Supervision des Systèmes Industriels Supervision of Industrial Systems Prof. Belkacem OULD BOUAMAMA Responsable de l’équipe MOCIS Méthodes et Outils pour la conception Intégrée des Systèmes http://www.mocis-lagis.fr/membres/belkacem-ould-bouamama/ Laboratoire d'Automatique, Génie Informatique et Signal (LAGIS - UMR CNRS 8219 et Directeur de la recherche à École Polytechnique de Lille (Poltech’ lille) ---------------------------------------------------------- mèl : Belkacem.ouldbouamama@polytech-lille.fr Tel: (33) (0) 3 28 76 73 87 , mobile : (33) (0) 6 67 12 30 20 Ce cours est dispensé aux élèves de niveau Master 2 et ingénieurs 5ème année. Plusieurs transparents proviennent de conférences internationales : ils sont alors rédigés en anglais . Toutes vos remarques pour l’amélioration de ce cours sont les bienvenues.

PLAN Synthèse des méthodes de surveillance Introduction : place de la surveillance dans un système de supervision Synthèse des méthodes de surveillance Analyse structurelle et graphe biparti Redondance d’informations pour la surveillance Synthèse d’observateurs pour la surveillance Les bond graphs pour la surveillance Conception d’un système des supervision. Application à un processus réel: générateur de vapeur Conclusions et Bibliographie

Bibliography FDI and FTC : Blanke, M., Kinnaert, M., Lunze, J. and Staroswiecki, M. (Eds)(2007) Diagnosis and Fault-Tolerant Control, Berlin:Springer-Verlag. "Automatique et statistiques pour le diagnostic". T1 et 2 sous la direction de Bernard Dubuisson, Collection IC2 Edition Hermes, 204 pages, Paris 2001. A.K. Samantaray and B. Ould Bouamama "Model-based Process Supervision. A Bond Graph Approach" . Springer Verlag, Series: Advances in Industrial Control, 490 p. ISBN: 978-1-84800-158-9, Berlin 2008. D. Macquin et J. Ragot : "Diagnostic des systèmes linéaires", Collection Pédagogique d'Automatique, 143 p., ISBN 2-7462-0133-X, Hermès Science Publications, Paris, 2000. Bond Graph FDI based B. Ould Bouamama, M. Staroswiecki and A.K. Samantaray. « Software for Supervision System Design In Process Engineering Industry ». 6th IFAC, SAFEPROCESS, , pp. 691-695.Beijing, China. B. Ould Bouamama, K. Medjaher, A.K. Samantary et M. Staroswiecki. "Supervision of an industrial steam generator. Part I: Bond graph modelling". Control Engineering Practice, CEP, Vol 1 14/1 pp 71-83, Vol 2. 14/1 pp 85-96, 2006. B. Ould Bouamama., M. Staroswiecki et Litwak R. "Automatique et statistiques pour le diagnostic". sous la direction de Bernard Dubuisson, chap.. 6 : "Surveillance d'un générateur de vapeur". pp. 168-199, Collection IC2 Edition Hermes, 204 pages, Paris 2001. PhD Thesis, several lectures can be doownloaded at : //www.mocis-lagis.fr/membres/belkacem-ould-bouamama/ Prof. Belkacem Ould

SUPERVISION DANS L’INDUSTRIE Technique industrielle de suivi et de pilotage informatique de procédés de fabrication automatisés. La supervision concerne l'acquisition de données (mesures, alarmes, retour d'état de fonctionnement) et des paramètres de commande des processus généralement confiés à des automates programmables Logiciel de supervision: Interface opérateur présentée sous la forme d'un synoptique. Prof. Belkacem Ould

Pourquoi Superviser ? contrôler la disponibilité des services/fonctions contrôler l’utilisation des ressources vérifier qu’elles sont suffisantes (dynamique) détecter et localiser des défauts diagnostic des pannes prévenir les pannes/défauts/débordements (pannes latentes) prévoir les évolutions Suivi des variables

Fonctions de la supervision GESTION ERP : Enterprise Resource planning : planification des ressources de l'entreprise intégration des différentes fonctions de l'entreprise dans un système informatique centralisé configuré selon le mode client-serveur. MRP : Manufacturing Resource Planning : planification des capacités de production Système de planification qui détermine les besoins en composants à partir des demandes en produits finis et des approvisionnements existants PRODUCTION SCADA : Supervisory Control & Data Acquisition PC & PLC Process Control/ Programmable Logic Controller

Supervision et Monitoring Suivi de paramètres Sécurité (diagnostic) locale Réguler Control des paramètres Supervision Centralise le monitoring local et le contrôle Deux parties d’un scAda hardware (collecte de données) Software (contrôle, surveillance, affichage etc..)

Logiciels de supervision Wonderware Leader dans le domaine de la supervision et du SCADA, notamment au travers du logiciel InTouch, INTouch Logiciel de supervision de référence. Bibliothèque extensible contenant de base +500 symboles graphiques  prêts à l’emploi. PANORAMA : IHM ergonomique, module de traitement des alarmes et des évènements, un module d'exploitation des historiques. WinCC Système de supervision doté de fonctions échelonnables, pour la surveillance de processus automatisés, offre une fonctionnalité SCADA complète sous Windows DSPACE MATLAB-Simulink

Caractéristiques d’un SCADA Simplicité, convivialité Solveurs Traitements graphiques (icônes, bibliothèques, … Supervision Commande Surveillance Traitement des alarmes Archivage Programmation Performances/Prix : Prix : matériel + système d ’exploitation, logiciel, mise à jour, assistance, documentation

Supervision Graphical User Interface (Inteface Homme Machine IHM) Contrôle Surveillance Suivi de variables

Objectifs et Definitions 1. INTRODUCTION Objectifs et Definitions

INTRODUCTION : Quelques définitions Processus industriel Assemblage fonctionnel de composants technologiques associés les uns aux autres de façon à former une entité unique accomplissant une mission. Architecture du système Modèle orienté composant qui décrit directement le processus industriel comme un réseau des composants industriels. P&ID (Piping and Instrumentation Diagrams ) Plans des Instruments Détaillés, utilisé pour une description visuelle de l'architecture du processus (utilise norme ISO). Fonctionnement normal Comportement appartenant à un ensemble de comportements nominaux pour lesquels le système a été conçu.

INTRODUCTION : Quelques définitions Défaillance Modification suffisante et permanente des caractéristiques physiques d'un composant pour qu'une fonction requise ne puisse plus être assurée dans les conditions fixées. Défaillances naissantes Ayant un caractère passager Constantes Evoluant dans le temps Catastrophique Faute (ou défaut) Déviation d'une variable observée ou d'un paramètre calculé par rapport à sa valeur fixée dans les caractéristiques attendues du processus lui-même, des capteurs, des actionneurs ou de tout autre équipement.

INTRODUCTION : Quelques définitions Symptômes Traductions d'un changement d'un comportement d'une variable détectée par comparaison à des valeurs de référence. Contraintes Limitations imposées par la nature (lois physiques) ou l'opérateur. Résidu ou indicateur de faute exprime l'incohérence entre les informations disponibles et les informations théoriques fournies par un modèle Erreur Ecart entre une valeur mesurée ou estimée d'une variable et la vraie valeur spécifiée par un capteur étalon ou jugée correcte. Spécifications (cahier des charges) Objectifs que doit atteindre le système de surveillance

INTRODUCTION : Historique Depuis 1840: Apparition de l’automatique Tâches : améliorer la qualité des produits finis, la sécurité et le rendement des unités en implantant des commandes performantes Depuis 1980, nouveau challenge : Supervision Rôles : Fournir à l'opérateur humain une assistance dans ses tâches urgentes de gestion des situations d'alarmes pour l'augmentation de la fiabilité, de la disponibilité et de la sûreté de fonctionnement du processus. Apparition de l’automatisation intégrée Commande des systèmes de production et sûreté de fonctionnement, maintenance, gestion technique, diagnostic de fonctionnement

INTRODUCTION : Automatisation intégrée Aide à la conduite planification, diagnostic interface homme machine Supervision Niveau 3 Suivi de l’état du processus Visualisation Niveau 2 Monitoring Commande logique, régulation Optimisation Regulation Niveau 1 Instrumentation Choix et implémentation des capteurs et actionneurs Niveau 0 Décisions Observations Entrée Sortie

What is a supervision : two levels FDI FTC? Set of tools and methods used to operate an industrial process in normal situation as well as in the presence of failures. Activities concerned with the supervision : Fault Detection and Isolation (FDI) in the diagnosis level, and the Fault Tolerant Control (FTC) through necessary reconfiguration, whenever possible, in the fault accommodation level. SUPERVISION FDI : How to detect and to isolate a faults ? FTC : How to continue to control a process ?

Quelle est l’origine de la défaillance ? Exemple Quelle est l’origine de la défaillance ? Que dois je faire ?

Relation entre FDI et FTC Perf=F(Y1,Y2) REGION DANGEREUSE PERFORMANCES INACCEPTABLES PERFORMANCES DÉGRADÉES PERFORMANCES REQUISES Fault Reconfiguration Y1

SUPERVISION in INDUSTRY Maintenance List of faults SENSORS Control INPUT (I) OUTPUT (O) Set points FTC Level Fault accommodation Reconfiguration DIAGNOSTIC Technical specification Observations Control signals

FDI Purpose Objectives : given I/O pair (u,y), find the fault f . It will be done in 3 steps : DETECTION detect malfunctions in real time, as soon and as surely as possible : decides whether the fault has occured or not ISOLATION find their root cause, by isolating the system component(s) whose operation mode is not nominal : find in which component the fault has occured DIAGNOSIS diagnose the fault by identifying some fault model : determines the kind and severity of the fault

Medical interpretation of FDI system 0 T 37 + - NON OUI  Examen clinique Diagnostic

FT (Fault Tolerance) Analysis of fault tolerance : The system is runing under faulty mode Since the system is faulty, is it still able to achieve its objective(s) ? Design of fault tolerance : The goal is to propose a system (hardware architecture and sofware which will allow, if possible, to achieve a given objective not only in normal operation, but also in given fault situations.

Control and Fault Tolerant Control Control algorithms : implement the solution of control problems : according to the way the system objectives are expressed FTC algorithms implements the solution of control problems : controls the faulty system the system objectives have to be achieved, in spite of the occurence of a pre-specified set of faults

Control Problem Traditional control : two kinds of objectives control of the system , estimation of its variables Problematic : Given a set U of a control law (open open loop, closed loop, continuous or discrete variables, linear or non-linear a set of control objective(s) O, set of uncertain constraints C(), (dynamic models) The solution is completely defined by the triple <O,C(), U >

FTC problem FTC Controls the faulty system: 2 cases 1) fault adaptation, fault accomodation, controller reconfiguration change the control law without changing the system 2) system reconfiguration change both the control and the system : The difference with Control problem System constraints may change. Admissible control laws may change.

Passive and active fault tolerance Passive fault tolerance Active fault tolerance control law unchanged when faults occur specific solution for normal and faulty mode Normal mode Control law solves < O, Cn(n), Un > Faulty mode Control law also solves < O, Cf(f), Uf >  f  F <O,Cn(n),Un > and < O, Cf(f), Uf >  f  F Knowledge about Cf(f) and Uf must be available .  FDI layer must give information. ROBUST TO FAULTS

Fault accommodation and System reconfiguration FDI system FDI cannot provide any estimate of the fault impact solve < O, Cr(r), Ur > Fault Provide estimation of Cf(f) Uf of the fault impact solve < O, Cf(f), Uf > Fault solve < O, f(f), Uf > Provide estimation of f(f), Uf of the fault impact Fault Fault accommodation System reconfiguration

Fault accommodation Fault FDI Accomodation Supervision Controller parameters FDI Supervision Ref. Controller Process u Y

Fault Reconfiguration Supervision CONTROL New control configuration Reconfiguration FDI Yref Nominal Controller Process Y u u' New Controller Y’ref Y’

HOW TO DESIGN SUPERVISION SYSTEMS ?

DIAGNOSTIC METHODS (2/2) ALGORITMES Sans modèles À base de modèles Identification Observateurs Redondance d’information Redondance analytique Redondance matérielle Suivant le niveau de connaissance du processus à surveiller, on distingue deux grands types de méthodes de surveillance : Métode sans modèle : On ne dispose pas de modèles de comportement. On va donc les "apprendre" à partir de données expérimentales relevées dans les différents types de fonctionnement. On utilise les méthodes d'apprentissage Exemple diagnostic médical Méthode avec modèle : Dans ce cas on compare le comportement réel (fourni par des capteurs) au comportemnt temporel théorique fourni par les équations du modèle. Estimation des paramétres : Les données de la base de données brutes sont utilisées pour identifier les paramétres caractérisant le fonctionnemnr réel ; ceux ci sont comparées aux pâramétres théoriques Estimation d'état : Les données de la base de données brutes sont utilisées pour estimer les sorties du système qui sont comparées aus sorties réelles Redondance analytique : Les données de la base de données brutes sont injectées dans le modèle . Toute défaillance se traduit par par le fait que le modèle n'est pas vérifiéest alors

MODEL OF THE NORMAL OPERATION Model-based FDI MODEL OF THE NORMAL OPERATION S E N SO R S Process actual operation ALARM GENERATION RESIDUAL GENERATOR ALARM INTERPRETAION Detection Isolation Identification

Diagnostic par identification et observateurs y U + Residu - y Modèle y Observateur U Residu + -

No model based Only experimental data are exploited Methods : statistical learning, data analysis, pattern recognition, neuronal networks, etc. ? ? Problems need historical data in normal and in abnormal situations, every fault mode represented ??? generalisation capability ?? ?

METHODES SANS MODELES Méthodes de reconnaissances de formes Détermination d’un certain nombre de classes (apprentissage) A chaque classe est associé un mode de fonctionnement (normal, défaillant) Chaque donnée prélevée est affectée à l’une de ces classes : determination du mode de fonctionnement

METHODES QUALITATIVES Utilise la connaissance intuitive du monde : appliquer des modéles de pensée humaine pour des systèmes physiques Exemple : « Quand le débit augmente, la température doit diminuer) L'avantage principal des méthodes qualitatives: possibilité de n'utiliser que le modèle qualitatif: aucun besoin de grandeurs numériques des paramètres ni de connaissances profondes sur la structure du système. Inconvénients Les défaillances des capteurs ne sont pas détectées. Il n'est pas aisé de déterminer les valeurs limites inférieures et supérieures de déviation. D'autre part un problème combinatoire peut apparaître lors des procédures d'inférences pour les systèmes complexes.

PROBLEMATIC IN FDI THEORY

Tâches d’un système de surveillance : FDI Détection Alarmes Fonctionnement normal Modèle + - Localisation DECISION Composant défectueux cahier des charges Identification DIAGNOSTIC Type de panne

Steps in FDI system (1/4) 1. Détection Opération logique : On déclare le système est défaillant ou non défaillant Les critères Non détection ou détection trop tardive ➽ Conséquences catastrophique sur le process Fausses alarmes ➽ Arrêts inutiles de l’unité de production. Plus de confiance de l’opérateur Test d’hypothèses : La détection se ramène à un test d’hypothèses H0 : hypothèse de fonctionnement normal (Domaine de décision D0) H1 : hypothèse de fonctionnement défaillant (Domaine D1) Dx : Domaine de non décision

Steps in FDI system (2/4) Problematic What to do ? Given R=[r1, ….rn] fault indicators Two distributions are known p(Z/H0) and p(Z/H1) One of two hypotheses, H0 or H1 is true What to do ? Verify if each ri (i=1,..n) belongs to p(Z/H0) and p(Z/H1) 4 possibilités

Steps in FDI system (3/4) False alarm Pfa Pnd Pfa D0 Dx -  i D1 +i ri est déclaré appartenir à H1 (défaillant) alors qu’il appartient à H0 P(ri /H0).P(H0) Pnd P(ri /H1).P(H1) i : choisi pour assurer un bon compromis : Probabilité H1 min. Probabilité de Pnd min. Pfa i < probabilité de fausse alarme limite fixée. D0 -  i Dx D1 +i

Steps in FDI system (4/4) 2. Localisation Identification (diagnostic) Etre capable de localiser le ou les éléments défaillants Les critères Non isolabilité ➽ Conséquences catastrophique sur le process Fausses isolabilité ➽ Arrêts inutiles de l’unité (ou de l’équipement) défaillant. Plus de confiance de l’opérateur de maintenance Identification (diagnostic) Lorsque la faute est localisée, il faut alors identifier les causes précises de cette anomalie. On fait alors appel à des signatures répertoriées par les experts et validées après expertise et réparation des dysfonctionnements.

Specifications Objectives Specifications Performances Constraints Which parameters must be supervized ? What are the non acceptable values ? Objectives Performances false alarm missed detection detection delay Specifications Available data other (cost, complexity, memory, ...) Constraints

I. Systems and faults

System (1) COMPS = {comp1, comp2, comp3, comp4, comp5} A system is a set of interconnected components COMPS = {comp1, comp2, comp3, comp4, comp5} x a b c d y z e f comp1 comp2 comp3 comp4 comp5

A system is a set of interconnected components COMPS = {input valve, tank, output pipe, level sensor}

System (3) SM is the set of all those constraints x = a  b y =  b z = c  d e = x  y f = z  ( y) x a b c d y z e f comp1 comp2 comp3 comp4 comp5

SM is the set of all those constraints System (4) SM is the set of all those constraints Input valve Tank Output pipe Level sensor

Constraints ? Relationships are called constraints, When non faulty, each component achieves some function of interest because it exploits some physical principle(s) which are expressed by some relationship(s) between the time evolution of some system variables. Relationships are called constraints, Time evolution of a variable is its trajectory.

Normal situation ? Normal operation is the simultaneous occurrence of two situations : 1) components really behave as the designer expects 2) interactions between the system and its environment are compatible with the system's objectives.

Internal and external faults 1) components behave as the designer expects IF NOT : INTERNAL FAULT  constraints applied to the variables are the nominal ones  OK(comp) is true 2) interactions between the system and its environment are compatible with the system's objectives IF NOT : EXTERNAL FAULT

Examples of internal faults (1) y   b  OK(comp2) is false x a comp1 e comp4 y b comp2 f c z comp5 comp3 d

Examples of internal faults (2) Actuator fault : input valve is blocked open Process fault : the tank is leaking Sensor fault : noise has improper statistical characteristics

Examples of external faults (1) b c d y z e f comp1 comp2 comp3 comp4 comp5 a = 2

Examples of external faults (2) Control algorithm objective : cannot be achieved for too large output flows

SD is now ... Diagnosis algorithm OK(comp1)  x = a  b OK(comp2)  y =  b OK(comp3)  z = c  d OK(comp4)  e = x  y OK(comp5)  f = z  ( y) SD is now ... OK(input valve)  OK(tank)  OK(output pipe)  OK(level sensor) 

Problems 1) For some given S  COMPS, how to check the consistency of SD  {OK(X)X  S}  OBS 2) How to find the collection of the NOGOODS

How to check the consistency Compare actual system and nominal system OBS (controls, measurements) Properties that OBS should satisfy / values that OBS should have TEST Actual system Nominal system model Detection

Two means to check consistency Analytical Redundancy properties that OBS should satisfy if actual system healthy properties that are satisfied by the nominal system trajectories check whether they are true or not Observers values that OBS should have if actual system healthy simulate / reconstruct the nominal system trajectories check whether they coincide with actual system trajectories

Chap.2 ANALYTICAL REDUNDANCY

Chap.2 ANALYTICAL REDUNDANCY

Model of the healthy system Representation Model of the healthy system PROCESS Capteurs qp d x0 x(t) y(t) u(t) qm Model of the faulty system qm s qp x0 d p y(t) u(t) x(t) Capteurs PROCESS

State space representation Linear case Disturbances Faults Disturbances Nonlinear case Faults

When the system is faulty ? Given a system The system works in normal regime (hypothesis H0) means : y is produced according law C and x is produced according law f and  is produced according law of probability P The system works in failure mode hypothesis H1) means : y is not produced according law C, or x is not produced according law f, or  is not produced according law of probability P

Analytical redundancy :How to generate ARRS ? What is ARR ? Given The ARR express the difference between information provided by the actual system and that delivered by its normal operation model. What is Residual ? r u y

Analytical Redundancy Relations (ARR) and Residuals (r) Definition ARR ARR is a mathematical model where all variables are known. The known variables are availlable from sensors, set points and control signal. ARR : F(u,x0, y, ) L’évolution de x suit une trajectoire qui dépend de x0 et u Residual r Residual is the numerical value of ARR (evaluation of ARR) R= Eval (ARR) Problematics : How to generate ARRs Elimination of unknown variables theory

General principle Analytic model measurement equations or state and measurement equations Off-line Elimination of unknown variables techniques On-line Computation of ARRs (actual system)

Hardware and analytical redundancy Hardware redundancy Detection Isolation Sensors F1 R S1 or S2 S2 S3 S2 S1 F2 Analytical redundancy ? Monitorability analysis Leakage S1 F1 Valve R F2 r1 r2 1 1

Detectability and isolability Fault Signature Matrix (FSM) Ib1 Ib2 … Ibm Mb1 Mb2 Mbm E1 E2 Em ARR1 S11 S12 S1m ARR2 S21 S22 S2m . ARRn Sn1 Sn2 Snm DEFINITION Ej (j=1,m) : Fault which may affect the jth component Sij : boolean value (0,1) Ib : Isolability Mb: Detectability

Detectability and isolability The signature vector VEj (j=1,m) of each component fault Ej is given by the column vector: Detectability A component fault Ej is detectable (Mbj=1) if at least one sij (j=1,m) of its signature vector VEij is different than zero Isolability A component fault Ej is isolable (Ibj=1) if it is detectable and its signature vector VEij is different from others .

Detectability and isolability example Faults and ARR Fault Signature Matrix (FSM) Ib 1 Mb F1 S1 Leak. Valve R F2 ARR1 ARR2 Signature vectors Hamming Distance C: Binary coherence vector Sj : Signature vector of the jth component to be monitored to isolate k failures, the distance should be equal to 2k + 1.

Hamming Distance The Hamming distance shows the ability to isolate two faults. Hamming Distance of given example F1 S1 Leak. Valve R F2 1 2 Signature vectors

HARDWARE REDUNDANCY

Simplest redundancy : hardware redundancy Hardware redundancy uses only measurement equations (therefore it can detect only sensor faults) Example : duplex redundancy Model : y1 = x y2 = x Static ARR : y1 - y2 = 0

Duplex redundancy r t Seuil max Seuil mini Alarme Fn. normal

Triplex redundancy r1 = m1f - m2 f r2 = m1f – m3f Residuals

Fault detection : Problematic y1 - y2 = 0 it is not impossible (but it is not certain) that both sensors are healthy Why is it so ??? because there might be non detectable faults

Redundancy with Non detectable faults Given fault model Computation form Evaluation form y1 = x + f1 y2 = x + f2 r = y1 - y2 = f1 - f2 r = 0 when there is a combination of faults f1 and f2 such that : f1 - f2 = 0 example : common mode failures non detectable faults

Redundancy with uncertainties yes is never true y1 y2 = 0 ? Residual Generation r no is always true because y1 = x + 1 y2 = x + 2 r = y1 - y2 = 1 - 2 we need a model of the uncertainties Assume we know 1  [a1, b1], 2  [a2, b2], then we know 1 - 2  [a12, b12]

Redundancy with noises y1 = x + 1 y2 = x +  2 r = y1 - y2 =  1 -  2 Assume we know P(1) and P(2), then we know P(1 - 2) is r distributed according to P(1 - 2) ??? r P(1 - 2) d(1 - 2) we need a Statistical decision theory r

How to isolate the fault ? triplex redundancy y1 = x y2 = x y3 = x two residuals r1 = y1 - y2 = 0 r2 = y2 - y3 = 0 Remarks * any linear combination of residuals is a residual (r3 = y2 - y3) The set {r1, r2} is a residual basis in the following sense :

Fault isolation (fault model) Triplex redundancy y1 = x + f1 x = y1 - f1 y2 = x + f2 x = y2 - f2 y3 = x + f3 x = y3 - f3 y1 - f1 = y2 - f2 y2 - f2 = y3 - f3 r1 = y1 - y2 = f1 - f2 r2 = y2 - y3 = f2 - f3 Computation form Evaluation form

Structured and directional residuals Directional residuals Fault isolation Structured and directional residuals r1 = y1 - y2 = f1 - f2 r2 = y2 - y3 = f2 - f3 f1 f2 f3 r1 1 1 0 r2 0 1 1 Directional residuals En réponse à une défaillance donnée, le vecteur de résidus reste dans une direction spécifiée, propre à cette défaillance. En réponse à une défaillance donnée, certaines composantes (spécifiques à cette défaillance) du vecteur de résidus sont nulles.

Conclusion about hardware redundancy detect sensor faults (if detectable) isolate sensor faults (if enough redundancy) needs noise models for statistical decision needs uncertainty models for set theoretic based decision powerful approach but multiplies weight and costs limited to sensor faults

Static Analytical redundancy

Système linéaire Soit donnée Redondance statique x(t+1) = A x(t) + B u(t) + Fx d(t) + Ex (t) y(t) = C x(t) + D u(t) + Fy d(t) + Ey (t) Redondance statique Soit m>n : Alors, il existe (en permutant éventuellement les lignes) une décomposition de C sous la forme telle que C1 est inversible et alors y(t) l’équation de mesure s’écrit : F : fault, E : uncertainties

L’équation de mesure devient : X est calculé alors à partir de y1, et éliminé en le remplaçant dans Y2 : on obtient les RRAs en substituant x dans y2

Forme de calcul et d’évaluation du résidu Une autre approche pour éliminer l’inconnu x consiste à trouver une matrice W orthogonale à C/ (WC=0) (Chow 84). En multipliant l’équation de mesure à gauche par W :

Dans ces conditions : 1. le système de l’équation de mesure est sur-déterminé par rapport à x : on a m – n relations de redondance analytique, car la matrice W possède m – n lignes linéairement indépendantes (formant une base du noyau de C).

Espace de parité statique Soit l’équation de mesure donnée par : Colonnes de C : sous espace vectoriel de dimension R(C) : On note CR(C) Soit le sous espace suplémentaire à CR(C) noté Wm-R(C) Wm-R(C) est dit Esapce de Parité On a : CR(C)  Wm-R(C)=Rm ( somme d’esapce vectoriels)

Projection dans l’espace de parité En projetant l’équation de mesure dans l’espace de parité (en multipliant les deux membres de l’équation de mesure y(k) par W) sachant que WC=0, on obtient : RRA et résidu : en absence de défaillances et de perturbations (d(k)=f(k)=0) Comme W est de rang m-R(C) alors les m-R(C), résidus sont linéairement indépendants

Formes du vecteur de parité Forme de calcul Forme d’évaluation

Redondance physique Example : triplex redundancy y1 = x + f1 x = y1 - f1 y2 = x + f2 x = y2 - f2 y3 = x + f3 x = y3 - f3 r1 = y1 - y2 = f1 - f2 r2 = y2 - y3 = f2 - f3 y1 - f1 = y2 - f2 y2 - f2 = y3 - f3

Redondance physique Génération des RRAs par Espace de parité Espace de parité de dimension 2. Une base W peut être choisie WC=0 (2 vecteurs hortogonaux à C). Parmi toutes les solutions choisissons : Projetant l’équation de mesure dans l’espace de parité

Résidus directionnels r(k) peut s’exprimer comme suit : L’espace de parité est un espace de dimension 2. Le vecteur des résidus se déplacera suivant une direction specifique à chacune des pannes r1 r2 f1 f2 f3

EXEMPLE REDONDANCE STATIQUE Espace de parité statique u y2 y1 x1 x2 y3 Pour éliminer x, on cherche W tel que : Wy = WCx = 0

Comme dim(W)=1x3, alors W = (a b c) Les résidus sont : Comme dim(W)=1x3, alors W = (a b c) Tous les vecteurs de la forme : W= [a 0 -a] annule WC Alors on trouve : On retrouve la redondance matérielle :

Conclusion Redondance statique Il y a redondance statique si on peut trouver : un ensemble de vecteurs W orthogonaux à C. WC = 0 Les vecteurs lignes de W définissent l'espace de parité statique : En projetant l'équation de la mesure dans l'espace de parité, on obtient : RRA statique : W.Y = W.C.X = 0 Dans la réalité : Y = C.X + e + d

A bit more complex Analytical redundancy (dynamic)

Analytical redundancy (dynamic) State space model Continuous time Discrete time If there exists W such that WC = 0 then static redundancy relations can be found

Dynamical Analytical redundancy (continuous) Dérivation de y

Dynamic Analytical redundancy (Discrete) Dérivation de y

Analytical redundancy (dynamic) If there exists W such that W then

Analytical redundancy (general) etc. Dérivation de y Observability matrix OBS(A, C, p) Dérivation de y’ Toeplitz matrix T(A, B, C, D, p) Dérivation de y(n)

Expressions of dynamical ARRs If there exists W such that ARRs are : Rows of W are a basis of Ker(OBS), define the parity space Parity space dimension is number of sensors

RESUME REDONDANCE DYNAMIQUE Soit donné le système A l’instant K+1 En utilisant (1) on a Alors: En généralisant à l’ordre p (1) (2) (3) (4)

Conséquence du théorème de Cayley-Hamilton Il existe p tel que le rang de OBS(A,C,p) soit inférieur au nombre de lignes donc on peut trouver une matrice W telle que : W.OBS(A,C,p) = 0 L'espace supplémentaire à OBS, défini par W, est appelé "espace de parité". En projetant l'équation (3) dans cet espace, on obtient : Cette relation est appelée : "relation de redondance analytique dynamique". Le résidu est :

Application numérique Dérivée jusqu’à l’ordre deux Calcul de W : dérivée ordre 1 : CB D

On fixe arbitrairement 2 inconnues Trouvons alors 2 vecteurs W linéairement indépendants On fixe arbitrairement 2 inconnues W3 est une combinaison linéaire de W1 et W2 Expressions des résidus

Si r=0, on retrouve le modèle initial

Résidus d’ordre 2 Les matrices OBS et T seront : On obtient après calcul Analyse A l’ordre deux on obtient des résidus sensibles uniquement à Y2 Si on augmente l’ordre, on obtient les mêmes RRAs décalées dans le temps (filtrées) Résidu d’ordre 2 Résidu d’ordre 1 obtenu avant

Conclusions detects any fault (if detectable) isolates any fault (if enough redundancy) estimates the unknown variable with several estimation versions needs noise models for statistical decision needs uncertainty models for set theoretic based decision

CHAP3: Structural Analysis

PLAN Structural analysis Motivations Structural description Structural properties Matching Causal interpretation of matchings Subystems characterization System decomposition Conclusion

Motivations Complex systems : Many different configurations hundreds of variables and equations Many different configurations Many different kinds of models (qualitative, quantitative, static, dynamic, rules, look-up tables, …) Description of physical plants as interconnected subsystems Analytic models not available The structural description of a system expresses only the links between the variables and the constraints

Digraph: definitions The digraph ? [Blanke and al. 2003] Graph whose set of vertices corresponds to the set of inputs ui, output yj and state variables xk and edges are defined as : An edge exists from vertex xk (respectively from vertex ul ) to vertex xj if and only if the state variable xk (respectively the input variable ul ) really occurs in the function F (i.e. vertex ui ) in the function An edge exists from vertex xk to vertex yj if and only if the state variable xk really occurs in the function g Physical means Digraph is a structural abstraction of the behaviour model where Edge represents mutual influence between variables : The time evolution of the derivative xi depends to the time evolution of xk

Directed graph representation Edge represents mutual influence between variables: Directed graph representation Means : the time evolution of the derivative depends to the time evolution of x2 x1 x2 u y

Structural description Behaviour model of a system : a pair (C, Z) Z = {z1, z2,...zN } is a set of variables and parameters, C = {c1, c2,...cM } is a set of constraints variables quantitative, qualitative, fuzzy Constraints algebraic and differential equations, difference equations, rules, etc. time continuous, discrete

Bipartite Graph C Structure = binary relation S : C x Z  {0, 1} Fc Fs Fp X Y U C + CORRECTOR PROCESS - SENSOR M C : set of constraints U, subset of control variables Y, subset of measured variables X, subset of unknown variables K={Y}U{U} Z : set of variables Structure = binary relation S : C x Z  {0, 1} (fi, zj)  S(fi, zj)

Bipartite graph A graph is bipartite if its vertices can be partitioned into two disjoint subsets C and Z such that each edge connects a vertex from C to one from Z. Bi-partite graph : links between variables and constraints

Definition The structural model of the system (C,Z) is a bipartite graphe (C,Z,A) , Where A is a set of edges defined as follows (ci , zj) A if the variable appears in the constraints ci Example : c1 : U-Ri=0, c2: y-i=0  Z={i,u} , C ={c1, c2}

Example L R uR i uL uC C um ue

Example : bipartite graph

Incidence matrix 1 Variables Z UnKnown variables The incidence matrix is is the matrix whose rows and column represnt the set of constraints or variables, respectively. Every edge (ci, zj) is represented by « 1 » in the intersection of ci and zj. bij=1 if zj ci otherwise zj =0 F/Z uR uL uC i z1 z2 um ue c1 1 c2 c3 c4 c5 c6 c7 Constraints

Definitions Définition 1. On appelle structure du système le graphe bi-parti G(C, Z, A) où A est un ensemble d’arcs tels que :  (c, z)  C  Z, a = (c, z)  A  la variable z apparaît dans la contrainte c Définition 2. On appelle structure d’une contrainte c le sous-ensemble des variables Z(c) telles que :  z  Z(c), (c, z)  A Définition 3. On appelle sous-système tout couple (, Z()) où  est un sous ensemble de C et Z() =  c   Z(c).

Example 1 1 C/Z uR uL uC i z1 z2 um ue c1 c2 c3 c4 c5 c6 c7 C/Z uR uL A subsystem is a pair (, Z()) where  is a subset of C and Z() =  c  , Z(c). Subsystem (R,L) C/Z uR uL uC i z1 z2 um ue c1 1 c2 c3 c4 c5 c6 c7 C/Z uR uL i c1 1 c2

Standard form c1 c2 c3 x1 x2 u y z1 z2 c5 c4

Incidence matrix c5 c4 c1 c2 c3 z2 1 z1 x1 x2 u y C/Z z1 z2 x1 x2 u y 1 c2 c3 c4 c5

Differential and algebraic equations Are used three kinds of equations: Differential Algebraic Measure Used variables are

Example Tank c1: dx(t)/dt - qi(t) + qo(t) = 0 Input valve c2: qi(t) - au(t) = 0 Output pipe c3: q0(t) - kv(x(t)) = 0 Level sensor 1 c4: y1(t) - x(t) = 0 Level sensor 2 c5: y2(t) - x(t) = 0 Output flow sensor c6: y3(t) - qo (t) = 0 Control algorithm c7: u(t) = 1 if lmin  y1(t)  lmax u(t) = 0 else Differential constraint c8: z=dx/dt

Bipartite graph z x(t)) qi(t) qo(t) u(t) y1(t) y2(t) y3(t) c1: dx(t)/dt - qi(t) - qo(t) = 0 c2: qi(t) - au(t) = 0 c3: q0(t) - kv(x(t)) = 0 c4: y1(t) - x(t) = 0 c5: y2(t) - x(t) = 0 c6: y3(t) - qo (t) = 0 c7: u(t) = 1 if lmin  x(t)  lmax u(t) = 0 else c8: z=dx/dt c8 c1 c2 c3 c4 c5 c6 c7

Incidence matrix of the hydraulic system Unknown variables Known variables Fi(i=1-8) x qi qo z u y1 y2 y3 C1 Tank 1 C2 Valve C3 Pipe C4 LI1 C5 LI2 C6 FI C7 LC C8 Dif. Cons.

State space model and digraph Digraphe representation Bipartie graph representation

Sous système : Caractérisation La condition d’existence d’une RRA est liée à la caractérisation des sous systèmes Un sous système : Il est associé à l’ensemble des contraintes Ci qu’il fait intervenir : c’est un couple (Ci, ,Q(Ci) dans lequel Q(Ci) est l’ensemble des variables contraintes par Ci Q(Ci) est décomposé en deux parties Qc(Ci): correspond aux variables connues Qx(Ci): correspond aux variables inconnues

Exemple : Un sous système : c’est un couple (Ci, ,Q(Ci) dans lequel Q(Ci) est l’ensemble des variables contraintes par Ci. QX (Ci) QC (Ci) Q(Ci) Unknown variables Known variables Fi(i=1-8) x qi qo Z=x’ u y1 y2 y3 C1 Tank 1 C2 Valve C3 Pipe C4 LI1 C5 LI2 C6 FI C7 LC C8 Dif. Cons. Ci Q(Ci)

TYPES DE SOUS SYSTEMES TYPES DE SOUS SYSTEMES Le nbre de solutions pour Qx(Ci) qui peuvent être obtenues à partir de Qc(Ci) caractérise chaque sous système . On distingue : Un système sous déterminé Juste déterminé Sur déterminé

Sytème sous déterminé ? (C, Q(C)) est sous-déterminé si, pour toute valeur de Qc(C), l'ensemble des valeurs de Qx(C) vérifiant les contraintes C est de cardinal supérieur à un. : card(C)<card(Qx(C)) Causes : Il n y a pas assez d’équations pour déterminer x La non unicité des solutions : les variables Qx(C) ne peuvent pas être calculées à partir des valeurs connues des variables Qc(C) et des contraintes C. Conséquence d'une modélisation insuffisante du système, ou de la non observabilité de certaines variables.

Système juste et surdéterminé (C, Q(C)) est juste déterminé si : card(C)=card(Qx(C)) Les variables inconnues Qx(C) peuvent être calculées de façon unique à partir des variables connues Qc(C) et des contraintes C. (C, Q(C)) est surdéterminé si : card(C)>card(Qx(C)) Causes Les variables Qx(C) peuvent être calculées de différentes façons à partir des variables connues Qc(C) et des contraintes C chaque sous-ensemble Ci  C fournit un moyen différent de calculer Qx(C)). Puisque les résultats de ces différents calculs doivent être identiques (il s'agit des mêmes variables physiques), l'écriture des relations d'égalité constitue l'ensemble des relations de redondance analytique cherché

Example (1/2) y1 1 1 C2(y1,U)=0 Z={X} U {K} X={u, i}, K={y1,} C1: u-Ri=0 C2: y1-u=0 Sous-système : C1(i,u)=0 (C1, Q(C1)) est sous-déterminé si, pour toute valeur de QC(C1), l'ensemble des valeurs de Qx(C1) vérifiant les contraintes C1 est de cardinal supérieur à un. (C1, Q(C1)) est sous-déterminé 1 C1(i,u)=0 u i y1 C2(y1,U)=0 1 Card(C1)=1<Card(Qx (C1)=2. (C2, Q(C2)) est juste déterminé : Card(C2)=1=Card(Qx (C2) (C, Q(C)) est juste déterminé: Card(C)=2=Card(Qx (C)=2

Example (2/2) y1 y2 1 1 C2(y1,u)=0 C1(i,,u)=0 u i C3(i,y2)=0 Z=XUK X={u, i}, K={y1, y2,} C1: U-Ri=0 C2: y1-u=0 C3: y2-i=0 1 y1 C2(y1,u)=0 C1(i,,u)=0 u i y2 C3(i,y2)=0 1 (C, Q(C)) est sur déterminé: Card(C)=3>Card(Qx (C)=2

Example : Incidence matrix y2 x={u, i} K={y1} C1: U-Ri=0 C2: y1 –U=0 x={u, i} K={y1 ,y2,} C1: U-Ri=0 C2: y1 –U=0 C3: y2-U=0 x={u, i} K={} C1: U-Ri=0 i R u y1 C/Z u i C1(i,u)=0 y1 C2(y1,u)=0 1 y2 C3(u,y2)=0 1 1 1

Canonical decomposition Any system can be uniquely decomposed into 3 subsystems : Over-constrained Just-constrained Under-constrained Only the over-constrained subsystem is monitorable Example of overdetermined system C/Z x X-{x} y1 y2 f1 1 f2 c1 : F1(y1, x) = 0 c2: F2 (y2, x) = 0 x=(F2)-1 (y2) x=(F1)-1 (y1) Subsystem {c1, c2} overdetermines the unknown variable x : x can be computed via two different ways , The two results have to be identical

Matching (Couplage)

Définitions G(Cx,X,Ax) Soit a  AX, on note X(a) l'extrémité de a dans X et CX(a) l'extrémité de a dans CX. L'arc a peut s'écrire : a = (Cx(a), X(a)) Considérons le graphe G(Cx, X, Ax), restriction du graphe structurel du système à l'ensemble des sommets appartenant à Cx (pour les contraintes) et à X (pour les variables), et où Ax représente l'ensemble des arcs qui relient Cx à X. A={a1, a2, …an) X={x1, x2, …xn) C={c1, c2, …cn) A C X

Définitions Considérons le graphe G(Cx, X, Ax), restriction du graphe structurel du système à l'ensemble des sommets appartenant à Cx (contraintes) et à X (variables), et où Ax représente l'ensemble des arcs qui relient Cx à X. Soit a  AX, on note X(a) l'extrémité de a dans X et CX(a) l'extrémité de a dans CX. L'arc a peut s'écrire : a = (Cx(a), X(a)) A A={a1, a2, …an) X={x1, x2, …xn) C={c1, c2, …cn) C X Cx(a) X a C(x) X(a)

Définition : un couplage G(Cx, X, A) is a matching on G(Cx, X, Ax) if and only if 1) A  Ax 2)  a1, a2  A a1  a2 Cx(a1)  Cx(a2) X(a1)  X(a2) Interpretation A matching is a set of pairs (ci,xi) s.t. the variable xi can be computed by solving the constraint ci, under the hypothesis that all other variables are known a1 X(a1) Cx(a1) X C(x) a2 X(a2) Cx(a2) X C(x)

Examples and means A mathing is A subset of edges such that any two edges have non common node (neither in C nor in Z) Differents matchins can be defined on a bi-partite graph C1(i,,u)=0 C2(y1,u)=0 C3(u,y2)=0 Different matchings C1 C2 C3 i u y1 y2 i C1 u C2 y1 y2 C3

Matching on a bi-partite graph Concept of matching in a bipartite graph is a causal affectation which associates some system variables with the system constraints from wich they can be calculated . Two situations of matchings The variables cannot be matched : they cannot be calculated The variables can be matched in several ways : they can be calculated by different possibilities : there are redunduncaies : this case important for FDI

Maximal matching A maximal matching on G(Cx, X, Ax) is a matching G(Cx, X, A) s.t.:  A'  A, A' A G(Cx, X, A') is not a mtaching. What is it ? A maximal matching is a matching such that no edge can be added without violating the no common node property C1 C2 C3 i u y1 y2 This matching is not maximal (C2,y1) can be added C1 C2 C3 i u y1 y2 This matching is maximal : Any matching can be added

Complete matching A matching β is complete w.r.t to C (set of constraints ) respectively to Z (set of variables) if :  z  Z,  c  C such that (c,z)  β : complete w.r.t. C  c  C,  z  Z such that (c,z)  β : complete w.r.t. Z C1(i,,u)=0 C2(y1,u)=0 C3(u,y2)=0 This matching is complete w.r.t. to C (All constraints are matched) C1(i,,u)=0 i C1 i C1 u u C2 y1 This matching is complete w.r.t. to C But incomplte w.r.t. to X y2 C3

Matching and the incidence matrix 1/2 Select at most one "1" in each row and in each column Each selected "1" represents an edge of the matching No other edge should contain the same variable : it is the only one in the row No other edge should contain the same constraint : it is the only one in the column.

Matching and the incidence matrix 2/2 C/Z u i y1 y2 y2 u C2(y1,u)=0 C1(u,i)=0 C3(u,y2)=0 1 C2 y1 y2 C3 C1 C2 C3 i u y1 y2 C/Z u i y1 y2 y2 C2(y1,u)=0 C1(u,i)=0 C3(u,y2)=0 1

Oriented graph associated with a matching Matched constraints the output is computed : the inputs are supposed to be known. The edges adjacents to a matched constraints are oriented C/Z x x1 x2 x3 C1 1 C2 C3 C4 x1 C-1(x1,x2,x3) x 1 x2 x3 1 1 1

Oriented graph associated with a matching Causal and acausal constraint u-Ri=0 : acausal constraint have not a direction. The variables have the same status: the graph is non oriented u=Ri : causal constraint : i is known, u is calculated. Here the matching is chosen. The matched constraint is associated with one mathed variable and with some non matched one u i C C: u-Ri=0 Non matched constraint u i C Matched constraint

Oriented graph associated with a matching Non-matched constraints all the edges adjacent to a non-matched constraint are inputs. The relation C is redundant. All variables are inputs C/Z x1 x2 x3 C1 1 C2 C3 C4 x1 x2 x3 c1 Maximal matching w.r.t. to X But incomplte w.r.t. to C C1 is redundant (is not used to eliminate X) 1 1 1

Causal interpretation of matchings Causal graph ? The oriented bipartite graph which results from a causality assignment is named Causal graph Algebraic constraints At least one variable can be matched in a given constraint Non invertible algebraic constraints Consider C(x1,x2)=0 x1 x2 C Impossible matching C x1 x2 Possible matching C/Z x1 x2 C 1 C/Z x1 x2 C 1 x 1

Alternated chain What is alternated chains ? A path between two nodes (variables or constraints) alternates always successively variables and constraints nodes : this path is said alternated chain Lenth of alternated chain ? Number of constraints accrosed along the path Reachability A variable x1 is reachable from variable x2 if there exists an alternated chain from x1 to x2

Structural properties Diagnosability conditions

Structural analysis Systems which have the same structural model are structurally equivalent Structural properties ? They are properties of the system structure, they are shared by all structurally equivalent systems Example : systems which only differ by the value of their parameters  structural properties are independent of the values of the system parameters (true almost everywhere in the system parametric space).

Structural observability Under derivative causality, the system is structurally observable if and only if : 1. All the unknown variables are reachable from the known ones (measure) 2. the over constrained and just-constrained subsystems are causal (no differential loop) 3. the under-constrained subsystems is empty

Over-constrained system The system is over-constrained if There is a causal matching which is complete w.r.t. all the unknown variables but not w.r.t. all the constraints. The unknown variables can be expressed (in several ways) as functions of the known variables. The subsystem is observable and redundant

Just-constrained subsystem The system is just-constrained if : 1) There is a causal matching which is complete w.r.t. all the unknown variables and all the constraints. 2) The unknown variables can be expressed as functions of the known variables. 3) The subsystem is observable

Under-constrained system The system is under-constrained if There is no causal matching which is complete w.r.t. the unknown variables. Some unknown variables can’t be expressed as functions of the known variables. The subsystem is not observable, and not monitorable.

Structural monitorability The conditions for a fault  to be monitoable are : 1. the subsustem is observable 2. the fault  belongs to the structurally observable over constrained part of the subsystemm to be monitored

Example: Oriented graph from the matching Maximal matching w.r.t. to X Incomplète matching w.r.t. to C C2 C1 y1 y2 C3 0 edge C3 C1 Maximal matching w.r.t. to X Incomplète matching w.r.t. to C y2 y1 C2 0 edge i is computed in two ways differents

Hydraulic example z qo V qi y C1 C2 C3 C1 C3 C4 C2 Zero edge C4 Graphe bipartite z y C1 qo V R C2 V qi y C3 Coupled variables qi C1 Zero y C3 V C4 C2 qo Maximal matching w.r.t. to X Incomplète matching w.r.t. to C Zero edge C4 z Pr

Differential constraints Differential constraints can always be represented under the form : x2(t) = dx1 (t) / dt. Derivative and integral causality Derivative causality Integral causality Initial conditions must be known

Loops Definitions Algebraic loop In the oriented graph, loops are a special subset of constraints, which have to be solved simultaneously, because the output signals of some constraints in the loop are the inputs are some others in the same loop : the number of matched variables is equal to the number of constraints (length of the loop). Algebraic loop C3 V C2 qo x2 C1 x1 C/Z x1 x2 C1 1 C2 1 1

Differential loop: example V R V C2 C4 qi C1 z q0 Interpretation V, z, q0 = 3 unknowns c1 , c2 , c4= 3 constraints there is one single (a finite number of) solution(s).

Differential loop How to broke the loop Adding a sensor A matching without any differential loop is called a causal matching C3 y V C2 C4 qi C1 z q0

Example just-constrained system Suppose input flow qi is unknown All unknown variables matched V C2 C4 C1 z q0 C3 y qi C/Z z=dV/dt V qi qo y C1 1 C2 C3 C4 1 1 All constraints are matched 1 1

Example Over-constrained system All unknown variables matched C/Z z=dV/dt V qi qo y u C1 1 C2 C3 C4 C5 Redundancy V C2 C4 C1 z q0 C3 y u C5 qi 1 C1 is not matched 1 1 1

What is happened in integral causality? X :All unknown variables matched C/Z V(0) V qi qo y u C1 1 C2 C3 C5 V C2 C1 q0 C3 y u qi V(0) C5 1 1 C : All constraintsare matched 1 1 The system is now just-determined : the matching is complete w.r.t to X and C.

Example under-constrained system C/Z z=dV/dt V qi qo u C1 1 C2 C4 C5 The system is not observable There is a differential loop 1 V C2 C4 C1 z q0 u qi C5 1 1 1

Canonical decomposition Known variables Unknown variables Over-constrained subsystem Just-constrained subsystem Under-constrained subsystem

Conclusions (1/4) Structural analysis based on bipartite graphs is easy to understand, easy to apply, Shows the relation between constraints and components, Allows to : identify the monitorable part of the system, i.e. the subset of the system components whose faults can be detected and isolated,

Conclusions (2/4) Advantages Lack Easy to implement and suited for complex systems Allows to determine the FDI/FTC possibilities No a priori knowledge of the model equations is necessary Lack Structural analysis produces only structural properties

Conclusiosn (3/4) :What we can do with structural analysis ? can the system be observed ? can all the system variables be computed from the knowledge of the sensors outputs can the system be controlled ? can the system be monitored ? can the malfunction of the system components be detected and isolated can the system be reconfigured ? can the system achieve some objective in spite of the malfunction of some components

Conclusions 4/4 Actual properties are only potential when structural properties are satisfied. They can certainly not be true when structural properties are not satisfied. Structural properties are properties which hold for actual systems almost everywhere in the space of their independent parameters.

CHAP4 Observer-based approaches

Introduction Principe des méthodes FDI par observateur Reconstruction de la sortie du procédé à partir des observations issues des capteurs puis comparer cette estimation à la valeur réelle de cette sortie En fonction dee la nature du système on a: Cas déterministe : l’estimation à l’aide des observateurs Cas stochastique : filtre de Kalman Un observateur ? Reconstructeur qui a pour but à partir des variables mesurées de permettre une estimation du vecteur d’état

What is observer ? Given How to reconstruct based on output error x y Process u x C y

Simulation of the observer C A-KC

Observer and process A C + B PROCESS B K A C + - OBSERVER

Convergence (1/2) Convergence conditions

Convergence (2/2) Erreur d’estimation s’annule exponentiellement si (A-KC) est asymptotiquement stable i.e. valeurs propres (modes) sont à partie réelles négatives : Comment ? : Bien choisir K

Remarques Conclusion L’erreur de reconstruction n’est pas nulle: car les CI de l’observateur est choisi arbitrairement et celui du système inconnu Comment annuler l’erreur : On ne peut agit que sur K : choisir alors K pour stabiliser la matrice A-KC assurant la convergence vers zéro de l’erreur Techniques utilisées : Placement de pôles permet de fixer la vitesse de convergence en ajustant les coefficient de K (voir sur Matlab les instructions place et acker)

Idée du diagnostic par observateur Impossible de générer l’erreur d’estimation : car état réel n’existe pas (car non mesuré) L’erreur de reconstruction de la sortie y peut être calculée car on suppose qu’elle est mesurée Schéma de principe : Residual Process Observateur Compare u

Comment générater les résidus ? 1. Par simulation + y C + process A-KC - y + Capteur Résidu

Calcul du résidu en Z Résidu

Calcul du résidu en p L (1) (2)

Calcul du résidu en p Résidu (1)-(2) : Résidu Aprés quelques simplifications Lemme d’inversion de matrice : Résidu

convergence de l’observateur et sensibilité du résidu aux bruits Analyse de r(p) 1. L’erreur de reconstruction de la sortie dépend de l’erreur d’estimation des CI 2. Dilemme convergence de l’observateur et sensibilité du résidu aux bruits Choisir le gain K de façon que l’erreur converge rapidement (en imposant des valeurs propres de la matrice trés faible) Mais si K augmente trop, le résidu sensible aux bruits aléatoires

Exemple Cas simple monovariable Convergence de l’erreur Conditions de Stabilité

Simulation SIMULATION

Exemple 2 Soit le système dont seul la sortie est mesurée On reconstruit l’état du système x par une estimation 2. Comment ? : on va corriger cet estimation par l’adjonction de l’erreur sur la mesure d’estimation sur la mesure par l’équation 2. Équation dynamique de l’erreur d’estimation 3. Convergence de cette erreur Trouver une matrice K telq ue A-KC soit stable (racines dans le cercle unité

Exemple 2/3 Expression des résidus r(z) Application numérique Choix de K pour assurer la convergence

EXEMPLE ( 3/3) 1. Dead Beat Observer (à réponse pile) 2 pôles à l’origine En remplaçant A et B par leur valeurs :

Observateur Observateur quelconque On impose une dynamique au système bouclé. Puis on détermine alors le gain K de l’observateur permettant d’assurer cette dynamique Ayant fixé K, on peut calculer les résidus

Suite exemple Expressions des résidus

Observateur de Luenberger Généralisé Soit donné le système : 1. On veut estimer la sortie y(t) On utilise alors un observateur de gain K X(t) : état, u(t) : entrée d(t) : défauts e(t) : perturbations ou bruits (1) (2)

Erreurs d’estimation 2. Equations dynamiques des erreurs d’estimation (1)- (2) 3. Transformée de Laplace de l’erreur de sortie

Remarque sur le résidu Le résidu est sensible aux défauts d(p), aux perturbations et bruits e(p), mais aussi aux CI. L’observation converge vers 0 pour t, on peut négliger les transitoires dues aux CI. si d=0, e=0, on obtient l’expression obtenue précédemment. Le gain K de l’observateur influe de façon semblable sur d et e : Alors il est difficile de générer un résidu sensible aux défauts à détecter mais insensible aux perturbations L’analyse des matrices G permet de savoir si les composants de d sont isolables des autres

Différentes influences sur le résidu 1. Influence du bruit sur le résidu Soit e(t) un bruit réalisation d’une variable aléatoire Esp(e(t)=0 Trouvons le résidu en fréquentiel r(p) En utilisant les équations ci-dessus on obtient les expressions des erreurs de reconstruction (en posant Ey=1 D=0 Observateur Fréquentiel

Influence du bruit sur le résidu Négligeons d’abord l’influence des CI Etude de l’influence du point de vue fréquentiel de e sur r(p) Réduction du bruit e(jω) sur r(jω) : chercher un gain de réglage K, en plaçant la pulsation de coupure du filtre tel que l’influence du bruit soit réduite

Calcul du seuil d’alarmes du résidu Soit données les hypotheses statistiques du bruit : Examinons l’estimateur Si valeur moyenne du bruit du bruit e est nulle il en est de même pour l’estimateur.

Calcul du seuil d’alarmes du résidu Equation de propagation de la variance Application à erreur d’estimation

Calcul des seuils d’alarme du résidu Calcul en régime stationnaire des seuils d’alarme Déterminer un seuil dans la procédure de décision de la présence de fautes en fonction de la variance de y au delà duquel le résidu pourra être considéré nul (il y a réellement alarme) K V0 Détermination de la variance du résidu t Seuil ALARME NORMAL

2. Influence d’une erreur de modélisation Problématique En pratique existence toujours d’une erreur de modélisation Observateur construit à partir du modèle alors la sortie reconstruite est sensible aux erreurs de modélisation Le diagnostic se base sur l’écart entre sortie reconstruite et réelle Difficile de séparer erreurs dues à la modélisation et celles dues aux fautes But Construire un observateur sensible aux défauts et peu sensible aux erreurs de modélisation

Développement Estimation de l’état calé sur A Modèle d’état incertain : On se limite à une erreur sur A Estimation de l’état calé sur A Cet observateur doit alors détecter, au travers de l’erreur de reconstruction de la sortie, la perturbation du système A Traduit l’apparition d’une perturbation A sur le système Représente un observateur calé sur le système nominal

Hypothèses sur erreur Hypothèses sur l’erreur Bornée c.à.d. légère imprécision du modèle sur les coefficients Problème à résoudre : générer des résidus 1. peu sensibles à A 2. avec un maximum de sensibilité vis-à-vis des fautes

Influence des incertitudes paramétriques 1. Influence des variations A sur les résidus Erreurs d’estimation (des équations précédentes ) : Domaine fréquentiel L’erreur de reconstruction est sensible aux imprécisions A et à l’état x(t) (qui n’est pas éliminée ici)

Influence de l’entrée et de A Influence de l’entrée u sur le résidu Pour CI=0, et en remplaçant x(p) par son expression on a : Ainsi le résidu dépend de u et de A On exploite cette propriété pour distinguer sur le résidu les influences des défauts et des incertitudes Comment ? : Comme A est inconnu, on exprime l’erreur de construction en fonction de ce qu’on lui applique u pour max (A ) On va alors chercher une majoration de l’erreur de construction si u est bornée : (on calcule le seuil pour max A )

Décision Schéma de décision U (bornée) Majorant de l’erreur de construction (du résidu) Si la valeur du résidu est en deçà du seuil : alors diagnostic réservé car l’erreur est peut être due aux incertitudes Au-delà de ce seuil l’amplitude du résidu témoigne de la présence d’une faute distincts des erreurs du modèle t ALARME NORMAL

Observateurs à entrées inconnues Problématique Modèles où la sortie des actionneurs n’est pas mesurées L’évaluation des RRAs nécessite la connaissance des mesures et des entrées Alors : on utilise observateurs à entrées inconnues (UIO : Unknown Input Observers) Principe Soit un système avec des entrées connues u(t) et entrées inconnues

Observateur à entrée inconnue Soit le système à entrée inconnue Considérons alors l’observateur : L’erreur de reconstruction sera alors : et sa dérivée

En dérivant puis en remplaçant x(t) et z(t) on aura: Posons : P = I+EC

L’erreur de reconstruction de l’état du UIO L’entrée étant inconnue on tente d’avoir : Cette reconstruction tend alors asymptotiquement vers zéro ssi:

L’entrée inconnue n’intervient pas dans l’expression du résidu. Procédure de calcul du UIO Calcul de l’inverse généralisée de CF Déduire P, puis G On fixe les pôles de N, on déduit K puis N On calcule L L’entrée inconnue n’intervient pas dans l’expression du résidu.

Estimation de l’entrée inconnue L’équation du système initial : Si (CF)-1 existe, on aura

Different UIO schemes SOS : Simplified Observer Scheme Only one UIO Allows to detect faults. No isolation possibilities DOS : Dedicated Observer Scheme Bank of UIO Each observer is sensitive to one fault (diagonal structure)

D.O.S w.r.t. actuators u y Actuators System Sensors umu u1 e1 UIO 1 UIO mu UIO 1 u1 umu e1 emu : Diagonal structure w.r.t. actuator faults

D.O.S w.r.t. sensors u y Actuators System Sensors y1 ymy e1 UIO 1 UIO mu UIO 1 y1 ymy e1 emu : Diagonal structure w.r.t. sensors faults

G.O.S w.r.t. actuators u Actuators System Sensors y umu u1 e1 UIO 1 UIO mu UIO 1 u1 umu e1 emu : y Each residual is affected by all faults except for one actuator fault

G.O.S w.r.t. sensors u y Actuators System Sensors y1 ymy e1 UIO 1 UIO mu UIO 1 y1 ymy e1 emu : Each residual is affected by all faults except for one sensor fault

Identification based approach Input Output SYSTEM Identification White Box Black Box Grey Box

Identification-based Residual Off line On line SYSTEM MODEL u y SYSTEM MODEL u y ^ q r(t) REF + - t < t1 t > t1 REF

BOND GRAPH FOR SUPERVISION DESIGN Chapitre 5 BOND GRAPH FOR SUPERVISION DESIGN

PLAN 2) Problématique des méthodes à base de modèles 1) Motivations et positionnement 2) Problématique des méthodes à base de modèles 3) Bond graph et le diagnostic 4) Conception d’un système de supervision 5) Outil logiciel pour la conception de systèmes de supervision 6) Application a un générateur de vapeur

Contexte Résultats de recherche depuis 12 ans B. Ould Bouamama and A.K. Samantaray. "Model-based Process Supervision. A Bond Graph Approach" . Springer Verlag, To be published on 2007, Berlin. Thoma J.U. et B. Ould Bouamama. "Modeling and Simulation in Thermal and Chemical Engineering". A Bond Graph Approach. Springer Verlag, 219 pages, Berlin 2000. More : Web : http://sfsd.polytech-lille.net/BelkacemOuldBouamama Applications Projet Européens (CHEM, damadics) supervision de procédés chimiques et pétrochimiques, raffinerie de sucre , .. Projet nationaux : EDF Filtrage d’alarmes Projet régional : supervision de procédés non stationnaires Outils logiciels développés Model Builder « FDIPAD » Génération de modèles et d’indicateurs de fautes formels à partir des PIDs Analyse de la surveillabilité : placement de capteurs Génération de S-function ou code C pour la simulation La supervision aujourd’hui dans l’industrie

Integrated design for supervision New sensor architecture Optimal sensor placement Diagnosability results technical specifications Diagnosability analysis ARRs P&ID Process Generate a dynamic and formal models Generate a dynamic and formal ARRS Online implementation Data from sensors Sensors

Model based in the supervision platform. Chem Project example TB5.4: Fault diagnosis and alarm management using causal graphs Causal graph TB3.4: Diagnosis using causal graph (IFP) Models List of faulty components Measures DATA MANAGER DTM Measures TB5.1: Model builder for FDI design (LAIL) P&ID Residuals, Monitorability analysis, Dynamic model, Recovery decision TB7.2 : Reconfiguration List of faulty components Recovery decision List of faulty components TB5.2, TB3.2: Temporal Band Sequences (Thalles) Residuals Models

2) Problématique des méthodes à base de modèles Approche bond graph

Model based approach : Issues MODELLING Modelling step is most important in FDI design obtaining the model is a difficult task The constraints are not deduced in a systematic way It is not trivial in the real systems to write the model under a "beautiful" form x=f(x,u,θ). RESIDUAL GENERATION Eliminate the unknowns : analytic redundancy approach Existing methodology : parity space for linear, elimination theory (constraints under polynomial forms) Variables to be considered : all quantities constrained by the system components (process, actuators, sensors, algorithms) How to generate directly from the process ARRs and models : Bond graph tool well suited because of its causal and structural properties.

Bond graph and diagnostic BOND GRAPH FOR MODELLING (1961) Control (1990) Diagnostic Qualitative Approach (1993) Quantitative approach (1995) Open loop Linear model Sensor and actuator faults Monoenergy Bond Graph Multienergy bond graph Closed loop Sensor, process and actuator faults Implementation

DEFINITION, REPRESENTATION 2 1 Mechanical power :   REPRESENTATION P = e.f e f

Notion de causalités

POWER VARIABLES FOR SEVERAL DOMAINS Electrical DOMAIN Mechanical (rotation) Hydraulic Chemical Thermal Economic Mechanical (translation) FLOW (f) EFFORT (e) VOLTAGE u [V] CURRENT i [A] FORCE F [N] VELOCITY v [m/s] TORQUE  [Nm] ANGULAR VELOCITY  [rad/s] PRESSURE P [pa] VOLUME FLOW CHEM. POTENTIAL  [J/mole] MOLAR FLOW TEMPERATURE T [K] ENTROPY FLOW UNIT PRICE Pu [$/unit] FLOW OF ORDERS fc [unit/period]

Causal path and causality E C iC UC i F UC iC i C Se:E Derivative causality Sf: i Integral causality Se:E UC iC Se:E UC i

Dualised sensors RL circuit Se: u RL circuit Bond graph model in derivative causality with dualised sensor why ? Initial Conditions no knowns Df : as source of information I Se Df R Bond graph model in integral causality For control and simulation I SSf Df Se R

Système sous déterminé et surdéterminé C I C SSf SSf Df Df Se SSe Se De ? R R Pas de conflit de causalité, Système sur-déterminé Conflit de causalité, Système sous-Déterminé

BG example (1/2) T2 On-Off Vo QO PI T1

BG example (2/2) T1 T2 1 1 C:C1 C:C1 R:R1 R:R1 Se1 MSf1 On-Off Vo PI USER u3 PI u1 Tank1 C:C1 De1 2 On-off Tank2 C:C1 De2 6 Valve1 1 R:R1 4 3 5 Valve 2 1 R:R1 Se1 7 8 9 Pump MSf1 1 T2 On-Off PI T1 Vo QO Outflow to consumer

Specialized software for Bond graph modelling

3) Bond graph and diagnostic : determinsit and robust case

Hydraulic academic example MSf LI f1 PI FI R f2 e2 En fait, l'analyse structurelle est l'analyse des propriétés structurelles du système, c'est à dire des propriétés qui sont indépendantes des valeurs réelles des paramètres (plus exactement, des propriétés qui sont vraies presque partout dans l'espace des paramètres) f3 Ps=0

Bond graph model  Z 1 J0 e2 s f2 J1 X e4 f4 C b R MSf Se mP De De:P Df:F Df:F Df:F De:P De:P 2 4 Environnement MSf 1 3 5 Se MSf 1 1 Se  Z s J0 J1 e2 f2 X e4 f4 b C R MSf Se De Df K m mP mF

ARRs generation matching and incidence matrix  Z=XK X K f2 e2 f4 e4 MSf Se De Df J0 1 J1 C R mP mF RRA1 RRA2 1 Les variables en gras de la figure 16 sont les variables couplées. Soit D l'ensemble des variables couplées. Une variable est couplée si elle peut être déduite de la contrainte dans laquelle elle intervient. L'opération de couplage oriente les liens contrainte - variable. Le cheminement qui permet de coupler une variable à partir des variables déjà couplées peut être représenté par un graphe causal G(F,Z,A) où : The FDI procedures consist in the comparison between the actual behaviour of the system and reference behaviour. Different approaches for the FDI procedures have been developed, depending on the kind of knowledge used to describe the process (the structural analysis is given in the fourth part). The bond graph methodology is widely presented for modelling purpose, but only few papers deal with monitoring of systems using the bond graph tool for one port or multiport bond graph model. L'analyse des graphes structurels présentée dans la partie précédente aboutit à la détermination d'un ensemble de relations de redondance. Chacune de ces relations (plus généralement tout sous-ensemble de celles-ci) représente un modèle partiel du système, obtenu par un processus de réécriture du modèle de départ, de façon à n'en garder que la partie qui peut s'exprimer seulement à l'aide de variables où de paramètres connus. Tous ces modèles partiels sont vérifiés lorsque le système fonctionne normalement (puisqu'ils sont censés décrire justement le fonctionnement normal) alors qu'une partie d'entre eux (voire l'ensemble) deviennent faux lorsqu'une (où plusieurs) défaillance(s) se produit (se produisent). La procédure de détection et de localisation des défaillances en ligne peut alors prendre la forme suivante : Le sous-système (a_ *, b*) est sur-déterminé, puisque le couplage maximum est complet par rapport aux variables mais pas par rapport aux contraintes Causal matching w.r.t all unknown variables but not w.r.t all the constraints

Oriented graph associated with a matching mP e2 f2 De C MSf Df mF f4 J0 RRA1 mP De Se Df mF f4 e2 J1 RRA2 R e4

ARRS generation : Bi-partite graph and BG approach Bond graph Bi-partite graph 1) Unknown variables elimination order in the oriented graph 1) Covering causal path in the BG which is a particular matching according to the affected causality 2) Initial step for ARR generation : difficult to fix 2) From Energy conservation law from “0” or “1” junction The goal is to study all the causal paths relating the considered junction to the sources and the sensors

ARRS generation using BG approach (1/2) A) Bond graph model in integral causality Environnement 1 5 2 3 4 C R De:P Df:F Se MSf

ARRS generation using BG approach (2/2) Bond graph model in derivative causality detectors are dualised C De*:P Df*:F R 2 4 Environnement 1 3 MSf 5 Se 1 1 1- MSf 3- De 5-Se 4-R-4-Df 2-C-2-De 3-Df

FDI robuste using BG

Quelques commentaires Méthodes qualitatives L’utilisation du flou ne règle pas le problème des observations situées aux frontières de plusieurs classes. L’approche probabiliste suppose connue la probabilité a priori d’occurrence de chaque classe de fonctionnement. Méthodes quantitatives L’espace de parité et les observateurs sont bien adaptés au diagnostic des défauts capteurs et actionneurs. L’approche de filtrage suppose que les incertitudes et les défauts n’interviennent pas à la même fréquence. Les incertitudes paramétriques ne sont pas affichées explicitement par le modèle (en général d’état) RRAs incertaines non générées automatiquement

Approche proposée et contribution Outil utilisé: Modèles Bond Graphs sous forme LFT [B. Ould Bouamama 2002] et [G. Dauphin-Tanguy & al 1999 ] Performances recherchées Robustesse aux fausses alarmes Amélioration et contrôle des performances vis-à-vis des non détections et des retards dans les détections des défauts Contribution Génération automatique des RRAs robustes et des seuils adaptatifs de fonctionnement normal Définition d’indices de sensibilité aux incertitudes paramétriques Définition d’indices de détectabilité des défauts

Intérêt des BGs pour le diagnostic robuste ? Approche intégrée : Une seule représentation : système physique, modèle BG incertain, RRAs robuste Représentation de tous les types d’incertitudes. Les incertitudes paramétriques sont structurées, donc plus faciles à quantifier. Visualisation explicite des incertitudes paramétriques sur le modèle L’introduction des incertitudes n’affecte pas la causalité et les propriétés structurelles des éléments sur le modèle nominal. La partie incertaine du modèle est parfaitement séparée de sa partie nominale.

Représentation d’état Modélisation LFT Représentation LFT Fonction de transfert Représentation LFT Représentation d’état y y u u M H(S) z z w w LA représentation LFT est une forme standard de modélisation des systèmes incertains qui regroupe tous les types d’incertitudes pouvant intervenir sur le système, des incertitudes due a la dynamique négligée, des incertitudes paramétriques, des incertitudes de modélisation des capteurs ou actionneurs …qu’elles soient structurés ou non structurés. La puissance de ce type de représentation viens du faite que tous types de représentation peut être exprimer sous une forme LFT, et que cette représentation fait apparaître la partie incertaine du modèle sous forme d’un bloc isolé noté Δ, la matrice Δ contient les incertitudes et La matrice de transfert H(S) contient la boucle fermer ainsi que l’effet des incertitudes sur la boucle fermer ,ou bien une matrice augmenter M qui regroupe toutes les matrices de la représentation d’états ainsi que l’influence des incertitudes. Puisque avec cette représentation l’incertitudes est considérer comme une entrée au système nominale .donc en terme de commende robuste tous le système est asymptotiquement stable si la boucle fermer soumise aux différentes incertitudes est elle-même asymptotiquement stable . Δ Δ

Modélisation LFT des éléments BG (1/2) Système Physique Modèle bloc diagramme Modèle mathématique R fR eR fR eR R fR eR δR eR einc + Rn fR eRn Pour expliqué la modélisation LFT des éléments BG je vais prendre l’exemple d’un élément R en causalité résistance, une résistance électrique par exemple que l’on peu modéliser par ce modèle bloc diagramme ou ce modèle mathématique. La valeur de cet résistance ne peut pas être identifiée avec précision mais peut être estimée avec une certaine incertitudes. On introduisant une incertitude multiplicative dans le modèle de la résistance on obtiens ce nouveau bloc diagramme et modèle mathématique. On développant les calcules on peut mettre ces deux modèles sous forme LFT en séparant la partie nominale de la partie incertaine.

Modélisation LFT des éléments BG (2/2) 1 R:Rn De*:zR MSe*:wR -δR eRn f1=fRn einc fR eR zR wR -δR eR R:R fR Rn fRn eRn eR + R fR eR + einc l‘effort injecter dans le bloc incertain est équivalent a l’effort détecter sur la jonction zéro sur le modèle BG, ce détecteur n’est pas réel ,il est fictif car cette variable est connue d’ou la condition nécessaire pour le passage a la forme LFT est que le système soit observable δR

Mise en oeuvre sur exemple R:Rn De*:zR MSe:wR 2 5 9 6 R:R 2 R L i A Se: u 4 1 Se: u Df: i I:Ln 3 10 MSf:wL 7 Df*:zL 8 3 I:L

Analyse structurelle (1/2) Système propre et observable [C. Sueur & al 1989] Système surdéterminé Proposition : Sur un modèle bond graph destiné à la surveillance (mis en causalité dérivée), le système sera sous-déterminé si en dualisant les détecteurs, les éléments dynamiques ne peuvent pas être mis en causalité dérivée. Remarque: L’élément à l’origine du conflit de causalité sur un système observable sous déterminé, peut être mis en causalité intégrale lorsque les conditions initiales sont connues. Le système devient ainsi sur-déterminé. Donc on commance par dualiser les détecteur, puis on passe en causlité dérivée. Si on y arrive, on conclue que le système est surdéterminé si non on conclue qu’il est sous déterminé. Cette proposition est formulée en suppsant que les condition intiales sont inconnue ce qui generallement le cas. Pour prendre n considèration le cas ou les conditions initiales sont cnnues, j’ai ajouter cette remarque. Car le coflit de cosalité nous informe sur l’etat du couplage sous déterminé ou sur déterminé, mais aussi, l’élément a l’origine du conflit d causalité et aussi à l’origine de l’indetermination. Donc si les conditions initales sont connues, l’élément sera grdé en causalité integral et le conflit de causalité disparai et le système devient sur déterminé. On peut alors passer a l’etape suivante qui est la géneration des RRAs

5.2 Génération de RRAs robustes

Approche BG déterministe pour la génération des RRAs (1/1) 2 1 4 1- Se Se: u 1 Df: i SSf: i SSf- 2-R-2 3 SSf- 3- L- 3 I:L R L i A Se: u

Génération de RRAs robustes (1/2) R:Rn De*:zR 9 6 1- Se MSe:wR 5 2 SSf: i 5- MSe:wR 1 4 Se: u 7- MSe:wL 7 3 SSf - 2- 9- Rn - 9- 2 MSe:wL SSf - 3 - 10- Ln- 10- 3 8 De*:zL 10 I:Ln

Génération de RRAs robustes (2/2) MSe:wL R:Rn I:Ln De*:zL De*:zR Se: u SSf: i MSe:wR 1 2 3 5 4 7 8 9 10 6

Algorithme de génération de RRAs robustes Vérification des propriétés structurelles sur le modèle BG nominal Le modèle BG en causalité dérivée avec capteurs dualisés est mis sous forme LFT; Les variables inconnues sont éliminées en parcourant les chemins causaux entre les éléments BG et les détecteurs; Les RRAs sont générées au niveau des jonctions 0 et 1, où toutes les variables associées sont connues; Les RRAs générées sont constituées de deux parties parfaitement séparées r : la partie nominale qui représente le résidu a : la partie incertaine utilisée pour calculer les seuils.

5. 3 Analyse de sensibilité

Analyse de sensibilité des résidus (1/8) Indice de sensibilité normalisé Évalue l’énergie apportée au résidu par l’incertitude sur chaque paramètre en la comparant à l’énergie totale apportée par toutes les incertitudes paramétriques.

Analyse de sensibilité des résidus (2/8) Indice de sensibilité Indice de sensibilité normalisé δi : Incertitude sur le ième paramètre i Є {R, C, I, RS, TF, GY} ωi: ième entrée modulée correspondant à Incertitude sur le ième paramètre

Analyse de sensibilité des résidus (3/8) R:Rn De*:zR 9 6 MSe:wR 5 2 SSf: i 1 4 Se: u 7 3 MSe:wL 8 De*:zL 10 I:Ln

Analyse de sensibilité des résidus (4/8) Indice de détectabilité de défauts Types de défauts Défaut paramètrique: Déviation anormale de l’un des paramètres du modèle de sa valeur nominale (noté Yj: % de la valeur nominale du paramètre j) Défaut structurel: Défaut qui engendre un changement dans la structure du système, donc dans la structure du modèle (noté Ys).

Analyse de sensibilité des résidus (5/8) Définition: L’indice de détectabilité de défaut DI est la différence entre l’effort (ou flux) apporté par les défauts en valeur absolue et celui apporté par l’ensemble des incertitudes en valeur absolue. Proposition: Condition de détectabilité de défauts

Analyse de sensibilité des résidus (6/8) Hypothèse : L’effort (ou le flux) apporté aux résidus par l’occurrence simultanée de plusieurs défauts (en valeur absolue) est supérieur à l’effort (ou le flux) apporté aux résidus par l’occurrence d’un seul défaut (en valeur absolue). Taux Détectable d’un défaut paramétrique Valeur détectable d’un défaut structurel

Analyse de sensibilité des résidus (7/8) R:Rn De*:zR 9 6 MSe:wR MSe:w1R 2 5 SSf: i 1 4 Se: u 7 3 Se: Ys MSe:wL MSe:w1L 8 De*:zL 10 I:Ln

Analyse de sensibilité des résidus (8/8) R:Rn I:Ln De*:zL De*:zR Se: u SSf: i 1 2 3 5 4 7 6 8 9 10 Se: Ys MSe:wR MSe:wL

Implémentation Informatique

Implémentation Informatique (1/7) Outil utilisé: Symbols2000 Interface FDIPad Fenêtre expression Définition des variables internes comme variables globales Création de boites à outils réutilisables pour les systèmes incertains Création de boites à outils réutilisables pour les systèmes incertains à partir de celles déjà existantes en déterministe

Implémentation Informatique (2/7) Se: u

Implémentation Informatique (4/7)

Implémentation Informatique (5/7) 281\83

Implémentation Informatique (6/7)

Implémentation Informatique (7/7)

Applications

CONCEPTION D’UN SYSTEME DE SUPERVISION

CADRE PROJET CHEM DEVELOPPER et IMPLEMENTER UN SYSTEME SOUS FORME MODULAIRE : Basé sur les outils de Statistique, théorie des systèmes, IA pour FDI,.. Pour: Améliorer la sécurité, Qualité des produits, Fiabilité des opérations, et Réduction des pertes économiques dues au fautes Appliqué aux Systèmes chimiques, pétrochimiques, Raffinage Où: process pilotes

Cahier des charges Concevoir un outil logiciel pour générer sous forme symbolique Les modèles dynamiques Les RRAs La surveillabilité Pour : N’importe quel processus thermofluides Intégrable dans un système de supervision Modèles et RRAs sous forme XML Convivial pour les opérateurs Introduction d’icône métiers (approche fonctionnelle)

Technical specifications Main activity XML format Technical specifications S O F T W A R E Monitorability analysis Formal residuals P&IDiagram Formal dynamic model

HOW TO BUILD ARCHITECTURAL MODEL ? Select process plant item Interconnect process plant item Check architectural consistency PID Generic data base PID

Graphical User Interface (1/2) Data base Architectural model Behavioral model

GENERIC DATA BASE

TECHNICAL SPECIFICATIONS AND MONITORABILITY ANALYSIS

DEMONSTRATIONS Analyse de la surveillabilité structurelle et génération automatique de RRAs

Vue générale

APPLICATION A UN GENERATEUR DE VAPEUR

Supervision GUI

General Informations (1/2 Présentation The test plant is designed to be a scale-model of a power station. It is located at the University of Lille, in the laboratory of Automatic Control and Computers for Industry (LAIL, unit CNRS UMR 8021 Constitution The installation is mainly constituted of four subsystems: a receiver with the feed water supply system, a boiler heated by a 60kW thermal resistor, a steam flow system, a complex condenser coupled with a heat exchanger Process delay system

General Informations (2/2) Production mode : the pilot process produces steam in a continuous mode. Power 60 kW. Nominal regime: 180°C Max., 10 bars. Produced steam flow: 85 kg/h.

STEAM GENERATOR P & I DIAGRAM CONDENSER HEAT-EXCHANGER V8 Condensate V4 V5 LG 2 LC Aero-refrigerator TIR 26 Environment FIR 23 24 27 21 Cooling water P3 P4 22 TC 5 PR 20 LIR 19 18 V3 25 Process delay system FIR 10 PR 11 PIR 16 TR 17 PC 2 14 15 38 29 31 V1 V6 User 13 12 ZC 1 V2 V11 STEAM FLOW FIR 3 P2 P1 V9 STORAGE TANK TIR 2 LIR 1 LG LIR 9 8 LG 1 TR 5 PC PIR 7 6 Q 4 Thermal resistor LC V10 60kW BOILER FEED WATER

General Informations Number of sensors 28 Number of actuators 8 10 Pressure sensors 12 Temperature sensors 5 Level sensors 4 Flow sensors 1 Power sensor Number of actuators 8 1 Pump (switching level control in the boiler) 1 Thermal resistor (switching pressure control in the boiler) 1 Valve (Continuous pressure control in the condenser) 1 Valve (Continuous valve position) 3 discharge valves (switching level control in the condenser) 1 Three way-valve (continuous cooling water temperature control )

General Informations Number of equipment units 1 storage tank of 0.4 m3 4 Pumps 1 Boiler of 0.175 m3 5 controlled valves 1 Controlled three-way-valve 1 Condenser coupled with an exchanger 1 Aero-refrigerator 1 Thermal resistor of 60 KW 1 PC-based digital control system 1 process delay system

General Informations Failure scenarios Plant faults Actuator faults Water leak in the boiler by opening valve V11 Thermal insulation fault taking off the calorifuge sheet Pressure leak in the steam flow system by opening valve V3 Water leak in the storage tank by opening valve V10 Steam pipe blocked out by closing the manual valve V13 Actuator faults Any valve can be blocked open or closed Pump fault by switching off the power supply The actuator control signals can be modified Failure Discharge valves leak by opening valve V8 et V9 Sensor abrupt faults Any sensor can be temporary disconnected The sensor signals can be modified

General Informations Reconfigurability Degraded mode: one or two discharge valves in running Use of one or two controlled valves in the steam flow system The long loop of the heat-exchanger in fault mode: degraded mode, only the short loop is in running mode Feeding pumps are redundant Sensor system can be reconfigured

General Informations The process can be used by anyone Automation System: Conventional instrumentation The used technology is the 4-20 mA Control system Two types of digital controllers are used: « On-off » and PI Controlled parameters: Boiler pressure, boiler level, condenser level, condenser pressure, Steam flow valve position and Cooling water temperature. Interface to this control system. supervision software " Panorama "

WORD BOND GRAPH OF THE INSTALLATION Voltage source i U Thermal resistor Condenser Cooling circuit Condenser-Heat exchanger Boiler Steam expansion Discharge valves Feed water circuit Receiver

Modelling hypothesis For the feeding circuit the liquid is incompressible. In the steam boiler, water and steam are in thermodynamic equilibrium, This is justified by the fact that we have a good homogenous mixture of the emulsion water-steam. The mixture is at uniform pressure, which means that we neglect surface tension of the steam bubbles. The boiler has a thermal capacity and is subject to heat losses towards the environment All variables are described by lumped parameters.

MODELLING and SIMULATION Numerical using Matlab Simuling Software Formal model generation using symbols software

RRAs GENERATION

Exemple d’application de génération automatique de RRAs

Exemple d’application de génération automatique de RRAs (suite) Contraintes:

Exemple d’application de génération automatique de RRAs (suite) Elimination des variables inconnues:

Exemple d’application de génération automatique de RRAs (suite)

Exemple d’application de génération automatique de RRAs (suite)

Exemple d’application de génération automatique de RRAs (suite)

Exemple d’application de génération automatique de RRAs (suite) Matrice des signatures des fautes

Supervision du GV (Schéma de supervision) RRA, MATRICE DES SIGNATURES DES FAUTES MODELE BG EVALUATION DES RRA, RESIDUS, PROCEDURE DE DECISION LISTE DES FAUTES ACCOMMODATION DES FAUTES, RECOFIGURATION CAPTEURS COMMANDE ACTIONNEURS GENERATEUR DE VAPEUR

Génération automatique des RRAs

Génération automatique des RRAs

Génération automatique des RRAs

Génération automatique des RRAs

Matrice de surveillabilité

Implementation : Panorama CCOM Interface PROCESS 3. Data acquisition Panorama Supervision Controls Faults Residuals 4 SUPERVISION SYSTEM FCTINTPP Archives Mistral Alarms CCOM C++/java/G2 Interface TCP/IP COMMUNICATION SYSTEM Data Server CCOM Server CCOM Client TBxx 2 1

(Panorama: Editeur de synoptiques)

Supervision du GV (Panorama: Régulation)

Supervision du GV (Panorama: Définition des variables)

Supervision du GV (Panorama: Définition des alarmes

Décision Simple test

Décision (suite) Two-sided CuSum

Décision (suite) Application de CuSum Simple test

CONCLUSIONS The interest of the presented approach : consists in the use of only one representation (bond graph modelling) for ARRs and dynamics models generation in symbolic format. the industrial designer can easily (because of integration of the functional tool as interface with the human operator) build the thermofluid dynamic model and ARRs Propose to the user a sensor placement to satisfy a given technical specification To add a new component in the data base in a generic way What are the limits in model based supervision ? The performances depend on the accuracy of the model Processes are no stationary : the models change There is not “the” method for supervision… but integration of tools is needed Real time applications are not yet used in industry : maintenance of implemented algorithms is difficult.