TIS-DTIM-2017-014 LAPS Validation de systèmes de
GEN-F-160-5(GEN-SCI-029)
1
www.onera.fr
PROPOSITION DE SUJET DE THESE
Intitulé : Validation de systèmes de contrôle commande contenant des
commutations
Référence : TIS-DTIM-2017-014
(à rappeler dans toute correspondance)
Laboratoire d’accueil à l’ONERA :
Branche : Traitement de l'Information et
Systèmes Lieu (centre ONERA) : Toulouse
Département : Traitement de l'Information et
Modélisation
Unité : Langages Architectures et Preuves
pour les Systèmes embarqués Tél. 05 62 25 25 52
Directeur de thèse extérieur envisagé:
Adresse :Virginie WIELS, ONERA-Toulouse
Tél. :05 62 26 26 57 Email :virginie.w[email protected]
Sujet :
Les systèmes de commandes de vol sont aujourd'hui principalement implantés sous forme de
logiciels complexes comportant, des couches basses vers les couches hautes
: lois
d'asservissements, lois de contrôle, lois de guidage, protections, etc. Ces lois complexes sont
usuellement spécifiées dans des formalismes de haut niveau tels que SIMULINK ou SCADE.
La complexité de ces lois avancées et de leur interaction avec la dynamique non-
linéaire de l'avion
obligent souvent à concevoir ces lois "par morceaux". L'architecture du contrôleur et ses paramètres
(par exemple, valeurs de gains) sont synthétisés po
ur obtenir la stabilité et les performances voulues
sur un ensemble fini de points de référence du domaine de vol. Pour un point quelconque du
domaine, l'architecture et les paramètres des lois sont obtenus par sélection/interpolation à partir des
points d
e référence voisins. Ces derniers changent dynamiquement et de manière discrète lorsque
l'avion parcourt son domaine de vol. On parle alors de «commutations». Des commutations existent
aussi dans les logiques de guidage automatique, qui calculent les consi
gnes à envoyer aux lois de
contrôle en l'absence d'ordres directs du pilote. Ces logiques fonctionnent selon divers modes,
produisant les consignes de manières différentes: capture d'altitude avec montée/descente franche
et/ou arrondi ; maintien d'altitude
, etc. Une autre source importante de commutations sont les
fonctions de protection, qui détectent et filtrent à chaque instant les consignes potentiellement
dangereuses envoyées à la couche de contrôle
: limitation des accélérations verticales pour les
pa
ssagers et la structure de l'avion, limitation de l'angle d'incidence contre les décrochages, etc. Le
comportement des protections dépend à la fois du point courant du domaine de vol, du mode de
guidage courant et/ou des ordres directs du pilote.
Le systè
me dans son ensemble (avion + lois de commande) est donc hybride, car il est caractérisé
un ensemble discret de modes de fonctionnement interconnectés
; dans chaque mode la dynamique
des variables continues du système est décrite par équations différentielles non-linéaires.
Si ces approches ont permis la réalisation de commandes de vol plus précises et plus performantes,
en contre-partie leur validation est devenue extrêmement complexe
: comment s'assurer que la loi ne
permet pas d'amener l'avion dans des configurations dangereuses
(décrochage)? Comment détecter
automatiquement des erreurs de codage de la loi (conditions de commutation erronée, valeur de gain
erronée, etc.)
? Comment évaluer la couverture d'un ensemble de simulations (d'un point de vue
structurel ou des propriétés) et qu'aucun scénario critique n'a été oublié
(notamment, couverture des
commutations)?
GEN-F-160-5(GEN-SCI-029)
2
L'objectif de cette thèse est d'étudier la spécification-vérification-
validation de lois de commandes
hybrides complexes, de façon théorique, a
lgorithmique et méthodologique, en s'appuyant sur un cas
d'étude industriel fourni par Airbus (modèle SIMULINK d'une loi de commande en boucle fermée).
Le doctorant mènera d'abord un état de l'art des méthodes formelles de spécification, vérification et
validation de systèmes hybrides. On s'intéressera en particulier aux extensions hybrides des
formalismes synchrones, et aux analyses d'atteignabilité basées sur des solveurs de type
Satisfiabilité modulo ODE (ordinary differential equations). Le candidat devra ensuite évaluer les
capacités des techniques actuelles vis-à-vis du cas d'étude afin d'identifier les principaux verrous
théoriques et techniques limitant leur applicabilité ou leur efficacité. Le cœur du travail de thèse
consistera en la conception et l'implémentation d'une analyse d'atteignabilité permettant de détecter
certains types d'erreurs (calcul erroné de protections, dépassements de seuils d'accélération ou
d'angle d'incidence critiques, etc.) et/ou de générer automatiquement des scenarii de simulation
couvrant tout ou partie de la structure discrète du système, repoussant les limites des techniques
actuelles. D'un point de vue méthodologique, le doctorant devra aussi réfléchir à l'intégration de ces
techniques dans le processus industriel: formalisation des lois et des propriétés à vérifier, traduction
des modèles de conception vers les outils d'analyse, traduction inverse des résultats d'analyse, etc.
Collaborations extérieures :Airbus dans le cadre du projet investissement d'avenir SEFA-
IKKY
validation de lois de commandes avancées.
PROFIL DU CANDIDAT
Formation : M2 en informatique, ou en automatique / théorie du contrôle.
Spécificités souhaitées : Méthodes formelles en informatique ou en théorie du
contrôle. La
connaissance des langages fonctionnels de programmation est un plus.
1
/
2
100%
