supervision et surveillance de systèmes dynamiques basées sur des modèles à événements...

25 mai 2004 GDR-MACS Groupe S3 1/36

Supervision et surveillance de systèmes dynamiquesBasées sur des modèles à événements discrets

Journée du travail du groupe S3

GRD-MACSParis, 25 mai 2004

Michel Combacau

LAAS-CNRS

Groupe DISCO


Supervision et surveillance de systèmes dynamiquesBasées sur des modèles à événements discrets

Commande à événements discrets

Supervision et surveillance

Les fonctions essentielles de la réactivité

Maîtrise du système de supervision

Cas des systèmes complexes (répartis)


La commande à événements discrets

procédé capteursactionneurs

Système de

commandeactions

informations

consigne

Schéma classique de l’automatique.Oui, mais…

- modèles de haut niveau d’abstraction - le temps n’y est pas explicite - l’espace d’état est presque toujours décrit exhaustivement



illustration : automate à états finis - Un ensemble de symboles {q1,q2,q3,q4}

=> valeurs possibles du vecteur d’état

- Une fonction de transition : d(q1,e1)=q2=> règle d’évolution du système modélisé

e1

e2

e3

e4

q1 q2

q3q4

q4q3q2q1

e1 e2 e4 e3 e1 e4 e1t

Le temps n’apparaît que par la séquence des évolutions



procédé capteursactionneurs{a1..an}

{e1..ej}

consigne

Le modèle exprime à la fois - la loi de commande (séquence d’actions) - le comportement du procédé (l’action ai provoque l’événement ei)

Hypothèses 1. l’espace d’état du modèle couvre toutes les évolutions possibles du procédé 2. toutes les évolutions du procédé sont observables à travers les capteurs

{ej..em}


La supervision et la surveillance

procédé capteursactionneurs{a1..an}

{e1..ej}

consigne

Conséquences • évolutions imprévues (anormales ?)• le vecteur d’état du modèle de commande peut ne plus représenter correctement

la situation du procédé - manque un symbole qk- une valeur de d(qi,ei) est incorrecte

=> Une des hypothèses n’est plus respectée…

{ej..em}

Aléas (perturbations)


La Supervision et la surveillance

D’où les principales fonctions de la surveillance/supervision

- Détecter le comportement anormal- Diagnostiquer la situation (localiser, identifier)- Reconfigurer le modèle de commande

Le traitement d’une défaillance va consister à détecter l’évolutionanormale, puis à trouver l’hypothèse qui a été mise en

défaut et enfin, à concevoir une nouvelle loi de commande quitienne compte de la modification apportée par la défaillance

Découpage strict des fonctionnalités indépendant des techniques utilisées (le diagnostic ne fait pas de la détection ;-)


La fonction détection

Deux approches

Reconnaître une signature particulière

q0q1 q2

q3q4e1

e2 e3e4

conduisant à une situation dangereuse / une défaillance

q0q1 q2

q3q4e1

e2 e3e4

01 2

3

Le modèle peut être explicitement temporisé (chronique)

=> filtrage, reconnaissance des formes, classification



Percevoir une déviation du comportement

q0q1

q2

q3

q4

e1e2

e3e4

e5

e3

e1

Apparition d’un mot n’appartenant pas au langage de l’automate=> Fonctionnement non prévu (anormal ?)

e2

(e1, e2, e3, e4, e5)(e1, e2, e1, e5)(e1, e3, e4, e5)(e2, e3, e4, e5)(e2, e1, e5)

Temporisations : plus de précision

Proche de l’estimation/prédiction dans le principe Sur les événements plutôt que sur la trajectoire d’état (résidu)



L’automate contient toutes les évolutions du procédé commandé

Deux « philosophies »

Modèle global

Modèle du procédé

Modèle de commande

Procédé réel

Procédé réel

Symptôme

- +

actions

prédiction

Symptôme Symptôme

synchronisation

actions

prédiction

prédiction


La fonction diagnostic

Nombreux travaux …

Exemple d’utilisation d’un modèle à événements discrets :Raisonnement sur les principes de base (propagation d’erreur)

P1 P2 P3

P4

modèle

R1 & R2 & R3

R4

Réalité


La fonction diagnostic

Parfois difficile à distinguer de la fonction détection

q0q1 q2

q3q4e1

e2 e3e4

Exemple : chronique

L’accès à l’état q4 peut être caractéristique d’un dysfonctionnement clairement identifié au préalable


La fonction reconfiguration

Concerne les modèles

1. Restriction du modèle (perte de fonctionnalités)

q0q1

q2

q3

q4

e1

e3e4

e5

e3

e1

e2




1. Restriction du modèle (perte de fonctionnalités)2. Prise de décision par analyse d’accessibilité (diagnostic ?)

q0q1

q2

q3

q4

e1

e3e4

e5

e3

e1

e2




1. Restriction du modèle (perte de fonctionnalités)2. Prise de décision par analyse d’accessibilité (diagnostic ?)3. Élaboration d’une nouvelle loi de commande

- Continuité des valeurs du vecteur d’état- Nouvel objectif (mode dégradé)

q0q1

q2

q3

q4

e1

e3e4

e5

e3

e1

e2Séquence de reprise (rep)

Nouvelle loi {q0,q2,q4}

rep


Maîtriser le système de supervision

Idée de départ :

détection ->arrêt -> diagnostic -> reconfiguration -> redémarrageEst-ce toujours possible / souhaitable ?Ex : moteur d’avion, centrale nucléaire, ABS, suspension automobile…

Une solution : « modèle de surveillance »

Un modèle à événements discrets qui active les fonctions de supervisionen fonction de la situation perçue (en ligne)

Modèle de surveillance

détection

diagnostic

a/d

a/d

symptôme

Infos procédé


Maîtriser le système de supervision

Ce modèle permet d’adapter la réaction de la supervision

Normal-Commande-Détection

Urgence -Repli

Sans gravité-Commande-Détection-Diagnostic

Symptôme 2

Symptôme 1

Vu comme le modèle de commande du système de supervision


Modèles distribués pour la supervision

Supervision/surveillance de systèmes complexes

Approche modulaire : plusieurs systèmes qui interagissent

Deux aspects

1 Les modèles

-Aspects synchronisation / communication

-Formalisme pour preuve de propriétés globales

2 Les algorithmes / mécanismes

- Extension des mécanismes centralisés

- Nouvelles fonctionnalités



Structures de commande-surveillance-supervision

• Centralisée : simple à imaginer, difficile à maintenir

modèle unique et centralisé

• Hiérarchisée : assez simple, difficile à maintenir

modèles obtenus par affinement ou agrégation

• Hétérarchique : naturelle, extensible

modèles obtenus par composition ou décomposition



Une proposition

1. Distribution avec redondance d’un modèle centralisé

2. Maintien de la cohérence des données

Ce qui est recherché

1. Diagnostic distribué

2. Reconfiguration

3. Tolérance aux fautes



Distribution d’un modèle basé réseau de PetriDeux approches classiques

1. Partage de transitions (communications synchrones)

2. Partage de places (communications asynchrones)

les éléments partagés sont redondants (rendez vous ou boîtes aux lettres)

Immanquablement ces méthodes s’appuient sur les invariants (P ou T)

Les invariants sont choisis pour calquer une réalité



Démarche proposée1. Identification des invariants correspondant aux différents états d’une

ressource (un modèle par ressource)

2. Ajout des transitions en relation avec ces places (changements d’état de la ressource)

3. Ajout des places en relation avec les transitions ci-dessus (conditions d’évolution de la ressource)

4. Réduction du reste du réseau initial et adjonction au modèle obtenu précédemment (pour garder les propriétés du modèle initial)

= > Réduction orientée d’une partie du modèle initial



• Determination Psemi-flots positifs (générateurs)

Générateur Transitions

Les transitions internes du générateur kjjjk QpptOptITtS 0),( ),(

generator of number , 1

NSS i

N

i

• Places externes

.

0),( ),( \ ptOptIStQPp jjkjkk

generator of number , 1

Ni

N

i

Sous modèle

• RéductionPlaces du générateur vk.

0)(

0

pvPpQ

Cvv

kk

Tkk

, 1

NQQ i

N

i Number of generators



P 1

P 2

P 4

P 3

P 9

P 13

P 5

P 6

P 10 P 14

T 0

T 1

T 5 T 9

T 2

T 6 T 10

P 11

P 12

T 7

P 15

T 11

P 16

T 12

P 7

T 3

P 8

T 4

T 8

A

Les générateursQ1={p3, p5, p6, p7, p8}Q2={p2, p5, p6, p7, p8}Q3={p4, p5, p6, p7, p8}Q4={p13, p14, p15, p16}Q5={p9, p10, p11, p12}Q6={p1, p5}

B

Les transitionsS1={t0, t1, t2, t3, t4, t5, t9}S2={t0, t1, t2, t3, t4}S3={t0, t1, t2, t3, t4}S4={t9, t10, t11, t12}S5={t5, t6, t7, t8}S6={t0, t1}

C

Les places externesφ1={p1, p2, p4, p9, p10, p13, p14}φ2={p1, p3, p4}φ3={p1, p2, p3}φ4={p3}φ5={p3}φ6={p2, p3, p4, p6}

D



Q1={p3, p5, p6, p7, p8}S1={t0, t1, t2, t3, t4, t5, t9}φ1={p1, p2, p4, p9, p10, p13, p14}

P11

P2

P2

P4P4

P9

P9

P13

P13

P5P5

P6

P6

P10

P10 P

14P

14

TT00

T1T1

T5T5 T9

T9

T2

T2

P7

P7

T3T3

P8P8P8

T4T4T4

PN 1-

PN 1-

PN 1-

PN 2-

PN 2-

PN 2-

Tr1Tr1Tr1Tr2Tr2Tr2

Q5={p9, p10, p11, p12, p8}

S5={t5, t6, t7, t8}φ5={p3}

P9

P9

P13

P13

P14

P14

T5T5 T9

T9

Tr4TTT6

T7

T8

P12

P11

P10

PN4-

P3

P3



Maintien de la cohérence des données redondantes

Une ressource représentée dans plusieurs sous modèles(collaboration entre n ressources, n étant inconnu)

Processus de réservation cyclique • Requêtes entre les sites • Fonctionnement identique sur chacun des sites• Indépendant de n

Pré-réservation / réservation / libération

Module R1

R 1 R 2 R 3

A '' = A A ' = A

Module R3 R 1 R2 R 3

Rqt

Rqt

Rqt

Modèle de la Commande

Modèle du Procédé

(module décisionnelle centralisé) Module R2

CR

CR CR


Détection distribuée

Événement : correspond à un stimulus auquel le superviseur peut réagir

en changeant d’état.

Date d’occurrence : mesure à l'aide d'une horloge du système de

supervision de la coordonnée temporelle d'un événement reçu.

horloge locale

Un événement est daté dans le repère temporel local, lié au site de

surveillance Si le recevant

La fonction d’Occurrence notée O et définie par :

O : Q+

ei O(ei)

Concepts de base

Superviseur 1 Superviseur n…

Zone 1 Système surveillé Zone n…


1 2



Contraintes entre événements : relation impliquant une durée liant des occurrences d’événements.

Relation binaire : contrainte de précédence : O(ei) < O(ej) contrainte de type intervalle : dji≤ O(ej) – O(ei) ≤ fji

avec dji et fji éléments de Q+

Relation n-aire : contrainte de type fenêtre d’admissibilité di≤ min (O(ei) – O(ej)) ≤ fi

Chronique : ensemble d’événements et de contraintes temporelles à vérifier liant les occurrences des événements



les contraintes locales : lient des événements de l’ensemble i associé à un superviseur i. les contraintes globales

Superviseur 1

e1

e2

e3

Superviseur 2

e4Contrainte globale

Contrainte locale

1={e1, e2, e3} 2={e4}

Notion de sous-chronique et de reconnaissance de chronique

Chroniq ue

Sous - Chronique 1

…

Sous - Chronique n

Superviseur 1

…

Superviseur n



Distribution des contraintes temporelles Rattacher une contrainte globale à un seul superviseur

Délai de communication borné

δm ≤ délai de communication ≤ δM

Superviseur 1 Superviseur 2

ei ej

Délai

ek

O(ei) < O(ej)

dji≤ O(ej) – O(ei) ≤ fji

di≤ min (O(ei) – O(ej)) ≤ fi



Reconnaissance d’une sous-chronique avec prise en compte des délais

Dans la vérification des contraintes

Réécriture de la contrainte globale initiale

Superviseur 1

S ite 1

Procédé 1

e j Superviseur 2

S ite 2

Procédé 2

e i

e k ei Délai

dji≤ O(ej) – O(ei) ≤ fji

O(ej) – O(ei) = (O(ej) – O(ek)) +Δ = (O(ej) – O(ek)) + (O(ek) – O(ei)),

O(ej) – O(ek) + δm ≤ O(ej) – O(ei) ≤ O(ej) – O(ek) + δM

Contraintes locale vérifiée contrainte globale vérifiée



Intervalle des valeurs possibles de O(ej)-O(ei) permettant de vérifier la contrainte (1) pour une durée O(ej) - O(ek) donnée.


Perspective pour la supervision a événements discrets

Le modèle à événements discrets est une abstraction du procédé qui est généralement continu Traitement des variables d’état continues : détermination du vecteur d’état du modèle à événements discrets

Valeur non prévue dans le modèle - transition non prévue (panne procédé) - événement non perçu (panne capteurs)

e1 e2

q0 q2

q0 q2

q1

Monde discret

Monde continu

supervision et surveillance de systèmes dynamiques basées sur des modèles à événements...

Documents