La sécurité dès la conception : Ce que font les contrôleurs

mobility
safety
control
16 Décembre 2024
Dans un article précédent, Jared Miller et Niklas Schmid ont examiné la signification de la sécurité dans l'ingénierie. Mais comment les différents systèmes d'automatisation mettent-ils en œuvre ces spécifications ?
Cartoon-style illustration of an open laptop with code on screen, overlaid with symbols for warnings and settings.
Participants
Jared Miller

Dans notre dernier billet, nous avons examiné les différents aspects de la sécurité que les ingénieurs de contrôle doivent prendre en compte - de la sécurité psychologique, qui consiste à savoir qu'un système fonctionnera comme prévu, à la sécurité physique, qui consiste à prévenir les dommages. Nous avons vu que les différentes spécifications entrent parfois en conflit et doivent être classées par ordre de priorité, et qu'il est important de s'assurer que le résultat n'est pas tout juste correct, mais suffisamment sûr. Comment pouvons-nous donc effectuer un contrôle pour nous assurer que ces contraintes de sécurité sont respectées ? 

Bien sûr, il n'y a pas de réponse unique. Les chercheurs en contrôle travaillent avec une série d'outils possibles qui peuvent être appliqués à différents problèmes. Lorsqu'il s'agit de contrôler des systèmes réels, deux des approches dominantes sont le contrôle proportionnel-intégral-dérivé (PID) et le contrôle prédictif de modèle (MPC). Chacune d'entre elles présente des atouts différents. 

Comment les contrôleurs prennent leurs décisions 

Les schémas de contrôle PID pour le suivi d'un point de consigne souhaité, tel que la température, sont basés sur la comparaison de l'erreur actuelle (proportionnelle), de l'erreur passée (intégrale) et du taux de variation de l'erreur (dérivée). Par exemple, les CFF utilisent des régulateurs PID pour contrôler le climat à l'intérieur des trains en mesurant la différence entre la température réelle et la température souhaitée. 

Le réglage des poids des gains proportionnels, intégraux et dérivés dans le calcul peut entraîner des comportements différents ; il peut y avoir un dépassement, ou plus ou moins de temps nécessaire pour atteindre le point de consigne, et ainsi de suite. Dans certains cas, un réglage approprié peut contribuer à garantir le respect des exigences de sécurité, mais les systèmes de contrôle PID ne peuvent généralement pas garantir la sécurité ou les performances.

Contrairement à cette approche de la somme pondérée, le MPC résout une séquence de problèmes d'optimisation afin de trouver une politique de contrôle. Chaque tâche consiste à trouver une séquence planifiée d'entrées qui minimise un coût de contrôle projeté, de sorte que vous trouvez la meilleure solution à un problème avant de passer au suivant ; à chaque étape, vous savez un peu mieux quelles devraient être vos entrées. Ce processus est répété en permanence, en s'adaptant constamment aux nouvelles informations. 

C'est pourquoi Ahmed Aboudonia, chercheur au PRN Automation, travaille à l'ajout d'un contrôleur MPC au système de contrôle PID des CFF afin d'améliorer l'efficacité et d'économiser de l'énergie tout en garantissant le confort des passagers des trains suisses. 

C'est également la raison pour laquelle le MPC est utile pour les problèmes de sécurité. Les spécifications de sécurité fatale et non fatale peuvent être ajoutées directement aux contraintes qui guident les problèmes d'optimisation MPC - soit en tant que contrainte stricte (c'est-à-dire que la trajectoire projetée dans le futur doit satisfaire les spécifications souhaitées), soit en tant que coût (il serait préférable que ces contraintes soient satisfaites, mais il est acceptable de les violer occasionnellement). 

Une propriété essentielle de la MPC est la notion de « faisabilité récursive ». Cela signifie que si l'on prévoit qu'un système est sûr jusqu'à l'horizon temporel donné (par exemple, 30 secondes dans le futur), il continuera à être sûr pendant toute la durée de l'exécution (peut-être 4 000 secondes). Plus précisément, l'application de l'entrée de contrôle générée par le MPC au moment présent garantit qu'il sera possible de résoudre le problème d'optimisation consistant à trouver une entrée de contrôle au moment suivant. Les preuves de faisabilité récursive sont essentielles pour garantir la sécurité des politiques basées sur le MPC. Si la faisabilité récursive n'est pas prouvée, le système peut se retrouver dans une position où il est impossible de rester en sécurité.

Quel que soit le système de contrôle utilisé, les contrôles et les certificats conçus conjointement donnent l'assurance que si la politique de contrôle est respectée, le contrôleur restera sûr. Cette certification peut être utilisée pour appeler des contrôleurs de secours (filtres de sécurité) qui prennent le relais lorsque la trajectoire est sur le point de devenir dangereuse - par exemple, dans un véhicule autonome, des schémas qui interrompent ou ralentissent l'accélération de la voiture si l'augmentation de la vitesse risque de la faire s'écraser sur la voiture qui la précède ; ou des contrôleurs de vol d'urgence qui évitent de s'écraser au sol si le pilote effectue une mauvaise manœuvre ou perd connaissance lors d'une manœuvre. 

Qu'en est-il de l'incertitude ?

Une fois le contrôleur conçu, en tenant compte des spécifications de sécurité, il sera généralement testé dans une simulation avant d'être déployé sur le système réel. Cependant, un contrôleur qui fonctionne bien dans une simulation peut ne pas garantir la sécurité lorsqu'il est appliqué dans le monde réel. Cet écart « Sim2Real » peut avoir de nombreuses causes : bruit des capteurs, caméras non calibrées, rafales de vent, comportement inattendu de l'utilisateur, composants défectueux ou même rayons cosmiques qui font basculer des bits dans l'ordinateur d'un vaisseau spatial.

A space satellite catching fire, with planet Earth in the distance
Malgré tout le soin apporté à la conception des engins spatiaux, ceux-ci peuvent être endommagés par toute une série de facteurs qui ne peuvent pas être entièrement pris en compte dans la simulation.

Les systèmes de contrôle ont donc besoin de lois qui peuvent rester sûres malgré de telles incertitudes. Les ingénieurs peuvent s'appuyer sur deux méthodologies principales pour gérer l'incertitude : le contrôle robuste ou stochastique. Un système est robuste s'il reste sûr pour toutes les valeurs possibles de la quantité incertaine : par exemple, si le bruit d'un fil se situe toujours dans une fourchette de +-0,1 volt, ou si la vitesse du vent qui frappe un drone se situe toujours dans une fourchette de 10 m/s. Un système est stochastiquement sûr s'il respecte la contrainte de sécurité avec une probabilité élevée. Les contrôleurs qui obéissent à des contraintes de sécurité stochastiques sont généralement moins conservateurs que les contrôleurs qui obéissent à des contraintes de sécurité robustes, car un contrôleur robuste doit toujours répondre à la perturbation la plus défavorable. 

Les contraintes stochastiques peuvent être subdivisées en contraintes de hasard individuelles et en contraintes de hasard conjointes. Les contraintes de hasard individuelles garantissent la sécurité (jusqu'à la probabilité définie) séparément à chaque point dans le temps. En revanche, une contrainte de hasard conjointe renvoie une probabilité de rester en sécurité sur l'ensemble de la trajectoire. Par exemple, une politique de contrôle pour un avion pourrait être choisie de manière à ce que la probabilité que l'avion atterrisse en toute sécurité à sa destination et respecte toutes les contraintes au cours de son vol soit supérieure à 99,9999 %. Les contraintes de hasard conjointes sont des spécifications de sécurité plus appropriées dans la pratique que les contraintes de hasard individuelles, mais leur résolution nécessite plus d'efforts de calcul et de soins techniques. 

Contraintes robustes (dures) Restent sûres pour toute valeur possible de la quantité incertaine.
Contraintes de hasard individuelles Restent sûres à chaque point séparé dans le temps avec une certaine probabilité.
Contraintes de hasard conjointes Restent sûres sur l'ensemble de la trajectoire avec une certaine probabilité.
Robustesse distributionnelle Reste sûre pour tous les processus de bruit cohérents avec une certaine probabilité.

La robustesse distributionnelle constitue un pont entre la sécurité robuste et la sécurité stochastique. Les méthodes robustes sur le plan de la distribution offrent une sécurité stochastique contre tous les processus de bruit suffisamment proches d'une distribution de référence (qui est généralement basée sur des données observées) - c'est-à-dire que les événements réels sont utilisés pour dériver une gamme de bruit probable qui définit les contraintes de sécurité « robustes ». Comme il est théoriquement possible que cette plage soit dépassée, les contraintes de sécurité doivent être qualifiées de stochastiques, mais à l'intérieur de la plage probable, les contraintes robustes sont respectées avec une forte probabilité. La sécurité robuste du point de vue de la distribution trouve des applications dans l'exploitation des éoliennes et des parcs solaires, où les données historiques relatives aux tendances du vent et de la couverture nuageuse peuvent être utilisées pour définir les sources de bruit probables à l'avenir. 

Les schémas MPC peuvent trouver des contrôleurs qui garantissent la sécurité dans toutes ces conditions d'incertitude - incertitude robuste, stochastique et distributionnellement robuste (tant que la faisabilité récursive est maintenue). 

Une sécurité sur laquelle vous pouvez compter

Comme nous l'avons vu, la signification de la « sécurité » dépend fortement de l'application spécifique. Nous avons également exploré les méthodes permettant de définir, de quantifier et de contrôler la sécurité dans les systèmes du monde réel. Enfin, nous avons tenu compte du fait que la sécurité doit être une priorité à tous les niveaux, les décisions de gestion et de politique façonnant le processus depuis les toutes premières étapes (définition des normes, évaluation des risques, etc.) jusqu'aux audits de sécurité finaux et continus. 

Le contrôle peut contribuer à garantir la sécurité tout au long de ce cycle de vie. Idéalement, l'objectif de la conception du contrôle devrait être une sécurité vérifiée à laquelle les utilisateurs peuvent se fier sans réfléchir... aussi facilement qu'en appuyant sur un interrupteur.