Sûreté de fonctionnement d’un système d’inférence floue avec une architecture redondante un parmi deux avec diagnostic (1oo2D) à base de FPGA

Abstract

Le secteur industriel exige non seulement des performances des systèmes embarqués en termes de qualité, de productivité et de rentabilité, mais aussi en termes de sécurité. Ainsi, pour chaque fonction de sécurité, l’identification du niveau de sécurité requis (PL-Performance level) ou du niveau d’intégrité (SIL) représentant le niveau de crédibilité qui peut être accordé aux systèmes automatisés de sécurité (SAS) nécessite une analyse et une évaluation du risque. Dans ce sens, plusieurs méthodes ont été élaborées pour l’analyse du risque : méthode de l’arbre des causes, méthode de bloc-diagramme de fiabilité, méthode des chaînes de Markov. Ces méthodes sont toutes basées sur le calcul de la probabilité moyenne de défaillance sur demande PFDavg et permettent de qualifier les systèmes en question par un niveau de sécurité SIL (safety integrity level) exigé par les normes de sécurité telles que EN9100, norme européenne pour l’aéronautique et l’espace, et ISO/TS 16949, norme européenne pour l’automobile. Les travaux présentés dans cette thèse s’inscrivent dans ce sens et s’intéressent plus précisément aux systèmes embarqués de contrôle-commande dédiés à la sécurité. Ils ont pour objectif de développer un prototype matériel-logiciel d’un contrôleur flou basé sur un moteur d’inférence floue (MIF) utilisant la technologie FPGA et répondant aux contraintes de sécurité avec une structure redondante au moins un parmi deux avec diagnostic (1oo2D) en temps réel sur une cible FPGA. Nous faisons d’abord une évaluation quantitative de la fonction de sécurité pour le contrôleur flou à base de FPGA, en fonction des différentes architectures dédiées aux applications de la sécurité (1oo1, 1oo1D, 1oo2, 1oo2D, 2oo2) de la norme de sécurité CEI 61508 et à travers les différents modèles cités ci-dessus afin de caractériser ces architectures par un niveau de sécurité SIL. Les résultats obtenus montrent que le système d’inférence floue de structure 1oo1 est 49 fois plus confronté à une défaillance dangereuse qu’une architecture redondante 1oo2, et que le système d’inférence floue de structure 1oo2D est 100 fois moins confronté à une défaillance dangereuse qu’une architecture redondante 1oo2. La meilleure PFDavg et donc le meilleur SIL a été obtenue pour l’architecture « au moins un parmi deux avec diagnostic » (1oo2D). Ensuite, nous validons cette d’architecture (1oo2D) pour le MIF, par une analyse détaillée AMDEC et le calcul de la probabilité moyenne de défaillance sur demande PFDavg par les trois méthodes citées ci-dessus, et enfin son implémentation sur la cible FPGA.