Equipe 1 : Sûreté de fonctionnement des composants et des systèmes industriels

Le renforcement des politiques de prévention des défaillances tend à sensibiliser tous les secteurs, de la formation scientifique des individus aux processus de production. De très nombreux décrets tentent, en Tunisie, de promouvoir et de mettre en application des directives en matière de surveillance des systèmes de production en vue de leur sécurisation. En accord avec cette politique, notre proposition porte sur l'amélioration de la surveillance des systèmes, en proposant une formation des jeunes chercheurs par la recherche des nouveaux outils et méthodes dans le domaine de la sureté de fonctionnement des systèmes de production.

Les principaux objectifs de ce projet sont:

• développer des méthodes d'estimation d'état et de diagnostic de systèmes mal connus, c'est-à-dire à modèles mal définis et à mesures incertaines.
• faire émerger l'unité des concepts mis en œuvre pour établir un corpus scientifique cohérent relatif à la conception intégrée de systèmes sûrs de fonctionnement.
• optimiser les méthodes existantes et développer de nouvelles approches permettant de répondre aux exigences croissantes de sûreté de fonctionnement pour des systèmes de plus en plus complexes.

La sûreté de fonctionnement est, par essence, interdisciplinaire et possède un très large spectre aussi bien au niveau des méthodes mises en œuvre que des domaines d'application concernés. Caractérisant l'aptitude à assurer un service spécifié, la sûreté de fonctionnement est définie formellement comme la "qualité du service que le système délivre, de telle sorte que les utilisateurs puissent lui accorder une confiance justifiée". Un système sûr de fonctionnement évite ou supprime le danger et maintient le processus dans un état de fonctionnement sans défaillance pour lequel le niveau de confiance reste maximal.

Ce projet s'articule autour de quatre axes dont les actions sont présentées ci-dessous.

Le diagnostic est primordial dans de nombreux domaines applicatifs, par exemple pour la surveillance des installations industrielles, ou encore dans le contexte de l'autonomie des satellites.

Les méthodes de surveillance et de diagnostic à base de modèles linéaires ont maintenant atteint, après une vingtaine d'année de développement, une certaine maturité. Cependant, la linéarité des modèles de représentation du processus à surveiller consiste en une hypothèse forte qui limite la pertinence des résultats que l'on peut obtenir. L'extension directe des méthodes développées dans le contexte des modèles linéaires au cas des modèles non linéaires quelconques est délicate. En revanche, des résultats intéressants ont d'ores et déjà été obtenus si la démarche de modélisation s'appuie sur l'utilisation d'un ensemble de modèles de structures simples, chaque modèle décrivant le comportement du système dans une "zone de fonctionnement" particulière (définie par exemple, par les valeurs d'entrées ou l'état du système). Dans ce contexte, l'approche multimodèle qui consiste à élaborer le modèle global par interpolation de modèles locaux linéaires a d'ores et déjà produit des résultats intéressants.

Les méthodes conventionnelles permettant d'automatiser la surveillance de systèmes complexes se classent généralement en deux grandes catégories :

- les approches qui se fondent sur l'utilisation d'un modèle de comportement construit à partir de la physique du système ou d'une expertise humaine (méthodes internes).

- les approches qui supposent que la connaissance disponible sur le système se limite à son observation passée et présente (méthodes externes). Ces méthodes supposent qu'aucun modèle n'est disponible pour décrire les relations de cause à effet (modèle de fonctionnement du processus). La seule connaissance repose sur la mesure de signaux prélevés sur l'installation à surveiller.

Pour les méthodes internes, les performances de la procédure de diagnostic en termes de détection et localisation de défauts dépendent directement de la qualité du modèle utilisé. Pour éviter ces difficultés liées à la qualité du modèle du système, une alternative consiste donc à utiliser des méthodes externes s'appuyant sur des signaux mesurés issus du système à surveiller. Celles-ci sont bien adaptées à la mise en évidence de relations (linéaires) entre les variables du système sans formuler explicitement le modèle qui les lie. De plus, il semble plus aisé de prendre en compte, au sein de ce type de méthodes, des critères de détectabilité et d'isolabilité des défauts.

Cette action repose alors sur une architecture applicative qui, outre les fonctions nominales du système, met en œuvre des fonctions de détection, de localisation et de diagnostic des défaillances, de détection des changements de mode de fonctionnement (en particulier liées à des changements de comportement de l'environnement), ainsi que des fonctions de pronostic, d'accommodation des défaillances ou des agressions, de reconfiguration de la commande ou des objectifs, l'ensemble de ces fonctions leur assurant les caractéristiques de réactivité souhaitées. On appelle FDIR, Fault Detection, Isolation and Recovery ou FTC, Fault Tolerant Control, l'ensemble des mécanismes de l'application destinés à assurer la sûreté de fonctionnement. Cette approche s'intéresse aux mécanismes propres à l'application et qui doivent être développés pour chacune de façon spécifique, mais également aux mécanismes exécutifs destinés à assurer la sûreté de fonctionnement de l'architecture opérationnelle, redondance active ou passive des moyens de calcul ou de communication, réaffectation, re-ordonnancement des taches sur les processeurs, cohérence des différentes répliques d'une variable partagée, respect des échéances temporelles, etc.

Un système tolérant aux défauts se caractérise par son aptitude à maintenir ou retrouver des performances en dysfonctionnement (dynamiques ou statiques) proches de celles qu'il possède en régime normal de fonctionnement. De nombreux travaux pour garantir un certain degré de "tolérance" aux défauts sont issus de techniques classiques de commande robuste (approches dites "passives"). Récemment, on assiste à une effervescence des approches dites "actives", qui se caractérisent par la présence d'un module de diagnostic (FDI Fault Detection and Isolation). En fonction de la sévérité du défaut, un nouvel ensemble de paramètres de commande ou une nouvelle structure de commande peuvent être appliqués après que le défaut ait été détecté et localisé.

Dans la littérature, peu de travaux ont considérés les délais associés au temps de calcul des commandes. Après l'apparition du défaut, le système défaillant fonctionne sous la commande nominale jusqu'à ce que la commande tolérante au défaut soit calculée puis appliquée ; pendant cette période, le défaut peut causer une perte sévère des performances et stabilité du système.

En conception, les avancées significatives portent sur la garantie de la réduction du risque en présence d'une situation dangereuse par la mise en œuvre de systèmes de securité actifs. Celle-ci s'appuie sur l'exploitation de bases de données de fiabilité, la prise en compte de coefficients d'influence et la propagation d'incertitudes. Le point clef concerne la prise en compte des incertitudes relatives aux données de fiabilité des composants pour l'évaluation de la sûreté de fonctionnement en utilisant en particulier les théories des sous-ensembles flous, des possibilités ou de l'évidence. La cible privilégiée de ces études a été les Systèmes Instrumentés de Sécurité pour lesquels les exigences en matière de sureté de fonctionnement sont primordiales. L'étude des performances de sûreté de fonctionnement des systèmes de protection à intégrité élevée, peut être réalisée par des modèles markoviens qui apportent une bonne formalisation des états que peuvent prendre ces systèmes en fonction des évènements rencontrés (défaillance, test, maintenance,…) et des paramètres étudiés (taux de défaillance, maintenabilité, défaillance de cause commune,…).