Contribution à la commande sûre des Systèmes à Événements Discrets

Les activités de recherche rentrent dans le spectre de la section 61 du CNU et ont pour domaine l’Automatique des Systèmes à Événements Discrets (SED). Elles sont conduites en vue d’accroître la sûreté de fonctionnement des systèmes automatisés comme ceux qu’il est possible de trouver dans le cadre de la production manufacturière, de la production d'énergie ou du transport. Une grande partie de ces recherches a concerné la conception sûre des systèmes de contrôle-commande à base d’Automates Programmables Industriels (API) et plus particulièrement les thématiques suivantes :- la vérification formelle de programmes de contrôle-commande,- la synthèse algébrique de programmes de contrôle-commande à partir de spécifications informelles,- le test de conformité d’un contrôleur logique vis-à-vis de sa spécification.D'autres recherches ont porté sur la formalisation des outils pour l’analyse de sûreté, utilisés dans le cadre de l’analyse prévisionnelle des risques d’un équipement ou d’une installation industrielle. Cette formalisation des outils utilisés en sûreté a été faite en examinant avec un point de vue SED une problématique qui ne l’était pas à son origine. Il a été étudié :- la modélisation algébrique des arbres de défaillances dynamiques,- l’analyse prévisionnelle des risques d’un point de vue qualitatif pour les systèmes réparables à partir de Boolean logic Driven Markov Processes (BDMPs),- l’analyse prévisionnelle des risques d’un point de vue quantitatif pour les systèmes réparables à l’aide de chaînes de Markov.D'une manière générale, ces activités de recherche ont pour objectif de proposer des apports formels ou méthodologiques à des outils de modélisation généralement issus de l’industrie tout en répondant à des besoins industriels déjà présents ou sur le point de le devenir

Gestion de procédures et prise en compte du danger lors de l'occurrence d'incidents combinés : Application à la supervision d'une ligne de métro

During metro line operations, the supervision operator is responsible for the procedures’ execution when referring to incidents management. However, when combined incidents occur, procedures may be competing. In this particular case, situations which do not ensure people’s safety exist and an accident might happen. Firstly, the approach of studying these procedures integrates their graphical representation with the BPMN notation. These procedures’ models, understandable and accessible, provide a significant amount of knowledge for industrials in this area. Secondly, these models are performed as Petri nets to add dynamic to the system of interest. That is why, the notion of controllability and the influence of the execution context are introduced in the study of incidents management procedures. To ensure people’s safety, forbidden states are defined and identified among the states space with the supervisory control theory. These states are characterized in an original way : depending on their inclusion in a set of states but also depending on the controllability of their outgoing transitions. In addition to this innovative characterization, algorithms allow to determine and to avoid forbidden states. Criteria distinguish the admissible sequences which avoid forbidden states. These differentiation criteria are defined to steer the supervision operator through the actions he has to execute when combined incidents occur. Results allow us to provide assistance to the supervision operator with warnings and advice. This study is based on ATS supervision system developed by Thales and one of their customers’ incidents management procedures, the RATP. A prototype of operator support functionality for incidents management based on customer know-how has been implemented into Thales software.Durant l’exploitation d’une ligne de métro, l’opérateur de supervision est responsable de l’exécution de procédures pour la gestion des incidents. Cependant, lors de l’occurrence combinée d’incidents, les procédures utilisées peuvent se retrouver en concurrence. Dans ce cas, des situations ne garantissant pas la sécurité des personnes existent et un accident peut se déclencher. La démarche d’étude des procédures intègre tout d’abord leur représentation graphique avec la notation BPMN. Ces modèles de procédure, compréhensibles et accessibles, constituent ainsi une base de connaissances pour les industriels concernés. Ces modèles sont ensuite interprétés sous forme de réseaux de Petri pour ajouter une dynamique au système étudié. La notion de contrôlabilité et l’influence du contexte d’exécution sont alors introduites dans l’étude de procédures de gestion d’incident. Afin d’assurer la sécurité des personnes, des états interdits sont définis et identifiés parmi l’ensemble des états accessibles par l’application de la théorie du contrôle par supervision. Ces états interdits se caractérisent de manière originale : suivant leur inclusion dans un ensemble d’états particuliers mais également suivant la contrôlabilité de leurs transitions sortantes. Cette caractérisation innovante s’accompagne des algorithmes permettant de déterminer et d’éviter les états interdits. Afin d’orienter l’opérateur de supervision dans les actions à exécuter lors d’incidents combinés, des critères de différenciation des trajectoires admissibles évitant les états interdits sont également définis. Les résultats obtenus permettent de proposer une assistance à l’opérateur de supervision sous forme d’alertes et de conseils. Cette étude se base sur le système de supervision ATS développé par Thales et sur les procédures de gestion d’incident de l’un de leurs clients, la RATP. Un prototype de fonctionnalité d’aide à l’opérateur pour la gestion des incidents reposant sur le savoir-faire client a ainsi pu être intégré au logiciel de Thales

Approche pour le développement de logiciels intégrant des concepts de qualité de service

In critical domains such as avionics, railways or automotive, to certify a system, it is required to demonstrate that it achieves its function, with respect to specified timing requirements. Indeed, longer-than-predicted function computing can make data erroneous, leading potentially to endanger people lives. Today, most approaches propose to ensure these Quality of Service requirements at platform level, e.g., through deterministic bandwidth, static time slots allocation and predefined scheduling. These constraints ensure applications can’t overpass allocated time slots; applications are then fed with requirements decoupled to their functionality. However, it shall be possible to certify timing requirements, dedicated to an application. Hence, guarantees at platform-level are not sufficient anymore. It should be possible to take into account these requirements from the stage of application design. Today, most of existing approaches in this domain, focus on supporting QoS at individual stages of the software development process, preventing requirements traceability. This thesis proposes a design-driven approach to supporting QoS throughout software development process, integrated in a tool-based methodology, namely DiaSuite. The QoS extension enriches the DiaSpec design language, with the capability to instantiate QoS requirements onto software components. A runtime execution support to monitoring these timing requirements, is then generated, directly from the specification. This thesis uniformly integrates timing concepts with error ones, around DiaSuite methodology, to propose a supervision layer that could lead to application reconfiguration in case of QoS contract violation. Contributions of this thesis are evaluated through respect of coherence and conformance critera, illustrated through a case study in avionics.Dans les domaines critiques tels que l’avionique, le ferroviaire ou encore l’automobile, il faut, afin de pouvoir certifier un système, démontrer qu’il réalise la fonction pour laquelle il a été conçu, selon des exigences temporelles spécifiées. En effet, un rendu temporel trop long peut rendre des données erronées, et ainsi mettre en danger la sûreté des personnes. Aujourd’hui, la plupart des approches proposent d’assurer ces exigences de Qualité de service au niveau des couches basses, e.g., au travers d’une bande passante déterministe, d’allocation statique d’intervalles de temps, et d’un ordonnancement prédéfini. Ces contraintes assurent que les applications ne peuvent dépasser le temps d’exécution alloué ; les applications récupèrent de ce fait des exigences qui sont découplées de leur fonctionnalité. En revanche, il faut aussi pouvoir certifier des exigences temporelles spécifiques à une application. De là, les garanties au niveau des couches basses ne sont plus suffisantes. Il faudrait pouvoir prendre en compte ces exigences dès la phase de conception des applications. Aujourd’hui, la plupart des approches existant dans ce domaine se concentrent sur le support de QoS à des phases isolées du processus de développement logiciel, empêchant la traçabilité des exigences. Cette thèse propose une approche dirigée par la conception pour supporter les exigences de QoS tout au long du processus de développement logiciel, intégrée dans une méthodologie outillée, appelée DiaSuite. L’extension de QoS enrichit le langage de conception DiaSpec avec la capacité d’instancier les exigences de QoS sur les composants logiciels. Un support de surveillance à l’exécution de ces exigences temporelles est ensuite généré, directement à partir de la spécification. Cette thèse intègre uniformément les concepts temporels avec les concepts de gestion d’erreurs, au travers de la méthodologie DiaSuite, afin de proposer une couche de supervision qui puisse effectuer une reconfiguration applicative, dans le cas de violation de contrat de QoS. Les contributions de cette thèse sont évaluées au regard du respect des critères de cohérence et de conformité, illustrés au travers d’une étude de cas dans le domaine avionique

Processus d'identification de propriétés de sécurité-innocuité vérifiables en ligne pour des systèmes autonomes critiques

Les progrès récents dans la définition de mécanismes décisionnels ont permis de déléguer de plus en plus de responsabilités aux systèmes informatiques. Par exemple, des robots de service travaillent aujourd'hui en interaction avec l'humain et réalisent des tâches de plus en plus complexes. Ce transfert de responsabilité pose alors de manière critique le problème de la sécurité pour l'homme, l'environnement du système, ou le système lui-même. La surveillance en ligne par un moniteur de sécurité indépendant vise à assurer un comportement sûr malgré la présence de fautes et d'incertitudes. Un tel moniteur doit détecter des situations potentiellement dangereuses afin d'enclencher des actions de mise en état sûr et d'éviter les défaillances catastrophiques. Cette thèse traite de l'identification de conditions de déclenchement de sécurité permettant de lancer des actions de mise en état sûr. Un processus systématique permettant d'identifier de telles conditions est défini, en partant d'une analyse de risque HazOp/UML du système fonctionnel. Par ailleurs, une méthode est proposée pour identifier les états du système où des actions de sécurité peuvent être enclenchées simultanément, afin d'être revues et corrigées, en cas de besoin, par un expert du système. L'approche proposée est appliquée à un robot déambulateur.Recent progress in the definition of decisional mechanisms has allowed computer-based systems to become more and more autonomous. For example, service robots can nowadays work in direct interaction with humans and carry out increasingly complex tasks. This transfer of responsibility poignantly raises the issue of system safety towards humans, the environment and the system itself. System surveillance by an independent safety monitor aims to enforce safe behaviour despite faults and uncertainties. Such a monitor must detect potentially dangerous situations in order to trigger safety actions aiming to bring the system towards a safe state. This thesis addresses the problem of identifying safety trigger conditions. A systematic process is proposed for the identification, starting from a HazOp/UML risk analysis. The proposed methodology also allows the identification of system states in which multiple safety actions might be executed concurrently, in order to be checked and, if necessary, corrected by a system expert. The methodology is applied to a robotic rollator

Actes de l'Ecole d'Eté Temps Réel 2005 - ETR'2005

Pdf des actes disponible à l'URL http://etr05.loria.fr/Le programme de l'Ecole d'été Temps Réel 2005 est construit autour d'exposés de synthèse donnés par des spécialistes du monde industriel et universitaire qui permettront aux participants de l'ETR, et notamment aux doctorants, de se forger une culture scientifique dans le domaine. Cette quatrième édition est centrée autour des grands thèmes d'importance dans la conception des systèmes temps réel : Langages et techniques de description d'architectures, Validation, test et preuve par des approches déterministes et stochastiques, Ordonnancement et systèmes d'exploitation temps réel, Répartition, réseaux temps réel et qualité de service