Processus d'identification de propriétés de sécurité-innocuité vérifiables en ligne pour des systèmes autonomes critiques

Les progrès récents dans la définition de mécanismes décisionnels ont permis de déléguer de plus en plus de responsabilités aux systèmes informatiques. Par exemple, des robots de service travaillent aujourd'hui en interaction avec l'humain et réalisent des tâches de plus en plus complexes. Ce transfert de responsabilité pose alors de manière critique le problème de la sécurité pour l'homme, l'environnement du système, ou le système lui-même. La surveillance en ligne par un moniteur de sécurité indépendant vise à assurer un comportement sûr malgré la présence de fautes et d'incertitudes. Un tel moniteur doit détecter des situations potentiellement dangereuses afin d'enclencher des actions de mise en état sûr et d'éviter les défaillances catastrophiques. Cette thèse traite de l'identification de conditions de déclenchement de sécurité permettant de lancer des actions de mise en état sûr. Un processus systématique permettant d'identifier de telles conditions est défini, en partant d'une analyse de risque HazOp/UML du système fonctionnel. Par ailleurs, une méthode est proposée pour identifier les états du système où des actions de sécurité peuvent être enclenchées simultanément, afin d'être revues et corrigées, en cas de besoin, par un expert du système. L'approche proposée est appliquée à un robot déambulateur.Recent progress in the definition of decisional mechanisms has allowed computer-based systems to become more and more autonomous. For example, service robots can nowadays work in direct interaction with humans and carry out increasingly complex tasks. This transfer of responsibility poignantly raises the issue of system safety towards humans, the environment and the system itself. System surveillance by an independent safety monitor aims to enforce safe behaviour despite faults and uncertainties. Such a monitor must detect potentially dangerous situations in order to trigger safety actions aiming to bring the system towards a safe state. This thesis addresses the problem of identifying safety trigger conditions. A systematic process is proposed for the identification, starting from a HazOp/UML risk analysis. The proposed methodology also allows the identification of system states in which multiple safety actions might be executed concurrently, in order to be checked and, if necessary, corrected by a system expert. The methodology is applied to a robotic rollator

Processus d'identification de propriétés de sécurité-innocuité vérifiables en ligne pour des systèmes autonomes critiques

TOULOUSE3-BU Sciences (315552104) / SudocSudocFranceF

Introduction à la synthèse de superviseur

La théorie du contrôle par supervision (Supervisory Control Theory, SCT), ou synthèse de superviseur, a été inventée en 1987 par P.Ramadge et W.M.Wonham. La SCT s'appuie sur la théorie des langages, et a recours aux machines à état. Elle vise à synthétiser un superviseur correct par construction, qui veille à ce que le comportement d'un système à événements discrets reste admissible vis-à-vis d'une spécification. La synthèse requiert la modélisation du système à contrôler et de la spécification, et ne donne qu'un modèle pour la commande, qu'on appelle superviseur. La spécification peut être de type fonctionnel ou non-fonctionnel (par exemple des propriétés de sécurité-innocuité). Le système à contrôler a des actionneurs et des capteurs. La spécification restreint les possibilités en interdisant certaines séquences d'actions/observations. Comme une observation provient de l'environnement, le superviseur ne peut pas l'interdire, il ne peut inhiber que des actions. Sa conception nécessite donc la connaissance d'un modèle du système. La recherche des actions à interdire est faite automatiquement par un algorithme de synthèse. Le superviseur ne doit pas être confondu avec le contrôleur. Un superviseur est ici un objet théorique, qui peut inhiber, interdire des actions, mais ne prend pas l'initiative de les déclencher. Le superviseur n'est donc pas directement implémentable ; il peut être considéré comme une spécification ou un sous-ensemble du contrôleur qui, lui, a l'initiative des commandes. Ce document a pour but d'exposer les principes théoriques de la synthèse de superviseur, et de donner des pistes en vue de l'implémentation du contrôleur. Le cadre théorique est défini dans la section 2. La section 3 expose les principes de la synthèse. Des exemples sont traités en section 3, notamment en utilisant l'outil de synthèse TCT. La section 4 s'intéresse à l'implémentation du superviseur de Wonham