Modèle hybride pour le diagnostic : spécifications et hypo- thèsesthèses

qui suivent ce défaut, ce qui constitue la signature temporelle du défaut. La procédure de diagnostic permet d’exploitation de cette signature afin d’identifier le défaut corres- pondant. Dans cet exemple, la procédure estime les différentes valeurs possibles de la variable x₁ en se basant sur la durée de temps qui sépare les occurrences de s₁ ets₂. En effet, si ce délai est trop court, les valeurs estimées pour x₁ correspondent à des valeurs strictement supérieures à0. Par conséquent, la transition sur l’événements2, à partir du sommet3, ne peut pas être franchie puisque sa condition de garde "x₁ = 0" ne sera plus satisfaite, ce qui implique l’inconsistence du scénario de fonctionnement normal avec les observations générées par le système. Par contre, si nous estimons, à l’occurrence de s₂, l’ensemble de valeurs possibles pourx1dans le scénario de défaut, nous constatons que la valeur0est incluse dans l’intervalle des valeurs estimées. Ainsi, il est possible de franchir une transition sur l’événement observés₂ à partir du sommet6. En éliminant le scénario du fonctionnement normal, la procédure annonce l’occurrence du défaut fuite.

Lorsqu’un blocage de la vanneV₁ se produit, aucun autre événement ne sera observé.

En se focalisant sur la durée du temps d’attente qui s’est écoulée sans avoir observé l’événements₁, nous pouvons déterminer l’occurrence de ce défaut. Dans ce cas, à partir de l’estimation des valeurs possibles pour x₁, nous constatons que le système ne peut pas évoluer dans les sommets1 ou4 au delà d’une durée déterminée, sinon la condition d’invariant sera violée. En effet, après l’écoulement d’une certaine durée de temps, le seul état discret possible du système correspond au sommet final 7, qui est un état de défaillance.

dérées dans le cadre de notre contribution de diagnostic à base d’automates temporisés, développée dans le chapitre précédent.

Le modèle automate rectangulaire hybride considéré dans notre approche de diag- nostic, doit respecter les spécifications suivantes :

• le modèle est "complet". En effet, il décrit le comportement normal et les compor- tements anormaux (défaillants) du système ;

• nous désignons par Σ_f l’ensemble des événements de défauts. Nous supposons que tous les défauts considérés sont non observables, ainsi Σ_f ⊆Σ_uo;

• nous supposons que l’ensemble des défauts Σ_f forme une partition de m sous- ensembles de défauts (ou modes de défaillance) Σ_f =F₁∪ · · · ∪F_m;

• les défauts sont permanents. En effet, le système ne peut pas retourner d’un mode de défaillance à un mode de fonctionnement normal ;

• nous ne considérons pas le scénario de défauts multiples : en effet, deux défauts de différents modes ne peuvent pas se produire successivement dans une même exécution du système ;

• nous supposons que les états initiaux correspondent à des états de fonctionnement normal du système ;

• nous supposons qu’il existe une partition de l’ensemble des sommets du système, où chaque sommet correspond à un mode de fonctionnement normal ou un mode de défaillance F_i, i∈ {1, . . . , m}.

Dans la dernière spécification, il s’agit d’établir une partition sur l’ensemble des sommets de l’automate hybride rectangulaire du système. En effet, nous définissons la fonction de répartition (sommet/mode de fonctionnement) ϕ:Q7→ {0, . . . , m} qui per- met d’associer à chaque sommetq, un entieri∈ {1, . . . , m}, si le sommetqest accessible par une exécution contenant un défaut de l’ensemble F_i, sinon elle lui attribut la va- leur 0. Cependant, un sommet peut être accessible par deux exécutions correspondant à deux différents modes de fonctionnement différents (voir l’exemple dans la figure 5.8).

Afin d’éviter un tel cas d’ambiguïté, nous appliquons un ensemble de transformations sur le modèle du système afin qu’on puisse établir cette partition sur l’ensemble de ses sommets.

Dans la figure 5.8, les sommets 2,3 et 4sont accessibles à la fois par des exécutions normales ; i.e., ne contenant pas des événements de défauts, et des exécutions contenant le défaut f.

La transformation que nous désirons appliquer sur le modèle AHR du système consiste à dupliquer un ensemble de sommets et de transitions. Il s’agit d’éclater chaque partie commune entre deux chemins de l’automate qui correspondent à deux différents modes de fonctionnement. Dans la figure 5.9, nous illustrons l’AHR obtenu après l’introduction de ces transformations sur l’automate présenté dans la figure 5.8. Au cours de cette transformation, nous avons dupliqué la partie 2−→3−→4, commune entre le chemin du

˙

x1∈[−4,−3]

6 x1≥10 a, x₁= 30

˙ x1= 2 5 x₁?≤30

-

6

˙ x₁= 0 4 x₁≥0

˙ -

x₁= 5 3 x₁≤50

c, x1= 50

˙ x₁=−2 2 x₁≥0

a, x₁= 30 b, x1= 0

x₁= 0

˙ x1= 2

R 1 x₁≤30

- -

f u, x₁= 10

Fig. 5.8 – Sommets accessibles par des exécutions correspondant à de différents modes de fonctionnement

comportement normal et le chemin du comportement défaillant (contenant une transition sur l’événement f). Après ces transformations et en considérant que Σ_f =F₁ ={f}, la fonction de répartition ϕest définie comme suit :

ϕ(q) =

( 0, si q∈ {1,2,3,4}; 1, sinon.

˙

x₁∈[−4,−3]

6 x1≥10 a, x1= 30

˙ x₁= 2 5 x₁?≤30

-

a, x1= 30 x₁= 0

˙ x₁= 2

R 1 x₁≤30

f

u, x1= 10

- x˙₁= 0

9 x1≥0

˙ -

x₁= 5

8 x1≤50 c, x₁= 50

˙ x1=−2

7 x1≥0 b, x₁= 0

-

˙ x₁= 0 4 x1≥0

˙ -

x₁= 5

3 x1≤50 c, x₁= 50

˙ x1=−2

2 x1≥0 b, x₁= 0

- -

Fig. 5.9 – Modèle obtenu après la l’application de la transformation

Nous notons parH₀ la restriction d’un AHRH, qui décrit son comportement normal.

Cette restriction peut être obtenue en éliminant du modèle initialHtout sommetq véri- fiant la conditionϕ(q)6= 0. Par ailleurs, l’élimination d’un sommet implique l’élimination de toute transition issue de, ou vers, ce sommet. Dans la figure 5.10, nous illustrons la restriction du comportement normal de l’AHR présenté dans la figure 5.9. L’AHR H₀ correspond à la partie de l’automate encadrée en pointillés.

Hypothèses : nous supposons que le modèleH vérifie les hypothèses suivantes : H₁ : H est fortement non-zénon.

H₂ : la restriction du fonctionnement normal H₀ est un AHR initialisé.

La première hypothèse permet de garantir la divergence du temps dans les exécutions infinies. Ainsi, cette hypothèse garantit la progression du temps de chaque exécution du système. La seconde hypothèse stipule que la restriction du fonctionnement H₀ est un

0

˙

x1∈[−4,−3]

6 x1≥10 a, x1= 30

˙ x₁= 2 5 x₁?≤30

-

a, x1= 30 x₁= 0

˙ x1= 2

R 1 x₁≤30

f

u, x₁= 10

- x˙₁= 0

9 x₁≥0

˙ -

x₁= 5 8 x₁≤50

c, x1= 50

˙ x1=−2

7 x1≥0 b, x₁= 0

-

˙ x₁= 0 4 x₁≥0

˙ -

x₁= 5 3 x₁≤50

c, x1= 50

˙ x₁=−2 2 x₁≥0

b, x1= 0

- -

Fig. 5.10 – Restriction du comportement normal H₀

AHR initialisé. Nous rappelons que dans ce cas chaque changement de flux d’une va- riable entre deux sommets implique une réinitialisation de cette variable. La vérification de ces deux hypothèses est nécessaire pour l’application de notre méthode de test de la diagnosticabilité, tandis que l’application de notre procédure de diagnostic nécessite uniquement la vérification de la première hypothèse.

Nous allons vérifier ces hypothèses sur le modèle du système de chauffage de liquides décrit dans l’exemple 5.3.1. L’automate hybride rectangulaire présenté dans la figure 5.7 vérifie les spécifications énumérées ci-dessus, si l’on considère la partition de défauts Σf = F1∪F2, où F1 ={f uite} et F2 ={blocage_V₁}. La fonction de répartition ϕest définie comme suit :

ϕ(q) =











0, si q ∈ {1,2,3}, 1, si q ∈ {4,5,6}, 2, si q ∈ {7}.

Dans ce qui suit, nous vérifions que le modèle considéré satisfait les hypothèses H₁ et H₂ :

1. H₁ est satisfaite par le modèle. Il suffit de remarquer que dans les deux cycles du modèle, l’horloge x₂ (1) admet la dynamique x˙₂ = 1 dans tous les sommets, (2) est remise à zéro dans les transitions sur l’événement s₂ et (3) admet la va- leur 40 comme une borne inférieure dans la garde de chaque transition associée à l’événement u (ainsi, dans chaque exécution d’un cycle s’écoule au moins 40 u.t.).

2. H2 est satisfaite par le modèle. En effet, le modèle du comportement normal, constitué par les sommets 1, 2et 3correspond à un AHR initialisé.

No documento Diagnostic à base de modèles des systèmes temporisés et d’une sous-classe de systèmes dynamiques hybrides (páginas 135-138)