Définitions

Exemple:

RP DP Fc1=_w({e^{w({e1,e2,e3,e4,e5,e6})}

1,e2,e3,e4,e5,e6,e7}) =_40+5∗10+1^40+5∗10 =⁹⁰₉₁≃99%

RP DP Fc3=^w(∅∩{e_w({e ^1})

1}) = 0%

RP DP FCex= ^w({e1,e_w({e^{3,e4,e5,e6}∩{e2,e3,e4,e5,e6})}

1,e2,e3,e4,e5,e6,e7}) =_40+5∗10+1^4∗10 =⁴⁰₉₁≃44%

◦

Définissons maintenant la version pondéré de la métrique 4.

Métrique 8 (Ratio pondéré de détectabilité et perceptibilité faible) Soit C^′ un ensem- ble de configurations. Le ratio pondéré de détectabilité et de perceptibilité faible RP DP FC^′, donne la proportion d’événements détectables et perceptibles dans C^′, mais non fortement, où on ne considère que les événements qui y sont déclenchables, et où les événements sont pondérés par une fonctionw.

RP DP fC^′ =

P

e∈(E_{f D}^C′∩E_{f P}^C′)∪(E_{f D}^C′∩E_{F P}^C′)∪(E^C′_{F D}∩E^C′_{f P})

w(e)

P

e∈E^C′

w(e) (4.18)

Exemple:

RP DP fc1=₉₁⁰ = 0%

RP DP fc3=₄₀⁰ = 0%

RP DP fCex=_w({e ^w({e1,e2})

1,e2,e3,e4,e5,e6,e7}) =⁵⁰₉₁≃55%

◦

Exemple:

e1 est fortement diagnosticable dansc1. e3 est fortement diagnosticable dansc1. e4 n’est pas fortement diagnosticable dansc1.

e1 n’est pas fortement diagnosticable dansCexcar il n’y est pas fortement détectable.

e2 n’est pas fortement diagnosticable dansCexcar il n’y est pas fortement discriminable dee3. La diagnosticabilité dee7 n’est pas définie dans{c3, c4}.

◦

Dire qu’un événement est fortement diagnosticable, c’est assurer que s’il est déclenché, alors non seulement on saura le détecter, mais de plus on saura exactement l’isoler. Ses effets lui sont propres.

Définition 25 (Diagnosticabilité faible d’un événement) SoientC^′un ensemble de configu- rations ete un événement déclenchable dansC^′. eest faiblement diagnosticable s’il est détectable et discriminable de tout autre événement déclenchable dansC^′, sans être fortement diagnosticable pour autant.

Exemple:

e1 n’est pas faiblement diagnosticable dansc1.

e3 n’est pas faiblement diagnosticable dansCexcar il n’y est pas discriminable dee2. e1 est faiblement diagnosticable dansCex.

e2 est faiblement diagnosticable dansCex.

◦

Nous présentons en table 4.4 la diagnosticabilité des événements deEex pour l’exemple.

C^′ c1 c3 c4 {c₃, c4} Cex

diagnosticabilité dee1 dansC^′ F ndiag nd ndiag f

diagnosticabilité dee2 dansC^′ F nd F F f

diagnosticabilité dee3 dansC^′ F nd nd nd ndiag diagnosticabilité dee4 dansC^′ ndiag nd nd nd ndiag diagnosticabilité dee5 dansC^′ ndiag nd nd nd ndiag diagnosticabilité dee6 dansC^′ ndiag nd nd nd ndiag diagnosticabilité dee7 dansC^′ ndiag nd nd nd ndiag

oùnd,ndiag,f etF signifient respectivementnon déclenchable(⇐⇒ diagnosticabilité non définie),non diagnos- ticable,faiblement diagnosticable etfortement diagnosticable.

Table4.4 – Diagnosticabilité des événements deEex

La notion de diagnosticabilité se généralise ensuite pour caractériser le système sous diagnostic entier.

Définition 26 (Diagnosticabilité forte) SoitC^′un ensemble de configurations. Un système est dit fortement diagnosticabledansC^′ si tous les événements qui y sont déclenchables y sont aussi fortement diagnosticables.

Exemple:

Aexn’est pas fortement diagnosticable dansCex.

◦

Définition 27 (Diagnosticabilité faible) Soit C^′ un ensemble de configurations. Un système est dit faiblement diagnosticable dansC^′ s’il n’est pas fortement diagnosticable et si tous les évé- nements qui sont déclenchables dansC^′ y sont aussi diagnosticables.

Exemple:

Aexn’est pas faiblement diagnosticable dansCex.

◦

La notion de diagnosticabilité que l’on retrouve dans la littérature, exprimée à travers les défi- nitions 24 et 25, classe les événements en deux catégories : diagnosticables et non diagnosticables.

Cette définition n’est pas totalement adaptée à notre contexte car est trop forte. Dans un sys- tème avionique, savoir distinguer tous les événements les uns des autres revient à réussir à tous les surveiller indépendemment, et à avoir une relation de bijection entre les observations et les événements, comme nous le faisions remarquer dans la partie 3.5, ce qui n’est pas possible. C’est impossible physiquement car surveiller requiert de la place et ajoute une masse non négligeable à l’avion, et ce n’est de toute manière pas envisageable car cela aurait un coût beaucoup trop important.

Les définitions généralisées au système sous diagnostic (déf. 26 et 27) sont encore moins adap- tées. Elles ne sont jamais vraies pour un système réel et n’apportent dans ce cas aucune information.

Mais la notion de diagnosticabilité peut être affinée. Nous voulons faire plus que regarder uniquement si les événements sont diagnosticables ou pas. Nous voulons une notion plus précise qui nous permet de regarder plutôt dans quelle mesure les événements peuvent être dissociés les uns des autres au moment du diagnostic.

Pour ce faire, nous nous intéressons par la suite à identifier les événements qui peuvent avoir les mêmes effets et qui peuvent de ce fait être confondus lors d’un diagnostic. Cela permet d’introduire la notion de groupe d’ambiguité.

Pour introduire la notion de groupe d’ambiguité, considéronseI, un événement défini de telle façon que ∀i ∈ I,(i, eI, i) ∈ T. Ainsi pour tout ensemble de configurations C^′, nous avons ef f ets(C^′, eI) = (C^′ ∩I)[VO]. Cet événement virtuel qui n’appartient pas à l’ensemble E, est appelé“événement initial”. Il sera utile pour caractériser les événements dont les effets ne sont pas distinguables des configurations initiales. On retrouve cette notion dans la littérature, avec par exemple la notion de “mode normal” (normal mode) dans [Puc08], ou de “cas normal” (ou “cas sans défaut”) dans [Bat11].

Définition 28 (Groupe d’ambiguité d’un événement) SoientC^′ un ensemble de configura- tions eteun événement déclenchable dansC^′. La fonctiongroupeAmb:P(C)×E^C′ −→ P(E^C′∪ {eI})donne l’ensemble des événements qui partagent des effets avec edans C^′.

groupeAmb(C^′, e) ={e^′∈E^C′∪ {eI} |ef f ets(C^′, e^′)∩ef f ets(C^′, e)6=∅} (4.19)

Exemple:

C^′ c1 c3 c4 {c3, c4} Cex

groupeAmb(C^′, e1) {e1} {e1} nd {e1} {e1} groupeAmb(C^′, e2) {e2} nd {e2} {e2} {e2, e3} groupeAmb(C^′, e3) {e₃} nd nd nd {e₂, e3} groupeAmb(C^′, e4) {e4, e5, e6} nd nd nd {e4, e5, e6} groupeAmb(C^′, e5) {e4, e5, e6} nd nd nd {e4, e5, e6} groupeAmb(C^′, e6) {e4, e5, e6} nd nd nd {e4, e5, e6} groupeAmb(C^′, e7) {e7, eI} nd nd nd {e7, eI} où ndsignifie non défini.

◦

Le groupe d’ambiguité d’un événementecontient l’ensemble des causes avec lesquelles epeut être confondu. Il contient l’ensemble des événements qui ne sont pas fortement discriminables de e. En effet, si les événements produisent la même situation, il est impossible pour le moteur de diagnostic cherchant à diagnostiquer cette situation de donner un résultat de diagnostic complet et correct qui ne contienne pas tous ces événements. Si le résultat n’est pas précis au niveau du diagnostic, il est important de pouvoir identifier que cela vient de la stratégie de monitoring et du design du système, et non forcément du moteur de diagnostic qui ne pourrait pas être plus précis tout en restant correct.

L’introduction de l’événement eI dans la définition du groupe d’ambiguité permet de prendre en compte l’ambiguité qui peut exister entre l’effet d’un événement et les configurations initiales.

À titre d’illustration, considérons deux exemples de systèmes sous diagnostic,A1 et A2, dont la

{o3}

{o2} {o1}

{o3} eI

e2

e1

e3

Figure 4.1 – SystèmeA1

{o3}

{o2} {o1}

{o4} eI

e2

e1

e3

Figure4.2 – SystèmeA2

représentation proposée en figures 4.1 et 4.2 ne présente que la partie observable des configurations du système.

Considérons que pour ces exemples d’illustration,ObsOK ={{}}. Nous remarquons que pour chacun de ces exemples, si l’on ne tient pas compte de l’événement eI, tous les événements sont détectables et perceptibles dans l’ensemble de toutes les configurations. En outre, si nous ne consi- dérions pas l’événementeI, le groupe d’ambiguité de chaque événement ne contiendrait que l’évé- nement lui-même.

Les deux systèmes exposés auraient alors exactement les mêmes caractéristiques. Or, dans le systèmeA1, nous voyons qu’il y a en réalité deux cas qui peuvent expliquer l’observation {o3}, à la fois le cas où rien n’est arrivé, et celui provoqué pare3 après une occurrence dee2. Le système A2 lui ne comporte pas cette ambiguité. Il est donc meilleur d’un point de vue diagnostic que le systèmeA1.

C’est donc pour gérer l’ambiguité qu’il peut y avoir avec les états initiaux et pour coller au plus près de ce que la notion d’ambiguité représente que nous avons introduit l’événement virtuel eI. Ainsi, avec la définition que nous avons donnée, le groupe d’ambiguité de e3 pour le système A1sera{e3, eI}alors que celui pour le systèmeA2 ne contient quee3.

Pour caractériser à quel point un événement peut être ambigu, nous introduisons sondegré de diagnosticabilité.

Définition 29 (Degré de diagnosticabilité d’un événement) SoientC^′ un ensemble de con- figurations eteun événement déclenchable dansC^′. La fonctiondegDiag:P(C)×E^C′−→Ndonne le degré d’ambiguité deedansC^′.

degDiag(C^′, e) =|groupeAmb(C^′, e)| (4.20)

Exemple:

C^′ c1 c3 c4 {c3, c4} Cex

degDiag(C^′, e1) 1 1 nd 1 1 degDiag(C^′, e2) 1 nd 1 1 2 degDiag(C^′, e3) 1 nd nd nd 2 degDiag(C^′, e4) 3 nd nd nd 3 degDiag(C^′, e5) 3 nd nd nd 3 degDiag(C^′, e6) 3 nd nd nd 3 degDiag(C^′, e7) 2 nd nd nd 2 où ndsignifie non défini.

◦

Le degré de diagnosticabilité d’un événement représente le nombre maximal de causes avec lesquelles il peut être confondu lors d’un diagnostic, l’événement lui-même y compris.

La définition de degré de diagnostic permet d’introduire la notion de n-diagnosticabilité d’un événement.

Définition 30 (n-diagnosticabilité d’un événement) SoitC^′ un ensemble de configurations, soiteun événement déclenchable dansC^′.eestn-diagnosticable dans C^′ si son degré de diagnos- ticabilité estn.

Exemple:

e4 est3-diagnosticable dansc1. e2 est2-diagnosticable dansCex.

◦

La caractérisation des événements par leur degré de diagnosticabilité nous permet de connaître l’ambiguité pour chaque événement du système. Intuitivement, l’ambiguité d’un événement peut être associée avec le nombre maximal de tentatives nécessaires pour isoler la cause. Par exemple, si nous considérons un événement d’ambiguïté 2, autrement dit, qui n’est pas fortement discriminable d’un autre événement, il faudra au maximum éliminer un autre cas avant de pouvoir l’isoler.

Dans cette optique, il est intéressant de regarder l’ensemble des événements qui ont le même de- gré de diagnosticabilité, qui représente alors les événements isolables en un même nombre maximal de tentatives. Pour cela, nous définissons la relation d’isodiagnosticabilité.

Définition 31 (Relation d’isodiagnosticabilité) SoitC^′un ensemble de configurations. La re- lation d’isodiagnosabilité≈C^′ entre événements déclenchables dansC^′ caractérise les événements qui ont le même degré de diagnosticabilité dansC^′.

∀(e, e^′)∈(E^C′)², e≈C^′ e^′ ⇐⇒ degDiag(C^′, e) =degDiag(C^′, e^′) (4.21) Propriété 3 La classe d’équivalence d’un événement e pour la relation ≈_C′ représente la classe de diagnosticabilitédeedansC^′ et est notée [e]≈_C′.

Si deux événements e et e^′ sont liés par≈C^′, alors on dit que e et e^′ sont isodiagnosticables dansC^′.

Exemple:

C^′ E^C′/≈_C′

c1 {{e1, e2, e3},{e4, e5, e6},{e7}}

c3 {{e1}}

c4 {{e2}}

{c3, c4} {{e1, e2}}

Cex {{e1},{e2, e3, e7},{e4, e5, e6}}

oùE^C′/≈_C′ représente l’ensemble quotient deE^C′ par la relation d’équivalence≈_C′.

◦

No documento Une approche basée modèle pour l’optimisation du monitoring de systèmes avioniques relativement à leurs performances de diagnostic (páginas 98-102)