24 septembre 2009 ConecsSdF : Co-design de systèmes commandés en réseau et sûrs de fonctionnement 1 Présentation de lAction ConecsSdF Co-design de systèmes

24 septembre 2009ConecsSdF : Co-design de systèmes commandés en

réseau et sûrs de fonctionnement 1

Présentation de l’Action

ConecsSdFCo-design de systèmes

commandés en réseau et sûrs de fonctionnement

Paris, 24 septembre 2009Animation de la journée :

Christophe Aubrun (CRAN, Nancy), Laurent Cauffriez (LAMIH, Valenciennes)Jean-Marc Thiriet (GIPSA-Lab, Grenoble)



• Excusés– E. Benoit (Annecy)– F. Lepage (Nancy)– S. Lesecq (Grenoble)– M. Robert (Nancy)



Pourquoi cette journée

• Fédérer les communautés autour d’un projet commun

• GdR MACS 2010– ARC– S3

• Echanger, discuter• Incubation d’idées et de projets



Co-design réseau et diagnostic/SdF

Co-conception

ContraintesdynamiqueRéseau

Adaptation Diagnostic

Réseau

Diagnostic

Adaptation Réseau

ContraintesdynamiqueDiagnostic

Co-conception

ContraintesdynamiqueRéseau

Adaptation Diagnostic

Réseau

DiagnosticSdF

Adaptation Réseau

ContraintesdynamiqueDiagnostic

ANR : SafeNECSGroupe SEE 18.04 CIAME



Exemple : Transport

Communication véhicule infrastructures, inter-véhicules, intra-véhicules

Applications routières et ferroviaires

PLATA (Plateforme télématique multistandard pour l’automobile) projet ANR-VTT-08 (2009-2011)

Technos actuellement d’intérêt :

WIFI, WIMAX



Programme de la journée• 9h30 Accueil• 9h45 Présentation-objectif de la journée• 10h00 « Approche de sûreté de fonctionnement pour des systèmes sans fil : le cas de Galiléo », Julie

Beugin, Juliette Marais (INRETS)• 10h35 “Monitoring of train to ground communication for train control application”, Jean Noel Vetillard

(ALSTOM)• 11h10 Pause • « La problématique du co-design pour les opérateurs d’énergie » • 11h20 « Un point de vue sur la conception conjointe commande et informatique temps-réel », Daniel

Simon (INRIA Rhône-Alpes, Grenoble)• 11h55 « Diagnostic robuste dans les systèmes contrôlés en réseaux » Fawaz Khaled (LAGIS, Lille) • 12h30 Pause-repas• • 14h00 « Réseau et diagnostic distribué, Adaptation du réseau et de l'architecture aux besoins du

diagnostic distribué » Amine Mechraoui (GIPSA-Lab, Grenoble) • 14h35 « Co-design approaches to dependable networked control systems » Christophe Aubrun (CRAN,

Nancy)• 15h10 Pause • 15h15 Table-Ronde « Co-design de systèmes commandés en réseaux Sûrs de Fonctionnement »• 17h15 Fin



Table ronde

-Travail « collectif » (benchmark)-Actions collectives (sessions,

projets…)-…



• Pour la table ronde, ne pourrait on pas ouvrir vers une proposition de cas d'étude (ex: systeme steer-by-wire ou autre) ?



Organisation

Animation C. Aubrun (CRAN, Nancy)L. Cauffriez (LAMIH, Valenciennes)JM Thiriet (GIPSA-Lab, Grenoble)- Un comité de pilotage composé de 7 à 8 personnes (y compris les animateurs) - Un comité scientifique, dont la composition reste à définir, chargé de :• préparer les programmes des workshops, d'évaluer les papiers soumis pour ces

workshops, • positionner le GT à l'international (préparation de sessions pour les grandes

conférences du domaine, participation à des groupes internationaux : IEEE, IFAC)Méthodes de travail :- 3 réunions par an (sur 1 ou 2 journées)- Homework entre les réunions + échange mails- Livrables- politique d'animation de notre "action" : sessions invitées, écoles d'été, workhop

et autres en fonctions des idées



Les besoins et verrous (ex : transports)

• Les besoins des applications ferroviaires ou routières :– Mobilité– Continuité de service– Routage de l’information– Interopérabilité– QoS et bande passante

• Verrous que nous voyons approcher– Sûreté de fonctionnement (traité pour certains aspects par

l’équipe localisation/navigation, besoins dépendants de l’application cible)

– Système sûr et télécom– Adaptabilité, reconfigurabilité



Enjeux: SdF des systèmes complexes (1)

Transports

1er verrou scientifique : Nature des systèmes

nombre

technologiquecomposants

étatsintégration

stochastiquefonctionnelle

structurelle

Systèmes complexes comportementale

Qu’est ce que ça fait?

Qui fait quoi avec qui?

Qu’est ce que ça devient?De quoi c’est fait?

Systèmes implexes (ou compliqués):Relations d’arborescence (hiérarchiques) entre des entités élémentaires en grand nombre

Systèmes complexes:Entités moins nombreuses mais avec des inter-relations de type « rétromettance »càd l’existence de fonctions réentrantes et de rebouclages



Actuator

Controller

Physical Plant

Control Network

Sensor

ControlReconfiguration

Fault diagnosis

La FTC conduit à une autonomie des sous-systèmes afin d’éviter la défaillance totale du système global lorsque le réseau n’est plus complètement opérationnel.

Il s’agit, dans ce contexte de développer des méthodes de diagnostic/commande tolérantes aux fautes (FDI/FTC) qui considèrent le réseau comme une composante susceptible d’être défaillant au même titre que les autres sous-systèmes (capteurs, actionneurs, procédés).

Commandes des systèmes contrôlés en réseaux tolérants aux défauts



Systèmescomplexes

Sûreté de fonctionnement

LGP Tarbes

Équipe : PAConception,pilotageSystèmes industriels

LAI LyonSdF des SAPÉvaluation des performances

LAP Bordeaux

Équipe ADS :Modélisation des SAPAnalyse de dysfonctionnement

LURPA CachanÉquipe : ISASdF, PerformancesSystèmes de commandediscrets

LAAS Toulouse

Équipe : SINCConception d’architectureinformatiqueSdF des systèmesinformatiques

Évaluation des indicateurs caractéristiques de la SdF

GIPSA-Lab Grenoble

LAGIS Lille

Équipe : SFSDTolérance aux fautesConception de systèmesIntelligents distribuésDétection décentralisée

CRAN Nancy

Équipe : SurfDiagConception, exploitationSystèmes complexesSdF

LISTIC Annecy

Outils pour la Spécification,Conception de systèmesd’informations

LCIS Valence

Méthodes, outils, validation,aide à la conception de Systèmes complexes

Méthodologies pourl’analyse de la SdF

LM2S Troyes

LAMIH Valenciennes

Équipes : SP

Fraunhofer IVI Dresden

Systèmes ferroviairesSdF

INSA LyonModélisation des réseauxde communication

GDR MACS GDR HAMASYT GRAISYHM GRPPROSPERRTP 20, 21, 55S3

ST2Projet européen

IMdR/SdFINRSINERISINRETS

CEAEDF/DER

+

Conception

Positionnement



CIAME

Positionnement de la thématique (1)

GDR Automatique

, S3, MACOD

NationalAS

Conception de systèmes commandés en réseaux.

IAR/ICD

Projet Nects

Transports

BOMBARDIER

ALSTOM

RATP, SNCF ...

Renault, PSA, Bosch,

Daimler

Cisit (NdPC)

??

Graisyhm

(NdPC)??

Régional

CONECTSdFEurope

Transfert

ANR Safenecs



Labos intéressés• - CRAN : Centre de Recherche en Automatique de Nancy• - A3SI, Arts et Métiers ParisTech• - GIPSA-Lab : Grenoble Images Parole Signal Automatique• - HEUDIASYC : Heuristique et Diagnostic des Systèmes Complexes• - Institut Charles Delaunay – ICD• - INRIA – RA• - LAAS : Laboratoire d'Architecture et d'Analyse des Systèmes• - LAGIS : laboratoire d'Automatique, Génie Informatique et Signal• - LAMIH : Laboratoire d'Automatique et de Mécanique Industrielles et

Humaines• - LCIS : Laboratoire de Conception et d'Intégration de Systèmes• - LORIA : Laboratoire Lorrain de Recherche en Informatique et ses

Applications

• - INERIS, (Institut National de l'Environnement industriel et des RIsques)• - INRS (Institut National de Recherche et de Sécurité)• - INRETS (Institut National de Recherche sur les Transports et leur

Sécurité)



• Journée ARC/S3 « Co-design de systèmes commandés en réseau sûrs de fonctionnement »– Mercredi 10 juin 2009, à Paris (ENSAM, Bd

de l’Hôpital, à confirmer…)



ARCHIVES



Plan

• Objectifs – Problématique scientifique• Enjeux• Outils et méthodes• Positionnement de la thématique• Pourquoi un groupe de travail

– Résultats escomptés– Retombées possibles (enseignement, transfert

industriel)• Organisation

– Groupe de pilotage– Méthodes de travail



Objectifs – Problématique scientifique

• Démarche de conception d’un système commandé en réseau sûr de fonctionnement

• Contraintes de sûreté, de performance, contraintes temporelles, logicielles, matérielles et technologiques

• Exigences de fiabilité, de disponibilité, de sécurité et de maintenabilité • Exigences de sécurité globale • Méthodes de co-design de système

– contraintes de sécurité (approche hors ligne) – méthodes de détection et de localisation de défaillances, et de

reconfiguration du système et de l'architecture (approche en ligne) ou de ses objectifs

– contraintes de Temps Réel/Temps Critique • Caractère générique de la méthodologie à élaborer • Cas des systèmes mécatroniques embarqués en automobile (In-Vehicle

networks, Fault tolerant Drive-by-wire system) • Systèmes de transport ferroviaires

– Evaluation du niveau de SIL global (Safety Integrated Level)




Transports

2ème verrou scientifique : Études de sûreté

• Accidents arrivant en exploitation rarement envisagés lors des études de sûreté menées en conception

• Cahier des charges fonctionnel généralement restreint à la mission principale

• Études de sûreté généralement faites pour la mission principale

• Études peu approfondies pour les missions secondaires et techniques

• Dynamique fonctionnelle rarement étudiée

• Approche systémique rarement utilisée (flux matière, énergie, information, psychologiques)

• Méthodes classiques communiquent peu entre elles

• Hypothèse erronée des taux de défaillances constants (structure parallèle, vieillissement)

« Les études de sûreté sont pauvres et ne détectent pas les problèmes réels » [Ligeron,03]

Études insatisfaisantes



Quelques Activités Télécom de l’INRETS-LEOST

Communication véhicule infrastructures, inter-véhicules, intra-véhicules

Applications routières et ferroviairesCommunication sans fil :

•Travaux sur l’optimisation de la couche PHY et la radio logicielle (notamment Marion Berbineau)

•Travaux sur les intergiciels (Christophe Gransart)

•Travaux sur la couche MAC et sans doute à venir couche réseau, simulation sous Opnet (Martine Wahl)

Travaux actuels sur le handover – besoins en disponibilité

PLATA (Plateforme télématique multistandard pour l’automobile) projet ANR-VTT-08 (2009-2011)

Technos actuellement d’intérêt : WIFI, WIMAX, LTE



Pourquoi un groupe de travail (1)

Exploitation

Conception Sûreté de fonctionnement

Réseaux sûrs

Complexité

Modélisationsystémique

Pronostic

Diagnostic

Reconfiguration




Maîtrise de la complexité des systèmes

Utilisation des méthodes d ’analyse pour améliorer la sûreté de fonctionnement

Modélisation Conception intégrée

ReconfigurationPronostic

DiagnosticDiagnostic Reconfiguration




Modèles Partie-Tout (1)

• Modéliser les systèmes complexes et les réseaux: prédire la fiabilité globale à partir de celle des parties

• Modèle pour l’aide à l’exploitation diagnostic/pronostic

• Reconfiguration de systèmes commandés en réseaux sûrs




Retombées : Exemple d’attentes industrielles

• Modèle pour la quantification de niveaux SIL (safety integrated level) de systèmes intégrés de transports guidés (RATP, SNCF…)

• Evaluation de sécurité fonctionnelle d’un système mécatronique embarqué X-by-wire (Bosch, Daimler…)




Transports

Exemple de la Fonction « Communiquer » qui est un BERCEAU de la rétromettance

Mesurer_1 (VP, VC)

Décider_1 (VP, VC)

Agir_1 (VP, VC)

Mesurer_n (VP, VC)

Décider_n (VP, VC)

Agir_n (VP, VC)

CommuniquerID_Dat_VP RP_Dat_VP

RéseauID_Dat_VC RD_Dat_VC

Contributions:

Étude d’intégrité et de cohérence temporelle des informations échangées [CIAME, 04] Viabilité de l’information pour la prise de décision dégradée Proposition d’une méthodologie de Codesign et du formalisme SAFE-SADT pour la conception de systèmes d’automatisation sûrs de fonctionnement [HDR Cauffriez,05] AMDE de la fonction « Communiquer » selon approche modèle OSI réduit [CIAME, 09] Effets de la défaillance de la fonction Communiquer sur le système automatisé




Mission principale

Modes de fonctionnement:

nominaux/dégradés Services élémentaires

Macro-fonctions

Entitématérielle

Fiable, disponible, maintenableEntitélogicielle

Fiable, disponible, maintenable

Service rendu (VC, VP)Fiable, disponible, maintenable

Architecture fonctionnelle« Functional Requirement

Specification FRS » Décomposition

en fonctionssecondaires et techniques Codesign



Outils et méthodes (Etat de l’art)

Thèmes

Travaux recensés Positionnement

Instrumentationintelligente et réseauxde terrain

Conception d’applicationdistribuée

Définition et modélisation de capteurs actionneurs intelligentsApparition de profils de communication [Bayart,93][Benoit,0][Robert,93][Staroswiecki,96][Thomesse,99]...

Garantir une qualité de service

Garantir les exigences d’inter-opérabilité, interfonctionnement,interchangeabilité

Définition de services et nouveaux protocoles [Decotignie,02] [Juanole,02][Kopetz,02]

[Thomesse,99]

Analyses de la sûreté des systèmes complexes

Fiabilité dynamiqueSimulation de Monte Carlo[Dubi,00] [Labeau,00] [Labeau,02]Réseaux Bayésiens [Becker,99] [Lin,97][Weber,08]UML [Booch,00] [Hasan,02]Méthode B [Abrial,02]

Apports formels, méthodologiques et conceptuels pour l’analyse des systèmes complexes

Modélisation et description d’architecture opérationnelle[Simonot-Lion,99][Elloy,02][Migge,00]...Définition d’outils logiciels [Son,03]

Validation aspects fonctionnels, temporels, interopérabilité, dimensionnement, performanceImplémentation, configuration et test d’applications distribuées Évaluation du niveau de sûreté

d’applications distribuées [Barger,02] [Conrard,04][Juanole,95][Thiriet,04]…Validation des aspects sûreté,

sécurité, qualité et conformité normativePrise en compte des contraintes

réseau lors de la synthèse des lois de commande [Aubrun,08] [Georges 06]

Reconfiguration/diagnostic–systèmes distribués-Méthodes d’analyses réseaux



Diagnosis of distributed systemsApplication to (radio)-localisation

Suzanne LESECQHead of Research Team « SA-IGA »

Signal and Automatic for diagnosis and supervision

GIPSA-Lab, Grenoble



SAIGA main research interests

• Supervision and Diagnosis in biomedical applications– e.g. detection of epileptic event and crises

arising during the night– Automatic sleep disorder detection– …




• Diagnosis of industrial processes – With signal processing techniques

• Source separation approach• Time-frequency approach

Fault signature in the frequency band [ 220 Hz , 245 Hz ]

GOTIX Test Benchhttp://www.gipsa-lab.inpg.fr/gotix

Fault generation on a mechanical system driven by a three-phase induction machine of 55 kWAcquisition of 20 synchronous measures: accelerations, currents, voltages, torques, velocities ...Database downloadable from the website

Avalanche detec.




• Diagnosis of industrial processes – With analytical models

• Diagnosis of distributed systems

Windmill Based Network: (WBN)

Farm Based Network: (FBN)

Park Based Network: (PBN)

Distant Supervision Network: (DSN)

WM 1.1

WM 1.2

WM 1.3

Farm 1

Choice of Protocole: Ethernet, Fieldbus, ZigBee, Wi-fi etc. …

Farm 2

Farm 1

WM 1.1

WM 1.2

WM 1.3

WM 2.1 WM 2.2

WM 2.3

WM 3.1

WM 3.2

WM 3.3

Farm 3

Park 2

Park 1

Park 3

Choice of Protocole: Ethernet, Wi-fi etc. …

Choice of Protocole: WiMAX, GPRS etc. …

Choice of Protocole: WiMAX, UMTS, GPRS, satellite, etc.…

Level 1: WindMill Based Network: (WBN), at the LAN/WLAN level

Spatially distributed actuators/sensorsDistributed control

Wire and/or wireless communication architectures

Interconnected windmills extra faults

Faults at the windmill level




• Diagnosis of network controlled systems– Influence of the network on the FDI algorithms– Modification of FDI algorithms to take into account

data loss or/and data desynchronization» Test bench: quadrotor (control & FDI)

Local Control

Motor speed

Micro-controller (ASIC-Silicon Laboratories

µC+ADC+bus) Speed sensor

Motor~100Hz

C

AN

ne

two

rk

Micro-controller (type MPC555 with Unix)

1 fo

r ea

ch m

otor

Motor speed Set points

Motors speed

Motor speed set points

9 measures4 motors speed

Voltage

9 measuresMicro-controller (ASIC or more)

~50-100 Hz 9 measures

Attitude central

Controller/observer/diagnosis

50 H

z

Control & Diagnosis block diagram(Orccad platform, INRIA)



Example: Attitude estimation with low cost devices (faults…)

Inertial Measurement Unit (IMU)(memsense) N

etw

ork

IMU diagnostic module

Rotor speed sensor 4

9

Data lossDelayed data

Power supply …




•Diagnosis of sensor network (large amount of data)

Environmental monitoring (animal habitats (e.g. Strasbourg, France), migration, forest fires, natural disasters …)Environmental toxin detectionBuilding monitoringVehicle traffic monitoring & controlRemote site power substation monitoringRemote site patient medical monitoringSmart home

Ref: F.L. Lewis, http://ARRI.uta.edu/acs

Various application areas



•Diagnosis of sensor network (large amount of data)

– data fusion

– Computation distribution– Power consumption limitation– (life duration)– … Ref: Rapid Deployment with Confidence: Calibration and Fault

Detection in Environmental Sensor NetworksNithya Ramanathan, et al.Center for Embedded Networked Sensing, UCLADepartment of Civil and Environmental Engineering, MIT

Local fusion

Local fusion

Local fusion

… Reliable global information? Need for FDI techniques

Sensor faultBroken communicationData delaysData desynchronisation



• Application to (radio)localisation– Wireless applications (Non Line Of Sight pbs)– Multi-sensor modality data

• IMU, radio

– Indoor applications • Smart homes, museums,…

– Data loss– data desynchronisation– Faults at various level …

Ref: An Advanced Wireless Sensor Network for Health MonitoringG. Virone, et al.Department of Computer Science, University of Virginia



To conclude

• Needs for further research

FDI through networks

Distributed (controlled) systems

Network controlled systems(wire, wireless, various technologies)Fault Tolerant Control

Sensor networks• Fusion (computation distribution,

energy consumption, …) ?• Data loss: dynamical model between

data / measurements ?• Raw data / high level information

transmission ?• FDI (sensor, link, …)• Fault Tolerant Reliability

(estimates robust against faults & data losses)

Automatic interpretationAlarm filteringMobility

Self reconfigurability



Distribution de la FDI surveillance locale, surveillance du système distribué

intégrant les erreurs liées au réseau

• A Strategy for Fault tolerant Control in Networked Control Systems in the presence of Medium Access Constraints

• C. Kambhampati, S. Klinkhieo and R. J. Patton• Proceedings of the European Control Conference 2007• Kos, Greece, July 2-5, 2007



Pavol Barger

• Intégration d'exigences extra-fonctionneles pour la conception des systèmes embarqués orientés transport– Sécurité (innocuité)– Sûreté de Fonctionnement

• projet ANR RNTL Memvatex– Diagnosticabilité

• Preuves de propriétés des modèles– Diagnostique d'un modèle RdP Colorés

• accessibilité arrière [Bouali 09][Bouali 09] – M. Bouali, P. Barger, W. Schön, Colored Petri Net inversion for Backward

Reachability Analysis, 2nd IFAC Workshop on Dependable Control of Discreet Systems, Bari, Italie, juin 2009



BC : Du processus au Système d'Automatisation

• Conception d'un Système d'Automatisation :

• Premières phases de conception :

?

? ?

Réguler Réguler

Déterminer :1. Archi. matérielle 2. Archi. logicielle

Critères :1. Coût matériel

2. Sûreté de fonctionnement

Déterminer de potentielsarchitectures

• malgré des informations parcellaires, imprécisesou incomplètes

• en vue de vérifier l'intérêt économique



Du processus au SdA

• Démarche de conception préliminaire :Description des

points potentielsd’instrumentation

Alternatives deréalisation

Spécification dela sûreté de fonc.

souhaitée

dispo malgré 1 panneou <10-3 h-1

ou A(t) > 90%ou R(t) > 75% ou SIL > 3 …

…

Optimisation

1

0

2

Système final

- à coût minimal- respectant la SdF

demandée grâce à l'utilisation de redondance (mat./anal.)et de possibilités de reconf.

1

• Q1 contrôlablepar A1 ou (A2 et A3)• Q2 mesurablepar C1 ou C2 …



Du processus au SdA• Besoins méthodologiques :

– Métrique pour la SdF :Comment quantifier la SdF malgré des informations parcellairesUtilisable comme grandeur de spécification (ex. : SIL > 2) Solution potentielle : niveau de tolérance aux pannes

– Evaluer la SdF :Comment évaluer la SdF pour de nombreuses solutions à comparer

– Quel modèle et pour quel système• modélisation du processus ou du système d'automatisation• adapté à une conception préliminaire (faible quantité de données)• intégrant directement ou indirectement des alternatives de

réalisation• intégrant l'aspect dysfonctionnel (effet d'une défaillance)

– Déterminer les alternatives de réalisation :intégrant des possibilités de détection de fautes, de reconfigurationSolution potentielle : modélisation et analyse structurelles

– Identification des traitements : régulateurs, RRA, observateurs…

– Outils d'optimisation : algo. exhaustif ou stochastique…– …



CS

• Evaluation prévisionnelle de paramètres de SdF– Performance d'un NCS (méthodes et paramètres)– Performance des réseaux– Niveau de performance du réseau pour contribuer à celle du

système commandé

• Méthodes d'évaluation probabilistes ou quasi-probabilistes efficaces– Formelle– Simulation

• Interaction Sureté de Fonctionnement-diagnostic-Contrôle commande de NCS

Documents

24 septembre 2009 ConecsSdF : Co-design de systèmes commandés en réseau et sûrs de fonctionnement 1 Présentation de lAction ConecsSdF Co-design de systèmes