fiabilité dynamique : estimation de la sûreté de systèmes

19e Congrès de Maîtrise des Risques et Sûreté de Fonctionnement - Dijon 21-23 octobre 2014

Fiabilité dynamique : estimation de la sûreté de systèmes dynamiques hybrides complexes dans le domaine hydraulique

Dynamic reliability: safety assessment of complex hybrid dynamic systems for hydraulic applications

Résumé Cette communication présente les résultats du travail accompli au cours d’une thèse réalisée à EDF R&D, sous la direction scientifique de l’Université de Technologie de Troyes, en collaboration avec GIPSA-lab (Grenoble). Ces travaux portaient sur la mise en place d’une méthodologie pour l’évaluation des performances fiabilistes de systèmes dynamiques hybrides de taille industrielle, dans le domaine hydraulique. Les évacuateurs de crues sont des systèmes dynamiques hybrides qui rentrent dans le cadre de la fiabilité dynamique. La prise en compte de l’information temporelle liée aux dates de défaillance des composants du système est corrélée à l’introduction d’une variable déterministe continue dans le processus stochastique. Une étude de la littérature a montré qu’il n’existe pas, en dehors de plateformes élaborées dédiées aux applications nucléaires, d’outil permettant à la fois la modélisation et l’exploitation complète de l’information temporelle contenue dans les résultats de quantification. Nous proposons une démarche de modélisation basée sur les automates stochastiques hybrides et sur l’élaboration d’une base de connaissances dédiée aux évacuateurs de crues ; puis une méthodologie basée sur le formalisme et l’exploitation des résultats, centrée sur la classification des simulations en fonction des dates de panne des composants et de l’atteinte d’un seuil maximal par le niveau dans la retenue.

Summary This paper presents the main results from a PhD thesis at EDF R&D, under the scientific direction of the University of Technology of Troyes, in collaboration with GIPSA-lab (Grenoble). The aim of this thesis was the establishment of a methodology for reliability assessment of industrial-sized hybrid dynamic systems in the hydraulic field. The spillways are hybrid dynamic systems within the scope of dynamic reliability. Taking account of time information about failure time of the system components is correlated to the introduction of a deterministic continuous variable in the stochastic process. A literature review showed that there is no tool for both modeling and full exploitation of temporal information in the quantification results, except to some nuclear-specific platforms. We propose a modeling approach based on hybrid stochastic automata and the development of a knowledge base dedicated to spillways ; then a methodology based on formalism and exploitation of the results, focusing on the classification of simulations according to component failure dates and reaching of a maximum threshold dam level.

Introduction

En France, l'hydroélectricité est l'une des principales énergies. L'hydraulique, qui représente 11,7% de l'énergie électrique totale produite en France en 2012, y est ainsi la deuxième source de production d'électricité. L'utilisation du potentiel de l'eau par des aménagements hydrauliques fournit un double avantage. D'une part, c'est une énergie propre et renouvelable, sans impact sur le climat car elle émet très peu de gaz à effet de serre. D'autre part, à défaut de savoir stocker l'électricité, c'est un moyen écologique et économique de répondre rapidement aux variations de la consommation d'électricité.

En France métropolitaine, EDF exploite 435 centrales hydroélectriques. L'eau retenue derrière un barrage est amenée par une conduite forcée vers une turbine. La force de l'eau fait tourner la turbine qui entraîne à son tour un alternateur, générant ainsi un courant électrique alternatif. Le transformateur élève ensuite la tension pour faciliter le transport de l'électricité sur de longues distances.

En cas de crue, le volume d'eau déversé en amont de la retenue peut provoquer une montée d'eau incompatible avec la capacité de stockage et d'absorption du dispositif de production hydroélectrique recevant cette eau. Le volume d'eau en excédent représente une menace pour la sécurité du barrage et il est nécessaire de l'évacuer afin de maintenir le plan d'eau de la retenue (bassin amont du barrage) sous un niveau acceptable et d'éviter la submersion de la digue. Aussi les barrages sont-ils dotés de structures dédiées au déversement des eaux en excédent. Ces dispositifs sont appelés évacuateurs de crues (EdC). Certains EdC fonctionnent par déversement naturel lorsque le niveau d'eau dépasse celui du réservoir. Ce sont des EdC passifs. En revanche, les EdC vannés requièrent la mobilisation de vannes pour déverser le volume d'eau excédentaire.

Les évacuateurs de crues vannés étaient au centre de la thèse qui a été soutenue le 12 mars 2014 (Broy, 2014). L'objectif de ces travaux de thèse était de modéliser les EdC et de les simuler du point de vue fiabiliste, puis d'exploiter les résultats obtenus pour l'évaluation de la sûreté de fonctionnement et la prise de décision. L'exploitation des résultats prend la forme d'indications sur la fiabilité de ces dispositifs pour donner des pistes d'amélioration de la sûreté. L'événement redouté (ER) est défini par l'atteinte du seuil maximal par le niveau de la retenue.

Un évacuateur de crues est constitué d'une installation hydromécanique, d'un contrôle-commande et d'un système d'alimentation électrique. Un ou plusieurs opérateurs, alertés si besoin par un dispositif d'alarme, contrôlent le reste de l'aménagement. Par le biais d'un contrôle-commande, l'opérateur sollicite un actionneur (moteur ou pompe). Cet actionneur

Perrine Broy-Hesters1,2,4, Yann Dijoux1, Christophe Bérenguer3

1Université de Technologie de Troyes, ICD, LM2S 3GIPSA-lab, Grenoble [email protected] [email protected], [email protected]

Hassane Chraibi2, Roland Donat2,5 2EDF R&D, Dép. MRI, Clamart 4Bertin Technologies, Montigny le Bx 5EdgeMind, Paris [email protected] [email protected]

Communication 4B-3 sur 12


déclenche le mouvement de la transmission (vérin, chaîne, crémaillère, etc.). Cette transmission communique ensuite ce mouvement aux vannes. Une passe est constituée du dispositif actionneur - transmission - vanne.

Les acteurs de la sûreté hydraulique ont mis en place un vaste programme de rénovation et de modernisation du parc hydraulique. La vocation de ce programme est l'amélioration de leur performance et de leur disponibilité, et la sûreté à long terme des aménagements hydrauliques. En particulier, la nouvelle réglementation rend obligatoire la réalisation d'études de danger des ouvrages hydrauliques, en confrontant leur dimensionnement à des situations extrêmes telles que des crues exceptionnelles ou le dysfonctionnement des EdC vannés. L'objectif est la caractérisation des risques et l'identification des parades et des moyens de prévention et de protection permettant de les maîtriser. Ces risques peuvent être aussi bien intrinsèques à l’ouvrage hydraulique que susceptibles de se manifester à l’occasion de phénomènes exceptionnels tels que des crues ou des séismes. En cas de brusque montée du niveau de l’eau, il est essentiel d’anticiper quels sont les composants les plus susceptibles de tomber en panne, et les conséquences de ces pannes sur l’évacuation de l’eau. Si la panne d’une vanne ou de l’un de ses actionneurs est critique vis-à-vis du risque de l’événement redouté, alors l’opérateur va réparer cette défaillance en priorité, alors qu’il va se concentrer sur ses manœuvres habituelles s’il suffit d’actionner une source secondaire d’alimentation, par exemple.

Le département MRI d’EDF R&D a développé un outil GASPART (Chraibi, 2013a) sous la forme d’une base de connaissances dédiée à la modélisation des évacuateurs de crues. Cette base de connaissances est développée sur la plate-forme logicielle KB3 reposant sur le langage de modélisation Figaro. L’outil GASPART associe une Interface Homme-Machine (IHM) de modélisation graphique permettant, à partir d'une base de connaissances Figaro adaptée, de saisir graphiquement la représentation des systèmes étudiés, et des outils de traitement pour calculer divers indicateurs lorsque le modèle considéré est dynamique.

Dans le cadre de l'évaluation de la fiabilité des EdC vannés, la méthode GASPART se distingue des approches classiques par la prise en compte du facteur temps. En effet, considérer soigneusement le facteur temps est indispensable dans ce type d'analyse. La dynamique du processus de crue et de son évacuation est telle que l'évolution physique et déterministe du niveau d'eau dans la retenue est intimement liée aux événements discrets aléatoires qui vont affecter l'ouverture des vannes. En ce sens, les EdC sont des systèmes dynamiques hybrides et rentrent dans le cadre de la fiabilité dynamique.

Dans le domaine hydraulique, la plupart des études utilisent les arbres de défaillances ou les méthodes de type AMDEC. Les composants sont généralement agrégés en sous-systèmes, et le temps n'est pas pris en compte. D’autres études plus précises répondent à des objectifs différents des nôtres, en tenant compte de l'érosion et de la force du vent ; étant donné que nous nous intéressons uniquement à la période de crue, ce type de paramètre n’est pas retenu dans notre modèle. Parfois, l'aspect aléatoire repose sur le débit entrant, et non sur le fonctionnement des composants : le réservoir est considéré comme fiable et agrégé en une seule entité, ce qui répond donc à une problématique différente de la nôtre. En considérant le nombre réel de composants d'un évacuateur de crues, et en y intégrant la composante dynamique, notre approche devient innovante dans le domaine de l'hydraulique. La prise en compte complète du facteur temps pendant l'exploitation des résultats est une nouveauté dans le cadre de la fiabilité dynamique, a fortiori dans celui de la sûreté hydraulique.

Initialement conçu pour traiter les systèmes discrets, le langage Figaro ne permet la modélisation des systèmes dynamiques hybrides qu'au prix d'hypothèses de modélisation conservatives. Ces hypothèses de modélisation permettent de prendre en compte les phénomènes continus et transitoires, en adoptant des méthodes simplifiées de résolution des équations différentielles. Ces travaux de thèse d'une part et la conception d'un nouvel outil PyCATSHOO d'autre part ont eu pour but de lever ces hypothèses conservatives pour modéliser la dynamique des évacuateurs de crues de façon plus réaliste. L’élaboration d’un état de l’art a permis d’identifier différentes méthodes de description des systèmes dynamiques hybrides ; parmi ces méthodes, le formalisme des automates stochastiques hybrides permet de se reposer sur un cadre théorique solide tout en utilisant la programmation orientée objet pour leur implémentation.

La modélisation que nous proposons représente le processus de crue, le rôle de chaque composant en cas de défaillance et les réactions de l'opérateur. L'élaboration d'un modèle suffisamment général pour représenter différents évacuateurs, mais suffisamment détaillé pour être réaliste, était un premier défi. La taille du système (environ 70 composants) en était un deuxième. Ces verrous ont été levés en construisant une base de connaissances dédiée aux évacuateurs de crues. Le principal enjeu de cette base de connaissances était la factorisation des caractéristiques d’installations différentes au sein de descriptions communes.

Mais un troisième verrou fut finalement le principal enjeu de cette thèse : celui de la prise en compte complète de l'information temporelle tout au long de ce processus de modélisation, mais aussi lors de l'exploitation des résultats. Il y a en effet une différence significative entre une vanne qui refuse de s'ouvrir à la sollicitation, et une vanne qui ne connaît de défaillance qu'à la fin du processus de son ouverture : la progression de son processus d'ouverture est stoppée alors que la vanne est presque totalement ouverte. Dans le premier cas, la vanne ne participera pas du tout à l'évacuation de la crue, alors que dans le deuxième cas, le débit déversé par la vanne, ajouté à celui des autres vannes, pourra être suffisant pour absorber la crue. Il existe donc autant de trajectoires de l'évolution du niveau dans la retenue que de dates de défaillance possibles au cours de l'ouverture d'une vanne. Notre principal enjeu fut donc d'affiner la modélisation en considérant les défaillances en fonctionnement de chacun des composants, et en exploitant ces nouvelles données que sont les instants de défaillance en fonctionnement. Nous avons proposé divers indicateurs. Certains indicateurs s’inspirent des grandeurs déjà fournies par GASPART : probabilité d’occurrence de l’événement redouté, groupes de composants dont la défaillance impacte le plus cette probabilité d’occurrence. Mais d’autres indicateurs accordent une place significative aux temps de défaillance de chacun des composants : nous proposons ainsi une démarche pour anticiper l’occurrence de l’événement redouté en fonction des instants de défaillance de chacun des composants, et une mesure d’importance dynamique.

Cet article comporte trois sections, représentatives de la structure de la thèse. La section 2 décrit la démarche de modélisation et son implémentation pour les systèmes dynamiques hybrides. La section 3 propose une méthode de post-traitement du résultat de ces simulations, en se concentrant sur leur classification en fonction des instants de défaillance des composants, et sur l’intérêt de cette démarche. L’application du procédé proposé sur un cas-test inspiré du fonctionnement d’un EdC conclut chacune de ces sections. Finalement, la section 4 évoquera les autres indicateurs présents dans la thèse mais non développés ici, et énoncera quelques conclusions et perspectives.



Modélisation et implémentation d’un système dynamique hybride 1 Modélisation théorique Les systèmes dynamiques hybrides sont caractérisés par des événements aléatoires discrets d’une part et par des phénomènes déterministes continus et transitoires d’autre part. Les événements aléatoires discrets sont liés à la configuration du système : panne d’un composant, commande d’ouverture d’une vanne, etc. Les phénomènes déterministes continus sont caractérisés par des variables environnementales. Ces variables environnementales sont des variables physiques mesurables telles qu’une pression, une température, un niveau d’eau… La panne du système global est souvent liée au dépassement d’un seuil de sûreté par une de ces variables. Les systèmes dynamiques hybrides sont généralement modélisés grâce à une classe de processus nommés PDMP, ou Processus Markoviens Déterministe par Morceaux (de l’anglais Piecewise Deterministic Markov Process). Les propriétés des PDMP sont à la base de la fiabilité dynamique. Définis par (Davis, 1993) et (Cocozza-Thivent et al., 2006), les PDMP sont des couples composés de variables discrètes aléatoires tI à valeurs dans un espace à états finis et d’un vecteur tX déterministe

continu à valeurs dans ℝd où d est le nombre de variables environnementales. L’équation différentielle qui régit l’évolution de

la variable tX est une fonction de la valeur i prise tI : ( , )tt

dXf i X

dt= . (Davis, 1993) rend également possibles les sauts de tI

causés par des passages de seuil de la variable déterministe tX , ce qui est représenté sur la figure 1.

Quand le fonctionnement d’un système dépend du comportement de nombreux composants, il n’est pas possible de représenter ni d’implémenter le PDMP correspondant. L’implémentation des PDMP se fait alors par l’intermédiaire d’une méthode de description qu’il faut choisir en fonction des caractéristiques du système (Labeau et al., 2000). De même, il existe différentes méthodes pour quantifier les résultats de fiabilité. Enfin, ces résultats ne sont pas toujours exploitables tels quels et nécessitent une phase de post-traitement. Ces différentes étapes constituent la démarche que nous proposons pour modéliser les systèmes dynamiques hybrides, et plus particulièrement les EdC.

Il n’existe pas de méthode de description idéale, il faut la choisir en fonction des caractéristiques du système. Chacune a ses avantages et ses inconvénients, et appartient généralement à l’une de ces trois grandes classes de méthodes : 1. Les méthodes analytiques sont très flexibles mais ne sont pas adaptées aux systèmes de grande taille.2. Les arbres d’événements dynamiques et leurs variantes sont généralement utilisés dans le cadre des systèmes dynamiqueshybrides de taille importante, notamment dans l’industrie nucléaire. Ces techniques requièrent l’achat ou le développement de logiciels complexes, basés sur des codes de calcul déterministes spécifiques aux applications nucléaires. 3. Les méthodes basées sur un formalisme graphique présentent l’avantage de décrire le comportement des systèmes demanière intuitive tout en utilisant un cadre mathématique bien défini. C’est le cas des automates stochastiques hybrides mais aussi des réseaux de Petri ou des réseaux bayesiens dynamiques. Nous avons choisi les automates stochastiques hybrides en fonction de plusieurs critères d’arbitrage tels que la taille du système à modéliser, la lisibilité de la représentation graphique, la complexité des interactions et l’existence d’un outil associé : PyCATSHOO.

Les PDMP communicants (CPDMP) sont une variante des PDMP mieux adaptés à la modélisation de systèmes caractérisés par le comportement de nombreux composants. Un formalisme basé sur des étiquettes facilite en effet la communication et la synchronisation entre les processus sous-jacents. Les automates stochastiques hybrides distribués reposent sur le formalisme mathématique des CPDMP et permettent l'implémentation de ces processus. A la différence de leur version non distribuée, la synchronisation entre les automates est assurée par un système de communication par messages porteurs de conditions, ce qui dispense de l’étape de composition des automates stochastiques hybrides élémentaires, souvent complexe et soumise à l’explosion combinatoire. A partir de la définition donnée par (Julius, 2006), (Chraibi, 2013b) introduit une définition des automates stochastiques hybrides dans leur version distribuée :

Figure 1. Exemple de trajectoire d’un PDMP. Le premier saut est provoqué par un événement aléatoire, le deuxième saut correspond à un passage de seuil par la variable tX .

Figure 2. Exemple d’automate stochastique hybride. Cet ASH représente le PDMP dont une trajectoire est tracée sur la figure 1. La transition 1e de i vers j est seulement provoquée

par un événement aléatoire de taux de transition 1λ . La

transition 2e de j vers i est provoquée, soit par un événement

aléatoire de taux de transition 2λ , soit par le passage d’un

seuil maxx par la variable x. Avec les notations précédentes :

{ , }M i j= , [ ],min maxX x x= , 0m i= , ii

df

dtϕ= , j

j

df

dt

ϕ= ,

] ]( ) ,mininv i x= ∞ , ] ]max(j) ,inv x= −∞ , 1 2{ , }T e e= ,

1 1 1 1{ , , , , }e i j R guardλ= avec 1( )R x x= et 1guard = ∅ ;

2 2 2 2{j,i, , , }e R guardλ= avec 2( )R x x= et 2guard = ∅ .


19e Congrès de Maîtrise des Risques et Sûreté de Fonctionnement - Dijon 21-23 octobre 2014Un automate stochastique hybride (ASH) est un 6-tuple ( )0 0, ,( , ), , ,A M X m x f inv T= où

• M est un ensemble de modes (états discrets) ;

• nX ⊆ ℝ est un espace d'états continu ;

• 0m M∈ est le mode initial et 0x X∈ est la valeur initiale de la (les) variable(s) déterministe(s) continue(s) ;

• : ( , )f M X→ ℝC est une fonction qui à chaque mode m associe la fonction mf . mm

df

dtφ= caractérise la dynamique continue pour le

mode m ; • inv est une fonction qui à chaque mode m M∈ associe son sous-ensemble invariant Inv(m) de X. La réalisation de l'événement

{ }/ ( ) ( )mt t Inv mφ+∃ ∈ ∉ℝ déclenche au temps t une transition Tτ ∈ à partir de m ;

• T est un ensemble de transitions.

A chaque mode correspond une évolution déterministe de la variable environnementale. L’utilisation des ASH permet donc de décrire les transitions d’un état à un autre de chaque composant sans alourdir cette représentation graphique avec les différentes trajectoires de la variable physique.

Une transition Tτ ∈ est définie par un 6-tuple ( , , , , )m m R guardτ τ τλ′ où

• m est le mode source et m' est le mode destination ;• : ( )Inv mτλ → ℝ est une fonction de taux de transition qui caractérise la distribution de probabilité de la transition τ . τλ est par

exemple un taux de défaillance qui peut dépendre de la valeur des variables continues, comme dans le benchmark du heated tank (Chraibi, 2013b) ; • Rτ est une fonction de réinitialisation des variables continues suite à la transition τ . Cette réinitialisation est continue ou aléatoire ;

• guardτ est la garde de τ , c'est-à-dire l'ensemble des conditions dont la vérification est nécessaire pour que la transition τ ait lieu.

La figure 2 illustre un exemple d'ASH.

2 L’outil PyCATSHOO Un outil informatique est nécessaire pour implémenter les automates stoshastiques hybrides. Il s’agit de PyCATSHOO (PythoniC AuTomates Stochastiques Hybrides Orientés Objets), qui est une plate-forme outils dédiée à l'estimation des grandeurs fiabilistes des systèmes dynamiques hybrides. PyCATSHOO repose sur le formalisme des PDMP, sur le paradigme multi-agents et sur la programmation fonctionnelle et orientée objet. PyCATSHOO est destiné à la compléter la méthode GASPART en étant dédié aux systèmes dynamiques hybrides dès sa conception.

La modélisation des systèmes dynamiques hybrides avec PyCATSHOO repose sur trois niveaux de programmation. Le premier niveau est le « socle » de PyCATSHOO. C'est le logiciel à proprement parlé, constitué des fichiers « source ». Le deuxième niveau est une base de connaissances construite pour détailler les caractéristiques de chaque type de composants d'une classe de systèmes. Le troisième niveau est le modèle décrivant un système particulier. L'architecture de PyCATSHOO s'articule donc en un ensemble de classes Python ayant pour but : • la modélisation du système global,• la définition de bases de connaissances qui répertorient les types de composants et leurs interactions possibles,• le suivi (monitoring) de la simulation de Monte Carlo et le traitement des résultats.

2.1 Le logiciel PyCATSHOO Le logiciel PyCATSHOO est constitué de classes qui déterminent le fonctionnement d'une composante particulière du modèle. C’est dans ces classes que sont définis des éléments tels qu'un état, une transition, un composant, une boîte à messages ou un lien. Un automate stochastique hybride est également défini pour piloter l'évolution des variables continues en prenant en charge la résolution des équations différentielles qui les gouvernent. Il permet également de piloter l'interaction avec les comportements stochastiques discrets des différents composants du système. D'autres classes précisent les paramètres de simulation, telles que les différentes lois autorisées ou les ressources. Ces simulations reposent sur les générateurs de nombres aléatoires du package d'aide à la simulation Simpy de Python. Finalement, des fichiers coordonnent et synchronisent la simulation dans sa globalité, et enregistrent l'évolution de ces simulations.

2.2 Construction d'une base de connaissances Une base de connaissances (BdC) répertorie dans des classes les caractéristiques de chaque type de composant, pour une catégorie de système donnée. Nous avons ainsi construit la BdC « évacuateur de crues ». Une classe dans PyCATSHOO est un triplet ( , , )RMB SMBS où

• S est un ensemble d'automates stochastiques discrets ou hybrides, muni d'états, de transitions entre ces états, impliquant des loiset des conditions. La description d'un objet par plusieurs automates est possible. Dans ce cas, deux états appartiennent à deux automates distincts s'il n'existe pas de chemin composé de transitions pour les relier. Toutefois, deux automates distincts d'un même objet ne sont pas forcément indépendants. En effet, il est possible de conditionner une transition dans un automate par l'activation d'un état dans un autre automate, ce qui est illustré sur la figure 6. Dans un automate hybride, le vecteur des variables déterministes continues est également défini sous la forme d'un sous-automate stochastique caché, avec son évolution déterministe (équation différentielle), ses frontières et ses sauts ;

• RMB (Receiving Message Box) est un ensemble de boîtes à messages destinataires (IN) qui reçoivent les informations provenantdes autres classes. Ces boîtes sont paramétrées par une méthode à appeler à la réception d'un message. Cette méthode décode les informations entrantes et certains attributs internes des objets concernés sont mis à jour en fonction des valeurs reçues. Ces modifications d'attributs ont notamment pour conséquence la validation ou l'invalidation des conditions de certaines transitions. Des automates sont ainsi susceptibles de changer d'état.

• SMB (Sending Message Box) est un ensemble de boîtes à messages expéditrices (OUT) qui servent à envoyer des informations auxautres classes. Ces messages sortants sont envoyés lorsqu'un automate entre dans un état particulier.

Chaque boîte à messages expéditrice est associée à une boîte à messages destinatrice capable de traiter l’information qu’elle reçoit. Les boîtes à messages représentent la seule manière de communiquer entre les objets qui constituent un système. La nature des informations qu'ils reçoivent ou émettent et les conditions de ces échanges doivent être précisément spécifiées (fonctionnement par contrat) pour assurer la clarté et la justesse de la modélisation. Ces informations sont utiles pour l'implantation des capacités de communication des CPDMP. La variable physique doit être l'attribut de l'un des objets. Cet objet va donc « héberger », dans la classe qui lui correspond, le sous-automate stochastique caché et rendre hybride le processus global.


19e Congrès de Maîtrise des Risques et Sûreté de Fonctionnement - Dijon 21-23 octobre 20142.3 Élaboration du modèle Une base de connaissances est dédiée à la description d'une catégorie de système donnée. Un modèle regroupe toutes les informations spécifiques à la topologie d'un système en particulier. Dans le script décrivant la modélisation du système, chaque composant est déclaré en tant qu'instance d'une classe PyCATSHOO. Ces objets PyCATSHOO sont ensuite reliés entre eux par des liens, qui représentent l'interaction entre deux composants et qui matérialisent les associations boîtes à messages expéditrice et destinataire.

Suite à la description du système, des observateurs dédiés sont créés pour suivre l'évolution des variables d'intérêt lors de la simulation. Les méthodes utiles à l'exploitation des résultats obtenus sont ensuite appelées par le script.

3 Application aux évacuateurs de crues 3.1 Principe Le principe de modélisation des évacuateurs de crues repose sur la construction d’une base de connaissances qui leur est dédiée. Cette construction repose sur plusieurs étapes : • Décomposer les systèmes, composant par composant. Rassembler les composants similaires par classes.• Pour chaque classe de composant, identifier les états qui décrivent les différentes phases de son fonctionnement.• Caractériser les transitions déterministes entre ces états par un ensemble de conditions.• Étudier les interactions entre composants. Un composant 1c interagit sur un autre composant 2c si un changement d'état de 1c

provoque le changement d'un attribut de 2c . Ces liens sont modélisés par des boîtes à messages.

• Doter une des classes de composants du dispositif de calcul de la variable continue.

La dernière partie du travail de modélisation est la description précise de chaque évacuateur. Cette description liste chaque composant du système comme une instance de la classe qui lui correspond. Les liens entre composants sont également énumérés. Les données physiques et les données de fiabilité y sont renseignées.

La base de connaissances PyCATSHOO « évacuateurs de crues » a débuté par la modélisation d'un réservoir simple, puis les composants de chaque sous-système ont été ajoutés progressivement. Nous décrivons dans un premier temps la construction de cette BdC simple, puis nous illustrons la modélisation du système industriel en représentant l’automate d’une vanne réaliste.

3.2 Modélisation d'un cas-test simple L'évacuateur de crues est réduit à sa plus simple expression. Il s'agit d'un réservoir à ciel ouvert, muni d'une ou plusieurs vannes de vidange, comme illustré sur la figure 3. L'évolution du niveau du réservoir est soumise à l'arrivée d'une crue en amont de celui-ci. L'intervalle de temps considéré démarre à l'instant où les prémices d'une crue sont susceptibles d'être détectées. L'ouverture des vannes est commandée quand la crue est établie. La prise en compte du temps s'arrête à la fin de la crue. Ainsi, le déroulement du temps est constitué de deux phases. La première phase, qui correspond à la phase de veille, est caractérisée par des débits entrant et sortant nuls. La deuxième phase est la phase de crue.

Lorsque l'ouverture de la vanne est commandée, celle-ci peut refuser de s'ouvrir. Il s'agit d'une défaillance à la sollicitation. Au cours de son ouverture, la vanne est susceptible de se bloquer : c'est une défaillance en fonctionnement.

Figure 3. Illustration du cas-test simple Figure 4. Représentation schématique de la base de connaissances du réservoir simple

La base de connaissances est représentée schématiquement sur la figure 4. Le réservoir est caractérisé par un niveau initial, situé en dessous du seuil de sûreté (état « seuil de sûreté noseuil de sûreté noseuil de sûreté noseuil de sûreté non atteintn atteintn atteintn atteint »), et par un état final, atteint à la fin de la crue (état « Fin CrueFin CrueFin CrueFin Crue »). La crue à laquelle le réservoir est soumis passe par différents états de détection avant d’être caractérisée par un débit entrant

1( ) ( )entq t f H= obtenu à partir d’un hydrogramme de crue H. La crue envoie ces caractéristiques au réservoir par l’intermédiaire d’une

boîte à messages. En d’autres termes, l’atteinte de l’état « phase Cruephase Cruephase Cruephase Crue » appelle une méthode qui envoie cette information par l’intermédiaire de la boîte à message expéditrice ReservoirDiffNiveauReservoirDiffNiveauReservoirDiffNiveauReservoirDiffNiveau.

Le réservoir est vidangé par une ou plusieurs vannes semblables et équipé d’un capteur de niveau. Lorsque le niveau atteint le seuil de détection, une méthode envoie cette information à la boîte expéditrice CapteurNiveauCapteurNiveauCapteurNiveauCapteurNiveau. La boîte destinatrice associée ReReReReservoirNiveauservoirNiveauservoirNiveauservoirNiveau reçoit ce message, ce qui modifie les attributs de la classe VANNE. Ces attributs valident les conditions de la transition aléatoire au départ de l’état initial « ClosedClosedClosedClosed » : cette transition atteint l’état « OpeningOpeningOpeningOpening » si la sollicitation de la vanne réussit, ou l’état « StoppedStoppedStoppedStopped » si elle échoue. Une fois l’ouverture amorcée, l’état « OpenOpenOpenOpen » est atteint de manière déterministe au bout de la durée nécessaire à l’ouverture totale, sauf si une défaillance en cours d’ouverture a eu lieu. Dans ce cas, la vanne passe de l’état « OpeningOpeningOpeningOpening » à l’état « StoppedStoppedStoppedStopped » en fonction d’un taux de défaillance lié à la loi choisie.

La vanne évacue un débit sortant 2( ) ( ( )) ( )sorq t f h t ouv t= × qui dépend du niveau dans le réservoir et du degré d’ouverture de la

vanne. Or ce degré d’ouverture ouv(t) dépend de l’instant de défaillance de la vanne, c’est-à-dire de l’atteinte éventuelle de l’état « StoppedStoppedStoppedStopped ». La mise à jour et la communication doivent être assurées régulièrement entre la vanne et réservoir. Pour cela, la vanne envoie ses caractéristiques au réservoir par l’intermédiaire d’une boîte à messages. En d’autres termes, l’atteinte des états « OpeningOpeningOpeningOpening », « OpenOpenOpenOpen » ou « StoppedStoppedStoppedStopped » appelle une méthode qui envoie cette information par l’intermédiaire de la boîte à message expéditrice ReservoirDiffNiveauReservoirDiffNiveauReservoirDiffNiveauReservoirDiffNiveau.


19e Congrès de Maîtrise des Risques et Sûreté de Fonctionnement - Dijon 21-23 octobre 2014 La classe RÉSERVOIR réceptionne ces informations sur les différentiels de niveau par sa boîte à message AmontDiffNiveauAmontDiffNiveauAmontDiffNiveauAmontDiffNiveau et

héberge l’ASH qui calcule l’évolution du niveau ( )( ) ( ) ( )vent sor

v

dht q t q t

dt= −∑ en fonction des débits entrants et sortants, à partir des

messages qu’il a reçu.

Finalement, l’événement redouté est caractérisé par le dépassement d’un seuil de sûreté maxh , d’où la création de l’état « seuil de seuil de seuil de seuil de

sûreté atteintsûreté atteintsûreté atteintsûreté atteint » dans l’automate du réservoir.

3.3 Modélisation du système industriel La même démarche est appliquée à la classe de système que constituent les évacuateurs de crues. L’ajout des composants qui contrôlent et actionnent les vannes ne modifie pas la modélisation de l’évolution déterministe du niveau présentée ci-dessus. Afin de construire la BdC, il faut analyser le comportement de chaque composant et identifier les invariants communs à plusieurs systèmes en les regroupant dans des classes. Les caractéristiques de différents évacuateurs sont ainsi factorisées au sein d’une seule BdC.

Il s'est avéré que la plupart des composants ont un fonctionnement similaire, à quelques nuances près. Ce constat a mené à une refonte de la base de connaissances, dont la nouvelle version est plus générique. En effet, la plupart des composants sont réparables ou non réparables, alimentés ou non alimentés, manœuvrables ou non manœuvrables. Certains possèdent deux ou trois de ces caractéristiques. Ces propriétés de réparabilité, d’alimentation et de manœuvrabilité sont rassemblées dans une base de connaissances générique qui pourrait être utilisée dans d’autres domaines d’application de la fiabilité dynamique, à l’exception des classes CRUE, OPÉRATEUR et RÉSERVOIR, spécifiques aux EdC.

A l’image des autres composants, la modélisation d’une vanne a été progressivement affinée pour décrire son comportement de manière réaliste, ce qui est représenté schématiquement sur la figure 6.

Figure 5. Représentation schématique d’une vanne de surface (en vert) surmontée d’un clapet (en rouge)

Figure 6. Modélisation d’une vanne réaliste par des automates stochastiques

La construction de la classe Vanne a donc débuté par la création d’un état « OpeningOpeningOpeningOpening », car les trois seuls états « ClosedClosedClosedClosed », « OpenOpenOpenOpen » et « StoppedStoppedStoppedStopped » permettent de représenter des défaillances à la sollicitation mais pas en fonctionnement. Cet état «««« OpeningOpeningOpeningOpening », déjà présent dans notre modèle simple, a permis la mise à jour du calcul de l’évolution du niveau en fonction de la date d’activation des états.

Comme de nombreux composants, la vanne est un objet réparable. Il était donc judicieux de factoriser les propriétés communes à tous les objets réparables au sein d’une classe ObjetRéparable plutôt que d’implémenter ces caractéristiques pour chaque objet. L’automate de cette classe représente les états de défaillance temporaire (« NOK_fonc repNOK_fonc repNOK_fonc repNOK_fonc rep » et « NOK_soll repNOK_soll repNOK_soll repNOK_soll rep »), de réparation non immédiate (« attRepattRepattRepattRep ») ou d’échec de la réparation (« echecRepechecRepechecRepechecRep »). Des boîtes à messages permettent la communication avec la classe Opérateur . L’état « Stopped temporaireStopped temporaireStopped temporaireStopped temporaire » qui représente une ouverture interrompue en attendant une réparation est en revanche spécifique à la vanne.

De même, la vanne est un objet alimenté. En cas de défaillance de la source d’alimentation principale, des états doivent représenter l’attente et la sollicitation d’une alimentation de secours. Ces caractéristiques sont communes aux autres composants héritant de la classe ObjetAlimenté .

Finalement, certaines contraintes de modélisation de la vanne sont respectées en ajoutant des états, des conditions aux transitions et des boîtes à messages. Dans le cas de certains barrages, l'ouverture d'une vanne est conditionnée par l'ouverture totale du clapet qui lui est associé (figure 5). Le signal de sollicitation est donc défini au cas par cas, en fonction de la nature de la vanne. Ce peut être la réception du signal de démarrage de la transmission ou celui de fin d'ouverture du clapet. En outre, le processus d'ouverture de la vanne peut être stoppé pour plusieurs raisons. Une défaillance non réparable, l'attente d'une manœuvre, un problème dans la synchronisation des transmissions ou une capacité moindre de l'actionneur seront occasionnées et résolues par des transitions différentes. Ceci justifie la création des états « Stopped définitifStopped définitifStopped définitifStopped définitif », « Stopped temporaireStopped temporaireStopped temporaireStopped temporaire » et « Stopped capacitéStopped capacitéStopped capacitéStopped capacité ».

4 Algorithme de simulation Suite à la construction d’une BdC dédiée aux EdC, chacune des installations étudiées fait l’objet de l’élaboration d’un modèle qui lui est propre. Dans ce modèle sont répertoriés les objets présents dans l’EdC et leurs paramètres de fiabilité. Ces paramètres sont les probabilités de défaillance à la sollicitation, les taux de défaillance en fonctionnement, les durées de réparation de chaque composant. Les valeurs de ces paramètres de fiabilité sont issues d’un retour d’expérience important mené dans le cadre de la méthode GASPART. Enfin sont listés les liens qui relient chaque couple boîte expéditrice / boîte destinatrice et qui matérialisent les interactions entre composants.

L’algorithme déroulé par PyCATSHOO utilise ce modèle et explore tour à tour chacun des automates. Il existe deux types de transitions stochastiques : les transitions instantanées stochastiques et les transitions retardées stochastiques.



Les transitions instantanées stochastiques sont caractérisées par une loi discrète. Dès que l'ensemble de conditions est vérifié, un tirage est réalisé selon une loi discrète (généralement, la loi binomiale). La transition est exécutée et l'état destination de l'automate est choisi parmi un ensemble d'états, en fonction du résultat du tirage. Une transition instantanée stochastique est représentée graphiquement par au moins deux flèches rouges.

Les transitions retardées stochastiques sont caractérisées par une loi continue. Dès que l'ensemble des conditions est vérifié, un tirage est réalisé selon une loi continue. La loi exponentielle et la loi de Weibull sont disponibles pour la génération de durées dans PyCATSHOO. Néanmoins il est aisé de programmer d'autres lois dans le fichier source correspondant. Une fois ce tirage effectué, un compte à rebours se déclenche et prend fin au bout de cette durée générée aléatoirement. A la fin de ce délai, si la condition est toujours valide, la transition est exécutée. Une transition retardée stochastique est représentée graphiquement par une flèche bleue.

Dès que les conditions d’une transition stochastique sont vérifiées (par exemple la sollicitation d’une vanne), un nombre est donc généré aléatoirement, qu’il s’agisse d’une loi discrète pour déterminer l’état d’arrivée de la transition ou d’une durée pour déterminer quand cette transition sera franchie. La simulation d’une crue est donc caractérisée par la succession de plusieurs générations de nombres aléatoires selon le principe de la simulation de Monte Carlo. C’est ainsi que sont pris en compte les effets aléatoires liés aux défaillances des composants. La fin de la simulation d’une crue s’achève avec la réinitialisation de tous les automates à leurs états initiaux.

La liste des états activés pendant le passage de l’algorithme est mémorisée à l’issue de chaque simulation. Nous avons donc une profusion d’informations qu’il faut traiter pour extraire des indicateurs de fiabilité pertinents ou des indicateurs de prise de décision.

Exploitation des résultats de simulations

L'événement redouté (ER) est le dépassement d'un seuil maxh par le niveau de la retenue. La dynamique de l'évolution du niveau

dans la retenue est telle que cet événement redouté ne survient qu'au bout d'un certain délai après la ou les défaillance(s) des composants. Est-il possible d'anticiper l'occurrence de cet événement à partir des instants de défaillance ?

A travers une démarche de synthèse et d'abstraction, l'objectif et de synthétiser, à partir des histoires, des indicateurs ou des « métriques » de haut niveau qui caractérisent la fiabilité et la sûreté du système. Ces indicateurs peuvent être utiles dans l'évaluation de la sûreté et de la criticité, ainsi que dans le pronostic de l'issue de certaines situations. Cette aide à l'identification des composants les plus critiques et à la priorisation des actions de maintenance fait partie des objectifs généraux de l'analyse des histoires et de la quantification probabiliste de la sûreté.

Après la construction de la base de connaissances PyCATSHOO dédiée aux évacuateurs de crues, la formalisation des résultats et l'exploitation des données temporelles contenues dans les histoires ont constitué le dernier volet de la thèse. Une étape préalable de validation des trajectoires de la variable déterministe est cependant recommandée, afin de vérifier la cohérence de la résolution de l’équation différentielle par PyCATSHOO par rapport à un calcul théorique.

1 Validation des trajectoires de la variable déterministe Le système que nous avons étudié et modélisé jusqu'ici est un évacuateur de crues constitué d'environ 75 composants. Cette dimension est trop importante pour servir de support didactique à la présentation de la formalisation et l'exploitation des résultats. Cependant nous avons souhaité garder le concept d'alimentation et de vannes. Aussi, nous n'avons pas modélisé de nouveau système, mais simplement modifié les paramètres de fiabilité du système réel : les 75 composants de l’évacuateur de crues sont modélisés dans la base de connaissances et implémentés dans le modèle. Leurs paramètres de fiabilité (probabilité de défaillance à la sollicitation, taux de défaillance en fonctionnement) sont modifiés afin que seule une vanne puisse tomber en panne lors d’une crue.

1.1 Calcul analytique Pour rendre possible le calcul analytique de l’évolution dans la retenue, nous ajoutons temporairement deux hypothèses aux débits entrant et sortant : le débit entrant est constant tout au long de la crue ; le débit sortant débité par une vanne dépend de son degré d’ouverture, mais pas du niveau de l’eau.

Le débit entrant correspondant à une crue en forme d'échelon s'écrit 0

[ ; ],( ) ( )c cf

ent c t tq t I t= × 1 où cI est une constante représentant

l'intensité de la crue, 1 la fonction indicatrice et0ct et

fct les instants respectifs de début et de fin de la crue.

Soit 0vt l'instant du début de l'ouverture de la vanne v et ouvd la durée du processus d'ouverture. La débitance de la vanne v est nulle

avant le début de l'ouverture de la vanne, constante après l'atteinte de l'ouverture maximale, et linéaire entre ces deux instants :

( ) ( )

( )

0

0

0 0

0 si

( ) si min ,

min , sinon

v

v max

sor v v ouvouv

u max

t t

t t qq t t t t u d

d

q q

≤

− ×= ≤ ≤ +

{1}

où maxq est le débit sortant maximal théorique de la vanne v, correspondant à son ouverture entière. Si la vanne tombe en panne au

bout d'une durée u lors de son ouverture ( ouvu d≤ ), alors ( )0u sor vq q t u= + est le débit sortant associé à cet instant. L'évolution du

niveau dans le réservoir en fonction du temps est donnée par l'équation différentielle ( ) ( ) ( ).ent sor

dht q t q t

dt= −

L'expression analytique du niveau dans le réservoir a été calculée en résolvant cette équation différentielle, en considérant le cas où les événements interviennent dans l'ordre « instant de début de la crue, puis instant de l'amorce de l'ouverture de la vanne, puis atteinte de l'ouverture maximale, puis fin de la crue » c'est-à-dire

0 0 f fc v v ct t t t≤ ≤ ≤ , où0fv v ouvt t d+= est l'instant de l'ouverture

maximale de la vanne. 0h est le niveau initial et S la superficie de la retenue :



( ) ( )

( )

0

0 0 0

0 0 0 0

0

0 0 0 0

0

0 0

0

0

20

si ,

( ) si ; ,

( ) ( ) si ; ,( ) 2

( )( ) ( ) ( ) si ; ,

( )( ) ( ) (

f

f

c

cc c v

c maxc v v v

ouv

sor vcv v v v c

sor vcv c v

h t t

Ih t t t t t

SI q

h t t t t t t t uh t S d S

q t uIh t u t t u t t u t t u t

S Sq t uI

h t u t t u tS S

≤

+ − ∈

+ − − − ∈ + = × ×+

+ + × − + − × − + ∈ +

++ + × − + − × −( )

0) si .

fv ct u t t

+ ≥

{2}

1.2 Estimation par simulation de Monte Carlo sur le modèle ASH L'outil PyCATSHOO permet d'estimer ces grandeurs à partir des résultats de la simulation de Monte Carlo. Le module de suivi (monitoring) des variables déterministes continues a été utilisé. Ce module d'observation est capable de retourner l'évolution moyenne du niveau sur un nombre donné de simulations. Nous souhaitons obtenir les courbes d'évolution du niveau pour quatre situations afin de les comparer aux résultats analytiques.

Ces situations sont la panne à sollicitation, la défaillance en fonctionnement au bout de u=1000 secondes, la défaillance en fonctionnement au bout de u=2500 secondes et l'ouverture totale de la vanne sans défaillance. Pour cela, il suffit de simuler pour chaque cas une seule histoire en forçant l'instant de défaillance à la date voulue. Le monitoring est ensuite effectué sur cette histoire.

Figure 7. Évolution du niveau dans le réservoir simple : comparaison des résultats théoriques et des simulations

La figure 7 présente l'évolution du niveau dans la retenue pour quatre instants de panne différents. A chaque fois, le résultat du calcul analytique et les valeurs retournées par PyCATSHOO sont identiques. Cela permet de valider l'outil de calcul de l'évolution de la variable déterministe continue de PyCATSHOO.

La courbe correspondant aux simulations est toujours plus « courte » que celle du calcul analytique. En effet, aucune borne supérieure ne va stopper le calcul analytique. Inversement, l'arrêt des simulations (atteinte du niveau maxh ou de la date de fin de la

crue fct ) entraîne automatiquement l'arrêt de l'évaluation du niveau dans la retenue.

2 Vers un système plus réaliste 2.1 Hypothèses sur l’évolution de la variable continue déterministe Dans les travaux de thèse, ce cas-test très simple évolue ensuite vers une version plus réaliste. Le calcul analytique devient trop complexe, aussi seuls les résultats des simulations sont-ils utilisés. Les différentes étapes sont la prise en compte d'un hydrogramme de crue (débit entrant non constant) et celle d'une débitance des vannes dépendant du niveau. Enfin, un EdC a pour rôle d’évacuer une crue, mais aussi de la laminer, c’est-à-dire que le débit sortant de l’installation doit être inférieur ou égal au débit entrant. Cela

équivaut à modifier l’équation différentielle : ( )( ) min 0, ( ) ( ) .ent sor

dht q t q t

dt= − Ces prises en compte successives ont pour effet de

« lisser » les courbes d’évolution du niveau dans la retenue.

2.2 Hypothèses sur les lois de probabilité utilisées L’intervalle de temps considéré dans notre étude ne porte que sur la durée de la crue, aussi nous supposons que les composants ne sont pas soumis à un vieillissement pendant cette période de 48 heures maximum. La loi utilisée dans nos simulations est donc la loi exponentielle. Dans un souci de généralisation de notre modèle, la loi de Weibull est disponible dans PyCATSHOO. D’autres lois peuvent être facilement implémentées à partir de l’expression de leur fonction de répartition.

Pour un instant de défaillance donné u, la loi continue utilisée ne modifie pas la trajectoire déterministe de la variable continue. En revanche, des indicateurs comme la probabilité d’occurrence de l’événement redouté vont avoir des valeurs différentes. La probabilité d'occurrence de l'événement redouté lorsque les durées suivent la loi de Weibull est inférieure à celle calculée lorsque les durées suivent la loi exponentielle, avec le même paramètre λ , et 1,5β = . Cela s'explique naturellement par la répartition des durées en fonction de la loi de probabilité utilisée. La loi de Weibull est à l'origine d'un glissement des données vers des valeurs plus importantes. La distribution des durées pour la loi de Weibull est telle que la plupart des défaillances arriveraient après l'ouverture totale des vannes. Or ce sont les plus petites durées qui sont à l'origine de l'événement redouté, d'où l'écart entre les deux valeurs.



3. Formalisation des résultats de simulationA partir des objets définis dans la base de connaissances et de leur structure, l'algorithme de PyCATSHOO génère aléatoirement des séquences d'événements. Ces séquences sont la liste des états activés pendant le cheminement de l'algorithme, guidé par l'architecture des automates stochastiques hybrides. Chaque information sur l'activation d'un état est agrémentée du nom du composant concerné et de la date de l'activation. A la fin d'une simulation, PyCASTHOO mémorise la séquence générée avant d'initialiser la simulation suivante.

Définition 1. Une séquence ( )= 1,..., Ns e e est la suite chronologique des états activés lors d’une simulation. Un événement ie est

composé de l’état i, de sa date d’activation et de l’objet concerné :

[ ]date d activation de l état , instance de l objet concerné, étatie i i′ ′ ′= {3}

Exemple 1. La séquence retournée par PyCATSHOO après une simulation du fonctionnement sans défaillance du système simple est ([0, V, closedclosedclosedclosed], [0, C, surveillancesurveillancesurveillancesurveillance], [0, C, détectiondétectiondétectiondétection], [3600, C, phasephasephasephase VeilleVeilleVeilleVeille], [57600, C, phase Cruphase Cruphase Cruphase Crueeee], [57900, V, openingopeningopeningopening], [60900, V, openopenopenopen], [237600, R, Fin CrueFin CrueFin CrueFin Crue]) où V désigne la vanne, C la crue et R le réservoir. Les durées sont exprimées en secondes : la durée d’établissement de la crue est égale à 16 heures ; l’ouverture complète de la vanne demande 50 minutes.

Cependant, il n’est pas nécessaire de connaître les dates d’activation de tous les états parcourus lors d’une simulation. Par exemple, les états initiaux des automates sont toujours activés, au même moment. Il peut donc être judicieux de définir une liste des états intéressants, pour lesquels on veut connaître la date d’activation.

Définition 2. Une histoire ( )*1* ,..., *N

h e e= est l’intersection d’une séquence et d’une liste d’états intéressants.

Exemple 2. Dans la séquence précédente, seules les dates de début et de fin d’ouverture de la vanne, et la date de la fin de la crue sont intéressantes. Ainsi, l’histoire associée à la séquence de l’exemple 1 est ([57900, V, openingopeningopeningopening], [60900, V, openopenopenopen], [237600, R, Fin Fin Fin Fin

CrueCrueCrueCrue]).

Pour certaines analyses, seule la durée de fonctionnement avant défaillance est nécessaire. C'est le cas lorsque le modèle est suffisamment puissant pour reconstituer toute la chronologie à partir des instants de ces défaillances, comme notre modèle de classification des histoires en fonction de leur issue. Ceci justifie la définition d'un vecteur de durées de fonctionnement à partir d'une histoire. Définition 3. Le TTF (Time To Failure) d’un composant est la durée pendant laquelle il a fonctionné avant de tomber en panne. Le VTTF (vecteur des TTF) associé à une histoire est la liste des TTF qui caractérisent chaque composant du système pendant cette simulation. Si un composant ne connaît pas de défaillance pendant une simulation, alors c’est la durée d’atteinte de son état de succès final qui est prise en compte. Enfin, l’information sur l’issue {1; 1}i ∈ − de l’histoire est également mémorisée.

Exemple 3. Le VTTF associé à l’histoire de l’exemple 1 est {[3000], -1} : la vanne, qui ne tombe pas en panne au cours de cette simulation, met 3000 secondes pour atteindre son état de succès « OpenOpenOpenOpen ».

Une formalisation mathématique plus complète de ces définitions, ainsi que d’autres exemple, figurent dans les travaux de thèse (Broy, 2014).

4 Classification des histoires 4.1 Introduction Comme dans les sections précédentes, l'événement « atteinte d'un seuil maximal par le niveau de la retenue » sera nommé « événement redouté » (ER). L'issue de la simulation est notée {1; 1}i ∈ − et désigne la réalisation de l'occurrence (i=1) ou non (i=-1)

de cet événement à la fin d'une simulation. L'ensemble des simulations est donc classifiable en deux sous-ensembles H + et H − , en fonction de leur issue.

L'influence des instants de panne des composants sur le déroulement du processus de crue a déjà été évoquée. La figure 7 illustre les différentes trajectoires que peut prendre l'évolution du niveau dans la retenue, en fonction de l'instant de défaillance de la vanne chargée de vidanger le réservoir.

Sur cette figure, il est visible qu'une défaillance de la vanne à la sollicitation empêche toute évacuation de la crue et entraine l'événement redouté. Inversement, sans défaillance de la vanne, la crue est correctement évacuée et l'événement redouté n'a pas lieu. Une situation intermédiaire considère une défaillance pendant l'ouverture de la vanne : l'occurrence de l'événement redouté dépend du débit sortant de la vanne ; le débit sortant dépend de la position de la vanne au moment où elle est stoppée pendant son ouverture ; cette position dépend de l'instant de défaillance de la vanne.

Il existe un instant avant lequel la défaillance de la vanne entrainera systématiquement l'événement redouté, et après lequel le débit sortant sera suffisant pour évacuer la crue. Cet instant qui sépare les histoires en deux sous-ensembles sera noté sept . En revanche,

si le réservoir est vidangé par deux vannes, il n'existe pas d'instant unique sept . À chaque couple de TTF ( )1 2,k

u u va être associée

une trajectoire du niveau h, donnant lieu à l'événement redouté ( 1ki = ) ou non ( 1ki = − ), où ki est l'issue de la simulation k.

Comment identifier l'ensemble des couples ( )1 2,u u qui caractérisent la frontière entre H + et H − ? Cette problématique est

généralisable à un système à 2n ≥ composants.

La dynamique de l'évolution du niveau dans la retenue est telle que l'événement redouté ne survient qu'au bout d'un certain délai après la défaillance des composants. La classification des histoires en fonction des instants de défaillance, pour anticiper l'issue de



nouvelles histoires, est une aide au pronostic. A partir des durées de fonctionnement sans défaillance de chaque composant, l'objectif de cette section est de proposer un modèle pour classifier les histoires en fonction de leur issue. Cette classification revient à déterminer une frontière caractérisée par une fonction f. Cette fonction dépend des dates de défaillance en fonctionnement ( )1,.. ,. nT T

des n composants et retourne l'occurrence ou non de l'événement redouté, ici un débordement du barrage. Il est possible de déterminer cette frontière de deux manières. La première méthode repose sur un calcul analytique, mais ne s’applique que dans le cas de systèmes simples comme celui pour lequel il est possible de calculer l’évaluation du niveau dans la retenue. La seconde méthode, beaucoup plus flexible, repose sur une méthode de classification et sur les résultats des simulations.

4.2 Détermination analytique de la frontière 2 1( )sepu u

Une deuxième vanne est ajoutée au réservoir simple, dans les mêmes conditions : crue caractérisée par un débit entrant, débitance des vannes constantes. Les deux vannes commencent à s'ouvrir au même instant

0vt et pendant la même durée ouvd . Une fois

complètement ouvertes, elles ont la même débitance maxq . Soit iu le TTF de la vanne i. La fonction 2 1( )sepu u est définie sur [ ]0, ouvd

et retourne le TTF de la vanne 2 correspondant à l'occurrence de l'événement redouté à l'instant de fin de crue, sachant que le TTF de la vanne 1 est 1u :

( ) ( )0 0 0 0

2 22 1 1 1 0 1 1( ) 2 ( ) ( ) ( ) .

f f f f

sep ouvc v c v max c c c c v

max

du u t t u t t u S h h I t t u t t u

q

= − − + − − − − + − − − −

{4}

4.3 Classification des histoires simulées Soit { }k k N

D d≤

= l'ensemble des VTTF obtenus à partir des N simulations, où { },k k kd v i= est le VTTF associé à la simulation de

l'histoire k. #1[ ,..., ]k k

k sv T T= où #s est le nombre de composants du système et { }1;1ki ∈ − désigne l'issue de simulation k. Soit

{ }/ 1kH k N i+ = ≤ = l'ensemble des histoires dont l'issue est l'événement redouté et { }/ et 1k k k kV v d d D i+ = ∈ ∈ = l'ensemble des

VTTF associés. De même, { }/ 1kH k N i− = ≤ = − est l'ensemble des histoires dont l'issue est l'absence d'événement redouté et

{ }/ et 1k k k kV v d d D i− = ∈ ∈ = − l'ensemble des VTTF associés.

L'objectif est la séparation des VTTF en fonction de l'issue de l'histoire associée. Nous utilisons pour cela une technique d'apprentissage automatique pour la classification binaire des données nommée SVM (de l'anglais Support Vector Machine (Cristianini et al., 2000). Les VTTF ne sont pas des données linéairement séparables. Il faut donc projeter les vecteurs dans un autre espace afin d'y réaliser une séparation linéaire. Cette projection se fait par un noyau K.

Le séparateur obtenu est de la forme *

1

( ) ( , )P

i ii

f K bα=

= +∑x x x où ix désigne un vecteur support. *iα et b sont les solutions du

problème d'optimisation. Parmi les noyaux de référence, le noyau gaussien est le plus couramment utilisé. Ce noyau est de la forme

( )2

1

( , ) exp ( )n

i ij jj

K x xγ=

= − −∑x x où jx est la èmej coordonnée du vecteur x . Le paramètre γ est une donnée d'entrée du modèle

SVM.

Les SVM sont une méthode d'apprentissage de la fonction séparatrice à partir des données. Le modèle est construit sur un échantillon des données appelé « ensemble d'apprentissage ». Puis sa robustesse est testée en l'appliquant au reste des données et en comparant le résultat retourné à la donnée réelle. Deux critères permettent de quantifier la robustesse du modèle : la précision et le taux de faux négatifs.

La précision d'un modèle est le pourcentage de données classées avec exactitude ; le taux de faux négatifs TFN d'un modèle est le pourcentage de données auxquelles le modèle a attribué une étiquette négative alors que l'étiquette réelle est positive. Cela équivaut à prédire à tort l'absence de l'événement redouté, ce qui est optimiste. Un modèle robuste est caractérisé par une forte précision et un faible taux de faux négatifs.

Quelle proportion des données l'échantillon d'apprentissage doit-il représenter ? Cela dépend du nombre de simulations N et de la dimension des données p. Le risque lié à une taille trop importante de l'échantillon d'apprentissage est un risque de sur-apprentissage ainsi qu'un temps de calcul conséquent. Si la taille de l'échantillon d'apprentissage est trop faible, la précision et le taux de faux négatifs sont médiocres.

L'optimisation de la taille de l'échantillon d'apprentissage consiste donc à augmenter progressivement ce pourcentage des données jusqu'à obtenir la précision et le taux de faux négatifs désirés. Cette technique de séparation des données est rapide et ne prend que quelques secondes en optimisant ainsi la taille de l’échantillon d’apprentissage. Lorsque le système est composé de nombreux composants, elle offre aussi l’avantage de pouvoir choisir quels sont les composants dont le temps de défaillance va figurer dans le modèle. Dans ce cas, l’analyste saisit la liste des composants qui ont le plus de chance d’intervenir dans l’occurrence de l’événement redouté.

La figure 9 illustre la classification des histoires pour le système simple, mais vidangé par deux vannes. L'échantillon des données d'apprentissage est initialement constitué de 0,05% des histoires simulées, soit 75 histoires. Le nombre de données d'apprentissage est augmenté de 75 histoires jusqu'à ce que la précision du modèle soit supérieure à 99% et le taux de faux négatifs inférieur à 1% des données de test. Finalement, pour cet exemple, le modèle a besoin de 0,7% des histoires pour l'apprentissage des données en respectant ces critères, comme le montre la figure 8.

Le séparateur matérialisé par une frontière en trait continu bleu est issu du calcul analytique et a pour équation

( ) ( )0 0

2 20 1 2 1 2 1 2( ) ( ) ( ) 0

2f f

max max maxmax c c c c v

ouv ouv ouv

q q qS h h I t t u u u u t t u u

d d d− + − + + + + − − = . {5}



Figure 8. Précision et taux de faux négatifs en fonction de la taille d échantillon d’apprentissage

Figure 9. Séparation des histoires en fonction des TTF de deux vannes

Les couples ( )1 2,u u de TTF solutions de cette équation sont à la frontière entre les deux issues possibles. Le modèle SVM décrit par

la frontière en tirets rouges fournit un séparateur de la forme

( ) ( )* 2 2,1 1 ,2 2

1

exp ( ) exp ( ) 0P

i i ii

sv u sv u bα γ γ=

− − + − − + = ∑ {6}

où ,i jsv désigne la èmej coordonnée et *iα le coefficient du èmei support vecteur, avec 335i P≤ = . Cela signifie que les

coordonnées et le coefficient de 335 vecteurs support caractérisent la frontière. Le modèle fournit également la valeur de γ et de b. Les deux courbes séparent les données de manière similaire sur la figure 9. Lorsque le fonctionnement du système est caractérisé par plus de durées de fonctionnement, le séparateur est de la même forme. Toutefois, il n’est plus possible de tracer la frontière sur un graphe en deux dimensions.

Conclusions et perspectives

1 Autres indicateurs de fiabilité proposés dans la thèse A partir des histoires générées par PyCATSHOO et de l'information temporelle qu'elles contiennent, différents indicateurs sont proposés.

1.1 Evolution de la probabilité d’occurrence de l’événement redouté Si l’issue d’une histoire est l’événement redouté, alors la date de l’activation de l’état « seuil de sûreté atteintseuil de sûreté atteintseuil de sûreté atteintseuil de sûreté atteint » est mémorisée. On peut alors estimer empiriquement pour chaque instant t la probabilité ( )( ) maxh t h>P . Cette probabilité d'occurrence de l'événement

redouté répond à l'objectif de caractérisation des risques. Cette probabilité est une probabilité conditionnée par l'arrivée d'une crue d'un type donné. Elle participe au calcul de fréquence annuelle de l'événement redouté et à la hiérarchisation des évacuateurs de crues (EdC) vis-à-vis du risque lié à l'événement redouté.

1.2 Coupes prépondérantes Chaque histoire est associée à l’ensemble des composants tombés en panne lors de la simulation. Cet ensemble de composants en panne est appelé coupe. La date de ces pannes n’est plus considérée pour cet indicateur. Les coupes prépondérantes permettent d'identifier les événements (défaillances) les plus contributeurs à la probabilité de l'événement redouté. Les scénarios de défaillance, associés à leur probabilité d'occurrence, sont hiérarchisés par ordre d'importance de cette contribution probabiliste. Des leviers d'amélioration de la fiabilité de l'évacuateur sont identifiés, qu'il s'agisse de modification d'architecture, de dimensionnement de composants, d'actions qui augmentent la fiabilité matérielle ou humaine, ou de modifications des conditions d'exploitation.

1.3 Mesure de l’importance dynamique de Birnbaum Nous proposons une version dynamique du facteur d’importance de Birnbaum : ( ) ( / ) ( / )c c cI t P ER T t P ER T t= ≤ − > . L'estimation de

l'importance dynamique permet de savoir à tout instant quel est le composant dont la défaillance à cet instant précis aurait le plus d'impact sur la probabilité de l'événement indésirable, par rapport à la situation normale. Cette définition est généralisable à un groupe de composants. Cette analyse indique également l'importance statique des composants et l'instant après lequel la dernière défaillance d'un groupe de composants ne provoque plus l'événement redouté.

2 Conclusions Ces travaux de thèse portaient sur la mise en place d’une méthodologie pour l’évaluation des performances fiabilistes de systèmes dynamiques hybrides de taille industrielle, dans le domaine hydraulique. Cette méthodologie concernait d’une part la modélisation, d’autre part le traitement quantitatif d’indicateurs de fiabilité dynamique pour ce type de systèmes. Dans ce papier, nous avons choisi de mettre l’accent sur la démarche de modélisation par une base de connaissances reposant sur les automates stochastiques hybrides, et sur la synthèse d’un indicateur sous la forme d’une fonction des temps de défaillance des composants. Notre support didactique est un réservoir simple soumis à une crue et vidangé par une ou deux vannes ; dans le manuscrit de thèse, ce système illustratif est progressivement étoffé.

A partir des supports théoriques que sont les PDMP et les ASH, la modélisation repose sur un outil informatique nommé PyCATSHOO qui rend possible l’élaboration d’une base de connaissances dédiées aux EdC. Cette modélisation apporte une représentation graphique lisible et permet de prendre en compte des interactions nombreuses et complexes, sans explosion du nombre d’automates.

Parmi les indicateurs proposés, la séparation des histoires par rapport à l'occurrence ou non de l'événement redouté, en fonction des durées de fonctionnement avant défaillance de chaque composant du système, est un modèle qui exploite au maximum les données temporelles contenues dans les histoires simulées. Cette classification pronostique, à partir d'un jeu de nouvelles durées de fonctionnement avant défaillance, l'issue de l'histoire associée.


3 Perspective19se Congrès de Maîtrise des Risques et Sûreté de Fonctionnement - Dijon 21-23 octobre 2014

Ces indicateurs peuvent être réactualisés grâce aux connaissances acquises à un instant t de la crue. En d’autres termes, l'opérateur, à un instant t de la crue, dresse le constat des composants en panne. Il sait aussi quels composants ne sont pas encore en panne à cet instant t. Le modèle de séparation va classer ce jeu de données et pronostiquer l'occurrence ou non de l'événement redouté. Sachant cela, l'opérateur priorise ses actions de réparation en cas de pannes simultanées de plusieurs composants.

PyCATSHOO peut aussi générer de nouvelles simulations en forçant les nouvelles histoires à respecter les défaillances et les bons fonctionnements connus de l'opérateur à l'instant t. Les indicateurs tels que la probabilité d'occurrence de l'événement redouté, les coupes équivalentes prépondérantes et la classification sont alors réactualisées. Sachant cela, l'opérateur va être plus ou moins optimiste sur l'issue de la crue. Le modèle de classification sépare plus précisément les nouvelles histoires générées. Les durées requises avant défaillance des composants encore en fonctionnement sont identifiées à partir de ce modèle, et l'opérateur va concentrer ses actions de maintenance sur les composants indispensables à l'évacuation de la crue.

Les outils numériques de la plate-forme PyCATSHOO gagneraient à être améliorés. Des techniques existent pour accélérer la simulation de Monte Carlo mais ne sont pas forcément adaptées aux systèmes dynamiques. Une nouvelle thèse est envisagée pour traiter cette question. Le nombre de messages échangés entre les classes de la BdC doit être optimisé lors de la conception de celle-ci, surtout si des boîtes à messages sont synchronisées les unes par rapport aux autres. Si PyCATSHOO permet de paralléliser les simulations sur plusieurs processeurs et réduire ainsi les temps de calcul, ce n'est pas encore le cas pour le traitement des résultats.

Il serait possible d'enrichir encore la BdC afin de lever des hypothèses de modélisation. En particulier, l'abaissement du plan d'eau en prévision de l'arrivée de la crue, ou le respect de la contrainte « laminer la crue », pourraient être modélisés de façon plus réaliste, en optimisant le calcul de la débitance des vannes et donc leur degré d'ouverture. Modéliser le processus de fermeture des vannes impliquerait aussi d'enrichir les automates des actionneurs concernés, avec la possibilité de transmettre des ordres contradictoires. Le vieillissement pourrait être pris en compte de manière approfondie, en considérant par exemple le stress imprimé par les crues précédentes, l’âge du système ou l’usure générale. L’hydrogramme de crue est une donnée d’entrée fixe mais il est tout à fait envisageable de distribuer l’intensité de la crue de manière aléatoire.

L'exploitation des résultats pourrait également être révisée. Le traitement des histoires a été effectué et exposé dans le cas de systèmes non réparables. La prise en compte de réparations augmenterait la longueur des histoires et leur classification en fonction des dates de défaillance serait à redéfinir. Considérer des systèmes non cohérents impliquerait de revoir la validation de certains indicateurs proposés, notamment la classification des histoires. En effet, la frontière associée à la classification d'histoires caractérisant des systèmes non cohérents pourrait avoir des propriétés de convexité différentes de celles caractérisant les systèmes cohérents. La technique SVM apporte un modèle très lourd par rapport à notre système simple, mais la prise en compte de ces éléments, ainsi que des effets aléatoires liés à la crue, justifierait davantage l’emploi de cette méthode de classification.

Finalement, PyCATSHOO va être porté dans un futur proche vers le langage C++. Cela favorisera le développement d’une interface homme-machine et améliorerait grandement l'accessibilité de PyCATSHOO. Un post-doc en cours étudie l’applicabilité de PyCASTHOO à un dispositif d’évacuation de puissance résiduelle (DHR) d’un réacteur à neutrons (ASTRID).

Les étapes de cette démarche sont appliquées et exposées sur un réservoir simple, puis cet exemple illustratif a été progressivement étoffé. Les EdC constituent un support et une illustration pour ces travaux mais ne sont pas les seuls systèmes susceptibles d'être concernés par la prise en compte de l'information temporelle en fiabilité dynamique. La méthodologie proposée est adaptable à d'autres domaines industriels, conditionnellement à l'élaboration d'une BdC spécifique à la nouvelle catégorie de systèmes étudiée. Des applications industrielles mettant en jeu des systèmes dynamiques hybrides ont en effet déjà été identifiées. Les modèles proposés considèrent l'évolution d'une variable physique dans le temps pour décrire le comportement du système étudié, mais les résultats ne font pas ressortir la composante temporelle.

• Dans le domaine aéronautique, l'épaisseur de la structure en aluminium d'un missile dépend des temps de séjour de ce missile dansdes environnements corrosifs. L'application de notre méthodologie permettrait de pronostiquer la rupture de cette structure directement en fonction de ces temps de séjours.

• Dans le contexte nucléaire, les EPS (Études Probabilistes de Sûreté) « dynamiques » ou « de niveau 2 » insèrent dans leursmodèles des variables déterministes continues. Ces variables, à l'image d'une pression ou d'une température, dépendent d'événements aléatoires survenus lors du processus de conduite de l'installation. Les EPS sont des méthodes d’évaluation des risques fondées sur une investigation systématique des scénarios accidentels. Ces risques sont quantifiés en termes de fréquence des événements redoutés et de leurs conséquences. Les EPS de niveau 2 ont également pour objectif d’évaluer la nature, l’importance et les fréquences des rejets hors de l’enceinte de confinement, suite à un scénario accidentel de type « fusion du cœur ».

En l’état actuel, PyCATSHOO est moins adapté à la gestion des événements rares que des logiciels adaptés aux EPS de niveau 2. Ces outils dédiés au domaine du nucléaire intègrent en outre un code physique validé, ce qui n’est pas le cas de PyCATSHOO actuellement. L’objectif du formalisme proposé n’est donc pas d’égaler ces outils, mais de compléter éventuellement l’analyse de certains résultats temporels. Il serait donc intéressant de tester notre démarche de traitement des informations temporelles lorsque les résultats concernés ne sont pas issus de la modélisation liée à PyCATSHOO.

Références

Broy, P. 2014. Evaluation de la sûreté de systèmes dynamiques hybrides complexes. Application aux systèmes hydrauliques. Thèse de doctorat, UTT.

Chraibi, H. 2013a. GASPART : Manuel de référence. Note technique EDF R&D. Rapport technique, H-T51-2013-02138-FR. Chraibi, H. 2013b. Dynamic reliability modeling and assessment with PyCATSHOO : Application to a test case. PSAM Topical

Conference, Tokyo, Japan Cocozza-Thivent, C., Eymard, R. and Mercier, S. 2006. A finite-volume scheme for dynamic reliability models. IMA journal of

numerical analysis, 26(3):446-471. Cristianini, N. and Shawe-Taylor, J. 2000. An introduction to support vector machines and other kernel-based learning methods.

Cambridge university press. Davis, M. 1993. Markov models and optimization, volume 49 of Monographs on Statistics and Applied Probability. Chapman & Hall,

London. Julius, A. A. 2006. Approximate abstraction of stochastic hybrid automata. Hybrids systems: Computation and Control, pages 318-332. Labeau, P.-E., Smidts, C. and Swaminathan, S. 2000. Dynamic reliability: towards an integrated platform for probabilistic risk

assessment. Reliability Engineering & System Safety, 68(3):219-254.


fiabilité dynamique : estimation de la sûreté de systèmes

Documents