203229

Une version de cet article a t publie dans : Revue d'Interaction Homme Machine (RIHM), volume 7, n.2, pp. 79-111.
Analyse des dysfonctionnements des systmes complexes en amont de la conception des IHM : apports, difficults, et tude de cas
Dysfunction analysis of complex systems with a view of HCI design: contributions, difficulties, and case study
Faouzi MOUSSA (1), Christophe KOLSKI (2), Meriem RIAHI (1) (1) LIPP-Dp. Sciences de l'Informatique- Facult des Sciences de Tunis, Tunisie faouzi@gnet.tn (2) LAMIH, Universit de Valenciennes et du Hainaut-Cambrsis, France Christophe.Kolski@univ-valenciennes.fr
Rsum. Dans de nombreux systmes industriels complexes, lanalyse et la modlisation des dysfonctionnements forment une tape indispensable venant en amont des projets de conception des systmes de supervision. Elle constitue potentiellement une source prcieuse pour sorienter vers la dduction des besoins informationnels des utilisateurs. Toutefois, la transition est considre depuis longtemps comme difficile en IHM et a dailleurs t relativement peu tudie sur des cas complexes. Cet article vise apporter une premire approche de solution. Une dmarche globale danalyse est propose ; celle-ci considre explicitement les situations de dysfonctionnement. Elle est illustre par un cas dtude reprsentatif dune situation industrielle. Mots-cls. dysfonctionnements, besoins informationnels des utilisateurs, IHM, systmes industriels. Abstract. In industrial processes, the dysfunction modelling step is a must. It is performed in the beginning of the design of process control systems. Information carried out in this step offers a great opportunity to deduce the users informational needs. However, going from the dysfunction modelling step to the users informational needs deduction step still seems to be difficult and is often miss studied on complex cases. In this paper, we present a way of solution. A global analysis approach is proposed; it considers explicitely dysfunction modelling. An illustration is given too; it is representative of an industrial situation. Key words. dysfunctionning, users informational needs, HCI, industrial systems.
1 Introduction
De nombreuses dmarches mthodologiques globales sont proposes dans la littrature, pour la conception et lvaluation des systmes interactifs (Lim et 79
Revue dInteraction Homme-Machine
Vol 7 N2, 2006
Long, 1994 ; Bodart et al., 1995 ; Palanque et Bastide, 1996). Dautres sont proposes dans le domaine spcifique des systmes industriels complexes (Gilmore et al., 1989 ; Millot et Debernard 1993 ; Abed, 2001 ; Moussa et al., 2000 ; Lepreux et al., 2003 ; Riahi, 2004), ces derniers constituant le cadre applicatif de cet article. Dans ces systmes industriels complexes caractriss par des risques importants, quils soient matriels, cologiques et/ou humains, inhrents aux dysfonctionnements, par la diversit des situations (normales, anormales), par le nombre de variables considrer (souvent des centaines, parfois des milliers), par une forte dynamique lie aux interactions et liens dinfluence entre variables, loprateur humain demeure indispensable en salle de contrle. Dune part, lintelligence humaine fait que loprateur humain est mme dassurer une supervision intelligente sans cesse enrichie par lexprience. Dautre part, la prsence humaine savre ncessaire pour ragir face des situations de dysfonctionnement imprvues (Kolski, 1997 ; Moray, 1997 ; Rasmussen, 1986 ; Reason, 1990). Partant de ce constat, les mthodes de conception gnrales en IHM savrent insuffisantes, et en tout cas, elles sintressent rarement aux situations de dysfonctionnement. Ds lors, la conception des IHM peut en particulier tre utilement axe sur deux rles prpondrants : (1) offrir loprateur le moyen de superviser ltat de fonctionnement des principaux constituants du systme, (2) prparer les moyens qui permettent (voire assistent) son intervention en cas de dysfonctionnement (visible, prvisible). Le recours indispensable la modlisation du procd, particulirement dans les applications industrielles complexes, ne semble pas tre compltement assimil et systmatique, mme si des recherches actives sont menes dans ce domaine.1 Dans les salles de contrle des systmes critiques, lutilisation de linterface graphique (exclusivement ou partiellement) pour constituer le support de lIHM sest avre dun intrt capital. En effet, il est bien connu dsormais que les interfaces graphiques permettent des affichages diversifis et volutifs dans le temps (Daniellou, 1988 ; Lejon, 1991, Lambert, 1999, etc.). Bien conues, elles doivent permettre aussi et surtout une interaction homme-machine facile et performante. Ainsi, la conception de celle-ci est devenue centre sur lutilisateur (appel aussi oprateur humain (OH) dans larticle), dans la mesure o lefficacit de lIHM est trs lie la capacit de lutilisateur percevoir, interprter les informations, raisonner sur celles-ci et agir travers linterface pour piloter le systme (De Keyser, 1988 ; Millot, 1988). Cette conception centre autour de lutilisateur (Norman, 1986) se doit dintgrer les enseignements et les rsultats de plusieurs disciplines : - lautomatique et ses apports, entre autres, dans la modlisation du procd, la surveillance, la coopration entre lhomme et la machine, etc. (Millot, 1988) ;
1 A ce sujet, depuis les annes 90, nous constatons un engouement progressif autour des approches de conception base de modles (Model Based Design/Development, (Szekeley, 1996)), sacclrant suite la proposition de lapproche MDA (Model Driven Architecture) par lOMG et lIngnierie Dirige par les Modles (IDM) (Favre et al., 2006). Cette classe dapproches implique forcment le recours aux modles (procd, tche, interaction, etc.) dans le processus de conception. La mthode propose dans larticle se situe dans ce courant, en accordant une large part la modlisation.
80
Analyse des dysfonctionnements des systmes complexes en amont de la conception des IHM
- la psychologie cognitive permettant, entre autres, la modlisation de loprateur humain, lanalyse et la modlisation de la tche et de lactivit de loprateur humain (Scapin et Bastien, 2001 ; Diaper et Stanton, 2004) ainsi que la dtermination des besoins en information de celui-ci ; - les langages de spcification et danalyse permettant, selon la rigueur de leurs formalismes, de modliser les tches oprateurs, les objets de linterface et leurs comportements, etc. (Jambon et al., 2001). Les possibilits de vrification des proprits des modles tablis sont ici des atouts apprciables (Cf. par exemple Palanque et al., 1995 ; Guittet et al., 1997) ; - lergonomie cognitive, venant principalement en complment la psychologie cognitive, pour la rsolution des problmes autour de la prsentation de linformation lcran, la prise en charge des problmes sur le plan du confort oprateur, etc. (Stewart et Travis, 2003) ; - linformatique dans la dimension la plus large du Gnie logiciel et dans certaines spcialits sous-jacentes comme les Systmes Base de Connaissances, les systmes de diagnostic et dassistance, etc. Toutes ces disciplines concourent apporter des lments de rponse la problmatique de conception des Systmes Homme-Machine (SHM) dune manire gnrale et des Interfaces Homme-Machine (IHM) en particulier. Cest pourquoi la mthode propose dans larticle combine ncessairement des mthodes et modles provenant de diffrents domaines. Toutefois, soulignons que dans la majorit des approches de conception des IHM proposes, quand, dans le meilleur des cas, le procd est modlis, celui-ci nest pas reprsent en tat de dysfonctionnement. De ce fait, les interfaces produites ne seront adaptes surtout quaux situations de fonctionnement normal et prsentent, par consquence, des lacunes au niveau de lexpression des besoins des oprateurs relatifs ces situations peu ou mal analyses. Loccurrence dun dysfonctionnement ramnera le systme une situation critique imprvisible o labsence dinformations adquates au contexte anormal rendra la tche de loprateur plus difficile et son niveau de stress potentiellement plus important. Le besoin en assistance est alors indispensable. La mthode propose dans larticle, prenant en considration explicitement les dysfonctionnements, trouve ici toute son importance. Dans cet article, qui tend (Moussa et al., 2005) et qui se base largement sur (Riahi, 2004 ; Moussa, 2005), nous commenons par exposer une brve synthse bibliographique sur les mthodes et outils danalyse et de modlisation des systmes complexes en mode de fonctionnement normal, ou anormal (appel aussi mode dgrad, ou de dysfonctionnement), vus comme des pr-requis ncessaires la conception des IHM, ces mthodes et outils venant en amont de lanalyse des tches humaines. Nous prsentons, par la suite, une approche globale danalyse et de conception des IHM, propose pour faciliter la dduction des Besoins Informationnels des Oprateurs (BIO). Nous nous intressons principalement dans larticle aux tapes suivies pour lanalyse du procd contrler et lanalyse de ses diffrents modes de fonctionnement dans lobjectif de construire un modle dinteraction homme-machine qui facilitera par la suite la dduction des besoins informationnels des oprateurs et la spcification de linterface approprie. Ces tapes sont dtailles et illustres travers une tude de cas reprsentative dune situation industrielle. 81
Vol 7 N2, 2006
2 Mthodes et techniques danalyse et de spcification

Notre souci tant de couvrir, travers une analyse et une modlisation du systme, les aspects de fonctionnement normal mais aussi et surtout de dysfonctionnement dans lobjectif de mieux cerner les BIO proposer, selon les diffrents contextes oprationnels, notre attention ne se porte plus, uniquement, sur le procd, mais plus gnralement sur le systme homme-machine. La question qui se pose l est comment procder cette analyse et modlisation et quels mthodes et outils utiliser ? A ce sujet, nous passons en revue un ensemble de mthodes danalyse et de spcification, et ceci sans souci dexhaustivit, mais plutt de reprsentativit.
2.1 Mthodes danalyse fonctionnelle et/ou structurelle des systmes

Avec les systmes industriels de complexit croissante, lanalyse fonctionnelle et/ou structurelle d'une installation devient fastidieuse, voire impossible sans l'adoption d'une ou de plusieurs mthodes. Plusieurs types de mthodes existent dans la littrature. Utilises dans de nombreux domaines industriels depuis une trentaine dannes, les mthodes cartsiennes (aussi appeles structures) permettent de procder un dcoupage fonctionnel, hirarchique du systme (telles que les mthodes SA, SADT, SA-RT, ) ; elles sont trs pratiques pour reprsenter des systmes complexes, et pour faciliter la communication dans les quipes projet, SADT tant par exemple prsent comme un langage pour communiquer des ides (IGL Technology, 1989). Il est toutefois bien connu que de telles mthodes prsentent des carences au niveau de la description fine de la composante dynamique du systme, et ce malgr les propositions de SA-RT (Hatley et Pirbai, 1991) ce sujet. Dautres mthodes sont proposes pour lanalyse fonctionnelle permettant ltude des relations dinfluence entre les variables (telles que les graphes de fluence (Sinclair et al., 1965) et la mthode MFM (Multilevel Flow Modelling) (Lind, 1990). Nanmoins, les graphes de fluence prsentent un risque de schmas trs complexes, difficiles lire et exploiter et la mthode MFM est encore trop peu utilise en entreprise. On trouve galement les mthodes qualifies de systmiques permettant des modlisations centres sur les donnes et les traitements, telles que les mthodes MERISE (Tardieu et al., 1991) et AXIAL (Pelleaumail, 1987), MERISE tant la plus utilise dans les pays francophones. Par exemple, pour ce qui est de ltude de lexistant et de lanalyse des besoins, la mthode MERISE propose dintressants modles centrs dune part sur les donnes et dautre part sur les traitements (Nanci et Espinasse, 2001). Mais on considre que de telles mthodes sont mieux adaptes au domaine de linformatique de gestion et des systmes dinformation qu celui des applications industrielles critiques. Les mthodes danalyse orientes objets (toutes bases sur UML actuellement suite lunification des trop nombreuses mthodes existantes, durant les annes 90) (Jacobson et al., 2000 ; cf. www.omg.org) ncessitent des extensions adaptes aux systmes industriels complexes. Si lon value informellement ces classes de mthodes (en nous focalisant sur les mthodes les plus reprsentatives) selon plusieurs critres (degr de recouvrement des aspects structurel et fonctionnel de lanalyse, capacit de dcoupage hirarchique du systme, degr de visibilit de la circulation du flux dinformation, degr de simplicit impliquant la facilit dapprentissage de la
82
mthode, aspect graphique de la mthode, degr dapplicabilit pour le domaine concern par notre tude savoir les applications industrielles), la mthode SADT semble la plus adquate. En effet, cette mthode, bien que dveloppe en fin des annes 70, reste parmi les mthodes danalyse fonctionnelle les plus utilises pour les systmes industriels. Elle est particulirement adapte lanalyse et la conception des systmes. Elle est utilise, ici, spcialement pour avoir une vue structure sur le systme global, qui est gnralement complexe. Cette dcomposition SADT nous permettra par la suite dtudier les soussystmes considrs comme lmentaires , selon notre approche de dcomposition et y appliquer les mthodes danalyse de dysfonctionnements. Notons aussi que cette mthode est utilise depuis de nombreuses annes dans le domaine de linteraction homme-machine (Abed et al., 1992, 1995 ; Benaissa, 1993 ; Abed, 2001 ; Ezzedine et Kolski, 2004).
2.2 Des mthodes adaptes lanalyse des dysfonctionnements

Une analyse des dysfonctionnements doit dboucher principalement sur lensemble des variables pertinentes et significatives de lensemble des causes possibles dun dysfonctionnement donn, afin de pouvoir aider loprateur humain en salle de contrle localiser la cause de la panne et rtablir une situation de fonctionnement normal. Pour modliser le systme en mode dgrad ou de dysfonctionnement, trois principales classes de mthodes peuvent tre distingues (analyse prliminaire des dangers, analyse et regroupement des pannes, analyse dtaille causes/effets de panne) ; pour une revue quasi-exhaustive et des descriptions dtailles des mthodes listes ci-dessous, voir (Fadier, 1990 ; Villemeur, 1992 ; Laprie et al., 1995). Ces trois classes de mthodes sont successivement dcrites. Dans la premire classe, on retrouve principalement la Mthode dAnalyse Prliminaire des Dangers (APD). Son principe consiste identifier les dangers dune installation industrielle et ses causes (entits dangereuses, situations dangereuses, accidents potentiels), valuer la gravit des consquences (lies aux situations dangereuses et accidents potentiels), dduire tous les moyens, toutes les actions correctrices permettant dliminer ou de matriser les situations dangereuses et accidents potentiels mis en vidence. La mthode APD a t utilise la premire fois vers les annes 60 aux Etats Unis, dans le cadre de lanalyse de scurit de missiles. Ensuite, elle a t formalise par lindustrie aronautique, puis gnralise de nombreuses industries : chimie, nuclaire, aronautique, etc. Il est gnralement recommand de lappliquer ds les premires phases de conception du systme risques. Dans la seconde classe, on retrouve les mthodes danalyse et regroupement des pannes, telles AMDE, MPCR, MTV : - La mthode AMDE (Analyse des Modes de Dfaillances et de leurs Effets) fut employe partir des annes 60 dans le domaine de laronautique pour lanalyse de la scurit des avions. Cette mthode inductive permet de : (1) valuer les effets de chaque mode de dfaillance des composants dun systme sur les diffrentes fonctions du systme, (2) identifier les modes de dfaillances ayant des effets sur la disponibilit, la fiabilit, la maintenabilit ou la scurit du systme. LAMDE constitue une analyse prliminaire qui doit gnralement tre complte par lutilisation dautres mthodes pour lidentification des combinaisons de dfaillances pertinentes. La principale critique faite pour cette approche est sa lourdeur qui vient du principe de son analyse faite pour tous les composants du systme quelle que soit leur 83
Vol 7 N2, 2006
importance. Notons la variante AMDEC qui ajoute lAMDE la caractrisation de la criticit de chaque dfaillance. LAMDE et lAMDEC sont trs largement exploites dans lindustrie. - La mthode MCPR (Mthode de Combinaisons des Pannes Rsumes) vient complter lAMDE, qui ne permet gnralement dtudier que les simples dfaillances, par ltude de combinaisons de ces dfaillances. En revanche, sa possible lourdeur invite ne lemployer qu bon escient, selon (Villemeur, 1992). - La mthode MTV (Mthode de la Table de Vrit) consiste recenser toutes les combinaisons dtats (tats de fonctionnement et tats de pannes) des composants, les unes aprs les autres et en tudier leurs effets ; son principe est fort simple mais il se rvle irralisable pour lanalyse manuelle de grands systmes, en raison dun trs grand nombre de combinaisons considrer. Dans la troisime classe, on retrouve des Mthodes danalyse dtaille causes/effets dune panne, telles MDS, AdD, MACQ, MDCC : - Le but essentiel de MDS (Mthode de Diagrammes de Succs) est la reprsentation de la fonction du systme par des diagrammes de blocs. Ses limites sont rapidement apparues au dbut des annes 60. La recherche de voies nouvelles et plus fines danalyse a conduit aux mthodes AMDE et AdD. - La mthode AdD (Arbre des Dfaillances), aussi appele Mthode de lArbre des Causes (MAC), est ne au dbut des annes 60 dans les bureaux de la socit Bell Telephone. Son but est de dterminer les diverses combinaisons possibles dvnements qui entranent la ralisation dun vnement indsirable unique, puis la reprsentation graphique de ces combinaisons au moyen dune structure arborescente. La principale limite de cette mthode rside dans le fait que lvnement indsirable analyser doit tre dfini dune manire prcise. Cette mthode est trs largement rpandue dans de nombreux domaines industriels. - MACQ (Mthode de lArbre des Consquences) fut employe pour la premire fois entre 72 et 75 dans lvaluation du risque li aux centrales nuclaires aux Etats-Unis. Drive de la mthode des arbres de dcision, elle fut ensuite appele "mthode des arbres dvnements" (Event Tree Method). Cest loutil le plus frquemment utilis pour la caractrisation et la dtermination des accidents potentiels. Elle permet didentifier les diffrentes squences dvnements possibles (acceptables et inacceptables), les reprsenter, et les valuer de manire quantitative et qualitative. - MDCC (Mthode du diagramme Causes-Consquences) a t initialement labore par le laboratoire RIS au Danemark (dbut des annes 70). Elle a t utilise comme aide lanalyse de fiabilit et de risque des centrales nuclaires dans les pays scandinaves. Elle combine les principes utiliss par la mthode dductive AdD et MACQ qui est inductive. Cest une mthode difficile utiliser pour lanalyse des systmes trop complexes. Une fois le systme analys, un document de spcification fonctionnelle peut tre tabli, prcisant la structuration du systme, lensemble de ses variables "pertinentes", le principe de son fonctionnement normal ainsi que ses diffrents dysfonctionnements possibles. Pour chacun de ces
84
dysfonctionnements, un diagnostic sera labor prcisant ses symptmes, ses effets et les procdures de recouvrement possibles. Il existe bien entendu de nombreuses combinaisons possibles de mthodes. Une solution reprsentative possible, exploitant au moins une mthode de chaque classe, et que nous avons retenue, consiste utiliser une combinaison des mthodes complmentaires suivantes : 1. commencer par la mthode APD pour identifier lensemble des tats de fonctionnement du systme et les dangers possibles (tape prliminaire qui peut tre ignore si le systme nest pas trop complexe) ; 2. lister chaque tat de dysfonctionnement ; pour chaque tat, appliquer la mthode AMDEC pour identifier les diffrents modes de dfaillances ; 3. analyser plus finement ces dfaillances par la mthode AdD ; 4. analyser ventuellement les squences dvnements consquences possibles des dfaillances par la MACQ (selon les caractristiques et la complexit du systme analyser) ; 5. ayant lensemble des pannes et leurs effets, appliquer, ventuellement (selon les caractristiques et la complexit du systme analyser), la mthode MCPR pour dduire un ensemble de pannes regroupes selon leurs effets. Rappelons ici que notre objectif est de mener une analyse des dysfonctionnements des systmes, afin de pouvoir dgager lensemble des variables pertinentes et significatives pour chaque cas de fonctionnement du systme ainsi que lensemble des causes possibles dun dysfonctionnement donn, afin de pouvoir aider loprateur dans sa tche. En gardant en tte cet objectif, on saperoit que la solution prcdente en terme de combinaison de mthodes est centre sur les mthodes AMDEC et AdD qui sont considres comme complmentaires, et toutes les deux largement utilises dans les entreprises : lAMDEC, en effet, permet dtablir la liste des dysfonctionnements possibles dun systme donn et lAdD la complte en analysant finement ces dfaillances et prcisant leurs causes possibles. Pour le cas dtude qui sera trait en section 4, notons que la complexit moyenne du systme industriel considr ne permettra dexploiter quune combinaison de ces deux mthodes.
2.3 Des techniques de spcification au besoin en modlisation de la dynamique dans les systmes homme-machine
Dans le processus global de conception des IHM, lactivit de spcification (procd, tche interactive de supervision, etc.) fait appel aux notations et formalismes pour supporter lactivit de conception dont lobjet est la modlisation du systme concevoir. Le formalisme est donc une convention de reprsentation des concepts du modle (Barthet, 1988). La figure 1 prsente ce sujet une taxonomie des techniques de spcification faisant ressortir le champ dapplication et lapport des diffrentes familles dapproches de modlisation. Il est clair quun nombre trs important de techniques est actuellement disponible. Le lecteur intress se rfrera (Jambon et al., 2001) pour une description plus prcise des approches cites dans la figure. A ce sujet, de nombreux auteurs depuis prs dune vingtaine dannes, mettent en avant lintrt de baser les dmarches danalyse et conception des systmes homme-machine (SHM) ou les applications interactives pour les systmes critiques, sur des mthodes formelles et semi-formelles : cf. les travaux 85
Vol 7 N2, 2006
de Palanque et ses collgues au LIIHS (Toulouse), au LAAS (Toulouse galement), ceux de Abed et ses collgues au LAMIH Valenciennes, ou encore ceux plus rcents mens autour de lutilisation de mthodes de spcification formelles (telle B) en IHM au LISI Poitiers ; voir aussi Johnson et Palanque (2004) pour des synthses ou des travaux reprsentatifs ce sujet.2
La thorie dcisionnelle de Rasmussen, 80 Les modles thoriques La thorie de laction de Norman, 86 Les sciences cognitives XDM, De Rosi, 98 KLM, Card, 83 Les modles exprimentaux UAN, Hix et Hartson, 93 etc. VDM, Jones, 80 Lapproche base sur les modles Z, Spivey, 89 B, Abrial, 96 Lapproche algbrique (thorie des catgories et des types abstraits)
Taxonomie des techniques de spcification
Les approches algbriques
PLUSS, Gaudel, 84 OBJ, Goguen, 96 RAISE, 92
Syngraph, Olsen, 83 Les grammaires hors contexte (BNF) DCG, Dang, 88 ALGAE, Flecchia, 87 Squeak, Cardelli, 85 Sassafras, Hill, 86 Tube, Herrmann, 89 ERL
Les langages vnements Les thories des langages
Lustre, DAusbourg, 96 Les langages synchrones Esterel, Berry, 88 Lotos, Bolognesi, 89 Les techniques orientes objet TOOD, Mahfoudhi 97, Tabary 98 ICO, Palanque et Bastide, 95 Les ATN, Woods, 80 Les RTN , Jacob, 85
Les automates tats finis Les thories des graphes
Les Rseaux de Petri (RdP), Petri, 62
XTL, Brun, 98 Les logiques temporelles ACTL, De Nicola, 91
Figure 1. Taxonomie des techniques de spcification (inspire de Jambon et al., (2001)) Pour ce qui nous concerne, nous nous focalisons sur les mthodes et techniques permettant de venir en complment de celles envisages en 2.1 et 2.2, visant couvrir laspect dynamique du systme, mais aussi de faciliter la modlisation dynamique des interactions homme-machine. Notre choix se porte sur les Rseaux de Petri (RdP) (Petri, 1962 ; Petersen, 1981) considrs depuis longtemps comme trs adquats pour la modlisation de linteraction homme-machine (Abed et al., 1992 ; Palanque, 1992 ; Palanque et
2 Dans la srie de workshops DSV-IS (Design, Specification and Verification of Interactive Systems), de nombreux articles sont consacrs ces aspects.
86
Bastide, 1995 ; Mahfoudi, 1997 ; Abed, 2001 ; Navarre, 2001 ; Gomes et al., 2001). Ce choix a t opr suite une tude bibliographique ayant mis en vidence laptitude de cette technique rpondre des critres qui sont importants et applicables pour la spcification des IHM pour les procds industriels complexes (Riahi, 2004). En effet, et pour anticiper sur la suite, prcisons que les RdP disposent dune dfinition formelle, ils offrent un grand pouvoir d'expression des aspects tels que le synchronisme, le paralllisme, ils sont excutables, ils disposent de nombreuses techniques de vrification automatique des proprits (born, vivant, rinitialisable, etc.), il offrent une reprsentation graphique peu contraignante, etc. ; autant de critres adapts aux contraintes de spcification et de gnration automatique des interfaces graphiques pour les applications industrielles complexes et critiques. Les RdP ont, dailleurs, toujours t efficaces dans le domaine de l'automatique qualifie dhumaine (la conception des systmes tant centre sur lhomme ; cf. (Millot, 1988)) et ils deviennent de plus en plus utiliss dans celui de la conception dinterfaces homme-machine. Nous proposons, ci-dessous, certains critres ayant conduit ladoption des RdP pour nos travaux (plus de dtails sont disponible dans Riahi (2004), cf. aussi Palanque (1992), Jambon et al. (2004)) : - la puissance des RdP en terme de vrifiabilit des proprits : la vrification sur modle permet dassurer, de manire certaine, les proprits. Cette mthode exige que les proprits soient au pralable formellement dfinies. Les rseaux de Petri permettent de sassurer, en explorant le graphe des marquages, que lutilisateur a bien accs toutes les commandes du systme (Palanque et Bastide, 1996) ou que celui-ci peut achever une action entreprise. - le degr de prise en considration de laspect paralllisme : la concurrence dans la modlisation des tches oprateur est un critre fort important. On peut modliser la concurrence en utilisant le paralllisme vrai ou lentrelacement. Les RdP, comme la logique temporelle XTL (Brun, 1998) ou la notation UAN (User Action Notation) (Hartson et Gray, 1992) sont des exemples qui remplissent cette proprit. - le degr de la prise en considration de laspect synchronisme : implmenter la synchronisation des actions et des processus est indispensable dans la modlisation du dialogue homme-machine. Les RdP, de mme que les langages synchrones Lotos (Turner, 1993) et Lustre (Halbwachs et al., 1991) assurent ce genre de critre. - Le squencement des actions et les contraintes temporelles : ce critre regroupe cinq sous-critres (Balbo, 1994) permettant de prciser les relations entre les actions : la squence entre deux tches (A puis B) ; lalternative (ou choix) entre deux tches (A ou B) ; la composition de deux tches dans un ordre quelconque (A & B) ; litration (A un certain nombre de fois) ; lexpression des dlais entre les tches. Les RdP temporiss offrent aussi des possibilits de modlisation ce sujet. - Les capacits gnratrices : selon les objectifs mthodologiques auxquels on sattache, une approche de conception peut aboutir sur des spcifications informelles inexploitables dune manire automatise, comme elle peut aboutir sur la gnration automatique ou semi-automatique des IHM partir des spcifications obtenues. Bien que souvent on se contente de lutilisation dune notation si elle est suffisamment expressive pour nos besoins, les 87
Vol 7 N2, 2006
capacits gnratrices restent la spcificit des formalismes. Par exemple, mme si cela sort du cadre de ltude, il peut tre intressant de souligner que les rseaux de Petri, dont le graphe des marquages fournit ltat courant du systme, son volution possible, ainsi que les tapes prcdentes, permettent de gnrer de laide contextuelle en expliquant lutilisateur comment il est parvenu dans ltat courant, comment il peut continuer sa tche et mme lui donner le chemin optimal de ralisation comprenant le moins dtapes possibles (Palanque et Bastide, 1997).
2.4 Conclusion sur les mthodes et techniques disponibles

Il existe normment de mthodes et techniques, destins lanalyse et la modlisation des systmes, de mme qu la spcification. La littrature est trs riche ce sujet, et non ncessairement en rapport direct avec le domaine de linteraction homme-machine. Certaines mthodes et techniques sont spcifiquement destines lanalyse des systmes dans des situations de dysfonctionnement. La difficult rside dans le choix et la combinaison des mthodes et techniques, selon les caractristiques et les objectifs du projet concern ; nous avons fourni quelques critres ce sujet. Il sagit dans la partie suivante de fournir une approche globale en terme danalyse et de modlisation de systme, avec une vise didentification des besoins informationnels des oprateurs. Cette proposition sera illustre ensuite en partie 4 par une tude de cas.
3 Approche globale propose

Nous nous focalisons ici sur les premires tapes dun cycle de conceptionvaluation des IHM dans les systmes industriels complexes. Dans cet article, nous nous intressons, plus prcisment, aux tapes danalyse 2, 3 et 4 ci-dessous selon une dmarche facilitant la dduction des besoins informationnels des oprateurs (BIO). Lapproche propose identifie sept tapes principales : 3 1. Une premire tape danalyse prliminaire du processus et de son systme de commande est ncessaire. 2. La seconde tape consiste analyser le systme homme-machine (SHM) en termes de processus, son systme de commande et les tches oprateur. Diffrentes techniques et mthodes sont utilises cet effet. Dans cette tape trs importante, il sagit de combiner un ensemble de mthodes dcrites prcdemment dans les sections 2.1 et 2.2 de larticle. 3. La troisime tape consiste en la modlisation du comportement de loprateur. Cette modlisation doit exprimer linteraction entre loprateur et le systme via linterface homme-machine.
3 Pour dautres propositions de dmarches mthodologiques adaptes aux systmes industriels complexes, il est possible de consulter par exemple Millot et Debernard (1993), Kolski (1997), Abed (2001), Abed et Ezzedine (1998) ou encore Gilmore et al. (1989). Lapproche propose dans cet article est gnralement cohrente avec celles proposes par ces auteurs, tout en se focalisant sur les premires tapes dun projet et en dtaillant lanalyse profonde du systme homme-machine.
88
4. La quatrime tape assure lidentification des BIO en termes dobjets de linterface. 5. Une fois les objets de linterface dduits, cette tape consiste spcifier linterface en termes de vues et objets graphiques. 6. Il est possible de tirer bnfice de la technique formelle utilise dans la spcification de linterface pour vrifier les spcifications proposes, au niveau de cette tape. 7. La dernire tape de cette approche est ddie la production (quelle soit automatique, semi-automatique ou tout simplement manuelle) de linterface homme-machine ddie la supervision du systme. Bien entendu, aussi bien en amont quen aval de la production de linterface homme-machine, lvaluation sous langle de lutilit et de lutilisabilit joue un rle essentiel sur lequel nous ne reviendrons pas dans larticle, par manque de place. De nombreux ouvrages, chapitres de livres, thses, articles dans des revues et congrs sont disponibles ce sujet. La premire tape, ralise en amont de lapproche, dbouche sur un document rassemblant les donnes du procd et ses diffrentes contraintes techniques et fonctionnelles. Cette tape est typique en ingnierie des systmes et en gnie automatique. La seconde tape, quant elle, consiste conduire une analyse profonde, point de dpart de la spcification de lIHM. Cette tape est ralise en coopration avec les concepteurs de linstallation industrielle et les oprateurs humains, futurs utilisateurs de linterface homme-machine en salle de contrle. Lanalyse du systme homme-machine consiste, en effet, identifier les sous-systmes significatifs et importants contrler et analyser leur comportement. Lobjectif recherch de cette analyse est didentifier les diffrentes vues (la plupart graphiques) appropries pour le contrle et la commande de ces sous-systmes. Lobjectif est de fournir tout instant, une vue graphique par sous-systme, refltant son tat de fonctionnement et regroupant lensemble des BIO cet instant l. Ce travail peut seffectuer en trois phases (figure 2). - Phase 1 : procder une dcomposition hirarchique du SHM moyennant la mthode SADT identifiant un ensemble de sous-systmes lmentaires plus clairs, faciles tudier et modliser. - Phase 2 : analyser les dysfonctionnements de chaque sous-systme en appliquant la combinaison des mthodes AMDE et AdD. - Phase 3 : identifier pour chaque sous-systme et pour chaque contexte de fonctionnement, les tches ncessaires de loprateur : lanalyse des diffrents contextes de fonctionnement du systme tudi tant faite, il importe, prsent, didentifier pour chacun des contextes pralablement identifis (contexte de fonctionnement normal et contextes de fonctionnement anormaux) lensemble des tches oprateur ncessaires pour le suivi et le contrle. Lanalyse de ces tches permet de dfinir les actions entreprendre par les oprateurs. Les paramtres de ces actions constitueront avec lensemble des variables dentre/sorties et les variables de contrle (identifies au moyen de SADT, AMDE et AdD) lensemble des besoins informationnels de loprateur (BIO). En partant des modles prcdents conduisant positionner les interventions humaines dans des situations aussi bien normales quanormales, la troisime 89
Vol 7 N2, 2006
tape consiste modliser dune manire formelle linteraction hommemachine, en exploitant les rseaux de Petri. Dans la quatrime tape, il sagit de reprendre lensemble des rseaux de Petri modliss prcdemment, pour en tudier (situer) chaque indice suggrant une interaction homme-machine et mettre en consquence en vidence lensemble des BIO ncessaires, prenant la forme plus particulirement de variables dinformation dune part, de variables de commande dautre part.
E1 Analyse prliminaire du processus et de son systme de commande
Analyse profonde du SHM Dcomposition du SHM E2

SADT
SS1
SS2
SSn
AMDE AdD Plusieurs mthodes candidates
Analyse des Dysfonctionnements

Identification des Tches Oprateurs
Analyse des Tches Oprateurs Modlisation de linteraction
E3
RdP
E4 E5 E6 E7
Dduction des BIO Spcification de lIHM Vrification des spcifications Gnration des IHM
Couplage possible une approche de type Tools For Working With Guidelines
Figure 2. Analyse du Systme Homme-Machine (SSi : sous-systme i) La spcification de linterface proprement dite peut alors commencer (cinquime tape). Elle consiste dduire pour lensemble des BIO identifis, les objets dinteraction correspondants pour les diffrentes tches en salle de contrle. Notons que la prise en compte des critres relatifs lergonomie des logiciels peut ventuellement tre assure ce niveau avec le couplage un outil daide, base de connaissances, du type TFWWG (Tools For Working With Guidelines) si lon se rfre au courant de recherche au niveau international anim en particulier par Jean-Vanderdonckt (Vanderdonckt, 1994, 1999 ; Moussa et al., 2000 ; Vanderdonckt et Farenc, 2000 ; Bereikdar, 2004 ; Mariage, 2005). Lutilisation des RdP pour la modlisation vise prparer le terrain des vrifications formelles et une validation a priori des interfaces au niveau de la sixime tape ; ce qui permet en principe de gagner un temps considrable dans le cycle de dveloppement des interfaces.
90
Pour ce qui est de la production de lIHM (tape sept), de nombreux langages et environnements de dveloppement sont disponibles, quils soient spcifiques ou non aux applications de supervision ; cf. ce sujet Fekete et Girard (2001) pour un aperu significatif. Dans larticle, ces trois dernires tapes (cinq sept), classiques en IHM, ne sont pas traites ; nous ne nous focaliserons donc que sur les trois tapes prcdentes (analyse du systme en mettant en particulier laccent sur lanalyse de ses dysfonctionnements, modlisation de linteraction homme-machine, dduction des BIO). Celles-ci sont illustres sur un cas reprsentatif dun systme industriel rel. Notons aussi ds prsent que lanalyse de la tche oprateur nest pas traite en profondeur ici, celle-ci faisant dailleurs lobjet dun thme de recherche part entire en IHM. A ce sujet, lanalyse des tches humaines ncessite un haut niveau de connaissance et de savoir faire et une collaboration troite et pluridisciplinaire entre les diffrents intervenants du processus de dveloppement des applications interactives. Rappelons que plusieurs mthodes danalyse et de modlisation de la tche sont proposes dans la littrature ; voir par exemple Scapin et Bastien (2001), Diaper et Stanton (2004). Nous supposons cet effet que lanalyse de la tche est accomplie en adoptant une mthode approprie parmi celles-ci, de nombreuses mthodes tant candidates (MAD, HTA, CTT). Le rsultat de cette analyse permet de dfinir les actions relatives aux tches de loprateur. Les paramtres de ces actions constitueront avec lensemble des variables dentre/sorties et les variables de contrle (identifies au moyen de SADT, AMDE et AdD), lensemble des besoins informationnels de loprateur (BIO).
4 Etude de cas
Lapplication tudie concerne le cas dun procd industriel de fabrication de godets mtalliques remplis par une solution chimique prpare pralablement, fig. 3.
Moteur
Arrive de la prparation primaire P
Doseur de P Doseur de S
Arrive du produit S
Niveau maximum (X) Niveau minimum (N)

Cuve
Alarme
Module de prparation
Vanne Cuve
Niveau maximum (x) Seuil de rapprovisionnement (r) Niveau minimum (n)

Module de remplissage
Vanne Scurit
Rservoir Doseur de remplissage
Faonnage des godets et prsentation unitaire pour remplissage Cellule photolectrique
Figure 3. Procd superviser en salle de contrle 91
Vol 7 N2, 2006
Le processus simplifi de prparation comprend deux phases principales : (1) le faonnage des godets par emboutissage de pices mtalliques prdcoupes ; (2) le versement dans les godets dune dose de solution chimique. La solution est obtenue partir dune prparation primaire P et dun produit S. Ltude a port sur cette deuxime phase qui met en uvre deux modules : un module de prparation et un module de remplissage. La fonctionnalit principale de la partie tudie de ce systme consiste prparer le mlange puis en remplir les godets. 4.1 Analyse du systme homme-machine Dcomposition fonctionnelle du systme La premire tape de la dmarche consiste appliquer une mthode permettant une analyse fonctionnelle, par exemple SADT (comme dans Benaissa, 1993 ; Abed et al., 1992, 1995 ; Abed et Ezzedine, 1998), pour dcomposer le systme et dceler les principaux sous-systmes lmentaires pour les tudier. Lactigramme A0 (figure 4) prsente titre dexemple la fonctionnalit principale "prparer mlange et remplir godets". Une dcomposition de cette fonctionnalit peut rvler, dans lactigramme A1, deux sous-fonctionnalits "prparer mlange" et "remplir godets" (figure 5).
Contrle
Cde dosage Qt (P,S) Temp (P,S) Godet vide
Cde vannes Etat (Qt (P,S), temp (P,S)) Etat (remp Mel, volume Rs)
Entres
Prparer mlange et remplir godets
Sorties
Systme de Systme de Oprateur prparation remplissage
Moyens
Figure 4. Dcomposition du systme par SADT (Actigramme A0) Rem : pour des raisons de simplification, toutes les donnes ne sont visibles sur la figure 4
92
Cde Cde Seuils marche dosage moteur cuve /arrt
dtection Cde godet dosage
Seuils Cde res vannes
Qt (P, S) Temp (P, S)
Prparer mlange VolumeRes TempMel
Etat (Qt (P, S), temp (P,S)) Etat vanne Volume cuve
Godet vide
Remplir godet
Godet rempli Etat (temp Mel, volume Rs)
Sys. prparation
Oprateur
Sys. remplissage
Figure 5. Dcomposition du systme par SADT (Actigramme A1) Le systme tudi tant simple, nous pouvons nous arrter ce premier niveau de dcomposition et considrer les deux sous-systmes lmentaires :4 - sous-systme de prparation (S1) - sous-systme de remplissage (S2) Analyse des dysfonctionnements du systme. Analyse par la mthode AMDE Llaboration dune AMDE demande une connaissance approfondie du fonctionnement normal et/ou dgrad du systme tudi. Le recensement des modes de dfaillances et de leurs causes ventuelles sappuie sur lexprience dexploitation acquise pour des matriels similaires. Les principales difficults surgissent au niveau : de la dfinition des effets des dfaillances (variations des paramtres, actions automatiques ou manuelles,), de lvaluation de ces effets. Au cours de llaboration de lAMDE, un contact permanent entre le(s) spcialiste(s) en sret de fonctionnement et les spcialistes des systmes est ncessaire. Dans le cas de combinaisons des dfaillances non prvues lors de la conception du procd industriel, ce dialogue permet daboutir llaboration dhypothses aussi ralistes que possible (Villemeur, 1992). 5
4 Pour une meilleure comprhension, rappelons dabord que dans SADT, une activit est reprsente par un actigramme. Un actigramme peut possder des donnes dentre situes en partie gauche (flches entrantes), des donnes de sorties situes en partie droite (flches sortantes), des donnes de contrle situes au-dessus (flches entrantes), des mcanismes (acteurs humains, logiciels, machines) situs en-dessous (flches entrantes). Chaque actigramme peut tre dtaill un niveau infrieur par dautres actigrammes. 5 Au dpart, notre tche dlaboration de lAMDE ntait pas aise dans la mesure o nous ntions pas assists par des spcialistes du domaine et o nous navions quune connaissance thorique sur ces types de mthodes. Nous nous sommes donc inspirs des documents
93
Vol 7 N2, 2006
Pour notre cas dapplication, lAMDE a t labore pour les deux soussystmes mis en vidence avec la dcomposition fonctionnelle prcdente : - Le premier sous-systme (S1) est responsable de la fonctionnalit de prparation du mlange. Il est compos de deux doseurs (lun pour la solution primaire P et lautre pour le produit S), dune cuve et dun moteur pour mlanger la solution, dune vanne-cuve permettant lcoulement de la solution vers le rservoir et de cinq capteurs (pour mesurer les tempratures des entres P et S ainsi que le volume courant dans la cuve et contrler latteinte des niveaux seuil minimum et seuil maximum). - Le deuxime sous-systme (S2) est responsable de la fonctionnalit de remplissage des godets. Il est compos dun rservoir, dune vanne de scurit permettant lvacuation du mlange vers lextrieur, dun doseur du mlange pour le remplissage et dun capteur de temprature de la solution de remplissage. Llaboration de lAMDE consiste donc considrer ces deux soussystmes et tudier pour chacun deux, les modes de dfaillances de leurs composants, les causes possibles, ainsi que les effets de ces dfaillances sur le systme, les moyens de dtection et les ventuelles actions de loprateur. Le rsultat de cette analyse produit un tableau renseignant sur chaque composant, ses modes de dfaillances, les Causes possibles, les effets sur le sous-systme concern, les effets sur tout le systme, les moyens de dtection et les actions de l'Oprateur. On prsente ici (tableau 1) un extrait de ce rsultat. Le lecteur intress trouvera dans (Riahi, 2004) lensemble des tableaux AMDE labors sur cette tude de cas.
disponibles dans les Traits des Techniques de lIngnieur (Ridoux, 1999 ; Zwingelstein,1999) pour bien comprendre comment traiter des cas dapplications industrielles relles, tudier leurs diffrents composants et chercher les modes de dfaillances possibles pour chaque composant.
94
Composant
Modes de dfaillances
Causes possibles
Effets sur S1
Effets sur tout le systme
Dtection
Actions de l'oprateur
Cuve
Absence seuil min dans la cuve
Blocage vanne cuve ouverte Fuite conduite du doseur de P (ou du doseur de S) Bouchage conduite du doseur de P (ou du doseur de S) Fuite cuve Fuite conduite cuvevanne cuve
arrt moteur
arrt systme prparation
Absence seuil min dans le rservoir Arrt systme
Out.Alarme MinCuve = 0
Fermeture vanne cuve
Atteinte seuil max dans la cuve
Blocage vanne cuve ferme Bouchage conduite cuve-vanne cuve
arrt moteur
Arrt systme
Out.Alarme MaxCuve = 1
Ouverture vanne cuve
arrt systme prparation Arrt moteur niveau max cuve atteint Absence niveau min rservoir Arrt systme
Vanne Cuve
Refus Ouverture
Dfaillance mcanique (DM) Dfaillance lectrique (DE)
Out.VanCuv e <> Cd.VanCuve Out.VanCuv e <> Cd.VanCuve
Refus Fermeture
Dfaillance mcanique (DM) Dfaillance lectrique (DE)
Arrt moteur
Absence seuil min cuve
Rponse intempestive
Dfaillance mcanique (DM)
Arrt moteur
Arrt systme
Dfaillance lectrique (DE)
Absence seuil min cuve
Absence niveau min rservoir
Out.Alarme MaxRes = 1 et Out.VanCuv e=1 Cd.VanCuve = 1 et Out.VanCuv e =0
Tableau 1. Extrait des rsultats de lanalyse AMDE pour le sous-systme relatif la prparation du mlange On remarque entre autre que, pour la colonne relative aux effets sur tout le systme, on prconise, pour certaines dfaillances, un arrt systme et non un arrt systme de remplissage : on analyse ici le systme de prparation et sa dfaillance peut engendrer larrt du systme global y compris bien sr le soussystme de remplissage ; ce qui nous intresse ici est la mise en vidence de lvnement redout arrt systme . Elaboration de larbre des dfaillances (AdD)
95
Vol 7 N2, 2006
Rappelons que la mthode de larbre des dfaillances (AdD) suppose les vnements indsirables du systme tudier comme tant connus, et procde une analyse plus fine de ces vnements en prcisant leurs causes ventuelles et ce, en se rfrant aux rsultats de lanalyse AMDE mene prcdemment. Dans la pratique, l aussi, la tche la plus dlicate consiste trouver lvnement redout principal . Il faut remonter tout le tableau AMDE et revoir les effets sur le systme et le principe de fonctionnement pour dduire quel est lvnement redout principal et quoi celui-ci est d. Cet vnement peut tre d soit larrt du sous-systme de prparation (S1), soit larrt du sous-systme de remplissage (S2). Il faut donc analyser de prs chacun de ces deux vnements indsirables : (E1) : arrt du sous-systme de prparation (S1) et (E2) : arrt du sous-systme de remplissage (S2). Chacun de ces 2 vnements (E1 et E2) renvoie un tat de dysfonctionnement relatif (D1 et D2), que loprateur doit restituer. Les tches de correction relatives ces deux tats de dysfonctionnement sont analyses et dfinies dans ltape suivante. Llaboration de lAdD permet ce niveau, de venir en aide au diagnostic des causes ventuelles. La figure 6 prsente un extrait du rsultat du dveloppement de larbre des dfaillances relatif lvnement redout du systme tudi : "arrt systme". LAdD permet didentifier les combinaisons possibles dvnements lmentaires qui causent ces dysfonctionnements. Ces vnements lmentaires reviennent, en fait, des dfaillances des composants matriels du systme. Les principales dfaillances discernes par lAdD sont les suivantes : problme de dosage de la solution primaire P, problme de dosage du produit S, perturbation du niveau du rservoir, perturbation du niveau de la cuve, problme dvacuation de la solution du rservoir, problme de remplissage du godet, arrt du moteur, dfaillances des capteurs (de temprature et de volume), problmes au niveau des vannes (vanne cuve et vanne scurit). Le lecteur intress trouvera dans (Riahi, 2004) lensemble des arbres de dcision labors sur cette tude de cas. Analyse de la tche oprateur Une fois le fonctionnement du systme tudi, les dysfonctionnements possibles analyss, ltape qui suit consiste analyser la tche de loprateur humain face ces diffrents tats de fonctionnement du systme (fonctionnement normal et fonctionnements anormaux). En se rfrant Rasmussen (1986), Hoc et Amalberti (1995), en cas de fonctionnement normal, loprateur a besoin de constater le bon tat de marche en question et de surveiller les drives ventuelles. Cet tat de bon fonctionnement peut tre reflt au niveau de linterface par une reprsentation dun ensemble de variables pertinentes synthtisant ltat courant du systme.
96
Dfaillance capteur
capteur
Dfaut
volume
Pb. Dosage P
Pb. Dosage P
Porte OU
Porte ET
Drive capteur
B
Pb. Dosage S
Dfaillance capteur
Dans la ralit, les variables reprsentatives de ltat de bon fonctionnement dun procd industriel sont identifies avec les experts de celui-ci ; lexprience montre que souvent quelques variables peuvent donner un bon aperu de ltat du procd (De Keyser, 1980 ; Taborin, 1989). Pour notre exemple dapplication, en simulant ncessairement une telle analyse, on part sur lhypothse que ltat de fonctionnement normal peut tre reprsent par lensemble des informations suivantes :
capteur
Dfaut
niveau max cuve
Arrt
Pb. Dosage S
sys . prparation
capteur
Figure 6. Elaboration de lAdD pour lvnement redout "arrt systme" (avec D.E. : Dfaillance lectrique, D.M. : Dfaillance mcanique)
Drive
niveau min cuve
Pb. Capteurs
Dfaillance capteur
capteur
Erreur Op.
Dfaut
D.M
Drive capteur
D.M
Dfaillance moteur
Arrt moteur
Arrt systme
D.E
Refus ouverture
D.E
D.M
Refus fermeture
Pb vanne cuve
Arrt
Erreur
D.E
Op.
sys . remplissage
Perturbation niveau cuve
Rponse intempestive
D.M
Erreur
D.E
Op.
97
Vol 7 N2, 2006
le volume courant dans la cuve avec les niveaux min et max (Out.VolCuve, Cs.MinCuve, Cs.MaxCuve), ltat du moteur (Out.Moteur), le volume courant dans le rservoir avec les niveaux min et max (Out.VolRes, Cs.MinRes, Cs.MaxRes), la temprature de la solution mlange dans le rservoir (Out.TempMel).
Cet ensemble de variables constitue les besoins informationnels de loprateur (BIO) en cas de fonctionnement normal. En cas de dysfonctionnement, loprateur doit tre averti du mauvais fonctionnement par des signaux dalarme et un ensemble dinformations en termes de variables reprsentatives au niveau de linterface rsumant la situation en cours. Loprateur doit alors ragir le plus rapidement possible et intervenir sur un certain nombre de variables de commande, excutant sa tche de correction pour ramener le systme en tat de fonctionnement normal (Rasmussen, 1986 ; Hoc, 1996). Cet ensemble de signaux dalarme, dinformation et de commande constitue les BIO pour la situation courante et dpendra du cas du dysfonctionnement en question et de la tche de correction de loprateur. Lensemble de BIO, pour le cas dune telle situation, ne pourra donc tre dfini quaprs avoir men une analyse dtaille de la tche oprateur. Une analyse prliminaire pour notre cas dapplication rvle deux tches humaines principales : une tche de surveillance en cas de fonctionnement normal, et une tche danalyse et de reprise en cas de dysfonctionnement du systme. Cette dernire doit tre dtaille relativement chaque vnement lmentaire mis en vidence par larbre des dfaillances produit par lAdD. Pour chacun de ces vnements lmentaires, loprateur doit accomplir une suite dactions sur les composantes matrielles du systme afin de restituer son bon tat de fonctionnement. Cette tude a pour objectif de construire un modle de la tche oprateur en termes dactions lmentaires (diffrents modles de tche bien connus en IHM sont dcrits dans (Diaper et Stanton, 2004) ; rappelons aussi que les aspects de modlisation de tche ne sont pas traits dans cet article). Les actions de loprateur sont dduites partir du tableau AMDE et de larbre AdD. Une manire de dduire la modlisation de linteraction homme-machine partir de cette analyse est explique dans le paragraphe suivant. Modlisation de linteraction homme-machine Une fois lanalyse des dysfonctionnements possibles du systme effectue, larbre des dfaillances labor et les tches oprateur dintervention analyses, ltape suivante de la dmarche consiste laborer un modle de linteraction homme-machine en fonction de lvolution de ltat du systme et des interventions de loprateur humain afin de pouvoir dduire par la suite lensemble des BIO relatifs chaque tat. Cette modlisation peut tre base sur une composition de structures lmentaires de RdP (Palanque et Bastide, 1997 ; Riahi et al., 2000 ; Khelil, 2001 ; Moussa et al., 2002). Les RdP proposs ici sont les RdPI (Rseaux de Petri interprts) (Moalla, 1985) ; ils ont t choisis dans la mesure o ils permettent une validation formelle, non traite dans cet article. Ce type de rseaux introduit les notions dvnement et de condition ainsi que la notion daction. En effet, une condition de passage (Cj), un vnement de dclenchement (Evj) et une action ventuelle (Aj) sont associs chaque transition Tj dun RdPI. Pour modliser linteraction homme-machine moyennant les RdPI, nous avons convenu dutiliser les places pour reprsenter ltat du comportement de loprateur vis--vis de lvolution du systme 98
(Khelil, 2001). Nous considrons quune tche oprateur est compose dun ensemble organis dactions lmentaires. La structure modlisant une action lmentaire (par ex. une action de rgulation de temprature) est donne en figure 7. La construction du modle global de linteraction homme-machine seffectue partir de structures de base modlisant les diffrentes actions lmentaires de loprateur. Elle se base sur lapplication de diffrentes oprations de composition. Son principe rside dans le fait que la construction du modle de la tche nutilise que des structures et des rgles de composition dfinies. Cela est important pour assurer par avance de bonnes proprits au modle obtenu. Toutes les actions de loprateur (lmentaires ou non) sont ordonnes selon des compositions typiques : squentielle, parallle, alternative, de choix, itrative ou de fermeture (Khelil, 2001). Cette technique de modlisation, que nous ne dtaillerons pas ici, nous permet de dduire les BIO en fonction des changements de contexte de fonctionnement du systme industriel.
P1 Condition i
Dbut Action
T1
P2 Evnement : <Fin action i> T2

Fin Action
P3
Figure 7. Structure modlisant ltat dun oprateur face une action lmentaire Lalgorithme de passage de lAdD (prcisant pour chaque dfaillance les causes possibles) et du modle de la tche oprateur (devant prciser les actions lmentaires de loprateur face une situation de dysfonctionnement) au modle RdP, est dcrit globalement ci-dessous. Algorithme Dduire-modle-RdP : /* pour un dysfonctionnement donn */
Dbut : Etape 1 : parcourir larbre AdD jusqu localiser le nud ni,j correspondant lvnement redout relatif cet tat de dysfonctionnement Etape 2 : Traduire la sous-arborescence ayant pour racine le nud ni,j en un RdP conformment aux rgles suivantes : 1- une branche OU est traduite par une composition choix inclusive de RdP (Composition ou inclusif) 2- une branche ET est traduite par une composition parallle de RdP 3- une branche OU exclusif est traduite par une composition alternative de RdP Etape 3 : Formuler les conditions au niveau des diffrentes transitions du RdP, en fonction des formules de dtection associes aux feuilles de la sous-arborescence (nous faisons ici appel la fonction formuler-conditions(nud ni,j)) Fin
99
Vol 7 N2, 2006
Fonction formuler-conditions(nud ni,j ) Dbut Si nud ni,j = feuille Alors formuler-conditions formule de dtection /* cette condition sera associe la transition en entre de la structure lmentaire relative laction oprateur de correction de lvnement indsirable lmentaire */ Sinon Selon (branche(nud ni,j)) faire Cas ET : /* composition parallle */ formuler-conditions (formuler-conditions (nud ni+1, k) pour k = 1 .. L (L tant la largeur de la branche) /* la condition sera associe la transition en entre de la composition parallle */ Cas OU Inclusif : /* composition ou inclusif */ faire Pour k de 1 L ck formuler-conditions (nud ni+1, k) FinPour /* chaque condition ck sera associe une des 2 transitions sorties de Pk et sa ngation sera associe lautre transition */ formuler-conditions true Cas Ou Exclusif : /*composition alternative */ faire Pour k de 1 L ck formuler-conditions (nud ni+1, k) FinPour Pour k de 1 L faire Affecter comme condition transition Tk la conjonction : (ci : i k) ck FinPour formuler-conditions true FinSelon FinSi Fin
Le modle de linteraction homme-machine dduit pour le cas de cette application est prsent dans la figure 8. La place P0 modlise un tat de supervision du systme en fonctionnement normal. P1 modlise ltat de dysfonctionnement : "atteinte du seuil max du rservoir" et P2 modlise ltat de dysfonctionnement "temprature non conforme". Les transitions T1 et T2 modlisent donc la dtection de ces dysfonctionnements moyennant les conditions qui leur sont affectes (c01 et c02) : (1) "atteinte du seuil max du rservoir" (la condition c01 est "CS.maxRes =1"), (2) "temprature non conforme" (la condition c02 est "Out.tempMel > 35C"). Le bloc SRP2 reprsente le sous rseau qui modlise linteraction homme-machine face au dysfonctionnement 2. Lautre partie du rseau dveloppe partir de T3 modlise linteraction pour le cas du dysfonctionnement 1. Ce bloc est dduit de lAdD conformment lalgorithme de passage expliqu ci-dessus. Il est construit partir dune composition "ou inclusive" de trois sous rseaux, chacun deux modlisant linteraction face lune des causes possibles de cet tat de dysfonctionnement.
100
P0
T1
C01
T2
C02
P1
P2
T3 Sous-rseau-PlaceP2 P11 T4 C1 T5 C1 T6 P12 C2 T7 C2
P13 T8 C3 T9 C3
PT11 T10
Sous-rseau-PlaceP12 T11
PT13 T12
PF11
PF12
PF13
T13
P4 T14 C01 T15
P5 C02
Figure 8. Modle de linteraction homme-machine dduit de lAdD A partir de lAdD, nous pouvons distinguer trois causes possibles du dysfonctionnement "atteinte seuil max du rservoir" : une dfaillance du capteur de mesure, un problme dvacuation, et un problme de bouchage de conduites du rservoir. Ces trois causes possibles sont modlises respectivement par les places P11, P12 et P13. Pour les premire et troisime causes, les analyses effectues par lAdD renvoient des vnements lmentaires et par la suite des actions lmentaires de loprateur pour changer le capteur dfectueux ou rparer les conduites bouches. Chacune des ces actions est modlise par une structure lmentaire (bloc [T4, PT11 et T10] pour la premire action et bloc [T8, PT13 et T12] pour la deuxime). Pour la cause "problme dvacuation" modlise par P12, cest un vnement compos d une dfaillance du doseur du mlange avec un blocage de la vanne scurit en tat ferme, ou un bouchage de la conduite rservoir-doseur mlange avec un blocage de la vanne scurit en tat ferme, ou un blocage de la vanne cuve en tat ouverte avec un blocage de la vanne scurit en tat ferme. Le sous rseau Sous-rseau-PlaceP12 (figure 9) modlise cette ventualit. Pour chacun de ces trois cas possibles, une action lmentaire de loprateur est ncessaire. Elle consisterait dbloquer la vanne de scurit de ltat ferme et changer le doseur, ou dboucher la conduite rservoir-doseur ou la changer ou alors dbloquer la vanne cuve de ltat ouverte.
101
Vol 7 N2, 2006
T6
C2
PT121 T61 C21 T62 C21 T63
PT122 C22 T64 C22
PT123 T65 C23 T66 C23
PT121 T67 PF121
PT122
PT123 T69 PF123
T68 PF122
T11
Figure 9. Le sous rseau sous-rseau-PlaceP12 4.2 Dduction des BIO Rappelons dabord que loprateur a besoin didentifier instantanment ltat de fonctionnement du procd quil contrle. Cette information lui est transmise travers diffrents objets au niveau de linterface (messages, valeurs, graphiques, alarmes, etc.). Ces objets sont, en fait, relis des variables dtat du systme. Il est donc ncessaire didentifier lensemble des variables dinformation appropries chaque tat du systme. Ces variables dinformation dcoulent directement de lanalyse du SHM mene auparavant. De plus, et dans le but daccomplir ses tches de correction, loprateur a intervenir et agir travers des variables de commande suite lapparition des dysfonctionnements. Linterface doit donc prsenter dans de telles situations, lensemble des objets de commande (appels aussi objets dinteraction en IHM) qui permettent loprateur dexcuter ses actions et commander le processus. Lensemble de ces variables dinformation et de commande constitue les BIO relatifs chaque tat. Ces variables prsentes loprateur lui permettent daccomplir ses tches de correction. Nous expliquons ici la manire de dduire ces BIO travers les prcdentes analyses et le modle de linteraction homme-machine tabli au niveau de ltape prcdente de la dmarche. Considrons principalement les places PT11, PT13, PT121, PT122 et PT123, qui reprsentent des tats relatifs la prsence des vnements particuliers en attente de laccomplissement des tches de correction. La liste des BIO associs chacun de ces tats est : - Pour la place PT11, loprateur a besoin de savoir les seuils min et max et le volume actuel ; ceci est dcrit par lensemble des variables : x, n, Cs.MaxRes, Out.VolRes. - Pour PT13, il a besoin de savoir les seuils min et max, le volume actuel et les tats des vannes. Ceci est dcrit par : x, n, Cs.MaxRes, Out.VolRes.
102
Pour la PT121, il a besoin de savoir les seuils min et max et le volume actuel, mais aussi les tats des vannes et la quantit dose et il aura agir sur les variables de commande de dosage et douverture de la vanne rservoir. Ceci est dcrit par : x, n, Cs.MaxRes, Out.VolRes, Out.VanSecurite, Out.VanCuve, Out.QteMel, Cd.DebDosMel, Cd.OuvVanRes. Pour PT123, lensemble des BIO est dcrit par : x, n, Cs.MaxRes, Out.VolRes, Out.VanSecurite, Cd.OuvVanRes. Pour PT122, lensemble des BIO est dcrit par : x, n, Cs.MaxRes, Out.VolRes, Out.VanSecurite, Cd.OuvVanRes, Cd.OuvVanCuve.
Bien entendu, dans la ralit, ces choix doivent tre valids avec les oprateurs humains et les spcialistes de linstallation industrielle. Une fois les BIO identifis (cest--dire lensemble des variables dinformation et de commande form), ltape suivante consiste spcifier les objets graphiques relatifs ces BIO : - chaque variable dinformation, on associe un objet dinformation (appels aussi objets de prsentation en IHM), - chaque variable de commande, on associe un objet de commande (ou dinteraction). Pour notre cas dtude, il est pertinent de gnrer trois vues principales : - une vue de supervision pour ltat de fonctionnement normal, - une vue de contrle et commande pour ltat de dysfonctionnement 1, et - une vue de contrle et commande pour ltat de dysfonctionnement 2. Pour chacune de ces vues, on y trouvera des objets graphiques reprsentant les BIO associs aux tats du modle de linteraction couverts par ces vues. Ainsi, aux objets dinformation et de consigne, il sagira dassocier des zones de texte et/ou des barres-graphes principalement pour les informations sur le volume du rservoir. Pour les variables de commande, des boutons de commande pourraient tre attribus. Rappelons que ce travail important de spcification et de conception ne fait pas lobjet de cet article ; mais on peut de nouveau souligner quun grand intrt de la mthode propose est quon dispose pour ce travail dlments provenant explicitement, aussi bien des situations normales que des situations de dysfonctionnement, au contraire des mthodes classiques en conception dIHM.
5 Discussion
Dans cet article nous nous sommes intresss particulirement deux aspects trs importants voir cruciaux rentrant dans le processus global de conception et de gnration des IHM, savoir (i) la prise en considration de lanalyse des dysfonctionnements et (ii) laide lidentification des Besoins Informationnels des oprateurs (BIO). Ce sont deux aspects qui, en dpit dune littrature abondante de manire gnrale en interaction homme-machine, nont pas bnfici, notre avis, de suffisamment de rflexion ni dexprimentation, ou tout simplement de description, vis--vis des applications de type systme industriel complexe.
103
Vol 7 N2, 2006
Dun cot, il nest plus dmontrer aujourdhui (certaines tudes ayant t menes il y a plus de trente ans), quau moment o apparat un dysfonctionnement loprateur peut se retrouver dans une situation de stress, de surcharge mentale, et prsenter, ds lors, des besoins particuliers en information et en assistance. Or force est de constater, que dans la majorit des approches tudies, lanalyse du procd en dysfonctionnement ntant pas prise en considration, il devient difficile voire impossible de rpondre systmatiquement et de faon satisfaisante ses besoins particuliers. Dun autre cot, dans le souci de proposer une approche globale supporte terme par des outils informatiss, il devient impratif de veiller ce que toutes les tapes de lapproche en question sembotent , en matire dentre, de sortie et de traitement, la manire dun LEGO pour former un tout intgr offrant des potentialits en matire dautomatisation. Ici galement, la littrature, notre connaissance, ne mentionne pas dapproches offrant des rponses claires quant linformatisation du passage dlicat de lanalyse du systme hommemachine la dduction des besoins informationnels des oprateurs. Les premiers lments de rponse que nous apportons aux deux points susmentionns, tirent, selon notre humble avis, leurs forces du fait quelles sappuient sur des mthodes et des outils puissants (tout en tant bass sur des concepts de modlisation relativement simples) ayant dj fait leurs preuves dans plus dun domaine et dans le cadre de nombreux projets. Nous parlons de mthodes danalyse et conception comme SADT, AMDEC ou AdD ou encore doutils de modlisation formels comme les RdP. Bien sr, les choix oprs sont discuter et certains verront dans dautres mthodes et outils dventuels meilleurs candidats. Seulement, au del de la qualit intrinsque que prsenterait telle mthode ou tel outil, notre objectif, rappelons-le, tait daboutir une approche globale, homogne et offrant des tapes senchanant les unes aux autres et permettant linformatisation. Le travail de recherche, de rflexion et dingnierie men autour de ces mthodes et outils, dans lobjectif de proposer une mthodologie globale intgre de conception et de gnration dIHM, a abouti lapproche prsente et illustre dans cet article. En terme danalyse du systme en mode de dysfonctionnement, nous avons constat le degr de rigueur et la potentialit en terme de quasi exhaustivit de lanalyse quoffre la combinaison des deux mthodes bien connues AMDEC/AdD. Nous avions soulign plus haut la difficult rencontre lors de lapplication de cette analyse ; mais rappelons que dans un processus pluridisciplinaire, comme celui de la conception des IHM dans les systmes industriels complexes, une telle tape serait certainement affecte des spcialistes en fiabilit qui nauraient en principe que peu de gne dans sa ralisation. De plus, selon nous, un algorithme du type de celui dnomm Dduire-modle-RdP , prsent prcdemment, contribue assurer ensuite le passage automatis darbres AdD vers des RdPI modlisant certains aspects de linteraction homme-machine ; cet algorithme est loin dtre parfait, il pourrait tre tendu, adapt, mais il est reprsentatif dune voie suivre. En terme de modlisation du systme homme-machine, le recours aux RdP (dans notre cas les RdP interprts) permet potentiellement de gagner en rigueur en termes de modlisation et de validation des modles obtenus (dans la ligne de travaux dj mens en IHM en exploitant les RdP, cf. les travaux mens par Palanque et ses collgues (Palanque et al., 1995 )). Le recours aux RdPI a permis aussi et surtout de faciliter (de quasiment automatiser, mme si pour notre tude 104
de cas ce passage a t simul manuellement) ltape de dduction en temps rel des BIO (depuis les RdPI) et ce selon diffrents contextes de fonctionnement (normal ou anormal). Ainsi, pour revenir notre rflexion de dpart, en cas de dysfonctionnement, si les rsultats des premires tapes danalyse et de modlisation ont t judicieusement exploits lors de la conception de lIHM, loprateur humain devrait disposer quasiment instantanment dune IHM offrant les informations ncessaires et pertinentes par rapport au contexte de fonctionnement en question, ce qui devrait faciliter ainsi grandement sa tche.
6 Conclusion
Nous pensons que dans les mthodes de conception dIHM, il faudrait mettre plus en avant lanalyse et la modlisation des situations anormales, aspect indispensable dans certains domaines dapplication critiques et dangereux pour la scurit et/ou lenvironnement comme cest le cas des applications industrielles complexes (chimie, transport). Cet article a concern une proposition dune combinaison de mthodes parmi N possibles, assurant une analyse du systme homme-machine dans les diffrentes situations de fonctionnement possibles (normales et anormales) dans le but de faciliter la dduction des besoins informationnels des oprateurs afin de concevoir linterface approprie. Nos travaux de recherche se poursuivent dans cet axe de recherche et de nombreuses perspectives sont dores et dj envisages. Nous projetons, tout dabord, dtudier encore plus larticulation entre les diffrentes mthodes proposes dans cette dmarche et damliorer les algorithmes actuels en tudiant des outils automatiques ou semi-automatiques daide la dtermination des BIO. Il serait aussi intressant dappliquer la dmarche sur des cas dapplication de plus en plus complexes, impliquant des tches collectives, des processus parallles, des aspects multi-utilisateurs spcialiss possdant ncessairement diffrents points de vue (Enselme et David, 1994), etc. Dans ce cadre, nous nous intressons aux potentialits des services web pour la conception de nouvelles applications de supervision destines des utilisateurs nomades en lien on non avec les oprateurs de la salle de contrle (Idoughi et Kolski, 2006a, 2006b). Dans le prolongement de ces travaux, la prise en compte de la plasticit des interfaces devrait aussi ncessiter une rflexion particulire (Thvenin et Coutaz, 1999 ; Calvary et al., 2005). Enfin, notre souhait est de gnraliser la dmarche dautres domaines dapplication et dadapter les choix des mthodes et algorithmes en fonction des caractristiques du domaine.
Remerciements
Les auteurs remercient le Prof. M. Moalla pour ses remarques relatives ltude de cas, de mme que les trois relecteurs anonymes de la revue RIHM pour leurs nombreuses remarques constructives et pertinentes. Le second auteur remercie galement le FEDER et la rgion Nord-Pas de Calais pour leur soutien financier (projets TAC MIAOU et EUCUE).
105
Vol 7 N2, 2006
Bibliographie
Abed, M. (1990). Contribution la modlisation de la tche par outils de spcification exploitant les mouvements oculaires : application la conception et l'valuation des interfaces homme-machine. Thse de doctorat, Valenciennes, France. Abed, M. (2001). Mthodes et modles formels et semi-formels pour la conception et lvaluation des systmes homme-machine. Mmoire dHDR, Valenciennes. Abed, M., Bernard, J.M., Angu, J.C. (1992). A Process Method for Specification and the Design of Man-Machine Interface. 14th Annual international conference IEEE Engineering in medicine and biology society, Lyon, France, November 2-4. Abed, M., Ezzedine, H., Angu, J.C. (1995). Mthodologie d'analyse et de modlisation de tches d'interaction Homme-Machine avec des outils de spcification. Revue Europenne Diagnostic et Sret de fonctionnement, vol. 5 n 2, pp.159-180. Abed, M. Ezzedine, H. (1998). Vers une dmarche intgre de conceptionvaluation des systmes Homme-Machine. Journal of Decision Systems, Vol. 7, pp. 147-175. Abrial, J. R. (1996). The B Book : Assigning Programs to Meanings. Cambridge University Press. At-Ameur, Y., Girard, P., Jambon, F. (1998). A Uniform approach for the Specification and Design of Interactive Systems: the B method. Eurographics Workshop on Design, Specification, and Verification of Interactive Systems (DSV-IS'98), vol. Proceedings, P. Markopoulos and P. Johnson (Eds.), Abingdon, UK, 1998, pp. 333-352. Balbo S. (1994). Un pas vers lvaluation automatique des interfaces hommemachine. Thse en informatique, Universit Joseph Fourier, Grenoble 1, septembre. Barthet M. F. (1988). Logiciels Interactifs et Ergonomie Modles et mthodes de conception. Dunod Informatique. Benassa, M. (1993). Une dmarche de conception, ralisation et valuation d'IHM : application au projet ferroviaire ASTREE. Thse de Doctorat en Automatique Humaine, Universit de Valenciennes et du Hainaut-Cambrsis, dcembre. Bereikdar, A. (2004). A methodology for automating web usability and accessibility evaluation by guideline. Thse de doctorat, Facults Universitaires Notre-Dame de la Paix, Namur, Belgique. Berry, G., Gonthier, G. (1988). The Esterel Synchronous Programming Language : Design, Semantics, Implementation. Technical report 842, INRIA. Bodart, F., Hennebert, A.-M., Leheureux, J.-M., Vanderdonckt, J. (1995). A model-based approach to presentation: a continuum from task analysis to 106
prototype. In Proceedings of Interactive Systems: Design, Specification and Verification, Springer-Verlag, Berlin, p. 77-94. Bolognesi, T., Brinksma, E. (1989). The formal description technique LOTOS, Introduction to the ISO specification language LOTOS. Elsevier Science Publishers. Brun, P. (1998). XTL : une logique temporelle pour la spcification formelle des systmes interactifs. Thse en informatique, Universit Paris XI, Orsay, Septembre. Calvary, G., Daasi, O., Demeure, A., Coutaz, J. (2005). Des Widgets aux Comets pour la Plasticit des Systmes Interactifs. Revue dInteraction Homme-Machine (RIHM), volume 6, N 1, pp. 33-54. Card, S.K., Moran, T.P and Newell, A. (1983). The psychology of humancomputer interaction. Hillsdale, NJ. Erlbaum, 1983. Cardelli, L., Pike, R. (1985). Squeak : A language for communicating with mice. Computer graphics, vol. 19. July. DAusbourg, B., Durrieu, G. and Rocher, P. (1996). Deriving a formal model of interactive system from its UIL description in order to verify and to test its behaviour. In Proceedings of DSV-IS96, Springer verlag, pp. 104-122. Dang, W. (1988). Formal specification of interactive languages using Definite Clause Grammers. Runion internationale sur limplantation de langage de programmation et la programmation logique, Orlans, Mars. Daniellou, F. (1986). L'oprateur, la vanne, l'cran : l'ergonomie dans les salles de contrle. ANACT Collection Outils et Mthodes, Montrouge. De Keyser, V. (1980). Etude sur la contribution que pourrait apporter l'ergonomie la conception des systmes de commande et d'alerte dans des industries de transformation. Luxembourg, Rapport S/79/45, volumes 1 et 2. De Keyser, V. (1988). De la contingence la complexit : l'volution des ides dans l'tude des processus continus. Le Travail Humain, 51 (1), pp. 1-18. De Nicola, R. (1991). Action and State-based Logics for Process Algebras. CONCUR '91, 2nd International Conference on Concurrency Theory, Amsterdam, The Netherlands, August 26-29, 1991, Proceedings. Lecture Notes in Computer Science 527 Springer, ISBN 3-540-54430-5. De Rosis, P. (1998). Formal Description and Evaluation of User Adapted Interfaces. International Journal of Human-Computer Studies, vol. 49, 1998, pp. 95-120. Diaper, D., Stanton, N. (2004). The handbook of task analysis for humancomputer interaction. Lawrence Erlbaum Associates. Enselme, Y., David, B. (1994). Systme de contrle de procds : principe dune dmarche de conception dIHM. Journes internationales sur les nouveauts en Gnie Logiciel, JINGL, 13-15 dcembre, Paris.
107
Vol 7 N2, 2006
Ezzedine, H., Kolski, C. (2004). Dmarche dvaluation dIHM dans les systmes complexes, application un poste de supervision du trafic ferroviaire. Revue dInteraction Homme-Machine, vol. 5, pp. 91-122. Fadier, E. (1990). Fiabilit humaine : mthodes d'analyse et domaines d'application. In J.Leplat et G. De Terssac (Eds.), Les facteurs humains de la fiabilit dans les systmes complexes. Octars, Marseille. Favre, J.M., Estublier, J., Blay-Fornarino, M. (2006). Lingnierie dirige par les modles, au-del du MDA. Hermes, Paris. Fekete, J.D., Girard, P. (2001). Environnements de dveloppement de systmes interactifs. In Kolski C. (dir.), Environnements volus et valuation de lIHM, Interaction homme-machine pour les SI 2, pp. 23-52, Hermes, Paris, 2001. Flecchia, M., Bergeron, R. D. (1987). Specifying complex dialogues in ALGEA. Proceeding CHI and graphics interface, ACM, New York. Gaudel M. C. (1984). A first introduction to Pluss, Alvey Workshop on Formal Specifications. Swindon (GB), October. Gilmore, W.E., Gertman, D.I., Blackman, H.S. (1989). User-computer interface in process control, a Human Factors Engineering Handbook. Academic Press. Goguen, J.A., Malcolm, G. (1996). Algebraic Semantics of Imperative Programs. The MIT Press. Gomes, L., Barros, J.P., Coasta, A. (2001). Man-machine interface for real-time telecontrol based on Petri nets specification. In T. Bahill, F.Y. Wand (Eds.), IEEE SMC 2001 Conference Proceedings (e-Systems, e-Man and e-Cybernetics), Arizona, USA: IEEE Press, pp. 1565-1570. Guittet, L., Girard, P., Pierra, G. (1997). Dialogue verification using the EXPRESS language. Eurographics Workshop on Design, Specification and Verification of Interactive Systems (DSV-IS'97), vol. Conference proceedings, edited by Harrison M.D. and Torres J.C. (Eds.), Granada, Spain, 1997, pp. 457471. Halbwachs, N., Caspi, P., Raymond, P., Pilaud, D. (1991). Programmation et vrification des systmes ractifs : le langage Lustre. Technique et Science Informatiques (TSI), vol 10, n2, 1991, pp. 139-158. Hatley, D.J., Pirbai, I.A. (1991). Stratgies de spcification des systmes temps rel. Editions Masson, Paris. Hartson, H.R., Gray, P.D. (1992). Temporal aspects of tasks in the User Action Notation. Human-Computer Interaction, vol. 7, pp. 1-45. Herrmann, M., Hill, R. D. (1989). Abstraction and declarativeness in user interface development: the methodological basis of the Composite Object Architecture, Proceedings IFIP 89, G.X. Ritter (ed), Elsevier Publishers B. V., North Holland. Hill, R.D. (1986). Supporting Concurency. Communication and Synchronisation in Human-Computer Interaction - the Sassafras UIMS. ACM transaction on Graphics, vol. 5, n3, p. 179-210, July. 108
Hix, D., Hartson, H. R. (1993). Developing user interface: Ensuring usability through Product process. John Wiley Sons, New York. Hoc, J.M., Amalberti, R. (1995). Diagnosis: some theoretical questions raised by applied research. Current Psychology of Cognition, 14 (1), pp. 73-101. Hoc, J.M. (1996). Supervision et contrle de processus, la cognition en situation dynamique. Grenoble, Presses Universitaires de Grenoble, Grenoble. Idoughi, D., Kolski, C. (2006a) Towards new Web Services based Supervisory Systems dedicated to Nomadic Operators. In Proceedings of the 25th Edition of EAM'06, European Annual Conference on Human Decision-Making and Manual Control (September 27-29, 2006, Valenciennes, France), Presses Universitaires de Valenciennes. Idoughi, D., Kolski, C. (2006b). Approches orientes services web de l'IHM de supervision: nouvelles solutions technologiques pour les ingnieurs et nouvelles problmatiques pour les ergonomes ? In ErgoIA 2006, "L'humain comme facteur de performance des systmes complexes" (Biarritz, France, 11-13 Octobre 2006), ESTIA & ESTIA. Innovation, Biarritz, pp. 111-118. IGL Technology (1989). SADT, un langage pour communiquer. Paris, Eyrolles. Jacob, R.J.K. (1985). A state transition diagram language for visual programming. IEEE Computer, vol. 18 (8), August 1985, pp. 51-59. Jacobson I., Booch G., Rumbaugh I. (2000). Le processus unifi de dveloppement logiciel. Eyrolles. Jambon F., Brun Ph., At-Ameur Y. (2001). Spcification des systmes interactifs. Dans Kolski C. (Ed.), Analyse et Conception de lIHM. In Interaction Homme-Machine pour les SI, Volume 1. pp. 175-206. Paris: ditions Hermes. Jambon, F., Ait-Ameur, Y., Brehole, B., Girard, P., Guittet, L. (2004). Formal Verification and Validation of Interactive Systems Specifications. In Johnson, C., Palanque, P. (Eds.). Human Error, Safety and Systems Development 2004. Proceedings of HESSD 2004. Johnson, C., Palanque, P. (Eds.) (2004). Human Error, Safety and Systems Development 2004. Proceedings of HESSD 2004. ISBN 1-4030-8152-9. Jones, C.B. (1980). Software Development A Rigourous Approach. Prentice Hall. Khelil, N. (2001). Modlisation sre des interactions dans les interfaces hommemachine. Mmoire de DEA, Facult des Sciences de Tunis, octobre. Kolski, C. (1997). Interfaces homme-machine, application aux systmes industriels complexes (2me dition). ditions Herms, Paris, 1997. Lambert, M. (1999). Conception centre sur l'homme d'un systme de supervision avanc - application un procd de retraitement de combustibles nuclaires. Thse de lUniversit de Valenciennes et du Hainaut-Cambrsis, septembre.
109
Vol 7 N2, 2006
Laprie, J.C. et collgues (1995). Guide de la sret de fonctionnement. Cpadus Editions, Toulouse. Lejon, J.C., (1991). L'volution de la conduite sur SNCC : l'ergonomie des systmes numriques de contrle commande. Editions ANACT, 1991. Lepreux, S., Abed, M., Kolski, C. (2003). A human-centred methodology applied to decision support system design and evaluation in a railway network context. Cognition Technology and Work, 5, pp. 248-271. Lim, K.Y., Long, J. (1994). The Muse Method for Usability Engineering, Cambridge University Press, Cambridge. Lind, M. (1990). Representing goals and functions of complex systems: an introduction to Multilevel Flow Modelling. RISO Laboratory, Denmark, Ref: 90D-381. ISBN 87-87950-52-9, november. Mahfoudhi, A. (1997). TOOD : Une mthodologie de description oriente objet des tches utilisateur pour la spcification et la conception des IHM : Application au contrle du trafic arien. Thse de doctorat, Universit de Valenciennes et du Hainaut-Cambrsis, France, 1997. Mariage, C. (2005). MetroWeb : logiciel de support lvaluation de la qualit ergonomique des sites Web. Thse de doctorat, Universit Catholique de Louvain, Belgique. Millot, P. (1988). Supervision des procds automatiss et ergonomie, ditions Hermes, Paris. Millot, P, Debernard, S. (1993). Men-machines cooperative organizations: methodological and practical attempts in air traffic control. In Proceedings IEEE SMC, Le Touquet, France, October 17-20. Moalla, M. (1985). Rseaux de Petri interprts et Grafcet. TSI, 4 (1), pp. 17-30. Moray, J. (1997). Human factors in process control. In Handbook of human factors and ergonomics. G. Salvendy (Ed.), John Wiley & Sons, pp. 1944-1971. Moussa, F., Kolski, C., Riahi, M. (2000). A model based approach to semiautomated user interface generation for process control interactive applications. In Interacting with Computers, 12 (3), special issue Tools for Working With Guidelines (Part 2), pp. 279-292. Moussa, F., Riahi, M., Kolski, C., Moalla, M. (2002). Interpreted Petri Nets used for Human-Machine Dialogue Specification in Process Control: principles and application to the Ergo-Conceptor+ tool. Integrated Computer-Aided Engineering, 9, 87-98. Moussa, F., Kolski, C., Riahi, M. (2005). De la modlisation des dysfonctionnements d'un systme complexe la dduction des besoins informationnels des utilisateurs : une transition difficile en IHM. In Proceedings of IHM 2005, International Conference Proceedings Series, ACM Press, Toulouse, pp. 75-82, septembre.
110
Moussa, F. (2005). Vers une mthodologie globale de conception et de gnration semi-automatique des IHM pour les systmes critiques. Mmoire dHU (HDR), Tunis, Tunisie, Juin. Nanci, D., Espinasse, B. (2001). Ingnierie des systmes dinformation : MERISE, 2me gnration. Vuibert, Paris. Navarre, D. (2001). Contribution l'ingnierie en Interaction Homme-Machine, Une technique de description formelle et un environnement pour une modlisation et une exploitation synergiques des tches et du systme. Thse de lUniversit de Toulouse 1, juillet. Norman D.A. (1986). Cognitive engineering, In D.A. Norman & S.W. Draper (Eds), User centred system design : new perspectives on human computer interaction. Hillsdale N.J., Elbraum. Olsen, D. R., Dempsey, E. P. (1983). Syngraph : A graphical user interface generator. ACM Transaction on Graphics, July. Palanque, P., Bastide, R. (1995). Spcifications formelles pour lingnierie des interfaces homme-machine. Technique et Science Informatiques (TSI), 14 (4), pp. 473-500. Palanque, P., Bastide, R., Senges, V. (1995). Validating interactive system design through the verification of formal task and system models. 6th IFIP Working Conference on Engineering for Human-Computer Interaction (EHCI'95), Grand Targhee Resort, Wyoming, U.S.A., 14-18 August. Palanque, Ph., Bastide, R. (1996). A design life-cycle for the formal design of interactive systems. In Proceedings FAHCI'96BCS-FACS Workshop on the Formal Aspects of the Human-Computer Interface. Shefield, U.K., September. Palanque, Ph, Bastide, R. (1997). Synergistic modeling of tasks, system and users using formal specification techniques. Interacting With Computers, 9, 12, pp. 129-153. Pelleaumail, P. (1987). La mthode Axial. Editions d'organisation, Paris. Peterson, J.L. (1981). Petri net theory and the modelling of systems. Englewood diffs, NJ: Prentice-Hall. Petri, C. (1962). Kommunication mit Automaten. Ph. D. Dissertation, University of Bonn. RAISE (1992). The RAISE Language Group. The RAISE Specification Language, Prentice Hall. Rasmussen, J. (1980). The human as a system component. In H.T. Smith and T.R.G. Green (Eds.), Human Interaction With Computer, London Academic Press. Rasmussen, J. (1986). Information processing and human-machine interaction, an approach to cognitive engineering. Elsevier Science Publishing. Reason, J. (1990). Human error. Cambridge University Press, Cambridge.
111
Vol 7 N2, 2006
Riahi, M. (2004). Contribution l'laboration d'une mthodologie de spcification, de vrification et de gnration semi-automatique d'interfaces homme-machine : application l'outil Ergo-Conceptor+. Thse de Doctorat, Valenciennes, septembre. Riahi, M., Moussa, F., Kolski, C., Moalla, M. (2000). Use of interpreted Petri nets for human-machine dialogue specification in process control. In Proceedings ACIDCA2000, 22-24 March, Monastir, Tunisia. Ridoux, M. (1999). AMDEC- Moyen. Techniques de lingnieur, Lentreprise industrielle, vol AG1, AG-4-220, Avril, 1999. Sinclair, I.A.C., Sell, R.G., Beishon, R.J., Bainbridge L. (1965). Ergonomic study of L.D. Waste-heat boiler control room. Journal Iron and steel inst., 204, pp. 434-442. Spivey, J. M. (1989). The Z notation : a reference manual. Prentice-Hall, Inc., Upper Saddle River, NJ, 1989. Stewart, T., Travis, D. (2003). Guidelines, standards, and guide styles. In Jacko J.A., Sears A. (Eds.), The human-computer interaction handbook: fundamentals, evolving technologies and emerging applications, Lawrence Erlbaum Associates, pp. 991-1005. Szekely, P. (1996). Retrospective and Challenges for Model-Based Interface Development, in: Bodart, F., Vanderdonckt, J. (eds.). In Proceedings of the Eurographics Workshop, Design, Specification and Verification of Interactive Systems 96, pp. 127, Springer. Tabary, D. and Abed, M. (1998). TOOD : An object-oriented methodology for describing user task in interface design and specification - An application to air traffic control. La Lettre de l'Intelligence Artificielle, vol 134-135-136, pp. 107114. Taborin, V. (1989). Coopration entre oprateur et systme d'aide la dcision pour la conduite de procds continus : application l'interface oprateur systme expert du projet ALLIANCE. Thse de Doctorat, Universit de Valenciennes, Mars 1989. Tardieu, H., Rochfeld, O., Colleti, R. (1991). La mthode Merise, principes et outils, 2me dition. Editions d'Organisation (tome 1), Paris. Thvenin, D., Coutaz, J. (1999). Plasticity of user interfaces: framework and research agenda. Proceedings of Interact99 seventh IFIP Conference on Human-Computer Interaction, Edinburgh, Scotland. Turner, K.J. (1993). Using formal description techniques: An introduction to Estelle, Lotos and SDL. Edition John. Vanderdonckt, J. (1994). Guide ergonomique des interfaces homme-machine. Presses Universitaires de Namur, Belgium. Vanderdonckt, J. (1999). Development milestones towards a tool for working with guidelines. Interacting With Computers, 12 (2), special issue Tools for Working With Guidelines (Part 1), pp. 81-118. 112
Vanderdonckt, J., Farenc, C. (Eds.) (2000). Tools for Working With Guidelines TFWWG'2000. Springer, London. Villemeur, A. (1992). Reliability, availability, maintainability and safety assessment (vol.1 & 2). John Wiley & Sons. Woods, W. A. (1980). Cascaded ATN grammars. In Computational Linguistics. Volume 6, Issue 1, January-March,1980, pp. 1-12, MIT Press, Cambridge, MA, USA. Zwingelstein G. (1999). Sret de fonctionnement des systmes industriels complexes. Techniques de lingnieur, Trait informatique industrielle, vol S3, S8-250, Septembre, 1999.
113

203229

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

203229

Cargado por

Copyright:

Formatos disponibles

Une version de cet article a t publie dans : Revue d'Interaction Homme Machine (RIHM), volume 7, n.2, pp. 79-111.

Revue dInteraction Homme-Machine

Vol 7 N2, 2006

Revue dInteraction Homme-Machine

Vol 7 N2, 2006

2 Mthodes et techniques danalyse et de spcification

2.1 Mthodes danalyse fonctionnelle et/ou structurelle des systmes

2.2 Des mthodes adaptes lanalyse des dysfonctionnements

Revue dInteraction Homme-Machine

Vol 7 N2, 2006

Revue dInteraction Homme-Machine

Vol 7 N2, 2006

Les approches algbriques

PLUSS, Gaudel, 84 OBJ, Goguen, 96 RAISE, 92

Les langages vnements Les thories des langages

Les automates tats finis Les thories des graphes

Les Rseaux de Petri (RdP), Petri, 62

XTL, Brun, 98 Les logiques temporelles ACTL, De Nicola, 91

Revue dInteraction Homme-Machine

Vol 7 N2, 2006

2.4 Conclusion sur les mthodes et techniques disponibles

3 Approche globale propose

Revue dInteraction Homme-Machine

Vol 7 N2, 2006

Analyse profonde du SHM Dcomposition du SHM E2

AMDE AdD Plusieurs mthodes candidates

Analyse des Dysfonctionnements

Analyse des Tches Oprateurs Modlisation de linteraction

Niveau maximum (X) Niveau minimum (N)

Niveau maximum (x) Seuil de rapprovisionnement (r) Niveau minimum (n)

Rservoir Doseur de remplissage

Faonnage des godets et prsentation unitaire pour remplissage Cellule photolectrique

Figure 3. Procd superviser en salle de contrle 91

Revue dInteraction Homme-Machine

Vol 7 N2, 2006

Cde dosage Qt (P,S) Temp (P,S) Godet vide

Prparer mlange et remplir godets

Systme de Systme de Oprateur prparation remplissage

Cde Cde Seuils marche dosage moteur cuve /arrt

dtection Cde godet dosage

Seuils Cde res vannes

Qt (P, S) Temp (P, S)

Prparer mlange VolumeRes TempMel

Godet rempli Etat (temp Mel, volume Rs)

Revue dInteraction Homme-Machine

Vol 7 N2, 2006

Effets sur tout le systme

Absence seuil min dans la cuve

arrt systme prparation

Absence seuil min dans le rservoir Arrt systme

Fermeture vanne cuve

Atteinte seuil max dans la cuve

Blocage vanne cuve ferme Bouchage conduite cuve-vanne cuve

Ouverture vanne cuve

Dfaillance mcanique (DM) Dfaillance lectrique (DE)

Out.VanCuv e <> Cd.VanCuve Out.VanCuv e <> Cd.VanCuve

Dfaillance mcanique (DM) Dfaillance lectrique (DE)

Absence seuil min cuve

Dfaillance mcanique (DM)

Dfaillance lectrique (DE)

Absence seuil min cuve

Absence niveau min rservoir

Out.Alarme MaxRes = 1 et Out.VanCuv e=1 Cd.VanCuve = 1 et Out.VanCuv e =0