Vers une méthodologie de modélisation AltaRica

pour des systèmes physiques

Romain ADELINE

18 Mars 2010

Thèse encadrée par : J. Cardoso (ISAE), C. Seguin (ONERA),

P. Darfeuil & S. Humbert (TURBOMECA)

0
 Plan de la présentation

Introduction et objectifs de nos travaux

Le langage AltaRica

Modélisation en AltaRica

Conclusion

1
 Turbomeca – Groupe Safran

Société internationale présente sur tous les continents

Leader mondial des turbines d’hélicoptère

• Motorise des hélicoptères pour des applications civiles,
parapubliques et militaires
• Possède la plus large gamme de turbomoteurs, de puissance
adaptée à tous types d’hélicoptères.

7 familles de moteurs, plusieurs variantes par famille,

chaque année de nouvelles certifications

2
 Certification - Sûreté de Fonctionnement

Certification : Démontrer que le produit est conforme au règlement,

notamment en ce qui concerne les exigences de sécurité

Sûreté de Fonctionnement (SdF) : Propriété d’un produit telle que

ses utilisateurs puissent accorder, sur son cycle de vie, une confiance
justifiée dans le service qu’il délivre (J.C. LAPRIE)

Analyse SDF permet de démontrer le fonctionnement sûr d’un

système

Analyse actuelle de SdF

• Analyse des Modes de Défaillance et de leurs Effets (AMDE)
• Arbres de Défaillance (AdD)

3
 Analyse SdF – AMDE

1ère étape : Définir les objectifs de l’étude, i.e. les exigences des
autorités de certification et des clients
- > Pas d’arrêt en vol / Pas d’émission de débris haute énergie / …

AMDE : Méthode d’analyse de système utilisée

pour l’étude systématique des causes et des e P1 s
effets des défaillances qui peuvent affecter les I
composants du système étudié *
P2

Mode de
Composant Taux Effet local Effet système
défaillance
Pompe 1 Rupture λ1 Plus de fluide en sortie de la pompe Aucun (Redondance)
Pompe 2 Rupture λ1 Plus de fluide en sortie de la pompe Aucun (Redondance)
Injecteur Colmatage λ2 Plus de fluide en sortie de l’injecteur Plus de fluide en sortie du système

*Alain VILLEMEUR. Sûreté de fonctionnement des systèmes industriels. EYROLLES, Paris, 1988.
AMDE = Analyse des Modes de Défaillance et de leurs Effets

4
 Analyse SdF – AdD – Pourquoi changer ?

AdD : Représentation synthétique des

e P1 s
évènements ou combinaisons d’évènements I
qui conduisent à un évènement redouté P2

Plus de
fluide en s

Mais ces arbres présentent des limites !
OU • Périmètre des arbres difficilement identifiable
• L’augmentation de la complexité des systèmes
Panne P1 Colmatage
rend plus lourde la construction et la vérification
et P2 de I des arbres
• Le formalisme des arbres peut être un frein pour
ET des non initiés lors de leurs validations

Rupture Rupture
P1 P2
Utilisation de modèles dynamiques
formels de propagation de panne

AdD = Arbre de Défaillance

5
 Objectifs

Justifier l’intégration de la nouvelle approche dans le processus
d’analyse SdF Résultat informel puisque lié à Formalisation actuelle : N arbres
l’expertise de l’analyste SdF pour N évènements redoutés

Système Interprétation Abstraction SdF Arbres de

réel SdF du système Défaillance

Évaluation des arbres

Modèle formel Évaluation du modèle Retour sur la

« système » SdF du système

Formalisation alternative : 1 modèle

« système » pour N évènements
redoutés

Obtenir une modélisation complète du turbomoteur, i.e. tous les

sous-systèmes du turbomoteur au sein d’un même modèle
• Modéliser les interactions entre les systèmes
• Gérer l’interfaçage des différents modèles de sous-systèmes

Pouvoir valider les modèles formels réalisés

Des méthodologies sont nécessaires !

- Comment modéliser nos systèmes en langage AltaRica ?
- Comment valider les modèles réalisés ?

6
 Plan de la présentation

Introduction et objectifs de nos travaux

Le langage AltaRica

Modélisation en AltaRica

Conclusion

7
 Généralités

Projet AltaRica
• Collaboration commune entre universitaire (LaBRI) et industriels
(Dassault, Onera, Total, Thales …)
• Création d’un langage pour la sûreté de fonctionnement

Le langage AltaRica

• Modélisation des propagations de pannes
• Langage formel, hiérarchique et compositionnel

Supporté par de nombreux outils, notamment :

• OCAS / BPA-DAS : Editeur graphique, simulation, génération de
séquences
• Model Checker (Vérification de propriétés)

8
 Le langage AltaRica par l’exemple (1)

Modélisation d’une pompe très très simple !
node Pompe
flow État = etat_interne
fluide_entree : bool : in ;
fluide_sortie : bool : out ;
state rupture
etat_interne : bool ;
init
etat_interne:=true;
event
rupture ;

fluide_sortie
trans
etat_interne=true |- rupture -> etat_interne:=false ; fluide_entree &
assert
fluide_sortie = case { etat_interne : fluide_entree,
else false} ;
edon

Modélisation
• Composant ≈ Identification des E/S +
Identification du comportement de chaque composant
• Système : Interconnexion des composants

Modélisation de l’ensemble des composants du système
- > Obtention d’une bibliothèque de composant

9
 Le langage AltaRica par l’exemple (2)

Création du modèle par assemblage de différents composants

e P1 s
I
P2
Pompe Injecteur

Bibliothèque de composants réutilisables

Analyse du modèle
• Définition de l’évènement à observer
- > e.g. s=false
• Génération automatique des scénarios de panne amenant à l’évènement
- > Simulation
- > e.g. {I.Colmatage}, {P1.Rupture, P2.Rupture}
• Génération automatique de l’AdD de l’évènement – Cf. diapo suivante
(Possible sous certaines conditions)

AdD = Arbre de Défaillance

10
 Analyse du modèle – Obtention des AdD

S=false
e = true P1 s
I
P2 I.fluide_sortie=false
(=I.fluide_entrée & I.etat_interne)

OU

État = etat_interne
I.fluide_entrée=false
I.etat_interne=false
(P1.fluide_sortie OU P2.fluide.sortie)
rupture

ET I.rupture

P1.etat_interne=false P2.etat_interne=false
&
fluide_sortie
fluide_entree

P1.rupture P2.rupture

AdD = Arbre de Défaillance

11
 Plan de la présentation

Introduction et objectifs de nos travaux

Le langage AltaRica

Modélisation en AltaRica

Conclusion

12
 Comment envisager la modélisation…

1 -> Analyse préliminaire du système : architecture, composants

présents, objectifs de l’étude (Evènements redoutés à étudier via le
modèle)

2 -> Abstraire le comportement de chacun des composants identifiés

+ Implémentation en AltaRica

3 -> Réalisation du modèle par instanciation et connexion des

composants (dont un observateur pour analyser l’ER étudié)

ER = Évènement redouté

13
 Étape 1 : « Analyse » préliminaire
A quelles questions doit répondre le modèle ?

Systèmes / Sous-systèmes étudiés

- Transmission mécanique du turbomoteur -> Mécanique
- Circuit d’alimentation en carburant -> Hydromécanique

Évènements redoutés (ER) à observer

- ER1 : Arrêt en vol
- ER2 : Émission de débris haute énergie (Survitesse mécanique + Perte protection)

Déclinaison des ER aux sous-systèmes (ER1 / ER2)

- Mécanique : ER1=Plus de transmission transmise / ER2=Survitesse de la transmission
- Hydromécanique : ER1=Plus de carburant / ER2=Trop de carburant injecté

Identifier les composants du modèle ayant un impact sur

l’occurrence des évènements étudiés
- Ce qui est modélisé mérite de l’être, i.e. pas de composant inutile
- Ce qui n’est pas modélisé peut être négligé, i.e. on n’oublie rien d’utile

ER = Évènement redouté

14
 Étape 2 : Abstraction du comportement

Objectifs : Guider l’analyste dans la phase de modélisation

- > Fournir une aide à la modélisation

Entrées du processus de modélisation

- > Documents « métier » : Spécification, architecture, fonctions
- > Documents SdF : AMDE, CMA (Mode Commun), Liste exigences (ER)

Comment construire le Comment le faire de

modèle AltaRica ?
Guides pour la modélisation
• Quelles E/S pour propager les pannes ?
• Quelles abstractions pour les E/S ?
• Liste des modes de défaillance
génériques et leurs effets sur les E/S
manière intelligente ?
2 Philosophies
• Faciliter la réutilisation des modèles
• Faciliter la lisibilité des modèles
Codification des informations
implémentées dans le modèle

AMDE = Analyse des Modes de Défaillance et de leurs Effets ;

CMA = Common Modes Analysis ; ER = Évènement Redouté

15
 Étape 2 : Systèmes mécaniques (1)

Cas d’étude
• Transmission mécanique Turbine -> Hélicoptère

Rappel
• ER étudiés = Arrêt en Vol / Émission de débris
• Déclinaison système mécanique : Plus de transmission / Survitesse

Exemple : Arbre de transmission mécanique

Étude fonctionnelle (ici, simple)

Guidage en rotation
Identification des E/S !
Entrées
Mouvement d’entrée Mouvement de sortie • Mouvement d’entrée
Huile
Arbre Huile usagée • Huile
• Guidage
Sorties
• Mouvement de sortie
• Huile usagée

ER = Évènement redouté

16
 Étape 2 : Systèmes mécaniques (2)

Comportement fonctionnel -> RAS (Composant passif)

Comportement dysfonctionnel : AMDE
Mode de
Composant Taux Effet local Effet système
défaillance
Plus de transmission de mouvement Arrêt en vol du à la
Arbre Rupture λ1 vers l’aval. L’amont rentre en
survitesse protection survitesse
Arrêt en vol si la protection
Arbre Usure λ2 Émission de particules dans l’huile
adéquate n’est pas disponible

Identification des évènements AltaRica !

Ici, la conséquence d’une rupture ne peut se résumer à la simple perte de la chaîne de
transmission. Au-delà de ça, il nous faut propager une survitesse aux composants amonts !
Définition d’E/S bidirectionnelles (au moins pour le mouvement transmis)

Pour propager l’ensemble des défaillances du système, une

solution adaptée à notre problématique est de propager, de manière
bidirectionnelle, le couple {Couple Mécanique, Vitesse de rotation}
RAS : Rien A Signaler ;
AMDE = Analyse des Modes de Défaillance et de leurs Effets

17
 Étape 2 : Systèmes mécaniques (3)
Rupture / Usure
N types d’E/S différents
• Couple mécanique
Entrée Couple Mécanique Sortie Couple Mécanique • Vitesse rotation
• Huile (booléen ici)
Entrée Vitesse Rotation Sortie Vitesse Rotation
A • Guidage rotation (booléen ici)
Couple Mécanique imposé à l’amont R Couple Mécanique imposé par l’aval
Quel niveau de détail ?
Vitesse Rotation imposée à l’amont B Vitesse Rotation imposée par l’aval
R
Entrée Huile Huile usagée Ce qu’on veut observer ?
E • Plus de transmission
Guidage rotation
• Survitesse de la transmission

Variable « couple mécanique » considérée comme booléenne

Variable « Vitesse rotation » énumérée -> {ok, nulle, survitesse}

On traduit les modes de défaillance identifiés en effet sur les E/S

• Sortie Couple Mécanique = Faux
Rupture
• Sortie Vitesse Rotation = Vitesse Rotation imposée par l’aval
• Couple Mécanique imposé à l’amont = Faux
• Vitesse Rotation imposée à l’amont = Survitesse
• Huile usagée = Entrée Huile

18
 Étape 2 : Systèmes mécaniques (4)

Implémentation du nœud AltaRica
node Arbre
flow
IN_Torque : bool : in ;
IN_Speed : Type_Speed : in ;
IN_Oil : bool : in ;
IN_Guidance : bool : in ;
IN_Rev_Torque : bool : in ;
IN_Rev_Speed : Type_Speed : in ;
OUT_Torque : bool : out ;
OUT_Speed : Type_Speed : out ;
OUT_Rev_Torque : bool : out ;
OUT_Rev_Speed : Type_Speed : out ;
OUT_oil : bool : out ;
state
ST_Status : {ok, degraded, ko} ;
init
ST_Status := ok ;
event
Rupture, Usure ;
19
trans
ST_Status=ok |- Usure -> ST_Status:=degraded ;
ST_Status=ok or ST_Status=degraded |- Rupture
-> ST_Status:=ko ;
assert
OUT_Oil = IN_Oil ;
OUT_Torque = case { ST_Status = ko : False,
else IN_Torque } ;
OUT_Speed = case { ST_Status = ko : IN_Rev_Speed,
else IN_Speed } ;
OUT_Rev_Torque = case { ST_Status = ko : False,
else IN_Rev_Torque} ;
OUT_Rev_Speed = case { ST_Status = ko : survitesse,
else IN_Rev_Speed} ;
edon
 Étape 2 : Systèmes hydromécaniques (1)

Cas d’étude
• Circuit carburant moteur

Rappel
• ER étudiés = Arrêt en Vol / Émission de débris
• Déclinaison système hydromécanique : Pas de carburant / Trop de carburant

Exemple : Un doseur commandé (très simple !)

Étude fonctionnelle Entrées
• Entrée de fluide
Commande du doseur
(Ouverture / Fermeture) • Commande
Sortie
Entrée Fluide
Doseur
Sortie Fluide • Sortie de fluide

ER = Évènement redouté

20
 Étape 2 : Systèmes hydromécaniques (2)

Comportement fonctionnel
- > Ouverture / Fermeture commandée

Comportement dysfonctionnel : AMDE
Mode de
Composant Taux Effet local Effet système
défaillance
Évènement non étudié
Doseur Fuite λ1 Réduction du fluide en sortie
ici
Fermeture
Doseur intempestive
λ2 Plus de fluide en sortie Arrêt en vol
Pleine Arrêt en vol si protection
Trop de carburant injecté au survitesse dispo.
Doseur ouverture λ3
moteur Émission de débris haute
intempestive énergie sinon

Pour propager à la fois les évènements fonctionnels et dysfonctionnels, une solution

adaptée à notre problématique est de propager, de manière bidirectionnelle, le couple
{Débit, Pression}

AMDE = Analyse des Modes de Défaillance et de leurs Effets

21
 Étape 2 : Systèmes hydromécaniques (3)
Fuite ; Fermeture / Ouverture
intempestive
Entrée Débit Sortie Débit
On identifie le niveau de détail
nécessaire pour les variables {Débit,
Entrée Pression D Sortie Pression
Pression}
O
Débit consommé imposé à l’amont S Débit consommé par l’aval • Variable « Débit » énumérée
E - > {nominal, faible, nul, trop}
Pression imposée à l’amont Pression imposée par l’aval
U • Variable « Pression » énumérée
R - > {nominale, nulle, surpression}
Commande

Ce niveau de détail est adéquat pour le problème simple présenté ici ! Dans le cas
réel, les variables « Débit » et « Pression » sont plus détaillées…

Traduction des modes de défaillance en effet sur les E/S.

Fermeture intempestive (≈ Obturation)
Fuite

• Sortie Débit = nul • Sortie Débit = Minimum (faible, Entrée Débit)
• Sortie Pression = nul • Sortie Pression = Minimum (faible, Entrée Pression)
• Débit imposé à l’amont = nul • Débit imposé à l’amont = Entrée Débit
• Pression imposée à l’amont = surpression • Pression imposée à l’amont = nulle

Implémentation du nœud en AltaRica (idem domaine mécanique…)

22
 Étape 2 : Capitalisation

Pour chaque composant du modèle
• Sa représentation (≈ icône AltaRica)
• Ses Entrées et ses sorties
• Les types de ces E/S
- Types définis dans un document annexe
• Ses Modes de Défaillance
- Extrait de l’AMDE
• La valeur des sorties
- En fonction des modes de défaillance internes
- En fonction des déviations des entrées

Fournir une documentation du modèle

pour l’utilisateur ou un autre analyste
• Facilite la compréhension des informations
implémentées

Forme tabulaire accessible à tous
• Support de discussion pour validation et
modification du modèle

AMDE = Analyse des Modes de Défaillance et de leurs Effets

23
 Étape 3 : Instanciation / Composition

Objectif : Assembler les composants entre eux pour

construire le modèle complet
- > Construire les modèles des sous-systèmes mécaniques / hydromécaniques
- > Construire le modèle global incluant les différents sous-systèmes

24
 Retour d’expérience sur l’approche

Construction correcte des modèles mécanique et

hydromécanique
• On observe les évènements à observer (AEV / Emission débris)
• Résultats cohérents avec les analyses de panne actuelles
- > Notamment et à périmètre égal, on retrouve les coupes minimales issues des AdD

Construction du système global se passe bien

- > Un effort en amont de l’implémentation est nécessaire pour identifier les
interfaces entre sous-systèmes
- > La simulation est possible
- > La validation des résultats par rapport à ceux des analyses de panne actuelles
reste à faire

AEV = Arrêt en Vol; AdD = Arbre de Défaillance

25
 Plan de la présentation

Introduction et objectifs de nos travaux

Le langage AltaRica

Modélisation en AltaRica

Conclusion

26
 Conclusion

Langage AltaRica
• Expressivité adéquate pour la modélisation de systèmes mécaniques et
hydromécaniques
• Supporté par des outils (Edition / Simulation / Génération de séquences)

La méthodologie proposée

• Facilite et supporte la modélisation de systèmes mécaniques et
hydromécaniques en langage AltaRica
• S’appuie sur des outils connus (Analyse fonctionnelle) et des documents
disponibles (Documents métier / AMDE / CMA)
• Favorise la généricité et la capitalisation du travail effectué
• Devrait être applicable à d’autres sous-systèmes, d’autres applications et
d’autres domaines physiques

AMDE = Analyse des Modes de Défaillance et de leurs Effets ;

CMA = Common Modes Analysis

27
 Perspectives / Travaux en cours

Modélisation d’autres sous-systèmes du moteur

• Système d’air principal (Compresseur – Combustion – Turbines)
• Système de protection survitesse (Système logiciel)

Processus de validation de modèle

• Une fois le modèle construit, comment vérifier la cohérence et la
correction des informations implémentées

28
 Questions ???

Romain.Adeline@turbomeca.fr

29