Validation d'algorithmes de contrôle à l'aide de la simulation HIL en temps réel

Principaux enseignements

• La validation HIL en temps réel est essentielle, car la qualité des systèmes de contrôle embarqués dépend de la synchronisation, du comportement des E/S et de l'interaction avec le système physique, et pas seulement de l'exactitude de la logique de contrôle.
  
• Les configurations HIL les plus utiles mettent l'accent sur une exécution déterministe, des modèles de système crédibles, des interfaces représentatives et des scénarios de défaillance reproductibles.
  
• Les cycles de vérification sont raccourcis lorsque les équipes utilisent des modèles numériques d'usine pour assurer une couverture structurée des défauts et réservent le matériel physique à des vérifications ciblées.

La validation d'algorithmes de contrôle à l'aide d'un HIL en temps réel repose sur un constat simple : on ne peut savoir si un contrôleur est prêt tant qu'il n'a pas été testé face à un comportement de l'installation respectant la synchronisation, à de véritables signaux d'entrée/sortie et à des cas de défaillance reproductibles. Les essais sur banc avec du matériel physique interviennent trop tard et coûtent trop cher lorsque des défauts de synchronisation, des lacunes de protection ou des erreurs de gestion des capteurs apparaissent après que le code a déjà été intégré à un prototype.

Il devient de plus en plus difficile d'ignorer ce besoin à mesure que les logiciels de commande se généralisent dans les domaines de la conversion de puissance, du contrôle de mouvement et des équipements électrifiés. La NHTSA a enregistré 74 rappels de véhicules électriques concernant 2 911 154 véhicules en 2024, ce qui montre à quel point les problèmes de contrôle liés aux logiciels se posent désormais à l'échelle de la production au lieu de rester confinés au laboratoire.

Comment Simulation HIL permettent de valider les algorithmes de contrôle avant le déploiement du matériel

Simulation HIL valide les algorithmes de commande en plaçant le contrôleur réel dans une boucle fermée avec une installation simulée fonctionnant avec des pas de temps déterministes. Vous testez le contrôleur par rapport à une réponse réaliste du système avant que le matériel à pleine puissance, les assemblages mécaniques complets ou les prototypes finaux ne soient prêts.

L'équipe chargée des moteurs en offre un exemple parlant. Le contrôleur peut lire les signaux simulés de courant, de tension, de vitesse et d'encodeur, tandis que le modèle de l'installation réagit aux commandes de commutation, aux variations de charge et à la logique de protection comme s'il s'agissait d'une machine réelle. Le cas Harvest illustre cette approche, utilisée pour vérifier des stratégies de contrôle destinées à des applications de moteurs asynchrones et de moteurs synchrones à aimants permanents, tout en réduisant la dépendance vis-à-vis des équipements de test physiques.

C'est important, car la validation d'un algorithme ne se résume pas à la simple exactitude des calculs. Elle concerne également la synchronisation, la saturation, le bruit de mesure, les transitions d'état, ainsi que le comportement du contrôleur lorsque le système cessé de fonctionner correctement. La simulation HIL vous offre une reproductibilité dans ces conditions, ce qui signifie que les défaillances deviennent diagnostiquables et ne relèvent plus du hasard. Vous pouvez reproduire le même événement, comparer les tracés et remédier aux causes profondes avant que le matériel ne soit exposé à des risques.

Pourquoi la simulation logicielle ne suffit pas à elle seule à vérifier les performances des systèmes de contrôle embarqués

La simulation logicielle ne suffit pas à elle seule à vérifier les performances d'un système de contrôle embarqué, car elle ne rend pas pleinement compte des contraintes de synchronisation, d'interface et d'exécution du contrôleur physique. Un modèle qui semble stable sur une station de travail peut présenter des dysfonctionnements lorsqu'il est confronté à une exécution à pas fixe, à la latence des E/S sur le terrain, à la gestion des interruptions et à des signaux de capteurs quantifiés.

Un cas courant se présente dans le domaine de la commande d'onduleurs ou de variateurs. La loi de commande fonctionne correctement sur un modèle hors ligne, mais la cible embarquée perd des échantillons lors d'un transitoire rapide, écrête une variable interne ou interprète mal un front de l'encodeur au moment précis où la demande de couple change. Ces défauts restent cachés jusqu'à ce que le code soit exécuté sur le matériel du contrôleur, avec les mêmes interfaces que celles qu'il utilisera en service.

L'étude de cas Harvest est utile ici car le défi de test ne se limitait pas à la logique du convertisseur. Il incluait également plusieurs types de moteurs et modèles de capteurs, tels que des codeurs incrémentaux, ce qui signifie que la validation devait couvrir à la fois la dynamique de l'installation et l'interfaçage du contrôleur. La simulation logicielle reste importante pour les premières étapes de la conception, mais elle ne répondra pas à la question la plus importante : comment le contrôleur embarqué se comporte-t-il lorsque le calcul, les E/S et la réponse de l'installation interagissent tous dans le cadre d'une exécution cadencée.

Exigences clés pour une validation fiable des algorithmes de contrôle en temps réel

La validation fiable d'un algorithme de contrôle en temps réel repose sur une exécution déterministe, des modèles de système fiables, des E/S représentatives et un plan de test couvrant les états de fonctionnement normaux et anormaux. Si l'un de ces éléments présente une faille, la réussite du test n'aura guère de valeur.

Vous pouvez vérifier les points essentiels grâce à cette petite liste :

• Les pas de temps fixes doivent être adaptés au problème de contrôle et au comportement de commutation.
• Les modèles de système doivent reproduire la dynamique qui détermine la réponse du régulateur.
• Les interfaces des capteurs et des actionneurs doivent refléter les chemins de signal utilisés.
• Les cas de défaut doivent inclure les déclenchements de protection et les conditions de limite.
• Les journaux doivent contenir suffisamment de détails pour permettre d'identifier rapidement les défaillances.

Le cas Harvest concrétise ces exigences. Il fallait prendre en charge plusieurs modèles de moteurs, types de capteurs et une topologie de convertisseur à forte charge de calcul ; le banc d'essai devait donc allier fidélité et vitesse d'exécution. Les équipes échouent souvent à ce stade en accordant trop d'importance aux détails du modèle, au détriment de la discipline temporelle ou du réalisme des E/S. Un montage HIL utile n'est pas le plus compliqué. C'est celui qui reproduit les conditions de fonctionnement réelles du contrôleur avec suffisamment de fidélité pour mettre en évidence les mauvaises décisions.

Comment les ingénieurs conçoivent des systèmes de test HIL en boucle fermée pour les contrôleurs embarqués

Les ingénieurs mettent au point des systèmes HIL en boucle fermée en reliant le contrôleur à un modèle de système physique fonctionnant en temps réel, puis en connectant tous les circuits de signaux importants afin que le contrôleur reçoive des mesures réalistes et que le simulateur reçoive des commandes authentiques. Le système ne fonctionne que si la synchronisation et les interfaces sont considérées comme faisant partie intégrante du système physique.

La configuration d'un système de commande de variateur en est un bon exemple. Le simulateur calcule la réponse du convertisseur, du transformateur, du moteur et de la charge à des pas de temps fixes. Le contrôleur embarqué renvoie des commandes de commutation ou de modulation au simulateur, tandis que des canaux analogiques, numériques ou de codeur transmettent les états mesurés au contrôleur. Chaque boucle se referme au pas de temps suivant en temps réel, et non selon un calendrier logiciel « au mieux ».

Le déploiement Harvest décrit dans le fichier utilisait un simulateur évolutif doté d'une grande capacité d'E/S et d'une communication par fibre optique pour les topologies de niveau supérieur, ce qui montre comment la conception en boucle fermée s'étend à mesure que le nombre de convertisseurs et le volume de signaux augmentent. Les équipes obtiennent généralement des résultats plus rapides lorsqu'elles commencent par une boucle validée, telle que le contrôle du courant, puis ajoutent successivement le contrôle de vitesse, les protections et la logique de supervision. Cette construction par étapes permet de garder les problèmes de synchronisation visibles au lieu de les masquer au sein d'une intégration initiale de grande envergure.

Reproduction des défauts et des cas limites qui mettent en évidence des défauts de contrôle cachés

C'est dans la reproduction des défauts que le HIL prend tout son sens, car il permet de simuler des événements dangereux, rares ou coûteux aussi souvent que nécessaire. 

« Les défauts de régulation cachés apparaissent généralement au niveau des transitions, des passages de seuil et des limites de protection, plutôt que pendant le fonctionnement en régime permanent. »

Un exemple d'entraînement moyenne tension l'illustre clairement. Vous pouvez simuler des surtensions, des sous-tensions, des coupures de phase, des défauts à la terre ou des désynchronisations sans mettre en danger ni le personnel ni le matériel. Le cas Harvest rend compte des essais de protection pour les cas de commutation synchrone, la mise à la terre de la sortie monophasée, la détection de désynchronisation et les défauts de tension du bus, le tout sur le banc HIL plutôt que dans une configuration à pleine puissance dangereuse.

Cette approche améliore la couverture et la vitesse d'apprentissage. Le NIST a indiqué que les tests combinatoires permettent d'atteindre un niveau de détection des défauts proche de celui des tests exhaustifs, tout en réduisant la taille de la suite de tests de 20 à 700 fois, ce qui rappelle clairement que la variation structurée est plus importante que l'augmentation aléatoire du nombre de tests. Une bonne campagne HIL tient compte de cette leçon. Vous n'avez pas besoin de milliers de scénarios choisis au hasard. Vous avez besoin des bonnes combinaisons de décalages de consigne, de défauts de capteurs, de modes de fonctionnement et de déclenchements de protection qui sollicitent le contrôleur là où se trouvent réellement les défauts d'interaction.

Utilisation de modèles numériques d'installations pour remplacer les moteurs, les capteurs et les équipements électriques

Les modèles numériques d'installations remplacent les moteurs, les capteurs et les composants électriques lorsque le contrôleur a davantage besoin d'un comportement réaliste que d'équipements physiques. Cette évolution permet de réduire les coûts, de raccourcir les délais de mise en place et de tester des variantes d'installations qu'il serait difficile de monter à la demande.

Un seul banc HIL peut simuler un moteur à induction lors d'une session et un moteur synchrone à aimants permanents lors de la suivante. L'étude jointe met également en évidence l'importance du retour d'information de type codeur ou résolveur, car les erreurs de contrôle surviennent souvent au niveau de l'interface entre les états estimés et les états mesurés plutôt qu'au sein même de la loi de contrôle principale.

L'avantage ne réside pas dans l'abstraction en soi, mais dans le contrôle de l'espace de test. Vous pouvez ajuster l'inertie, le couple de charge, la résolution des capteurs ou les conditions du convertisseur sans avoir à remonter le banc d'essai. Les composants de commutation à haute vitesse fonctionnent souvent sur des solveurs basés sur FPGA , tandis que les sections plus lentes du réseau électrique fonctionnent sur des solveurs basés sur CPU. Cette séparation assure la stabilité de la simulation à de petits pas de temps tout en préservant l'efficacité de calcul. Ce type de partitionnement permet de conserver l'utilité de l'installation numérique pour la validation, au lieu de la transformer en une démonstration simplifiée qui ne reflète pas le comportement auquel votre contrôleur doit faire face.

Intégration de simulateurs en temps réel avec le matériel de contrôle et les systèmes d'E/S

L'intégration d'un simulateur en temps réel est réussie lorsque l'intégrité du signal, la synchronisation et le mappage des interfaces sont considérés comme des tâches d'ingénierie plutôt que comme des tâches de câblage. Le contrôleur doit percevoir les mêmes types de signaux, les mêmes échelles et le même comportement de mise à jour que ceux qu'il recevra lors de son exploitation en production.

Imaginez un contrôleur qui attend des impulsions d'encodeur, un retour analogique rapide, des verrouillages numériques et des signaux de déclenchement. Si le simulateur fournit des valeurs « propres », sans latence ni mise à l'échelle réalistes, le code passera les tests dans des conditions qui n'existent jamais sur une armoire réelle. La configuration Harvest a résolu ce problème grâce à une capacité d'E/S analogiques et numériques importante, des connexions de surveillance à l'avant et à l'arrière, ainsi que des voies d'extension pour des charges de communication plus importantes.

Le travail d'intégration comprend également des vérifications en boucle ouverte avant les essais en boucle fermée. Les erreurs liées à la polarité des signaux, à la conversion des unités, à la logique des seuils et à la planification des tâches sont beaucoup plus faciles à corriger avant la fermeture de la boucle. On a tendance à négliger cette étape préparatoire, alors qu'elle constitue l'un des meilleurs moyens d'éviter de se lancer à la poursuite de faux défauts du contrôleur qui sont en réalité des défauts d'interface. Une bonne pratique HIL considère le câblage, la mise à l'échelle et la synchronisation du planificateur comme faisant partie intégrante de la validation du contrôle, car c'est exactement ce qu'ils sont.

Pratiques d'ingénierie permettant de raccourcir les cycles de vérification des algorithmes de contrôle

« Les algorithmes de contrôle ne gagnent en fiabilité qu’à force d’être soumis à des conditions réalistes en termes de synchronisation, d’interfaces et de défaillances, et non pas en se fiant à un modèle théorique ou à un seul test en laboratoire. »

La réduction des cycles de vérification repose sur une conception rigoureuse des tests, une intégration par étapes et un retour d'information rapide sur les résultats des formes d'onde. Les équipes gagnent en rapidité lorsque chaque exécution HIL répond à une question de contrôle précise et alimente directement la modification de code suivante.

Dans le cas présenté ci-joint, une tendance claire se dégage : reproduire les problèmes rencontrés sur site en laboratoire, vérifier le fonctionnement de la logique de protection en cas de défaillance, utiliser un seul banc d'essai pour plusieurs types de moteurs, et détecter les défauts de code suffisamment tôt pour que les corrections ne dépendent pas de l'accès au matériel. C'est pourquoi le HIL modifie le rythme du travail de contrôle. Il transforme les prototypes, dont le nombre est limité, en outils de validation plutôt qu'en outils de découverte.

Le verdict final est simple. OPAL-RT s'intègre naturellement dans ce tableau, car ce travail porte sur la mise en œuvre : adapter la méthode de calcul à la vitesse de l'installation, relier les E/S du contrôleur sans distorsion, et garantir une répétabilité suffisante des tests pour que chaque correction apporte une valeur ajoutée.