1 www.onera.fr PROPOSITION DE SUJET DE THESE Intitulé : Validation de systèmes de contrôle commande contenant des commutations Référence : TIS-DTIM-2017-014 (à rappeler dans toute correspondance) Laboratoire d’accueil à l’ONERA : Branche : Traitement de l'Information et Lieu (centre ONERA) : Systèmes Toulouse Département : Traitement de l'Information et Modélisation Unité : Langages Architectures et Preuves Tél. 05 62 25 25 52 pour les Systèmes embarqués Responsable ONERA : Rémi DELMAS Email :[email protected], [email protected] Directeur de thèse extérieur envisagé: Adresse :Virginie WIELS, ONERA-Toulouse Tél. :05 62 26 26 57 Email :[email protected] Sujet : Les systèmes de commandes de vol sont aujourd'hui principalement implantés sous forme de logiciels complexes comportant, des couches basses vers les couches hautes : lois d'asservissements, lois de contrôle, lois de guidage, protections, etc. Ces lois complexes sont usuellement spécifiées dans des formalismes de haut niveau tels que SIMULINK ou SCADE. La complexité de ces lois avancées et de leur interaction avec la dynamique non-linéaire de l'avion obligent souvent à concevoir ces lois "par morceaux". L'architecture du contrôleur et ses paramètres (par exemple, valeurs de gains) sont synthétisés pour obtenir la stabilité et les performances voulues sur un ensemble fini de points de référence du domaine de vol. Pour un point quelconque du domaine, l'architecture et les paramètres des lois sont obtenus par sélection/interpolation à partir des points de référence voisins. Ces derniers changent dynamiquement et de manière discrète lorsque l'avion parcourt son domaine de vol. On parle alors de «commutations». Des commutations existent aussi dans les logiques de guidage automatique, qui calculent les consignes à envoyer aux lois de contrôle en l'absence d'ordres directs du pilote. Ces logiques fonctionnent selon divers modes, produisant les consignes de manières différentes: capture d'altitude avec montée/descente franche et/ou arrondi ; maintien d'altitude, etc. Une autre source importante de commutations sont les fonctions de protection, qui détectent et filtrent à chaque instant les consignes potentiellement dangereuses envoyées à la couche de contrôle : limitation des accélérations verticales pour les passagers et la structure de l'avion, limitation de l'angle d'incidence contre les décrochages, etc. Le comportement des protections dépend à la fois du point courant du domaine de vol, du mode de guidage courant et/ou des ordres directs du pilote. Le système dans son ensemble (avion + lois de commande) est donc hybride, car il est caractérisé un ensemble discret de modes de fonctionnement interconnectés ; dans chaque mode la dynamique des variables continues du système est décrite par équations différentielles non-linéaires. Si ces approches ont permis la réalisation de commandes de vol plus précises et plus performantes, en contre-partie leur validation est devenue extrêmement complexe : comment s'assurer que la loi ne permet pas d'amener l'avion dans des configurations dangereuses (décrochage)? Comment détecter automatiquement des erreurs de codage de la loi (conditions de commutation erronée, valeur de gain erronée, etc.) ? Comment évaluer la couverture d'un ensemble de simulations (d'un point de vue structurel ou des propriétés) et qu'aucun scénario critique n'a été oublié (notamment, couverture des commutations)? GEN-F-160-5(GEN-SCI-029) 2 L'objectif de cette thèse est d'étudier la spécification-vérification-validation de lois de commandes hybrides complexes, de façon théorique, algorithmique et méthodologique, en s'appuyant sur un cas d'étude industriel fourni par Airbus (modèle SIMULINK d'une loi de commande en boucle fermée). Le doctorant mènera d'abord un état de l'art des méthodes formelles de spécification, vérification et validation de systèmes hybrides. On s'intéressera en particulier aux extensions hybrides des formalismes synchrones, et aux analyses d'atteignabilité basées sur des solveurs de type Satisfiabilité modulo ODE (ordinary differential equations). Le candidat devra ensuite évaluer les capacités des techniques actuelles vis-à-vis du cas d'étude afin d'identifier les principaux verrous théoriques et techniques limitant leur applicabilité ou leur efficacité. Le cœur du travail de thèse consistera en la conception et l'implémentation d'une analyse d'atteignabilité permettant de détecter certains types d'erreurs (calcul erroné de protections, dépassements de seuils d'accélération ou d'angle d'incidence critiques, etc.) et/ou de générer automatiquement des scenarii de simulation couvrant tout ou partie de la structure discrète du système, repoussant les limites des techniques actuelles. D'un point de vue méthodologique, le doctorant devra aussi réfléchir à l'intégration de ces techniques dans le processus industriel: formalisation des lois et des propriétés à vérifier, traduction des modèles de conception vers les outils d'analyse, traduction inverse des résultats d'analyse, etc. Collaborations extérieures :Airbus dans le cadre du projet investissement d'avenir SEFA-IKKY validation de lois de commandes avancées. PROFIL DU CANDIDAT Formation : M2 en informatique, ou en automatique / théorie du contrôle. Spécificités souhaitées : Méthodes formelles en informatique ou en théorie du contrôle. La connaissance des langages fonctionnels de programmation est un plus. GEN-F-160-5(GEN-SCI-029)