Cycles de vie d*un système productif identification et

Report
LGI2P - Vincent Chapurlat, Nicolas Daclin
ENS Mines Alès - Paul Chuche, Stéphane
Marzin, Philippe Vien
10ème Congrès International de Génie Industriel - CIGI13
EIGSI La Rochelle, 12-14 juin 2013
10ème Congrès International de Génie Industriel - CIGI13
EIGSI La Rochelle, 12-14 juin 2013
Contexte : la conception de systèmes complexes
techniques ou socio techniques
•
Hypothèse : adopter la démarche Ingénierie Système




•
(Pluri / multi / trans) (disciplinaire / métier) (collaborative)
Activités : (compréhension / formalisation (modélisation) / partage
/ justification) (problème / solution)
Basée sur des modèles : MBSE
Promouvant un concept ‘penser système’ et une approche
processus
Problématique : comment …
‘Penser à tous les états pertinents’ du système dans lesquels il doit,
si possible, remplir sa mission opérationnelle ?
Prendre
compte une
de notions
: système
à faire ou SOI,
 Faireen
émerger
architecture
fonctionnelle
? cycle de vie, mode
opérationnel, exigence, comportement, fonction, …
Refléter
efficacement
ces situations
durantsur
lesquelles
le système
doit
exhiber un
 S’assurer
ou, à défaut
se rassurer,
la cohérence
et la
pertinence
Passer
outre des freins ou limitations : incertitude tout au moins en phase
certain
comportement
de
l’ensemble
au regard
des seuls
modèles du
système dont on
amont
la conception,
environnement
généralement
mal connu ou caractérisé,
Faire ledelien
entre comportement
et fonctions
nécessaires
dispose
? ou deet‘méthode
pas
de ‘check-list’
pense bête’ pour s’en inspirer, …
Trouver
ces fonctions
les enchaîner

10ème Congrès International de Génie Industriel - CIGI13
EIGSI La Rochelle, 12-14 juin 2013
•
2
Aider à « oublier objectivement moins de choses »…




•
Associer des scénarios opérationnels à chaque mode
pour ébaucher l’architecture fonctionnelle globale
du SOI

•
Choisir et décrire les modes opérationnels du SOI
Argumenter ces choix
Permettre de caractériser, raffiner et enchaîner les modes
(conditions et événements externes comme internes)
Compléter / préciser le référentiel des exigences
techniques
Montrer ce que fait le système pour assurer sa mission ou,
à défaut, son maintien en conditions opérationnelles
Rendre alors intelligible et compréhensible le
comportement global du système
10ème Congrès International de Génie Industriel - CIGI13
EIGSI La Rochelle, 12-14 juin 2013
•
3
•
Vérifier que le comportement modélisé du SOI aboutit à la
réalisation de la mission opérationnelle : confiance et
MBSE
Exemples





Absence de blocage, d’erreurs de modélisation, …
La mission semble remplie en respectant des exigences
fonctionnelles comme non fonctionnelles (performance, sûreté, …)
Le SOI reste intègre face aux événements internes (défauts,
pannes, dysfonctionnements)
Le SOI anticipe ou s’adapte aux événements externes
(comportement non prévu d’un système à l’interface, réaction de
l’environnement, …)
Argumenter et justifier la cohérence de l’ensemble pour chaque
partie prenante du projet
10ème Congrès International de Génie Industriel - CIGI13
EIGSI La Rochelle, 12-14 juin 2013
•
4
Des définitions ?
« la confiance renvoie à une attitude générale, rencontrée
dans des circonstances multiples, où une personne
détermine son comportement sur la base d'un sentiment
puis d'un raisonnement »
« le résultat d'observations amenant à la croyance que l'on
peut se reposer sur les actions d'un individu, sans garantie
explicite, pour atteindre un but dans une situation risquée »
[Elfoson, 2001]
•
La recherche puis l'analyse de preuves




Permet d’augmenter la plausibilité d’un fait…
« caractère
de dans
ce quice
estfait
plausible, de ce qui
Permet d’augmenter la
crédibilité
peut être considéré comme vrai »
«
caractère…de quelque chose ou quelqu'un de
Par effet, de bâtir la confiance
crédible, fiable »
La croyance…
« espérance
ferme, assurance
… mais peut aussi aboutir
à la méfiance,
au rejet…
envers une personne ou une chose »
10ème Congrès International de Génie Industriel - CIGI13
EIGSI La Rochelle, 12-14 juin 2013
•
•
GEMOS = Guide d’Etude des Modes Opérationnels
d’un Système
Un modèle
De type ‘pense bête’ : ne rien oublier au moins des situations
‘classiques’
 Apport méthodologique : démarche de modélisation / de
vérification et de justification du modèle obtenu
 Extensible : généricité / adaptabilité au type de système
 Basé sur un langage de modélisation formalisable : vérifiable /
exécutable
 Apport conceptuel : formalisation des concepts et relations
nécessaires selon le type ou la nature du système

•
Un outillage
 Apport technique : support informatique interopérable
des outils d’IS
10ème Congrès International de Génie Industriel - CIGI13
EIGSI La Rochelle, 12-14 juin 2013
•
6
avec
Transition de mode
F2
F1
M4
M3
M2
M1
DS3
DS2
10ème Congrès International de Génie Industriel - CIGI13
EIGSI La Rochelle, 12-14 juin 2013
Exploitation
Mode opérationnel
DS1
O5
O4
O3
O2
D3
D2
D1
Phase
O1
normal / nominal
T
de
vers
condition
événement déclencheur
9
O3
O4 Configuration
et
determiné
passage à l'arrêtFin de retrait
Ordre
de fin de fonctionnement
1
D2
D1 conditions
Retrait opérationnel
du site
Configuration de fonctionnement pour
2
D1
D3
Ordre de fonctionnement hors site
maintenance, exercice
ou formation hors site
10
O4
O1 Configuration
et
conditions
d'arrêt
Validation arrêt
3
D3
D1 Configuration d'arrêt de fonctionnement hors site Ordre de fin de fonctionnement hors site
Configurationatteignable
de déploiement et conditions
de
Configuration
demandée
et demande
4
D1
O1
Ordre de déploiement
déploiement respectées
11
O1
O5
Ordre
de marche
Phases
Mode
opérationnel
Phases
Mode
opérationnel
Configuration et conditions de fonctionnement
de 5maintenance,
O1
O3 exercice ou formation sur site Ordre de marche
normal / nominal
D1 Système
Système prêt
prêt au
au déploiement
déploiement
D1
•
Configuration d'arrêt normale et conditions de fin
6
O3 de fonctionnement
O1
Conditions
normal respectéesOrdre de fin de mission
de mission
D2
Retrait
opérationnel
D2
Retrait
opérationnel
Configuration et conditions
A2 T2O1 T4
A1 de fonctionnement
DM1
A3 maintenance
Ti est :ou formation
7de finO1
O2
Ordre DM2
de
marcheDM3
12D1 O5Etape
ou
d'exercice,
de
maintenance
ou
de
Ordre
de finDM4
d'exercice,
pour
préparation
du
cycle
de
vie
générique
du
système
quand
un
de
Déploiement
Déploiement
Fonctionnement
pour
essais,
Fonctionnement
Configuration
et conditions
D2 T1
A1 de fonctionnement DM1
DM2
DM3 DM4pour
A3essais,
générique
8
O2
O3
Validation
marche
formation
normal / nominal
D3
exercices,
maintenance
règlementaire
D3
exercices,
maintenance
9
O3
O4 Configuration
et conditions
Ordre
de fin de fonctionnement
D3 T3 ses
A2 représentant
A1 de passage à l'arrêt
A3 règlementaire
implicite
estet considéré
operationnel
10
O4 de sécurité
O1 Configuration
et conditions
d'arrêt
Validation arrêt
Conditions
de
sûreté
des
biens
et
ou Ordre
formation
hors site
site
ou
formation
hors
demande
T11demandée
A1 atteignable etDDS
13O1
DS3A2
DS2 11 T7 O1 T5 O5 Configuration
/ diagnostic non pertinente
Ordre de
marche de détectionA3
de maintenance, exercice ou formation sur site
des
personnes
Système déployé
déployé et
etA3
opérationnel, en
en
Système
opérationnel,
Ai
respectées
O2•
A2
T8 Conditions de fonctionnement
A1 normal DDS
O1
12
O5
O1 ou de fin d'exercice, de maintenance ou de O1
Ordre de fin d'exercice, maintenance ou formation
Conditions
de
sécurité
et
de
sûreté
des
biens
et
attente
attente
Dmi
formation
T9
A1
DDS
A3
14O3
DS3A2
DS1 T6
Arrêt obtenu
Conditions de sécurité et de sûreté des biens et
DS3
DS2
de détection / diagnostic quand il est
 Ensemble
des
caractéristiques
duOrdre
système
des13personnes
O2
Fonctionnement
pour
préparation DDS
Fonctionnement
pour
des personnes
O4
A2
T10
A1
DDSO2
A3préparation
Conditions de sécurité et de sûreté des biens et
14
DS3
Arrêt obtenu
Conditions
de DS1
sécurité
etsituation
de A1
sûreté des DDS
biens
etfonctionnement,
des personnes
O5
O3
Fonctionnement normal
normal d’arrêt ou
O3
Fonctionnement
A2
une
de
15
DS1considéré
DS2T12 15 dans
Ordre de détectionA3
/ diagnostic
Conditions de Opérationnel
sécurité
et
de
sûreté
des
biens
et
Opérationnel
DS1
DS2
Ordre de détection / diagnostic
DS1
des personnes des personnes
A2
T15
A3arrêt
O4
Fonctionnement
pour
arrêt normal
normal
O4
Fonctionnement
pour
Configuration nécessitant une maintenance
de
défaut
16
DS2
M1
Ordre de maintenance corrective en opération
corrective en opération
DS2
A2
T17 T18 T19pour
A3essais,
Configuration nécessitant
uneA1maintenance T16
Fonctionnement
pour
essais,
Fonctionnement
Configuration nécessitant une maintenance
Ordre de
maintenance
préventive
en opérationcorrective en opération
16
DS2
M1
Ordre
de
maintenance
17
DS2
M2
préventive
en
opération
(programmée
ou
non)
(programmée
ou
non)
DS3
A2
T14 T13
A3 règlementaire
O5 exercices,
exercices, maintenance
maintenance
règlementaire
corrective en opération
O5
Configuration nécessitant une maintenance
•
18
DS2
M3
Ordre de maintenance adaptative en opération
adaptative en opération
M1 FM2 A2
FM1
ou Ordre
formation
sur site
siteA3 préventive en opération
ou
formation
sur
Configuration
nécessitant
uneA1maintenance
de évolutive
maintenance
Configuration nécessitant
une maintenance
19
DS2
M4
Ordre
de
maintenance
en
opération
17
DS2A2
M2FM1
évolutive en opération
M2 FM2
A1
A3
DS1
Arrêt
sur
défaut
 Le
système
évolue
d’un
mode
à
l’autre
en
fonction
DS1
Arrêt
sur
défaut
préventive
opération
(programmée
(programmée
ou non)
20
F1 en F2
Système arrêté
et retiré du service ou non) Ordre de
démantèlement
Défaut ou alerte entraînant des risquesA3
pour le
M3 FM2 A2
FM1 A1
A1
any
D2 Vraie
Défaut
Défaut
DS2
Détection
et
diagnostic
DS2
Détection
diagnostic
système,
les biens ouet
les personnes
Configuration
nécessitant
une
maintenance
d’événements
de contions
(interne
/deopérationnel
externes)
Configuration
de retrait
18
M3FM1 A2 any et
Ordre
maintenance
adaptative en opération
M4 FM2DS2
A2
A1opérationnel du site
A3
DS1
Demande
de retrait
du site
courant
courant
DS3 Fonctionnement
Fonctionnement dégradé
dégradé
DS3
adaptative
en
opération
A3
any
F1 Configuration de retrait définitif de l'exemplaire
Demande de retrait définitif de l'exemplaire
F1
T20
DM idée du
Configuration
nécessitant une maintenance M1 :
 Première
comportement
que
devient
le
système
?
Diagnostic
et
maintenance
corrective
M1
Diagnostic
et
maintenance
corrective
D1 ou D2
M1
Ordre
de maintenance corrective
hors site
Configuration
nécessitant
une
maintenance
1
corrective hors site
F2
19
DS2
M4 DM
Ordre de maintenance évolutive en opération
Maintien en
en
Maintien
Configuration nécessitant une maintenance
de maintenance préventive hors site
D1 ou D2
M2
M2 Ordre
Diagnostic
et maintenance
maintenance préventive
préventive
M2
Diagnostic
et
évolutive
en opération
2
préventive hors site (programmée ou non)
(programmée ou non)
conditions
conditions
DM
Configuration nécessitant une maintenance
D1 ou D2
de maintenance adaptative
hors site
M3 Ordre
Diagnostic
et maintenance
maintenance
adaptative
M3
Diagnostic
adaptative
20
F1
F2 Système
arrêtéM3etadaptative
retiré hors
du
service
Ordre de et
démantèlement
3
site
opérationnelles
opérationnelles
DM
Configuration nécessitant une maintenance
D1 ou D2
M4
de maintenance évolutive hors site
M4 Ordre
Diagnostic
etalerte
maintenance
évolutive
M4
Diagnostic
maintenance
4
évolutive hors site
Défaut ouet
entraînantévolutive
des risques pour le
Système requalifié et éventuellement certifié à
A1
any
D2 Vraie
FM1 M1, 2, 3 ou 4 D1
Mise à disposition
nouveau
F1 Retrait
Retrait
définitif
F1
définitif
système,
les biens ou les personnes
ConfigurationFin
de déploiement
Fin
de vie
vieet conditions de Fin de maintenance préventive, curative,
de
FM2 M1, 2, 3 ou 4 O1
déploiement respectées
ou évolutive sur site
F2 adaptative
Démantèlement
Démantèlement
Configuration
de retrait
opérationnel du siteF2
01, 2, 3, 4 ou
Anomalie de fonctionnement locale d'origine
A2
any
DS1 DDS 5 DS1 Vraie
Demande de retrait opérationnel du site courant
interne ou externe empêchant le fonction normal
7
Configuration

•
Ensemble des caractéristiques du système quand il est
supposé être dans un mode opérationnel donné et
‘paramétré’ afin de remplir une partie de sa mission
opérationnelle
Transition de configuration
Le système évolue d’une configuration à l’autre en
fonction d’événements et de contions (interne / externes)
 Deuxième idée du comportement : comment caractériser
plus précisément ce que devient le système ?

10ème Congrès International de Génie Industriel - CIGI13
EIGSI La Rochelle, 12-14 juin 2013
•
8
Scénario opérationnel
Un enchaînement dynamique de fonctions interagissant via
des flux (D/M/E) que le système doit exhiber pour remplir
tout ou partie de sa mission en respectant les exigences
des parties prenantes
 Précisons le comportement : que fait le système ?

10ème Congrès International de Génie Industriel - CIGI13
EIGSI La Rochelle, 12-14 juin 2013
•
9
Mode
M1
Transition de mode
Mode
M2
Phase,
S={SOp}, opérationnelle
Msource,Mdestination, SOpT, E={ei, i=1..m},
Sémantique
VM1={vi, i=1..n}  V
C: {vk, k=1..p et vk  V}   = {0,1}
- Régles d’évolution : Machine Séquentielle Interprétée
Mode, SC1 S, Vc1  VM1
- Hypothèses : déterminisme / synchronisme
Configuration
C1M1
Configuration
C1M1
Configuration
C3M1
Msource,Mdestination, SOpR, E={ei, i=1..h},
C: {vk, k=1..q et vk  VM1}   = {0,1}
10ème Congrès International de Génie Industriel - CIGI13
EIGSI La Rochelle, 12-14 juin 2013
Phase P1
Phase P1
10
Maintien en conditions opérationnelles
FM2 M3:
Diagnostic et T18
maintenance
adaptative
FM1
T2
FM1
T4
T19
M2:
T17 Diagnostic et
maintenance
préventive
DDS
FM2
DM
4
O1: Système déployé et
opérationnel, en attente
T6 T5
T13
O4: Fonctionnement
DDS pour arrêt
DM
2
F2:
Démantèlement
O5: Fonctionnement pour T12
DDS essais, exercice,
maintenance
réglementaire ou
T11
formation sur site
FM1
FM2
T20
FM1
DM1
M4:
Diagnostic et
maintenance
évolutive
FM2
FM1
M1:
T16 Diagnostic et
maintenance
corrective
A3
DMi
T3
DM
3
FM2
D1: Système
prêt au
déploiement
F1: Retrait
définitif
T9
O3: Fonctionnement
DDS normal
T7
O2: Fonctionnement
DDS pour préparation
10ème Congrès International de Génie Industriel - CIGI13
EIGSI La Rochelle, 12-14 juin 2013
D3: Fonctionnement pour essais,
exercice, maintenance
réglementaire ou formation hors
site
T1
D2: Retrait
opérationnel
Fin de vie
A2
Opérationnel
Déploiement
DMi
T8
11
Défaut
Exploitation
T13
DS2: Détection et
diagnostic
T15
DS1: Arrêt
sur défaut
A1
T14 DS3: Fonctionnement
dégradé
Exécution de mission
DDS
Transformation de modèle

•
GEMOS / Machine Séquentielle Interprétée
(décomposable, séparation partie donnée / partie
commande)
Vérification




Preuve de propriétés de modélisation : modèle bien fait
Preuve de propriétés système : exigences des parties
prenantes
Preuve de propriétés axiomatiques : exigences et
contraintes métier
Simulation : animation de modèle / test de scénarios
opérationnels
10ème Congrès International de Génie Industriel - CIGI13
EIGSI La Rochelle, 12-14 juin 2013
•
12
Operational Modes
VERECINT is ready and waiting for
•
D1
deployment
VERECINT
DMi
A2
Operational
retirement
T1 D1: VERECINT
D2: D2
Operational
F1: Retirement
is
A3
DMi
retirement
D3: VERECINT functions for tests, deployment
readyfunctions
and
VERECINT
for
tests,
T2
T20
maintainance, or traning out of
FM2
waiting
for
D3

operational site
maintainance,
or traning out of operational
deployment
F2: Dismantling
T3
T4
VERECINT is deployed and operational on

O1
site, waiting
FM1
FM1
FM2
Preparing the system to assume its mission
in is deployed and
O1: VERECINT
M3: Diagnosis
M1: Diagnosis O2
DDS operational on site, waiting
T18
T16
nominal mode
adaptative
and Corrective
 and
Maintenance
Maintenance O3 VERECINT functions in nominal mode
Operationnal
FM2
FM1
O5: VERECINT
functions for
Preparing VERECINT
to end normally
its T12
DDS
O4
tests, maintainance, or
DM3
DM1
mission
traning on operational site
T11
VERECINT functions for tests,
O5
T6 T5
site
FM2
FM1 maintainance, or traning on operational
T13
M4: Diagnosis T19
M2: Diagnosis
T9
Preparing VERECINT to
T17
DS1 Stop after a default orO4:dysfunction
and Evolutive
and Preventive
Dysfunctioning
end
normally
its
mission
DDS
Maintenance
Maintenance DS2 Diagnosis for default
O3: VERECINT
detection
/ security
FM1
FM2
functions in
Preparing
VERECINTmode
DS3 VERECINT functions
non-nominal
T7 O2:in
nominal mode
to assume its mission in
DM4
DM2
M1 Diagnosis and Corrective
Maintenance
T8
DDS nominal mode
M2 Diagnosis and Preventive Maintenance
Maintainance
T13
M3after
Diagnosis
and Adaptative
Maintenance
DS1: Stop
a
T14 DS3: VERECINT functions in
DS2: Diagnosis for
T15
default or
M4 Diagnosis and Evolutive
Maintenance
default detection
non-nominal
mode
DDS
dysfunction
Cessation and
C1 Retract Mission is performed
A1
dismantling
C2 Dismantling
© http://pompier69800.skyrock.com/3096816091-Materiel-et-vehicule-NRBC-du-SDIS-69.html
Cessation
Deployment
VERECINT : véhicule d’observation et d’intervention
en milieu NRBC lors de crises de grande ampleur
Dysfunctioning
/ security
Exploitation
Operational
VERECINT exploitation
Maintainance
Observer / évaluer / expertiser la situation
Communiquer aux centres de commandement et de
gestion
Intervenir sur les causes et effets de la crise : protéger,
alerter et secourir les hommes, les bêtes, reconstruire les
réseaux, préserver l’environnement et les œuvres d’art
DDS
10ème Congrès International de Génie Industriel - CIGI13
EIGSI La Rochelle, 12-14 juin 2013
Phases
13
Développement de pistes de recherche


Environnement : modélisation, plausibilité et crédibilité
de « modèles approchés »
Conception architecture (fonctionnelle / logique / physique) du
Système / d’un SdS




Introduction de Patrons de conception [Pfister et al. 2012]
Annuaire de composants ou sous-systèmes existants caractérisés, entre
autres, par un GEMOS propre : missions propres, comportements,
capabilités et capacités ‘pré identifiées ou estimées’
Simulation de comportement et détection de nouveaux scénarios
opérationnels [Bilal et al. 2013]
Evaluation des architectures


Choix et évaluation de variables de conception
Aide à la décision en conception [Couturier et al. 2013]
10ème Congrès International de Génie Industriel - CIGI13
EIGSI La Rochelle, 12-14 juin 2013
•
14
Développement de l’outillage




De modélisation (démonstration)
De transformation de modèle GEMOS vers ISM
De vérification : analyseur GEMOS / model checker ISM /
simulateur GEMOS
Interopérable avec les méta modèles d’outils classique du domaine
de l’IS (conformité ou via des règles de transformation)
10ème Congrès International de Génie Industriel - CIGI13
EIGSI La Rochelle, 12-14 juin 2013
•
15
Merci de votre attention…
10ème Congrès International de Génie Industriel - CIGI13
EIGSI La Rochelle, 12-14 juin 2013
10ème Congrès International de Génie Industriel - CIGI13
EIGSI La Rochelle, 12-14 juin 2013

similar documents