique daccélération) Analyse de modèles à événements discrets (automates, réseau de Petri) exploration du graphe daccessibilité explosion combinatoire Extraction du scénario directement du modèle réseau de Petri utilisation de la notion de causalité Logique linéaire : cadre formel

5 Relation réseau de Petri – Logique linéaire Représentation dun réseau de Petri en logique linéaire Un marquage est un monôme en « FOIS » Basée sur des instances de franchissement de transitions Un franchissement dune séquence est un séquent t1: A B A B D E C C t2: C D E (A A B), A B C A C M 0 M n : t1t1 t1t1 t2t2 M0M0 0 MnMn

6 Il y a un arbre de preuve pour chaque séquence de franchissement possible 4 séquences : (a; b; c) (b; a; c) (a; c; b) (b; c; a) Double étiquetage pour expliciter les causalités Règle délimination de limplication transition+nombre Par atome (soit produit, soit consommé) place+nombre On obtient le graphe de précédence Séquent de logique Linéaire

7 Preuve : a ; b ; c Relation réseau de Petri – Logique linéaire

8 Construction dun arbre de preuves du séquent procédure simple (utilisation de deux règles) taille de larbre proportionnelle au nombre de franchissement dans le séquent Construction dun graphe de précédence Relation de causalités entre les instances de franchissement des transitions I1I1 I2I2 F1F1 F2F2 A B C E D t11t11 t12t12 I : événement de production dun jeton initial F : événement de consommation dun jeton final

9 Construire un modèle Réseau de Petri du système (hybride) Raisonnement arrière : recherche de causalité sur le RdP inversé Raisonnement avant : identifier les bifurcations sur le RdP initial Critère darrêt : rencontrer des états de fonctionnement nominal Principe de la méthode Méthode de recherche de scénarios (1) Détermination des états nominaux (qualitativement ou quantitativement) Détermination des états partiels redoutés

10 E.P.R E.P.N.2 E.P.N.1 E.P.N.3 E.P.D Etats du système Raisonnement arrière Démarrer à partir de létat partiel redouté Objectif : déterminer létat normal à partir duquel le système va aller vers létat redouté. Seuls les transitions nécessaires sont franchies. Les objets sont introduits par nécessité et progressivement. Critère darrêt : arrivée sur un état normal. Objet 1 Objet 2 Principe : –E.P.R : État Partiel Redouté –E.P.D : État Partiel Dégradé –E.P.N : État Partiel Normal

11 Raisonnement avant E.P.R E.P.N.2 E.P.N.1 E.P.N.3 E.P.D Objet 1 Objet 2 Scenario 1 Scenario 2 Objectif : déterminer laccessibilité de létat redouté à partir dun état normal conditionneur ( arrêt du raisonnement arrière, étape précédente) Démarrer à partir de chaque état normal. Analyse des bifurcations Introduction des objets en lien avec le scénario Obtention dinformations plus précises sur le contexte dapparition de létat redouté

12 Modélisation Approche objets: maîtrise de la complexité recherche introduisant les objets concernés par un scénario seulement au moment de leur intervention Choix de modélisation: chaque classe = un réseau de Petri Prédicat-Transition-Différentiel un objet = un ou plusieurs jetons dans le RdP de sa classe les variables jetons = attributs des classes méthode dune classe = une transition dans le RdP de la classe Appel de méthodes = fusion de transition

13 Exemple dapplication Pompe1 calculateur V 2min V 2max EV3((électrovann e de secours) ds 1 ds 2 EV2 Capteurs EV1 pompe2 réservoir 1 V 2L V 2S Modes de défaillance EV1 et EV2 : bloqué ouvert EV3 : Hors Service V1min

14 Classe Réservoir Model of the tank1 V1_dec t 12 (T 1min ) V1_dec V1_cr E_red1 t 11 (T 1max ) t 13 (T 1s ) t 14 (T 1L ) t 15 (T 1min ) t1t1 t2t2 t 41 t 51 Model of the tank2 V2_dec t 22 (T 2min ) V2_dec V2_cr E_red2 t 21 (T 2max ) t 23 (T 2s ) t24(T 2L ) t 25 (T 2min ) t3t3 t4t4 t 42 t 52 3 classes pour ce système : réservoir, électrovanne et électrovanne de secours. Deux objets (réservoir 1 réservoir 2) instances de la classe réservoir. Deux objets (EV1 et EV2 ) instances de la classe électrovanne Un objet (EV3) instances de la classe électrovanne de secours Les seuils de volume correspondant aux fonctions dactivation du réseau de Petri PTD sont transformés en durées (contraintes temporelles). Classe Réservoir

15 2 objets (EV1 and EV2 ) instances de la classe électrovanne. Classes électrovannes EV1_BF EV1_BO Modèle électrovanne 1 Rep1_F t1t1 def1_O def1_f EV1_F Rep1_O EV1_O t2t2 EV2_BF EV2_BO t3t3 Modèle électrovanne 2 Rep2_F def2_O def2_f EV2_F Rep2_O EV2_O t4t4 EV3_oc1 EV3_OK EV3_HS t41 t51 t52 t42 def3 Modèle électrovanne 3 Objet (électrovanne de secours). instance de la troisième classe.

16 Réservoir 1 Raisonnement arrière t 12 (T 1min ) V1_dec V1_cr E_red1 t 13 (T 1s ) t 14 (T 1L ) t 15 (T 1min ) t 11 (T 1max ) On sintéresse à l'état redouté de l'objet réservoir 1. L'analyse débute donc dans cet objet. Le raisonnement commence avec l'introduction d'un jeton dans la place E_red1. V1_dec Arrêt du raisonnement arrière et V1_cr: état conditionneur pour l'étape suivante Seule la transition t13 est franchissable. franchissement de t13 un jeton dans V1_cr V1_cr: place normale

17 17 Réservoir 1 Electrovanne 1 Raisonnement avant(1 er scenario) EV1_BF EV1_BO t1t1 Rep1_F def1_O def1_f EV1_F Rep1_O EV1_O t2t2 V1_dec t 12 (T 1min ) V1_dec V1_cr E_red1 t 11 (T 1max ) t 13 (T 1s ) t 14 (T 1L ) t 15 (T 1min ) t1t1 t2t2 t 41 t 51 État conditionneur: V1_cr Contraintes de seuil: t 11

18 Electrovanne de secours EV1_BF EV1_BO t1t1 Rep1_F def1_O def1_f EV1_F Rep1_O EV1_O t2t2 V1_dec t 12 (T 1min ) V1_dec V1_cr E_red1 t 11 (T 1max ) t 13 (T 1s ) t 14 (T 1L ) t 15 (T 1min ) t1t1 t2t2 t 41 t 51 Raisonnement avant(1 er scenario) t1 interdite franchissement de def1_O t14 sensibilisée mais partagée avec EV3 introduction de lobjet EV3 avec un jeton dans EV3_OK EV3_oc2 EV3_oc1 EV3_OK EV3_HS t41 t51 t52 t42 def3 def3 ou t42 franchie interdit t14 franchissement de def3 franchissement de t13

19 19 Scenarios scenario redouté 1 Ered_1 t 13 I 1 V1_cr Réservoir1 EV1_BO def1_O E1E1 EV1_O EV1 EV3_HS def 3 EV3 EV3_OK F 1 F 2 F 3 EV1_BO def1_O EV1_O EV1 F 1 EV2_BO def2_O EV2_O EV2 F 2 t 42 E 3 EV3_OK F 3 EV3 EV3_oc2 t 24 E 4 V2_cr F 4 Réservoir 2 V2_dec Ered_1 t 13 I 1 V1_cr F3F3 Réservoir 1 scenario redouté 2 E2E2 E1E1 E2E2

20 CSA PetriNet en interface avec TINA Scénarios redoutés ESA PetriNet TINA ESAPetriNet Systèmes mécatroniques Modèle RdP Fichiers dentrée Outil de recherche de scénarios critiques

21 Minimalité des scénarios Projet FERIA-SVF: Étude comparative de différentes méthodes et outils pour la recherche de scénarios particuliers à partir de modèles automates ou Rdp utilisant la logique temporelle ou la logique linéaire identification de scénarios définir la minimalité On veut pouvoir engendrer tous les scénarios possibles avec un nombre minimal de scénarios de base Un scénario minimal est un représentant dune classe de scénarios

22 def rep def rep def événement significatif pour le scénario redouté : def non suivi de rep Minimalité des scénarios EV1_O def1_O EV1_BO EV3_OK def3 EV3_HS V1_cr t13 E_red1 EV2_OK def2_O EV2_HS Non nécessaire Minimalité des marquages partiels initiaux Scénario 1 Il faut éliminer les boucles Il faut éliminer les événements non nécessaires scénarios se déroulant en parallèle avec le scénario redouté

23 Il faut éliminer les relations de précédence non nécessaires Minimalité des scénarios EV1_O def1_O EV1_BO EV3_OK def3 EV3_HS V1_cr t13 E_red1 EV2_OK def2_O EV2_HS Recherche des scénarios sous forme dordre partiel le moins restrictif

24 Partir dune coupe minimale de la formule logique définissant l état redouté En déduire le marquage partiel initial Appliquer le raisonnement arrière et franchir les transitions franchissables en notant les relations de précédence obligatoires et en mémorisant un historique de franchissement des transitions ((problème des boucles) Rajouter des jetons (enrichissement du marquage) si cest strictement nécessaire (et cohérent avec le modèle du système). Appliquer le raisonnement avant Minimalité des scénarios

25 Conclusion En exploitant lapproche objet nous avons pu procéder à une analyse locale en ne faisant intervenir dautres objets que si cest strictement nécessaire Lintroduction déchéances temporelles correspondant à des seuils sur les variables continues permet de diminuer le nombre de scénarios obtenus Lalgorithme peut également être utilisé pour des besoins de vérification de contraintes temporelles (raisonnement avant seulement) Présentation des scénarios sous forme de graphe de précédence représentant des ordres partiels. Développement dun outil pour appuyer la démarche


Télécharger ppt ""Recherche de scénarios redoutés à partir d'un modèle réseau de Petri" Hamid DEMMOU LAAS/CNRS Atelier «Analyse et évaluation de la sûreté de fonctionnement."

Présentations similaires


Annonces Google