suffit d’appliquer itérativement cet opérateur, depuis l’état symbolique de départ, en considérant les différentes transitions discrètes possibles. L’analyse en avant d’un auto- mate temporisé ne se termine pas en général. Dans (Desel et al., 2004), nous pouvons trouver un exemple d’une telle analyse en avant inachevable.
Afin de forcer la terminaison de ce calcul, un opérateur d’extrapolation (ou d’ap- proximation) des zones d’horloges est généralement utilisé. Cette opération, appelée aussi normalisation, consiste à ignorer la valeur précise d’une horloge si elle dépasse un entier K, défini comme la plus grande constante existante dans les expressions des gardes et des invariants de l’automate. En effet, il suffit de retenir que cette valeur est plus grande que K (Bengtsson et Yi., 2004).
4.3 Contexte et objectifs de notre approche de diag-
ce système. Le modèle du système est supposé être "complet" dans le sens où il présente tous les comportements normaux et anormaux (défaillants) du système. Nous désirons construire le diagnostiqueurde ce système, sous la forme d’un modèle temporisé. Le diagnostiqueur observe, en-ligne, le système pour estimer son état et les défauts pouvant affecter son fonctionnement. En se basant sur cette estimation, une fonction de décision déclenche une alarme quand un défaut certain est identifié.
Le rôle du diagnostiqueur consiste à inférer les occurrences des défauts non observablesen se basant sur lesévénements observablesainsi que les délaisécoulés entre ces événements. Nous souhaitons maximiser l’exploitation des contraintes tempo- relles existantes dans le modèle du système, afin de pouvoir discriminer tout mode de défaillance potentiel.
Dans la suite, nous illustrons les différents scénarios de discrimination de défauts que doit supporter notre approche. En effet, pour permettre le diagnostic d’un SED, notre approche repose sur des méthodes de discrimination combinant l’aspect événementiel et l’aspect temporel de l’évolution d’un SED. D’abord, nous rappelons que la perturba- tion du comportement d’un SED qui se produit suite à l’occurrence d’un défaut, peut correspondre à une perturbation purement événementielle (apparition d’un nouvel événe- ment ou le changement de l’ordre des événements qui suivent le défaut) et/ou temporelle (changement des dates d’occurrence des événements qui suivent le défaut). En effet, nous pouvons distinguer trois scénarios de discrimination de défauts, déterminés par la nature de la perturbation observée (temporelle ou événementielle) :
(1) Discrimination purement événementielle c’est sur ce principe que re- pose les travaux de Sampath (Sampath et al., 1995, 1996) dans le cadre du diagnostic à base de modèles logiques. En effet, le diagnostic d’un SED est établi en utilisant unique- ment une séquence d’événements observables non temporisée qui suit l’occurrence d’un défaut. Un défaut peut être identifié uniquement si son occurrence affecte, d’une manière unique et discriminante, la trajectoire des événements observables succédant le défaut.
A titre d’exemple, cette approche peut être appliquée pour permettre le diagnostic d’un débordement dans un bassin en phase de remplissage. En effet, un capteur de niveau d’urgence émet une alarme lors du débordement. Cet événement (l’alarme du capteur) permet de distinguer la trajectoire défaillante du système, sans ayant recours à d’autres informations comme la date d’occurrence de cet événement.
Il faut noter que cette approche ne sera plus d’une grande utilité si les trajectoires à distinguer admettent des projections observables identiques d’un point de vue logique (même ordre des événements dans les séquences observées). Dans ce cas, il faut prendre en considération les dates d’occurrence des événements observables, ce qui nous conduit à définir le deuxième scénario de discrimination.
(2) Discrimination temporelle par le biais d’événements temporisés
Afin d’illustrer cette méthode de discrimination, nous allons considérer le système de chauffage de liquides, défini dans l’exemple 4.2.1. Nous supposons à cette étape, que le fonctionnement de ce système peut être affecté par un défaut qui correspond à l’exis- tence d’une fuite dans le bac. Cet événement de défaut est représenté par l’événement f uite dans le modèle automate temporisé de ce système, illustré dans la figure 4.8. La transition sur cet événement de défaut non observable est modélisée par une flèche en pointillés. De même, nous modélisons, dans le reste de ce manuscrit, les transitions sur les événements non observables par des flèches en pointillés.
rempl & fuite x≤50
- I
chauf & fuite x≤60
évac & fuite x <20 rempli,x≤50∧x≥40
vide,x <20
-
´
evacuer,x= 60 x:= 0
x:= 0
x:= 0 f uite, x≤50
remplissage x≤50
- I
chauffage x≤60
évacuation x≤25
rempli,x≤50∧x≥40 vide,x≤25∧x≥20
-
´
evacuer,x= 60
x:= 0 x:= 0
x:= 0
Fig. 4.8 –Modèle du système de chauffage de liquides avec un seul défaut.
Selon la gravité de cette fuite, le niveau du liquide dans le bac baissera d’une manière progressive. En admettant qu’il s’agit d’une petite fuite, l’occurrence de ce défaut va affecter légèrement la date d’occurrence de l’événement rempli qui se produit lorsque x ∈ [40,50] (pareil que le cas du fonctionnement normal). Pendant la phase de chauf- fage, le niveau du liquide va baisser d’une manière considérable dans le fonctionnement affecté par la fuite. En effet, à la fin de la phase d’évacuation, l’événement vide, généré par le capteur de niveau S2, se produit à une date définie par (x < 20). Par contre, cet événement se produit à une date postérieure, définie par x∈[20,25], dans le comporte- ment normal. Ainsi, la date d’occurrence de l’événement vide permet la discrimination du comportement défaillant.
(3) Discrimination temporelle sur le dépassement d’un seuil d’attente Comme dans le cas précédent, nous allons illustrer ce scénario de discrimination à travers l’introduction d’un autre cas de défaut. En effet, nous introduisons sur le modèle illustré de la figure 4.9, un cas de défaut correspondant au blocage de la vanne V1 en position fermée. Suite à l’occurrence de ce défaut, la phase de remplissage ne va pas s’achever et par conséquent, l’événement rempli ne sera pas généré par le capteur de niveau S1. Dans le modèle considéré, nous modélisons l’état défaillant qui suit l’occur- rence de l’événement de défaut blocage_V1 par le sommet final vanne bloquée. En effet, lorsque le système évolue vers ce sommet, il ne peut plus progresser vers un autre sommet.
La discrimination de ce scénario de défaut peut être établi à travers le dépassement d’un délai seuil d’attente sans observer des événements. Ainsi, si l’événement rempli n’est pas observé au bout de50u.t., nous pouvons conclure que le système a évolué vers
le sommet vanne bloquée. Ainsi, le dépassement d’un seuil d’attente nous a permis d’identifier ce défaut.
f uite, x≤50 remplissage
x≤50
- I
chauffage x≤60
évacuation x≤25
rempli,x≤50∧x≥40 vide,x≤25∧x≥20
?
´
evacuer,x= 60
x:= 0 x:= 0
x:= 0 blocage_V1, x≤50
vanne bloquée rempl & fuite
x≤50
- I
chauf & fuite x≤60
évac & fuite x <20 rempli,x≤50∧x≥40
vide,x <20
-
´
evacuer,x= 60 x:= 0
x:= 0
x:= 0
Fig. 4.9 – Modèle du système de chauffage de liquides avec deux défauts
Remarque 1. Dans les modèles illustrés dans les figures 4.8 et 4.9, les événements des défauts peuvent se produire uniquement pendant la phase de remplissage (à partir du sommetremplissage). Cependant, il est possible que ces défauts se produisent pendant la phase de chauffage ou d’évacuation. Le choix de ne pas représenter certaines transitions de défaut est considéré dans le but d’alléger la structure du modèle permettant ainsi de simplifier la compréhension de notre approche, qui reste toutefois applicable pour un modèle plus complet.