Vous êtes sur la page 1sur 135

Contribution `

a l
evaluation de s
uret
e de fonctionnement
des architectures de surveillance/diagnostic embarqu
ees.
Application au transport ferroviaire
Jean Gandibleux

To cite this version:


Jean Gandibleux. Contribution a` levaluation de s
urete de fonctionnement des architectures de
surveillance/diagnostic embarquees. Application au transport ferroviaire. Other. Universite
de Valenciennes et du Hainaut-Cambresis, 2013. French. <NNT : 2013VALE0032>. <tel00990970>

HAL Id: tel-00990970


https://tel.archives-ouvertes.fr/tel-00990970
Submitted on 14 May 2014

HAL is a multi-disciplinary open access


archive for the deposit and dissemination of scientific research documents, whether they are published or not. The documents may come from
teaching and research institutions in France or
abroad, or from public or private research centers.

Larchive ouverte pluridisciplinaire HAL, est


destinee au depot et `a la diffusion de documents
scientifiques de niveau recherche, publies ou non,
emanant des etablissements denseignement et de
recherche francais ou etrangers, des laboratoires
publics ou prives.

Numro d'ordre: 13/31

Thse de doctorat
Pour obtenir le grade de Docteur de lUniversit de
VALENCIENNES ET DU HAINAUT-CAMBRESIS

Spcialit Automatique Informatique Industrielle et Systmes Homme Machine


Prsente et soutenue par Jean GANDIBLEUX.
Le 06/12/2013, Valenciennes.
Ecole doctorale :
Sciences Pour lIngnieur (SPI)

Equipe de recherche, Laboratoire :


Laboratoire de Thermique, Ecoulement, Mcanique, Mise en Production (TEMPO)

Contribution l'valuation de sret de fonctionnement des architectures de


surveillance/diagnostic embarques. Application au transport ferroviaire.

JURY
Prsidente du jury
- BAYART, Mireille. Professeur l'Universit de Lille 1, LAGIS.
Rapporteurs
-THIRIET, Jean-Marc. Professeur l'Universit
Joseph Fourier de Grenoble, GIPSA Lab.

AUBRUN, Christophe. Professeur l'Universit


de Lorraine, CRAN.

Examinateur
-GENON-CATALOT,
Denis.
Matre
de
confrences l'Universit Pierre Mends France,
LCIS-Grenoble INP.
Directeur de thse
- CAUFFRIEZ, Laurent. Matre de confrences
HDR l'Universit de Valenciennes et du
Hainaut-Cambrsis, TEMPO/PSI.
Membre invit
- BRANGER,
Guillaume.
BOMBARDIER Transport

Ingnieur
R&D,
France, Crespin.

- Co-encadrant : CLARHAUT, Joffrey. Matre de


confrences l'Universit de Valenciennes et du
Hainaut-Cambrsis, TEMPO/PSI.

Page 2 sur 134

Avant propos

Les travaux prsents dans ce mmoire de thse ont t raliss dans le cadre du projet FUI SURFER
(SURveillance active FERroviaire), au Laboratoire TEMPO (Thermique, Ecoulement, Mcanique,
Matriaux, Mise en Forme, PrOduction) et l'entreprise BOMBARDIER Transport France. Le
laboratoire TEMPO est une unit de recherche (EA 4542) membre de l'institut Carnot ARTS. Le
la o atoi e TEMPO se situe lu ive sit de Vale ie es et du Hai aut-Cambrsis (UVHC).
J'adresse tous mes remerciements Monsieur Laurent CAUFFRIEZ, Matre de confrences Habilit
Diriger des Recherches, et Monsieur Joffrey CLARHAUT, Matre de confrences, d'avoir accept de
diriger cette thse. Je les remercie des nombreuses critiques constructives dont ils m'ont fait part
pour ce travail de thse.
Je remercie Madame Mireille BAYART, Professeur des Universits, davoi p sid le ju
soutenance de cette thse.

lo s de la

J'exprime toute ma gratitude Monsieur Jean-Marc THIRIET, Professeur l'Universit Joseph Fourier,
et Monsieur Christophe AUBRUN, Professeur l'Universit de Lorraine, de m'avoir fait l'honneur
d'tre rapporteurs des travaux de ce mmoire.
Je remercie galement Monsieur Denis GENON-CATALOT, Matre de confrences, de l'intrt qu'il a
port ce travail de recherche en acceptant de participer ce jury en tant qu'examinateur.
Je tie s e e ie Da ie TRENTEAUX, P ofesseu lU ive sit de Vale ie es et du Hai autCambrsis et Guillaume BRANGER, ingnieur R&D chez BOMBARDIER Transport France, d'avoir
accept ma candidature ce sujet de thse.
Je remercie les deux partenaires de cette thse, savoir l'entreprise BOMBARDIER Transport et
lU ive sit de Vale ie es et du Hai aut-Cambrsis, de m'avoir accueilli et d'avoir rendu cette
recherche possible. Durant cette thse, j'ai intgr l'quipe FIELD-FRACAS-REX de BOMBARDIER
Transport France et je n'oublie pas de remercier l'ensemble de ses membres (Christophe DUPAS,
Quentin COUTADEUR, Aurlien DUCATILLON, Luc RAUWEL, Jo STEVENS, Guillaume BRANGER,
Reynald COPIN) pour leur collaboration et pour la transmission de leur exprience et de leur savoirfaire. Je remercie galement lensemble des personnes (ouvriers, techniciens et ingnieurs ue jai
croises et ue je ai pas cites ci-dessus, pour leur collaboration.

Page 3 sur 134

Page 4 sur 134

Sommaire
AVANT PROPOS............................................................................................................................ 3
ABREVIATIONS ET ACRONYMES UTILISES ...................................................................................... 9
INTRODUCTION GENERALE ......................................................................................................... 11
CHAPITRE 1 : ETAT DE L'ART........................................................................................................ 13
INTRODUCTION .............................................................................................................................. 14
1. SURETE DE FONCTIONNEMENT ..................................................................................................... 14
1.1. CONCEPTS FONDAMENTAUX .............................................................................................................. 14
1.1.1. L'arbre de la sret de fonctionnement .................................................................................. 14
1.1.2. La fiabilit ................................................................................................................................. 15
1.1.3. La maintenabilit ...................................................................................................................... 16
1.1.4. La disponibilit ......................................................................................................................... 18
1.1.5. La scurit ................................................................................................................................ 19
1.1.6. Liens entre attributs ................................................................................................................. 19
1.1.7. Les moyens ............................................................................................................................... 20
1.1.8. Les entraves.............................................................................................................................. 20
1.2. MATHEMATIQUES DE LA SURETE DE FONCTIONNEMENT .......................................................................... 20
1.2.1. Processus de dfaillance et processus de rparation .............................................................. 20
1.2.2. Principales lois de probabilit .................................................................................................. 21
1.3. METHODES USUELLES EN SURETE DE FONCTIONNEMENT ......................................................................... 21
2. DIAGNOSTIC ........................................................................................................................... 23
2.1. SURVEILLANCE, DIAGNOSTIC ET GESTION DE FAUTES ............................................................................... 23
2.2. METHODES DE DIAGNOSTIC ............................................................................................................... 25
2.3. ARCHITECTURES DE DIAGNOSTIC ......................................................................................................... 26
2.3.1. Diagnostic local et diagnostic global ........................................................................................ 26
2.3.2. Architecture centralise ........................................................................................................... 26
2.3.3. Architecture distribue ............................................................................................................ 28
2.3.4. Problmatique de conception d'architectures de diagnostic distribu .................................. 29
3. TRAVAUX SUR L'EVALUATION DE FMD DES ARCHITECTURES DE DIAGNOSTIC ........................................... 30
3.1. TRAVAUX SUR L'EVALUATION DE FMD DES SYSTEMES DISTRIBUES ............................................................ 30
3.1.1. Approches systmes................................................................................................................. 31
3.1.2. Approches centres rseau ...................................................................................................... 32
3.2. TRAVAUX SUR L'EVALUATION DE FMD DU DIAGNOSTIC ......................................................................... 32
3.2.1. Modes de dfaillance d'un systme de diagnostic .................................................................. 32
3.2.2. Travaux sur l'valuation de FMD du diagnostic ....................................................................... 33
3.3. SYNTHESE ....................................................................................................................................... 33
CONCLUSION ................................................................................................................................. 34
CHAPITRE 2 : OPTIMISATION DE LA MAINTENANCE PAR L'AMELIORATION DU DIAGNOSTIC ......... 35
Page 5 sur 134

INTRODUCTION .............................................................................................................................. 36
1. CONTEXTE GENERAL ET OBJECTIFS ................................................................................................ 36
2. PRESENTATION DES ARCHITECTURES DANS LE TRANSPORT FERROVIAIRE ................................................. 38
2.1. L'ARCHITECTURE RCD (" REMOTE CENTRALIZED DIAGNOSIS ") ................................................................ 40
2.2. L'ARCHITECTURE EDCD (" EMBEDDED DECENTRALIZED & COOPERATIVE DIAGNOSIS ")............................... 41
3. SITUATION ACTUELLE, LIMITES ET SOLUTIONS ENVISAGEES .................................................................. 41
3.1. PRESENTATION DES PARTENAIRES ....................................................................................................... 42
3.1.1. BOMBARDIER Transport ........................................................................................................... 42
3.1.2. Prosyst ...................................................................................................................................... 42
3.1.3. TEMPO ...................................................................................................................................... 42
3.2. SITUATION ACTUELLE ET LIMITES ......................................................................................................... 43
3.3. SOLUTIONS APPORTEES PAR LE PROJET FUI SURFER ............................................................................. 44
3.3.1. Diagnostic correctif et approche automatique par le modle ................................................. 44
3.3.2. Enrichissement des diagnostics par l'utilisation d'entits intelligentes cooprantes.............. 45
3.3.3. Diagnostic prdictif et maintenance conditionnelle ................................................................ 46
3.3.4. Optimisation de la maintenance .............................................................................................. 46
4. PRESENTATION DE LA PROBLEMATIQUE DE THESE ............................................................................. 47
5. VERROUS SCIENTIFIQUES LIES AUX SYSTEMES DISTRIBUES, AU DIAGNOSTIC ET A LA SURETE DE FONCTIONNEMENT
48
5.1. SYSTEMES DISTRIBUES....................................................................................................................... 48
5.1.1. Qualit de service ..................................................................................................................... 48
5.1.2. Menaces et dfenses................................................................................................................ 49
5.1.3. Conflit d'objectifs : objectif global vs. objectifs locaux ............................................................ 49
5.2. DIAGNOSTIC .................................................................................................................................... 50
5.2.1. Notion de diagnostic local "bas niveau"................................................................................... 50
5.2.2. Notion de diagnostic local "haut niveau" ................................................................................. 50
5.3. SURETE DE FONCTIONNEMENT ........................................................................................................... 50
5.4. SYNTHESE ET CARACTERISATION DE LA COMPLEXITE DES ARCHITECTURES DE DIAGNOSTIC ............................. 51
CONCLUSION ................................................................................................................................. 53
CHAPITRE 3 : PROPOSITION DE MODELES ET VALIDATION ........................................................... 55
INTRODUCTION .............................................................................................................................. 56
1. CHOIX D'UNE METHODE DE MODELISATION ET D'EVALUATION DE FMD ................................................. 56
1.1. Justification du choix de modlisation et d'valuation de FMD ................................................. 56
1.2. Prsentation des Rseaux de Petri Colors................................................................................. 57
1.2.1. Notions de base ........................................................................................................................ 57
1.2.2. Extensions................................................................................................................................. 58
1.2.2.1. Rseaux de Petri Temporiss ................................................................................................ 58
1.2.2.2. Rseaux de Petri Stochastiques ............................................................................................ 59
1.2.2.3. Rseaux de Petri Stochastiques Gnraliss ......................................................................... 59
1.2.2.4. Rseaux de Petri Colors ....................................................................................................... 59
1.2.3. Rsolution par simulation ........................................................................................................ 61
2. PROPOSITION D'UN MODELE ....................................................................................................... 61
2.1. Hypothses .................................................................................................................................. 62
Page 6 sur 134

2.2. Modles des architectures de diagnostic.................................................................................... 62


2.2.1. Modle d'un rseau de communication .................................................................................. 62
2.2.2. MODELE DE L'ARCHITECTURE RCD ................................................................................................... 65
2.2.3. MODELE DE L'ARCHITECTURE EDCD ................................................................................................ 67
3. VALIDATION ........................................................................................................................... 69
3.1. DEFINITION D'UN PROTOCOLE DE VALIDATION....................................................................................... 69
3.2. SIMULATION ET RESULTATS ................................................................................................................ 70
3.2.1. PREMIER CAS THEORIQUE DE VALIDATION ......................................................................................... 71
3.2.2. SECOND CAS THEORIQUE DE VALIDATION .......................................................................................... 75
CONCLUSION ................................................................................................................................. 77
CHAPITRE 4 : EXPLOITATION DES MODELES PROPOSES ................................................................ 79
INTRODUCTION .............................................................................................................................. 80
1. APPLICATION SUR UN CAS REEL .................................................................................................... 80
1.1. PRESENTATION DE L'ACCES VOYAGEURS ............................................................................................... 80
1.2. ESTIMATION DES PARAMETRES DU SYSTEME ELEMENTAIRE D'ACCES VOYAGEURS......................................... 82
1.2.1. Estimation de la distribution de dfaillance d'un accs voyageurs ......................................... 83
1.2.2. Estimation de la distribution de rparation d'un accs voyageurs .......................................... 85
1.3. QUANTIFICATION DES PARAMETRES DES RESEAUX DE COMMUNICATION .................................................... 87
1.3.1. Rseau de communication bord sol (S_TWN) .......................................................................... 87
1.3.2. Rseau de diagnostic embarqu (S_EDN) ................................................................................ 87
1.4. QUANTIFICATION DES PARAMETRES DES SYSTEMES DE DIAGNOSTIC .......................................................... 88
1.5. SYNTHESE DES DONNEES D'ENTREE...................................................................................................... 89
1.6. SIMULATIONS .................................................................................................................................. 90
1.6.1. Un systme lmentaire S_Ei (n=1) ......................................................................................... 90
1.6.2. Trois systmes lmentaires S_Ei (n=3) ................................................................................... 92
2. ETUDES DE SENSIBILITE .............................................................................................................. 94
2.1. SENSIBILITE DES ARCHITECTURES RCD ET EDCD AU TAUX DE DEFAILLANCE DU RESEAU DE COMMUNICATION
BORD SOL (S_TWN) .................................................................................................................................. 94
2.2. SENSIBILITE DE L'ARCHITECTURE EDCD AU TAUX DE DEFAILLANCE DU RESEAU EMBARQUE POUR LE DIAGNOSTIC
(S_EDN).................................................................................................................................................. 97
2.3. SENSIBILITE DES ARCHITECTURES RCD ET EDCD AU TEMPS DE VALIDATION D'UNE ALARME AU SYSTEME DE
DIAGNOSTIC GLOBAL (S_GD) ..................................................................................................................... 100
2.4. SYNTHESE ..................................................................................................................................... 102
CONCLUSION ................................................................................................................................104
CHAPITRE 5 : CONCLUSION GENERALE ET PERSPECTIVES ............................................................105
1. CONCLUSION .........................................................................................................................105
2. PERSPECTIVES ........................................................................................................................107
2.1. PERSPECTIVES SCIENTIFIQUES ........................................................................................................... 107
2.1.1. Enrichissement des modles proposs .................................................................................. 107
2.1.2. Proposition d'une mthodologie d'valuation FMD a priori ................................................. 108
Page 7 sur 134

2.2. PERSPECTIVES INDUSTRIELLES ........................................................................................................... 109


BIBLIOGRAPHIE .........................................................................................................................111
ANNEXE 1 : LOIS DE PROBABILITE ..............................................................................................123
1. DEFINITION DES LOIS ................................................................................................................123
1.1. LOIS DISCRETES .............................................................................................................................. 123
1.1.1. La loi binomiale (ou loi de Bernoulli)...................................................................................... 123
1.1.2. La loi de Poisson ..................................................................................................................... 123
1.2. LES LOIS CONTINUES ....................................................................................................................... 123
1.2.1. La loi de Weibull ..................................................................................................................... 124
1.2.2. La loi exponentielle ................................................................................................................ 124
1.2.3. La loi normale ......................................................................................................................... 124
1.2.4. La loi Log-Normale.................................................................................................................. 124
1.2.5. La loi gamma .......................................................................................................................... 125
2. METHODES D'ESTIMATION DES LOIS DE PROBABILITE........................................................................125
2.1. METHODE GRAPHIQUE (KUMAMOTO & HENLEY,1996) ....................................................................... 125
2.2. METHODE PAR INTERVALLE DE CONFIANCE (LYONNET,2006) ................................................................ 126
3. TRACE DES LOIS DE PROBABILITE .................................................................................................127
ANNEXE 2 : PRESENTATION DES AUTRES PARTENAIRES DU PROJET FUI SURFER ..........................129
1. IFSTTAR ..............................................................................................................................129
2. HIOLLE INDUSTRIES .............................................................................................................129
3. POSITIONNEMENT VIS-A-VIS DES POLES DE COMPETITIVITE ................................................................129
INDEX DES FIGURES ...................................................................................................................131
INDEX DES TABLEAUX ................................................................................................................133

Page 8 sur 134

Abrviations t acronyms utiliss


A(t)
CTAA
CTFA
CTTA
EDCD
FMD
FUI
GAMAB
LCC
MDT
MTTF
MTTR
NAA
NFA
NRE
NTA
PTFA
RCD
RdP
RdPC
SURFER
S_D
S_D*
S_E
S_EDN
S_GD
S_TWN

Disponibilit instantanne
(de l'anglais " Cumulative Time spent on analyzing All Alarms ") : temps cumul
pass analyser toutes les alarmes
(de l'anglais " Cumulative Time spent on analyzing False Alarms ") : temps cumul
pass analyser des fausses alarmes
(de l'anglais " Cumulative Time spent on analyzing True Alarms ") : temps cumul
pass analyser des vraies alarmes
(de l'anglais " Embedded Decentralized and Cooperative Diagnosis ") : diagnostic
embarqu dcentralis et cooprant
Fiabilit, Maintenabilit, Disponibilit
Fonds Unique Interministriel
Globalement Au Moins Aussi Bon
(de l'anglais " Life Cycle Cost ") : cot global de possession
(de l'anglais " Mean Down Time ") : dure moyenne d'indisponibilit
(de l'anglais " Mean Time To Failure ") : temps moyen avant la premire dfaillance
(de l'anglais " Mean Time To Repair ") : dure moyenne de rparation
(de l'anglais " Number of All Alarms") : nombre total d'alarmes
(de l'anglais " Number of False Alarms ") : nombre de fausses alarmes
(de l'anglais " Number of Residual Errors") : nombre d'erreurs rsiduelles sur les
rseaux de communication
(de l'anglais " Number of True Alarms ") : nombre de vraies alarmes
Pourcentage de Temps d'analyse pass analyser des Fausses Alarmes
(de l'anglais " Remote Centralized Diagnosis") : diagnostic distant centralis
Rseaux de Petri
Rseaux de Petri Colors
SURveillance active FERroviaire
Systme de Diagnostic local "bas niveau"
Systme de Diagnostic local "haut niveau"
Systme Elmentaire
(de l'anglais " Embedded Diagnosis Network") : Rseau de communication
embarqu pour le diagnostic
(de l'anglais " Global Diagnosis System ") : Systme de diagnostic global
(de l'anglais " Train-to-wayside Network ") : Rseau de tlcommunication train-sol

Page 9 sur 134

Page 10 sur 134

Introduction gnral

Dans le transport ferroviaire, le cot global de possession du matriel roulant est une question
majeure. Pour les exploitants de matriel roulant, cet lment reprsente un facteur de
comptitivit important face aux autres modes de transport ou encore face l'arrive d'une nouvelle
concurrence, suite l'ouverture des marchs d'exploitation des lignes conventionnelles en 2010
(CCE,2004).
Cette mise en concurrence pousse de plus en plus les exploitants vouloir acqurir des matriels
roulants en prenant en compte le cot global de possession LCC (de l'anglais Life Cycle Cost ),
optimisant le cot de maintenance pendant la vie du matriel roulant. Le LCC est un des indicateurs
de performance des marchs modernes (Schweiger,2009). En effet, il existe une demande forte en
maintenance plus efficace, plus ractive (compte-tenu de la concurrence d'autres exploitants) et
moins coteuse, au lieu du modle historique de maintenance prventive organise sur le territoire
national.
Pour optimiser la maintenance, une approche consiste amliorer le diagnostic (Marquez et
al.,2008)(Utne et al.,2012). Dans ce cadre, Bombardier Transport conduit actuellement plusieurs
projets de recherche (Cauffriez et al.,2013)(Bombardier,2010) (Gandibleux et al.,2011). Cette thse
est ralise dans le cadre du projet SURFER (pour SURveillance active FERroviaire) financ par le FUI
(Fonds Unique Interministriel), qui vise le dveloppement d'une architecture de diagnostic efficace
(ISO13374-1,2003). La nouvelle architecture de diagnostic repose sur l'utilisation de capteurs
intelligents et de rseaux de communication. Ces technologies offrent de nouvelles possibilits mais
engendrent cependant de nouvelles contraintes notamment en matire de sret de
fo tio e e t. La o ple it i duite pa li t g atio des s st es i tellige ts e d la
quantification du niveau de sret de fonctionnement plus difficile.
De plus, le projet FUI SURFER se droule dans le transport ferroviaire franais, o la dmarche de
risque est prconise (EN50126,2000). Dans ce secteur, le risque doit tre abord selon le principe
GAMAB (acronyme de "Globalement Au Moins Aussi Bon"). Selon le principe GAMAB, l'architecture
de diagnostic dveloppe doit tre non-intrusive, c'est--dire qu'elle ne doit pas interfrer avec le
bon fonctionnement du systme lmentaire (existant). L'architecture de diagnostic ne doit donc pas
diminuer la disponibilit du systme lmentaire (EN50126,2000). La non-intrusivit, qui diffre de
l'approche classique pour les systmes tolrants aux fautes (voir chapitre 1), est impose par
Bombardier Transport et donc le systme de diagnostic et le systme lmentaire (c'est--dire le
systme soumis au diagnostic) sont indpendants. Cette exigence de non-intrusivit provient de
l'indisponibilit en exploitation, suite aux dfaillances de ces systmes. Cette indisponibilit est
habituellement lie une gravit importante (EN50126,2000).
Pour ces raisons, la conception d'une nouvelle architecture de diagnostic est un dfi. Ceci a conduit
cette thse. Les travaux prsents dans ce mmoire de thse proposent des modles et un protocole
de validation, afin d'valuer la FMD (Fiabilit, Maintenabilit, Disponibilit) d'architectures de
diagnostic. La tche est rendue difficile, du fait de la complexit inhrente aux systmes intelligents,
du fait de l'emploi de rseaux de communication et du fait de la grande taille d'un systme de
transport ferroviaire. Ces observations ont orient le choix vers les rseaux de Petri colors.
Page 11 sur 134

Dans le premier chapitre, les notions de fiabilit, maintenabilit et disponibilit et les notions de base
en surveillance, diagnostic et gestion de faute non-intrusive sont rappeles afin de donner un cadre
thorique aux travaux raliss. Puis, quelques travaux de la littrature, proches de la problmatique
d'valuation d'architectures de diagnostics sont recenss. Les formalismes utiliss pour l'valuation
de FMD des architectures de diagnostic sont galement prsents.
Nous dtaillons au deuxime chapitre le contexte gnral et les objectifs de ces travaux de thse, qui
se droulent dans le cadre du projet FUI SURFER. Les architectures de diagnostic du transport
ferroviaire sont prsentes, afin de mieux cerner les limites de la situation actuelle et la solution
envisage dans le projet FUI SURFER. Cette prsentation permet de poser les objectifs de cette thse,
qui consiste modliser et valuer d'un point de vue FMD des architectures de diagnostic. Enfin, les
verrous scientifiques de cette thse lis aux rseaux de communication, au diagnostic et la sret
de fonctionnement sont identifis.
Le troisime chapitre justifie et prsente le formalisme retenu, savoir les Rseaux de Ptri colors
associs la rsolution par simulation de Monte Carlo. Dans un premier temps, nous proposons un
modle gnrique pour les rseaux de communication, qui occupent une place centrale dans les
architectures de diagnostic du transport ferroviaire. Puis nous proposons des modles en Rseaux de
Ptri colors des architectures de diagnostic. Les modles proposs sont ensuite valids, par un
protocole compos de cas pessimistes et optimistes, qui permet de valider les rsultats en sortie du
modle pour les valeurs d'entre retenues.
Le quatrime chapitre applique les modles proposs sur un cas rel propos par Bombardier, o les
systmes lmentaires sont des accs voyageurs. Dans un premier temps, la distribution du taux de
dfaillance et la distribution des temps de rparation sont estimes partir du retour d'exprience
fourni par Bombardier. Puis, les paramtres des rseaux de communication et des systmes de
diagnostic sont quantifis. Les rsultats pour l'application relle sont obtenus et discuts. Devant le
manque de donnes concernant le rseau de communication bord sol et le rseau de communication
embarqu pour le diagnostic, nous dcidons de prsenter des tudes de sensibilit afin d'tudier
l'influence de leur dysfonctionnement sur la FMD des architectures de diagnostic.
Le cinquime chapitre prsente la conclusion de nos travaux de recherche et introduit les
perspectives identifies, tant sur le plan scientifique que sur le plan industriel.

Page 12 sur 134

Chapitr

: tat d l'art

INTRODUCTION ............................................................................................................................... 14
1. SURETE DE FONCTIONNEMENT ..................................................................................................... 14
1.1. CONCEPTS FONDAMENTAUX ............................................................................................................... 14
1.1.1. L'arbre de la sret de fonctionnement ................................................................................... 14
1.1.2. La fiabilit .................................................................................................................................. 15
1.1.3. La maintenabilit ...................................................................................................................... 16
1.1.4. La disponibilit .......................................................................................................................... 18
1.1.5. La scurit ................................................................................................................................. 19
1.1.6. Liens entre attributs .................................................................................................................. 19
1.1.7. Les moyens................................................................................................................................ 20
1.1.8. Les entraves .............................................................................................................................. 20
1.2. MATHEMATIQUES DE LA SURETE DE FONCTIONNEMENT .......................................................................... 20
1.2.1. Processus de dfaillance et processus de rparation ............................................................... 20
1.2.2. Principales lois de probabilit ................................................................................................... 21
1.3. METHODES USUELLES EN SURETE DE FONCTIONNEMENT ......................................................................... 21
2. DIAGNOSTIC ............................................................................................................................ 23
2.1. SURVEILLANCE, DIAGNOSTIC ET GESTION DE FAUTES ............................................................................... 23
2.2. METHODES DE DIAGNOSTIC ................................................................................................................ 25
2.3. ARCHITECTURES DE DIAGNOSTIC.......................................................................................................... 26
2.3.1. Diagnostic local et diagnostic global ......................................................................................... 26
2.3.2. Architecture centralise............................................................................................................ 26
2.3.3. Architecture distribue ............................................................................................................. 28
2.3.4. Problmatique de conception d'architectures de diagnostic distribu ................................... 29
3. TRAVAUX SUR L'EVALUATION DE FMD DES ARCHITECTURES DE DIAGNOSTIC ............................................ 30
3.1. TRAVAUX SUR L'EVALUATION DE FMD DES SYSTEMES DISTRIBUES ............................................................. 30
3.1.1. Approches systmes ................................................................................................................. 31
3.1.2. Approches centres rseau ...................................................................................................... 32
3.2. TRAVAUX SUR L'EVALUATION DE FMD DU DIAGNOSTIC .......................................................................... 32
3.2.1. Modes de dfaillance d'un systme de diagnostic ................................................................... 32
3.2.2. Travaux sur l'valuation de FMD du diagnostic ........................................................................ 33
3.3. SYNTHESE ........................................................................................................................................ 33
CONCLUSION.................................................................................................................................. 34

Page 13 sur 134

Chapitre 1 : tat de l'art


Introduction
Ce chapitre prsente les diffrentes notions utilises dans cette thse, qui a pour but d'valuer d'un
point de vue FMD (Fiabilit, Maintenabilit, Disponibilit) des architectures de diagnostic. Pour ce
faire, la partie 1 prsente des notions d'ordre gnral sur la FMD, qui fait partie de la sret de
fonctionnement ainsi que les mthodes gnralement utilises pour raliser une valuation FMD. La
partie 2 rappelle les notions sur le diagnostic et prsente une typologie d'architectures de diagnostic.
Enfin, la partie 3 prsente un tat de l'art sur l'valuation FMD des architectures de diagnostic.

1. Sret de fonctionnement
Cette partie vise rappeler les concepts de sret de fonctionnement qui sont utiliss par la suite. La
premire section prsente les concepts fondamentaux de la sret de fonctionnement : les attributs,
les moyens et les entraves. La seconde section prsente les mathmatiques de la sret de
fonctionnement. La troisime section prsente les mthodes usuelles pour quantifier les attributs de
la sret de fonctionnement des systmes.

1.1.Concepts fondamentaux
Les concepts fondamentaux de la sret de fonctionnement sont habituellement illustrs par l'arbre
de la sret de fonctionnement. Ceux-ci comprennent les notions de fiabilit, de disponibilit, de
maintenabilit et de scurit.
1.1.1. L'arbre de la sret de fonctionnement
La sret de fonctionnement est laptitude du e e tit alise u e ou plusieu s fo tio s
requises dans des conditions donnes . Elle est la science des dfaillances (Zwingelstein,1995)
(Villemeur,1991).
La suret de fonctionnement peut tre applique au niveau d'un processus, d'un systme, d'un
composant, suivant la profondeur de l'analyse. Dans la suite de cette section sur la sret de
fonctionnement, le terme "entit" est utilis pour faire rfrence l'lment considr dans
l'a al se u p o essus, u s st e, u o posa t .
Les concepts fondamentaux de la sret de fonctionnement sont classs en trois groupes dans
l'arbre de la sret de fonctionnement (Avizienis et al.,2000)(Figure 1) : les attributs de la sret de
fonctionnement, les entraves la sret de fonctionnement, et les moyens par lesquels la sret de
fonctionnement est atteinte.

Page 14 sur 134

Fiabilit
Maintenabilit
Disponibilit
Scurit-intgrit

Attributs

Scurit-confidentialit
Scurit-innocut

Sret de
fonctionnement

Dfaillance
Faute

Entraves

Erreur
Prvention des fautes
Elimination des fautes
Moyens

Prvision des fautes


Tolrance aux fautes

Figure 1 : Arbre de la sret de fonctionnement, adapt de (Avizienis et al.,2000).

Les attributs de la sret de fonctionnement expriment les objectifs attendus pour l'entit en termes
de fiabilit, disponibilit, maintenabilit et scurit pour l'entit.
1.1.2. La fiabilit
La fia ilit est laptitude d'u e e tit a o pli u e fo tio e uise, da s des o ditio s do
es,
pendant un intervalle de temps donn. Il est gnralement admis que l'entit est en tat d'accomplir
la fonction requise au dbut de l'intervalle de temps donn (Villemeur,1991).
Selon les circonstances, la fiabilit peut tre value l'aide d'un ensemble de critres :

la probabilit, note R(t), que l'entit soit non-dfaillante sur l'intervalle de temps [0,t[ ,
sachant qu'elle n'tait pas
dfaillante t=0
la probabilit, note
, pou ue l'e tit fasse lo jet d'u e d failla e su u i te valle
de temps donn. Pour une entit 2 tats :
(1)

le temps moyen avant la premire dfaillance, not MTTF ( Mean Time To Failure en
anglais),

le tau de d failla e i sta ta

, ot

(2)

t , ui se d fi it pa (Villemeur,1991) :
Page 15 sur 134

(3)
Da s la p ati ue, t est al ul pa (Villemeur,1991):
(

(4)

La ou e ep se ta t le tau de d failla e t a lallu e du e baignoire (Figure 2). Celle-ci


pe et dillust e les p iodes de la vie du s st e (Kumamoto & Henley,1996) : la priode de
dverminage, la priode de vie utile et la priode de vieillissement.

(t)

Priode de
dverminage

Priode de vie utile

Priode de
vieillissement

t
Figure 2 : Evolution du taux de dfaillance d'un systme.

1.1.3. La maintenabilit
Lorsque l'entit est rparable, elle est caractrise par sa maintenabilit. La maintenabilit, note
M t , est laptitude d'u e e tit t e ai te ue ou ta lie dans un tat dans lequel elle peut
accomplir une fonction requise, lorsque la maintenance est accomplie dans des conditions donnes,
ave des p o du es et des o e s p es its. Le tit est e pa e au d ut de li te valle
(Villemeur,1991).
La maintenabilit est do
li e la ai te a e, ui est le se le de toutes les a tio s
techniques, administratives et de management durant le cycle de vie d'un bien, destines le
maintenir ou le rtablir dans un tat dans lequel il peut accomplir la fonction re uise (DIN
EN13306,2010).
Il existe plusieurs types de maintenance, qui peuvent tre classs en 2 groupes (Zwingelstein,1996)
(Procaccia et al.,2011) : ava t lo u e e du e d failla e
ai te a e p ve tive ou ap s
lo u e e du e d failla e (maintenance corrective) (Figure 3).

Page 16 sur 134

Figure 3 : Classification des types de maintenance (Zwingelstein,1995).

Plusieurs types de maintenance prventive existent ; elles s'appliquent avant l'occurrence d'une
dfaillance :

la maintenance systmatique, o les actions peuvent tre dclenches en accord avec un


calendrier statique prtabli ou en accord avec une dure de fonctionnement
(Zwingelstein,1996). Lorsqu'il est possible de dterminer l'tat de sant des matriels, deux
cas peuvent tre distingus:
la maintenance conditionnelle, qui "comprend une combinaison de surveillance en
fonctionnement et/ou d'essai, d'analyse et les actions de maintenance qui en dcoulent"
(DIN EN13306,2010). Cette maintenance est dclenche lors du franchissement d'un seuil,
qui peut tre qualifi par une information issue d'une mesure sur le bien (Lavina &
Perruche,1998)
la maintenance prvisionnelle (aussi appele maintenance prdictive (Lavina &
Perruche,1998)), est "excute suite une prvision obtenue grce une analyse rpte
ou des caractristiques connues et une valuation des paramtres significatifs de la
dgradation du bien" (DIN EN13306,2010).

Aprs l'occurrence de la dfaillance, le matriel dfaillant est remplac (cas d'une entit lmentaire)
ou rpar (cas d'un systme complexe rparable) (Procaccia et al.,2011). Dans ce cadre :

la ai te a e o e tive vise e ett e u ie da s u tat da s le uel il peut a o pli


une fonction requise (DIN EN13306,2010). Il est possible de distinguer parmi les oprations
de maintenance corrective :
o la maintenance palliative (ou maintenance corrective d'urgence) destine
permettre un matriel non critique d'accomplir provisoirement tout ou partie
d'une fonction requise (Procaccia et al.,2011). Elle correspond aux dpannages
provisoires.
o la maintenance curative (ou maintenance corrective diffre), qui vise "rtablir un
bien dans un tat spcifi ou lui permettre d'accomplir une fonction requise"
(Zwingelstein,1995). Le rsultat des activits doit prsenter un caractre permanent
et a pour objet de supprimer la (les) dfaillance(s).

Chaque type de maintenance correspond un optimum en vue d'atteindre un niveau de fiabilit et


de sret tout en minimisant les cots de maintenance (Zwingelstein,1996).
Page 17 sur 134

La maintenabilit peut tre directement value par :

la p o a ilit , ot e M t , uu e op atio do
e de ai te a e puisse t e effe tu e
pendant un intervalle de temps donn, lorsque la maintenance est assure dans des
o ditio s do
es et ave lutilisatio des p o du es et de o e s p es its.
la dure moyenne de rparation, note MTTR ( Mean Time To Repair en anglais),
le tau de
pa atio i sta ta , ot
t , do t la d fi itio est do
e pa
(Villemeur,1991):
(5)

Da s la p ati ue,

Attribut

t est al ul pa (Villemeur,1991):
(

Probabilit

Fiabilit

Taux instantan

(6)

Indicateurs temporels

Maintenabilit

Tableau 1 : Attributs de la sret de fonctionnement et mesures associes

1.1.4. La disponibilit
L'attribut combinant la fiabilit et la mai te a ilit est la dispo i ilit . La dispo i ilit , est laptitude
d'une entit tre en tat d'accomplir une fonction requise dans des conditions donnes, un
instant donn, en supposant que la fourniture des moyens ncessaires est assure (Villemeur,1991).
Elle peut tre mesure par :

la probabilit, note A(t), qu'une entit soit disponible l'instant t.


la du e o e e di dispo i ilit , ot e MDT Mean Down Time en anglais).

Pendant la dure moyenne d'indisponibilit (MDT), il est possible de distinguer deux grandes
activits : le diagnostic et la rparation (Figure 4). Lorsqu'une dfaillance se produit (t0), un certain
temps est ncessaire pour la dtecter (de t0 t1). Il s'coule ensuite des dlais techniques et
administratifs (de t1 t2 : e he he des pi es d ta h es, o sig atio des at iels ava t de
dbuter la rparation. A partir du temps t2, les oprations de maintenance sont ralises. L'entit est
finalement remise en service (de t3 t4). La MDT peut tre approxime par :
(7)

Page 18 sur 134

MDT
MTTF

MTTR

Dlai de
dcouverte de
la dfaillance

Dlais techniques
et administratifs

Remise en service

temps

t0 : apparition

t1 : dtection

t2 : dbut des

t3 : fin des

de la 1re
dfaillance

relle de la
dfaillance

interventions
techniques

interventions
techniques

t4

Figure 4 : Chanage temporel des activits de dtection et de remise en service, adapt de (Zwingelstein,1996).

La reprsentation du MTTR prsent Figure 4 est spcifique (Zwingelstein,1996). Dans d'autres


approches (Kumamoto,2007), la notion de MTTR comprend : 1) le temps pour dtecter la dfaillance,
2) les dlais techniques et administratifs, 3) le temps pour rparer l'entit, 4) le temps de remise en
service.
1.1.5. La scurit
La scurit est l'aptitude d'une entit viter de faire apparatre dans des conditions donnes, des
vnements critiques ou catastrophiques (Villemeur,1991). Dans le domaine des systmes
informatiques, la scurit a trois aspects (Laprie,1995):

la scurit-innocuit (en anglais safety-innocuity ), qui est lie la non-occurrence de


consquences catastrophiques pour l'environnement,
la scurit-confidentialit (en anglais safety-confidentiality ), qui est lie la nonoccurrence de divulgations non-autorises de l'information,
la scurit-intgrit (en anglais safety-integrity ), qui est lie la non-occurrence
d'altrations inappropries de l'information.

1.1.6. Liens entre attributs


Les attributs prsents ci-dessus sont dpendants et leurs effets sur la sret de fonctionnement
peuvent tre synthtiss par la Figure 5. Pour une entit (Ciame,2009) :

une mauvaise fiabilit peut conduire une mauvaise disponibilit ou une mauvaise scurit
(lors de nombreuses dfaillances),
une maintenabilit insuffisante (cas des systmes rparables) peut rduire la disponibilit et
la scurit,
les contraintes de scurit peuvent influer ngativement sur la disponibilit et inversement.
un systme peut tre fiable et maintenable sans tre scuritaire.

Page 19 sur 134

Figure 5 : Relations entre les attributs de la sret de fonctionnement (Ciame,2009).

1.1.7. Les moyens


Les objectifs de sret de fonctionnement sont atteints par trois moyens (Laprie,1995) :

L vite e t des fautes, ui passe pa la p ve tio des fautes puis l li i atio des fautes.
La tolrance aux fautes, qui permet de fournir un service mme de remplir les fonctions du
systme en dpit des fautes.
La p visio des fautes, eg oupe le se le des
thodes et te h i ues desti es
estimer la prsence, la cration et les consquences des fautes.

1.1.8. Les entraves


Les entraves la sret de fonctionnement sont dfinies comme les circonstances indsirables, mais
non attendues, causes ou rsultats de la non-sret de fonctionnement (Ciame, 2009). Il est
gnralement distingu :

la dfaillance, qui est un vnement dfini comme la cessation de l'aptitude d'une entit
accomplir une fonction requise (DIN EN13306, 2010),
la faute, ui est la ause suppos e du e e eu Ville eu ,
,
l'e eu , ui est la pa tie de l tat du s st e ui est sus epti le de t a e u e
dfaillance (Laprie, 1995). Lorsque l'erreur devient active, une dfaillance se produit.

1.2.Mathmatiques de la sret de fonctionnement


Les statistiques sont utilises en sret de fonctionnement. Des variables alatoires modlisent les
dfaillances et rparations des entits. Ces variables alatoires suivent des lois de probabilit.
1.2.1. Processus de dfaillance et processus de rparation
Les dfaillances et rparations d'une entit sont caractrises par des variables alatoires
(Kumamoto & Henley,1996) :

la dfaillance d'une entit est caractrise par une variable alatoire, qui reprsente la dure
de fonctionnement de cette entit.
la rparation d'une entit est caractrise par une variable alatoire, qui reprsente le temps
ncessaire pour rparer l'entit.

Les variables alatoires des dures de fonctionnement et de rparation suivent des lois de
probabilit. Les principales lois de probabilit utilises en sret de fonctionnement sont prsentes
ci-dessous.
Page 20 sur 134

1.2.2. Principales lois de probabilit


Parmi les lois de probabilit utilises en sret de fonctionnement, les lois de probabilit discrte ou
continue sont distingues (Tableau 2) :

les lois de probabilit discrtes sont utilises, par exemple, lorsqu'il s'agit de quantifier la
dfaillance la sollicitation (Lyonnet,2006), qui se produit lorsqu'une entit refuse de
changer d'tat lorsque cela lui est demand (Villemeur,1991).
les lois de probabilit continues sont associes aux variables alatoires continues, par
exemple, lorsqu'il s'agit de ua tifie la du e de o fo tio e e t du e e tit
(Villemeur,1991).

Type de variable
alatoire
Discrte

Continue

Nom de loi

Application

loi binomiale
loi de Poisson

dfaillance la sollicitation
dfaillance la sollicitation, lorsque le nombre d'expriences est
lev et quand l'esprance mathmatique de la variable alatoire
est constante
taux de dfaillance dcroissant, croissant ou constant
taux de dfaillance constant
incertitude lie des mesures, fabrication
donnes de maintenabilit et dfaillances dues la fatigue
trs gnrale

loi de Weibull
loi exponentielle
loi normale
loi Log-Normale
loi gamma

Tableau 2 : Principales lois de probabilit utilises en sret de fonctionnement

Les caractristiques dtailles, les tracs des ces lois de probabilit et des mthodes pour estimer les
paramtres de ces lois sont prsents en Annexe 1.

1.3.Mthodes usuelles en sret de fonctionnement


La littrature (IEC60300-3-1,2003)(Hoyland & Rausand,2004)(Kumamoto,2007)(Ciame,2009)
(Cauffriez et al.,2012) distingue un certain nombre de mthodes pour raliser une tude FMD. Une
mthode particulire peut tre choisie en fonction des buts de l'tude ou en fonction du type de
rsultats, qui peut tre quantitatif, qualitatif ou combiner les deux aspects (Tableau 3).

Page 21 sur 134

Mthode

Quantitative
/qualitative

Statique/
dynamique

Objectifs

Analyse Prliminaire des


Dangers

Qualitative

Statique

Identification a priori du risque

Analyse des Modes de


Dfaillance, de leurs effets et
de leur Criticit (AMDEC)

Qualitative

Statique

Evaluation des possibles consquences des


dfaillances

Arbre de Dfaillance

Qualitative/
quantitative

Statique

Evaluation des scnarios d'vnements

Bloc diagramme
de Fiabilit (BDF)

Qualitative/
quantitative

Statique

Construction d'un modle du systme bas sur


la fiabilit des composants

Arbre d'Evnements

Qualitative/
quantitative

Statique

Evaluation des possibles consquences d'un


vnement

Mthode du Diagramme
Cause Consquence

Qualitative/
quantitative

Statique

Analyse d'un vnement initiateur

Table de vrit

Qualitative

Statique

Analyse de toutes les combinaisons d'tat

Graphes de Markov

Qualitative/
quantitative

Dynamique

Identification de l'volution du systme dans


les tats bon fonctionnement, dgrad, panne

Rseaux de Petri

Qualitative/
quantitative

Dynamique

Identification de l'volution du systme dans


les tats bon fonctionnement, dgrad, panne

Fiabilit dynamique

Quantitative

Dynamique

Identification de l'volution du systme dans


les tats bon fonctionnement, dgrad, panne
pour les systmes hybrides

Rseaux Baysiens
dynamiques

Qualitative/
quantitative

Dynamique

Identification de l'volution du systme dans


les tats bon fonctionnement, dgrad, panne

Tableau 3 : Classification des principales mthodes dans le domaine de la sret de fonctionnement (Cauffriez et
al.,2012).

Les mthodes statiques se distinguent des mthodes dynamiques. Les mthodes statiques ne
prennent pas en compte l'volution du systme dans le temps (Cauffriez et al.,2012). Sept mthodes
statiques sont utilises (Tableau 3):
o

L'A al se p li i ai e des da ge s pe et dide tifie et value les da ge s i h e ts u


systme. Elle peut tre considre comme une tape prliminaire toute analyse de sret
de fonctionnement supplmentaire (Villemeur,1991).
L'Analyse des Modes de Dfaillance, de leurs Effets et de leur Criticit (AMDEC) vise
identifier les modes de dfaillance, les causes et les effets des dfaillances des composants
du systme (Villemeur,1991).
L'Arbre de Dfaillance (Lyonnet,2006) pe et de ep se te g aphi ue e t les auses du
vnement indsirable (c'est--dire une dfaillance redoute). Le processus dductif est
poursuivi jusqu' dterminer les vnements de base, auxquels il est possible d'associer une
probabilit (Pags & Gondran,1980).

Page 22 sur 134

o
o

La Mthode du Bloc Diagramme de Fiabilit conduit un diagramme logique reprsentant le


fonctionnement du systme, o chaque entit est modlise par un bloc. Le diagramme
obtenu permet de calculer la fiabilit d'un systme non rparable (Villemeur,1991).
L'Arbre d'Evnements est une mthode graphique inductive qui vise identifier et valuer
les consquences d'un vnement initiateur (i.e. une dfaillance) (Villemeur,1991).
La Mthode de la Table de Vrit consiste analyser systmatiquement les combinaisons
d'tats (bon fonctionnement ou panne) de chaque composant et des effets qui s'ensuivent.
Le rsultat est prsent sous forme de tableau, permettant d'exprimer l'tat du systme en
fonction de l'tat de ses composants, pour chaque combinaison d'tat des composants.

Les mthodes dynamiques intgrent l'volution dynamique du systme mais sont souvent limites
par le nombre d'tats (Cauffriez et al.,2012). Sont habituellement distingues (Tableau 3):
o

Les g aphes de Ma kov, ui sappli ue t aussi au s st es pa a les ou non rparables)


qui suivent un processus markovien homogne (Lyonnet,2006). Cette mthode permet
d'identifier les tats (bon fonctionnement ou panne) et les transitions entre les tats
recenss, puis les probabilits que le systme soit dans les diffrents tats.
La fiabilit dynamique, qui offre un cadre pour l'valuation des systmes hybrides, c'est-dire les systmes dont la suret de fonctionnement peut dpendre d'vnements alatoires
mais aussi de variables physiques (par exemple le niveau d'eau d'un rservoir) (Cabarbaye &
Laulheret,2005) (Broy et al.,2011). Les problmes de fiabilit dynamique ncessitent d'tre
rsolus par des techniques numriques. Cependant, des difficults peuvent tre rencontres,
car le nombre d'tats (et potentiellement le nombre de transitions) est important
(Barger,2003).
Les Rseaux Bayesiens dynamiques, qui permettent de calculer la fiabilit et la disponibilit
d'un systme aprs avoir tabli les liens de cause effet entre les vnements du systme
(Weber et.,2012). Deux approches existent : l'approche "time-sliced" et l'approche "event
based". L'approche "time-sliced" est trs gnrale. Elle est pilote par une analyse
dynamique et e d le R seau Ba sie plus o ple e, a les uds so t p t s pou
chaque intervalle de temps. L'approche "event based" ne traite que les systmes non
rparables, car cette approche admet que chaque vnement n'a lieu qu'une fois (Boudali &
Dugan,2005).

Dans la partie suivante sont rappeles les notions de base sur le diagnostic et les architectures du
diagnostic.

2. Diagnostic
La premire section rappelle des notions d'ordre gnral sur la surveillance et le diagnostic. La
deuxime section prsente les mthodes utilises pour le diagnostic. La troisime section prsente
les architectures de diagnostic habituelles, qui constituent le point de dpart de nos travaux de
recherche.

2.1.Surveillance, diagnostic et gestion de fautes


Les performances des systmes peuvent tre altres par l'occurrence de dfaillances soudaines ou
progressives, qui peuvent causer des dgts srieux au systme. Pour prvenir la dtrioration de ces
Page 23 sur 134

systmes, une solution consiste ajouter des systmes de diagnostic (Aubrun et al.,2008). Le
diagnostic est en fait compos de deux tches essentielles : la surveillance et le diagnostic
(Ribot,2009). Une fois que le diagnostic est ta li, la a tio app op i e est ise e uv e, e ui
correspond la gestion de la faute (Figure 6).
Contrleur

Gestion de la faute

Diagnostic

Surveillance

Capteurs
(C)

Sous-systme (S)

Actionneurs
(A)

Figure 6 : La dtection, le diagnostic et la gestion de fautes (adapt de Isermann,2006)

La surveillance

A de dterminer si un sous-systme remplit correctement ses objectifs, celui-ci est surveill de


a i e p ise laide de apteu s positio
s st at gi ue e t Figure 6). La fonction de
surveillance consiste alors dtecter le passage du sous-systme en fonctionnement anormal
(Agudelo et al.,2013). Elle rcupre les informations issues des capteurs et les transforme en
indicateurs de dfaillance illustrant le fonctionnement normal ou anormal du sous-systme.
Lorsqu'un indicateur franchit un seuil prdtermin, une alarme est dclenche (Ribot,2009).

Le diagnostic

L'o je tif du diag osti est d'ide tie la ause p o a le de la ou des d failla e s (NF
ISO13372,2005) (Feldman,2010), laide du aiso e e t logi ue fo d su u e se le
di fo atio s p ove a t du e i spe tio , du o t le ou du test (Zwingelstein,1995). Un des
objectifs du diagnostic est qu'il soit minimal (Aubrun et al.,2010), c'est--dire un diagnostic qui ne
contient pas d'autres diagnostics et qui est le plus petit possible en taille (Metodi et al.,2012).
Plusieurs mthodes pour diagnostiquer les fautes sont prsentes la section suivante
(Zwingelstein,1995) (Dubuisson,2001).

La gestion de fautes

En fonction du niveau de danger de la faute diagnostique sur le sous-systme, plusieurs types de


a tio s peuve t t e is e uv e Ise ann,2006):
1. L'exploitation sre ; ce qui signifie l'arrt en cas de danger imminent pour le
processus ou l'environnement.
2. L'exploitation fiable ; par exemple en "masquant" l'extension de la faute. Pour ce
faire, l'exploitation peut continuer, mais en baissant la charge ou la vitesse.
Page 24 sur 134

3. La reconfiguration ; en utilisant par exemple des composants redondants (capteurs,


a tio eu s pou ga de le p o essus sous o t le.
4. L'inspection ; qui consiste raliser un diagnostic dtaill par des mesures
additionnelles (sur le processus)
5. La rparation ; (instantanment ou ds que possible) afin d'liminer la faute.
Par la suite, nous qualifions de "non-intrusive" une raction ( la suite d'une faute) dont la mise en
uv e 'i pli ue au u e a tio su le p o essus. La action ( la suite d'une faute) est nonintrusive dans le sens o le processus n'est pas arrt ou dsactiv. L'inspection, telle qu'elle est
dfinie ci-dessus, entre dans ce cadre. Ce type de raction diffre d'autres types de ractions, o la
partie dfaillante peut tre arrte ou dsactive, lors de l'occurrence d'une faute (Amari et
al.,2008).

2.2.Mthodes de diagnostic
Le choix d'une mthode de diagnostic dpend surtout de la connaissance disponible sur le systme.
Les mthodes de diagnostic peuvent tre classes en trois catgories (Ribot,2009) : les mthodes
bases sur la connaissance, les mthodes bases sur le traitement de donnes et les mthodes
base de modle.

Les mthodes bases sur la connaissance reposent sur une connaissance explicite des
relations causales entre les symptmes, les dfaillances et les fautes. Cette connaissance est
acquise pendant la phase de conception du systme et peut provenir d'une analyse
fonctionnelle (Ribot,2009). Parmi ces mthodes, il est possible de distinguer les systmes
experts, l'analyse des modes de dfaillance et de leurs effets ou l'arbre de dfaillances
(Venkatasubramanian et al.,2003). A noter que ces deux dernires mthodes sont
empruntes au domaine de la sret de fonctionnement.
Les mthodes bases sur le traitement de donnes reposent uniquement sur les
informations issues des capteurs du systme. Ces mthodes font appel la reconnaissance
de formes, dont l'objectif est d'associer toute nouvelle donne une classe dtermine par
la mthode d'apprentissage (Dubuisson,2001).
Les mthodes base de modle reposent sur une connaissance physique profonde du
systme diagnostiquer. Le systme est reprsent sous forme de modles, reprsentant sa
structure et son comportement nominal. La mthode consiste ensuite comparer le
comportement rel (observ sur le systme physique) avec le comportement prdit ( l'aide
de modles) (Isermann,2006). Les deux principales approches sont :
o l'approche FDI (de l'anglais "Fault Detection and Isolation", issue de la communaut
automatique), qui utilise des modles quantitatifs (quations diffrentielles) pour
dcrire le systme (Aubrun et al.,2010).
o l'approche DX (issue de la communaut de l'intelligence artificielle (Cordier et
al.,2004)), qui est fonde sur une thorie logique du diagnostic. Cette approche
utilise des modles qualitatifs pour reprsenter les interactions entre composants du
systme (Calderon Espinoza,2003).

Dans la pratique, les fonctions de dtection, de diagnostic et de gestion de la faute peuvent tre
ralises automatiquement par un contrleur (Figure 6). De mme, un systme de diagnostic peut
tre implment en plusieurs types d'architectures, qu'il convient de prsenter.
Page 25 sur 134

2.3.Architectures de diagnostic
Par la suite, nous utiliserons le terme "architecture" pour faire rfrence un ensemble fini de
systmes en interaction. De mme, le terme "architecture de diagnostic" fait rfrence un
processus en interaction avec des systmes de diagnostic. La littrature distingue diffrents types
da hite tu es de diag osti Hallg e & kog,
Dieva t,
Koutsoukos et al.,
. Da s
ces types d'architecture, les notions de "diagnostic local" et de "diagnostic global" sont utilises.
2.3.1. Diagnostic local et diagnostic global
Deux notions doivent tre dfinies avant de prsenter les diffrents types d'architecture :

Le diagnostic local, qui est associ un sous-systme. Le diagnostic local est principalement
bas sur des observations (par exemple, les informations des capteurs) du sous-systme (Su
et al.,2002) et ventuellement un modle, lorsqu'une mthode base de modles est
utilise.
Le diagnostic global, qui est un diagnostic pour le processus complet (c'est--dire le
processus soumis au diagnostic). Le diagnostic global est tabli partir des diagnostics locaux
(Biteus et al.,2011).

Ces notions de diagnostic local et de diagnostic global permettent d'expliquer le fonctionnement des
architectures de diagnostic.
2.3.2. Architecture centralise
Dans le cas d'une architecture centralise (Figure 7), un seul diagnostic global dispose d'une vue
globale sur le processus (Dievart,2010), partitionn en sous-systmes, nots Si. Il ralise un diagnostic
global partir des donnes de tous les capteurs (et ventuellement des actionneurs). Cette
architecture a plusieurs dfauts (Dievart,2010):
o
o

la vitesse de rponse, qui diminue lorsque la taille du systme augmente,


le systme est peu robuste, car il est sensible aux fautes du diagnostic global.

Page 26 sur 134

Diagnostic global

interactions entre les


sous-systmes

processus
Lgende

Si : sous-systme i
A : actionneurs
C : capteurs

ui : commande applique S i
yi : mesure de Si

Figure 7 : Architecture de diagnostic centralise, adapt de (Menighed,2010)

Dans la pratique, l'architecture centralise peut tre implmente sous forme hirarchique. Il s'agit
alors d'une architecture centralise hierarchise.
L'approche centralise hirarchise (Figure 8) est compose de plusieurs niveaux (Koutsoukos et
al.,2010). Les diagnostics locaux lisent les donnes des capteurs (et ventuellement des actionneurs)
provenant des sous-systmes Si, ralisent un diagnostic et calculent des indicateurs. Le
partitionnement des diagnostics peut tre ralis suivant une dcomposition spatiale ou suivant une
dcomposition smantique (Roos et al.,2003). Une tche principale consiste ensuite raliser un
diagnostic global partir des diagnostics locaux et de rsoudre les ambiguts.

Page 27 sur 134

Hirarchisation

Diagnostic
global

Diagnostic
local 2

Diagnostic
local 1

Diagnostic
local 3

Diagnostic
local N

interactions entre les


sous-systmes

processus
Lgende

Si : sous-systme i
A : actionneurs
C : capteurs

ui : commande applique S i
yi : mesure de Si

Figure 8 : Architecture de diagnostic centralise hirarchise, adapt de (Menighed,2010)

Cette approche a plusieurs inconvnients (Dievart,2010):


o
o

Le partage des informations entre diagnostic de mme niveau cre des problmes.
Le p o l e d volutivit : pour effectuer des modifications de structure, il faut " refondre
tout le systme et mettre jour les structures de plus haut niveau dans larchitecture "
(Dievart,2010).

L'architecture distribue a t propose pour contourner les inconvnients des approches


centralises.
2.3.3. Architecture distribue
L'architecture distribue (Figure 9) se base sur un ensemble de diagnostic locaux (Su et al.,2002).
Chaque sous-systme Si a son diagnostic local, qui lui est ddi. Chaque diagnostic local est connect
aux autres diagnostics locaux par un rseau de communication. Le diagnostic local est principalement
bas sur ses observations locales et la communication n'est utilise que pour affiner le diagnostic. Le
diagnostic global est distribu et est tabli partir des diagnostics locaux (Biteus et al.,2011).

Page 28 sur 134

Rseau de communication
Diagnostic
global
distribu
Diagnostic
local 1

Diagnostic
local 2

Diagnostic
local 3

Diagnostic
local N

interactions entre les


sous-systmes

processus
Lgende

Si : sous-systme i
A : actionneurs
C : capteurs

ui : commande applique S i
yi : mesure de Si

Figure 9 : Architecture de diagnostic distribue, adapt de (Menighed,2010)

Cette architecture a t imagine pour contourner les difficults lies l'architecture hirarchise
mais pose une nouvelle problmatique, lie la prsence d'un rseau de communication.
2.3.4. Problmatique de conception d'architectures de diagnostic distribu
La problmatique de conception d'architectures de diagnostic distribu est similaire celle trouve
dans d'autres domaines comme les systmes d'automatisation intelligence distribue
(Barger,2
. Les s st es d'auto atisatio i tellige e dist i u e ette t e uv e des
capteurs dits "intelligents"; la notion d'intelligence faisant rfrence une architecture matrielle,
qui repose sur (Ciame,2009) :
o
o
o

des moyens de traitement permettant la ralisation des fonctions attendues,


des moyens de mmorisation pour les informations de conduite, de maintenance, de gestion
technique,
des moyens de communication avec l'ensemble du systme d'automatisation, pour assurer
la diffusion des informations labores localement et recevoir les donnes utiles ses
actions (provenant d'un oprateur ou d'autres composants par exemple).

Les bnfices attendus des capteurs intelligents par rapport aux systmes traditionnels avec une
connexion cble point point sont : la rduction du cblage (Claesson,2002), la correction d'erreur
de mesure (Smith & Bowen,1995), l'autodiagnostic et validation de la mesure (Staroswiecki,2005), la
reconfiguration en ligne... La connexion un rseau de communication permet galement plus de
flexibilit pour la maintenance (Aubrun et al.,2008). Un technicien se connectant au rseau peut
rapidement observer l'tat de l'ensemble des capteurs/actionneurs connects.

Page 29 sur 134

Cependant, l'aspect innovant de la conception, l'utilisation des nouvelles technologies (capteurs


intelligents) et l'utilisation d'un systme de communication rendent l'architecture plus complexe
(Ciame,2009)(Brissaud et al.,2010). Or, la complexit est synonyme de faiblesse (Nicolet et al.,1990).
(Laprie,1995) prcise qu'il existe une corrlation entre la complexit d'un produit et le nombre de
fautes. Les objectifs de sret de fonctionnement sont donc plus difficiles atteindre et la
dmonstration de sret de fonctionnement est plus complexe (Cauffriez et al. 2004) (Brissaud et
al.,2010). Trois facteurs, qui influent sur la complexit, peuvent tre identifis dans une architecture
de diagnostic distribu (Benard et al.,2008):

complexit de taille : une architecture de diagnostic distribu est compose de nombreux


lments : sous-systmes, capteurs, actionneurs, contrleurs (pour le diagnostic) et rseau
de communication. Plus le nombre de composants augmente (la taille augmente), plus la
complexit de l'architecture augmente.
complexit stochastique : le fonctionnement et le dysfonctionnement des composants de
l'architecture de diagnostic distribu est caractris par des variables alatoires ; le
comportement rsultant (le comportement stochastique de l'architecture de diagnostic
distribu) est difficile analyser
complexit fonctionnelle : l'architecture de diagnostic utilise de nombreuses fonctions ;
toutes les fonctions ne sont pas identiques et certaines sont rtromettantes.

D'un point de vue sret de fonctionnement, il est ncessaire d'insister sur la prsence du rseau de
communication. En effet, (Ghostine et al.,2006) (Koutsoukos et al.,2010) (Thiriet,2004) soulignent
que le rseau ne doit pas seulement tre considr comme un sous systme individuel mais comme
un lment central, dont la dfaillance peut affecter la mission globale du systme. Un rseau de
communication est un systme part entire, caractris par des modes de dfaillances qui lui sont
propres (Papadopoulos et al.,2006). D'autant plus que les rseaux de communication peuvent
fonctionner dans un e vi o e e t e t
e poussi e, vi atio s, te p atu e Wahl, et al.,
.2010) (FprEN50159,2010). Pour ces raisons, les rseaux de communication doivent tre pris en
compte. Les travaux de la littrature sur ces diffrents lments vont maintenant tre prsents.

3. Travaux sur l'valuation de FMD des architectures de diagnostic


Les travaux existants sur l'valuation de FMD d'architectures de diagnostic, peuvent tre diviss en
deux catgories :

d'une part, les travaux sur l'valuation FMD de systmes distribus, appliqus plusieurs
domaines, dont le diagnostic,
d'autre part, des travaux sur l'valuation de FMD du diagnostic.

Les travaux recenss vont maintenant tre prsents.

3.1.Travaux sur l'valuation de FMD des systmes distribus


Un rseau de communication prsente plusieurs modes de dfaillance (Papadopoulos et al.,2006)
(FprEN50159,2010). Pour modliser les modes de dfaillances, deux grandes approches existent dans
la littrature des systmes distribus (Barger,2003) :

Page 30 sur 134

1
2

les approches systmes, qui tablissent le modle complet du systme distribu y compris
le rseau de communication,
les approches centres rseau, qui ne modlisent que le rseau de communication.

Cette section commence par dtailler les approches systmes, puis introduit les approches centres
rseau.
3.1.1. Approches systmes
Dans (Vannier & Dersin,2006), les auteurs proposent un modle pour l'valuation de FMD de
l'architecture distribue d'un systme de signalisation, utilisant des rseaux de communication
cbls et des rseaux de communication sans fil. L'tude se dcompose en deux parties. Une tude
qualitative par AMDEC est d'abord ralise afin de comprendre les tats de marche et de panne du
systme et d'analyser les modes de dfaillance et leurs effets. Une tude quantitative est ensuite
ralise en deux tapes. Les taux de dfaillance du rseau de communication sont estims partir de
l'architecture du systme, qui est modlise sous forme de bloc diagrammes de fiabilit. Puis, une
modlisation par graphes de Markov est ralise pour valuer la disponibilit du rseau de
communication.
(Galdun et al.,2008) valuent plusieurs architectures distribues de commande d'un mini-hlicoptre
command en rseau. Les auteurs tudient l'influence de la fiabilit de composants en redondance
partage sur la fiabilit du systme tudi. Ce type de redondance, qui diffre des types de
redondances classiques (redondance active, redondance passive), est caractris par des composants
qui ne sont pas redondants (dans un premier temps), mais qui sont capables de changer de mission
en cas d'urgence (Wysocki et al.,2004). Lorsqu'un composant dfaillant ralise plusieurs missions, le
temps d'xcution s'allonge et provoque un retard, qui peut dstabiliser le systme. En supposant
que le retard peut tre compens, le composant ne dfaille pas immdiatement mais la fiabilit est
rduite et modlise par un facteur de rduction. Les architectures redondantes sont modlises par
Rseaux de Petri. La simulation de Monte Carlo permet d'obtenir et de comparer la fiabilit
instantanne de chaque architecture.
(Aza-Vallina et al.,2011) prsente une nouvelle mthode pour obtenir l'expression analytique de la
fia ilit de t a s issio de do
es e t e deu uds apteu s, a tio eu s, o t leu s d'u
systme en rseau. Les composants sont supposs pouvoir dfaillir de plusieurs manires :
bavardage intempestif, dfaillance silencieuse (de l'anglais "fail-silent") et dfaillance se propageant
au uds adja e ts. L'e p essio a al ti ue de la fia ilit de ha ue ud est d'abord obtenue en
modlisant les modes de dfaillance retenus par graphes de markov. La fiabilit de la transmission
est e suite e p i e e a al sa t les o i aiso s des tats de tous les o posa ts uds et
liens) et en ne retenant que les combinaisons d'tats permis. L'originalit de cette approche est de
prendre en compte les dfaillances de propagation, o la dfaillance d'un composant peut empcher
les composants adjacents de communiquer, mme si l'autre n'est pas dfaillant.
(Claesson,2002) vise la conception d'un systme de commande distribu. Pour ce faire, plusieurs
architectures (centralises, dcentralises, distribues) sont choisies. Le rseau de communication
est suppos tre un rseau de diffusion. Les changes d'information sont chiffrs, afin de connatre la
bande passante ncessaire dans le pire des cas pour raliser la fonction critique. La modlisation par
g aphes de Ma kov pe et alo s d'o te i l'e p essio a al ti ue de la fia ilit des uds
o ple es pa e e ple les uds e redondance active). L'expression de la fiabilit d'une
Page 31 sur 134

architecture est ensuite obtenue en ralisant des combinaisons sries/parallle. Le taux de


dfaillance du bus est quantifi partir du taux de dfaillance des connecteurs.

3.1.2. Approches centres rseau


(Barger,2003) tudie les systmes rseaux, composs de capteurs et actionneurs intelligents
organiss autour d'un rseau de communication. Chaque composant est modlis en Rseaux de
Petri colors avec un grand niveau de dtail (algorithme de commande du rgulateur, tampons
d' issio su le seau . E so tie, le od le p opos pe et d'o te i pa si ulatio la fia ilit
ainsi que les variables continues du processus (par exemple, le niveau d'eau d'un rservoir). La
dmarche permet galement d'estimer " le taux de dfaillance du systme global sous les conditions
que les modes de fonctionnement et des taux de dfaillance des composants soient connus a
priori " (Barger,2003).
Dans (Navet et al.,2000), les auteurs prennent en compte les erreurs de transmission pour la
conception de systmes embarqus distribus. Le concept de " probabilit de pire temps de rponse
des messages ", not WCDFP (de l'anglais " worst-case deadline failure probability ") est tudi sur
un rseau CAN. Le WCDFP est en fait un indicateur de sret de fonctionnement, qui peut aider le
concepteur fixer les priodes et priorits des messages. Pour valuer le WCDFP, une mthode est
propose pour identifier le seuil sous lequel le temps de rponse du pire cas est satisfait. De plus un
modle d'erreur flexible, suivant un processus gnralis de Poisson est propos.
(Zimmermann & Hommel,2005) tudie un systme de tlcommunication ferroviaire, compos
d'quipements fixes (au sol) et d'quipements mobiles ( bord du train). Un modle comportemental
du systme de tlcommunication, bas sur les Rseaux de Petri stochastiques, est d'abord propos.
Celui-ci se concentre sur les erreurs de transmission, les pertes de connexion et les transferts
intercellulaires. Le modle est ensuite simplifi par le biais d'une analyse numrique. Enfin, celui-ci
est intgr un modle d'change d'informations avec le sol. En sortie, les rsultats du modle
illustrent l'influence de la fiabilit du systme de communication sur l'exploitation du train.
Pour le domaine spcifique du ferroviaire, la norme (FprEN50159,2010) spcifie les exigences pour
les systmes de communication pour la scurit entre des systmes de scurit pour obtenir le
niveau de SIL requis. La norme propose un modle binaire pour un systme de transmission de
donnes, base de graphe de Markov. Trois modes de dfaillances sont modliss : la dfaillance du
matriel de transmission, l'erreur bit et l'occurrence d'une faute sur le code de scurit.

3.2.Travaux sur l'valuation de FMD du diagnostic


Les travaux de la littrature sur l'valuation FMD du diagnostic vont maintenant tre prsents. La
premire sous-section prsente les modes de dfaillance d'un systme de diagnostic, tandis que la
seconde sous-section prsente l'utilisation de ces modes de dfaillance dans la littrature.
3.2.1. Modes de dfaillance d'un systme de diagnostic
Les systmes de diagnostic peuvent tre caractriss par plusieurs proprits, telles que :

la dtectabilit (Nyberg,2002), qui caractrise, dans le cas de l'approche FDI, la possibilit de


concevoir un gnrateur de rsidus sensible une dfaillance dcouple des perturbations.

Page 32 sur 134

la robustesse (Patton,1997), dont l'objectif est de maximiser la dtectabilit tout en


minimisant les effets des incertitudes et des perturbations lors de la ralisation du
diagnostic.

D'un point de vue sret de fonctionnement, ces proprits sont habituellement tudies par
l'intermdiaire de deux modes de dfaillance (Kumamoto,2007):

la fausse alarme (de l'anglais "false alarm"): le systme de diagnostic gnre une alarme ou
un diagnostic alors que le processus est dans l'tat de bon fonctionnement
l'absence d'alarme (de l'anglais "inactive alarm") : le systme de diagnostic ne gnre pas
d'alarme ni de diagnostic alors que le processus est dans l'tat de panne.

En fonction des hypothses de l'tude FMD, l'occurrence de ces vnements peut conduire l'tat
de panne ou de fonctionnement dgrad du systme de diagnostic lui-mme, ou du systme de
diagnostic ainsi que du processus.
3.2.2. Travaux sur l'valuation de FMD du diagnostic
(Dersin & Pronne,2007) tudie l'influence de la testabilit sur la fiabilit de systmes en redondance
active. Pour ce faire, les systmes redondants sont modliss par graphes de Markov, ce qui permet
d'obtenir l'expression asymptotique de la fiabilit en fonction de la couverture du diagnostic. Une
comparaison de politiques de maintenance est finalement propose partir de la fiabilit atteinte et
du cot global.
Dans (Volovoi,2012), un composant un mode de dfaillance est coupl un systme de diagnostic.
Les fausses alarmes et l'absence de dtection sont modliss par des tats part entire dans un
graphe de Markov. Pour plus de flexibilit, une seconde modlisation base de Rseaux de Petri
colors est ensuite ralise. Plusieurs alternatives sont compares grce aux rsultats en sortie :
nombre de dfaillances, nombre de rparations et cot.
(Myers & Rauzy,2008) tudient la couverture, c'est--dire la capacit d'un systme isoler et
confiner les dfaillances des systmes redondants. L'expression analytique de la couverture est
exprime dans le cas de systmes m parmi n. L'expression est ensuite implmente dans des arbres
de dcision binaire. Au final, la dfiabilit est calcule sur un cas industriel.

3.3.Synthse
La revue des travaux raliss sur les systmes distribus et les systmes de diagnostic a permis
d'observer que :

les systmes de diagnostic sont des systmes dynamiques et des systmes tats. Un
systme de diagnostic peut voluer dans des tats de bon fonctionnement, de dfaillance
dtecte ou de dfaillance non dtecte. De mme, il peut tre rpar aprs une dfaillance.
les architectures de diagnostic hirarchis et les architectures de diagnostic distribu
mettent en vidence couples (
"sous-systme et systme de diagnostic local" qui
peuvent tre soit dpendants, soit indpendants.
pour des raisons conomiques ou techniques, les n couples du systme distribu peuvent
tre amens partager des ressources communes (rseau de communication, quipe de
pa ateu s, al ulateu e t al, ase de do
es (Herzog,2002).
Page 33 sur 134

Les mthodes de sret de fonctionnement utilises pour valuer la FMD des systmes sous
diagnostic et les systmes d'automatisation intelligence distribue sont essentiellement
des mthodes dynamiques : les chanes de Markov ou les Rseaux de Petri.

Conclusion
Ce chapitre a d'abord permis de prsenter la FMD, qui fait partie de la sret de fonctionnement, et
les mthodes de la littrature pour raliser une valuation FMD. Les notions de base sur le diagnostic
et les architectures de diagnostic, qui constituent un point de dpart de cette thse, ont ensuite t
rappeles. Enfin, quelques travaux sur l'valuation des architectures de diagnostic ont t prsents.
Les travaux recenss peuvent tre classs en deux catgories : les travaux sur le diagnostic d'une part
et les travaux sur les systmes distribus d'autre part.
Maintenant que les principales notions thoriques ont t abordes, le chapitre suivant dtaille la
problmatique de thse.

Page 34 sur 134

Chapitr
: Optimisation d la
maintnanc par l'amlioration du
diagnostic

INTRODUCTION ............................................................................................................................... 36
1. CONTEXTE GENERAL ET OBJECTIFS ................................................................................................. 36
2. PRESENTATION DES ARCHITECTURES DANS LE TRANSPORT FERROVIAIRE .................................................. 38
2.1. L'ARCHITECTURE RCD (" REMOTE CENTRALIZED DIAGNOSIS ") ................................................................ 40
2.2. L'ARCHITECTURE EDCD (" EMBEDDED DECENTRALIZED & COOPERATIVE DIAGNOSIS ") ............................... 41
3. SITUATION ACTUELLE, LIMITES ET SOLUTIONS ENVISAGEES................................................................... 41
3.1. PRESENTATION DES PARTENAIRES ........................................................................................................ 42
3.1.1. BOMBARDIER Transport ........................................................................................................... 42
3.1.2. Prosyst....................................................................................................................................... 42
3.1.3. TEMPO ...................................................................................................................................... 42
3.2. SITUATION ACTUELLE ET LIMITES ......................................................................................................... 43
3.3. SOLUTIONS APPORTEES PAR LE PROJET FUI SURFER .............................................................................. 44
3.3.1. Diagnostic correctif et approche automatique par le modle ................................................. 44
3.3.2. Enrichissement des diagnostics par l'utilisation d'entits intelligentes cooprantes .............. 45
3.3.3. Diagnostic prdictif et maintenance conditionnelle ................................................................. 46
3.3.4. Optimisation de la maintenance ............................................................................................... 46
4. PRESENTATION DE LA PROBLEMATIQUE DE THESE .............................................................................. 47
5. VERROUS SCIENTIFIQUES LIES AUX SYSTEMES DISTRIBUES, AU DIAGNOSTIC ET A LA SURETE DE FONCTIONNEMENT
48
5.1. SYSTEMES DISTRIBUES ....................................................................................................................... 48
5.1.1. Qualit de service ..................................................................................................................... 48
5.1.2. Menaces et dfenses ................................................................................................................ 49
5.1.3. Conflit d'objectifs : objectif global vs. objectifs locaux ............................................................. 49
5.2. DIAGNOSTIC .................................................................................................................................... 50
5.2.1. Notion de diagnostic local "bas niveau" ................................................................................... 50
5.2.2. Notion de diagnostic local "haut niveau" ................................................................................. 50
5.3. SURETE DE FONCTIONNEMENT ............................................................................................................ 50
5.4. SYNTHESE ET CARACTERISATION DE LA COMPLEXITE DES ARCHITECTURES DE DIAGNOSTIC .............................. 51
CONCLUSION.................................................................................................................................. 53

Page 35 sur 134

Chapitre 2 : Optimisation de la
maintenance par l'amlioration du
diagnostic
Introduction
Le premier chapitre a permis de prsenter les notions de base en sret de fonctionnement, les
architectures de diagnostic de la littrature et quelques travaux raliss sur les architectures de
diagnostic. La partie 1 introduit le contexte gnral et les objectifs de cette thse, savoir
l'valuation d'architectures de diagnostic dans le transport ferroviaire. La partie 2 prsente les
architectures de diagnostic existantes dans le transport ferroviaire. La partie 3 prsente, dans le
contexte des architectures de diagnostic pour le transport ferroviaire, la situation actuelle et ses
limites ainsi que les solutions envisages. La partie 4 dtaille la problmatique d'valuation
d'architectures de diagnostic dans le transport ferroviaire. Enfin, la partie 5 prsente les verrous
scientifiques identifis en termes de systmes distribus, de diagnostic et de sret de
fonctionnement.

1. Contexte gnral et objectifs


Dans le transport ferroviaire, le cot global de possession du matriel roulant constitue un facteur de
comptitivit important (CCE,2004). En effet, la mise en concurrence pousse de plus en plus les
exploitants vouloir acqurir des matriels roulants en prenant en compte le cot global de
possession LCC (de l'anglais Life Cycle Cost ), incluant le cot de maintenance pendant la vie du
matriel roulant (Schweiger,2009). A ce titre, il existe une demande forte en maintenance plus
efficace et moins coteuse, au lieu du modle historique de maintenance prventive organise sur le
territoire national.
Les constructeurs de matriel ferroviaire sont concerns en premier lieu par ces fortes exigences sur
l'optimisation de la maintenance. Pour le constructeur de matriel ferroviaire, la spcification, la
conception et le dveloppement de systmes de transport de plus en plus complexe prenant en
compte ces exigences, est un dfi. En effet, la conception d'un train doit prendre en compte les
spcifications fonctionnelles tout en rduisant le LCC (Dersin,2009) mais aussi les exigences de FMD
(Fiabilit, Maintenabilit, Disponibilit). Pour optimiser la maintenance, une approche consiste
amliorer le diagnostic (Marquez et al.,2008)(Utne et al.,2012). Dans ce cadre, Bombardier Transport
conduit actuellement plusieurs projets de recherche (Cauffriez et al.,2013)(Bombardier,2010)
(Gandibleux et al.,2011). Cette thse est ralise dans le cadre du projet SURFER (pour SURveillance
active FERroviaire) financ par le FUI (Fonds Unique Interministriel), qui vise le dveloppement
d'une architecture de diagnostic efficace (ISO13374-1,2003) pour optimiser la maintenance. Un train
est considr comme un systme complexe, compos d'un ensemble de systmes en interaction,
appel s "s st es l e tai es" pa e e ple, les po tes, les f ei s . L'o je tif de URFER, o duit
par Bombardier Transport, est de dvelopper quatre points relatifs :

Page 36 sur 134

Lors de dfaillances progressives, le diagnostic prdictif doit permettre d'anticiper les


dfaillances sur les systmes lmentaires pouvant affecter la mission du train, permettant
aux quipes de maintenance de prparer une intervention anticipe.
Lors de dfaillances avres sur les systmes lmentaires, le diagnostic curatif doit
permettre de mieux les localiser gographiquement et temporellement, permettant de
diminuer le temps d'immobilisation ou d'intervention.
La surveillance continue et la traabilit des vnements (dfaillances bnignes, dfaillances
g aves, pa atio s doit pe ett e de o pta ilise les tats du s st e l e tai e su
le long terme. Ces donnes doivent alimenter les bases de retour d'exprience afin de
consolider les futurs modles de fiabilit prvisionnelle.
Le retour d'exprience doit permettre d'obtenir les lois de dgradation des composants des
systmes lmentaires, afin d'optimiser dynamiquement les plans de maintenance en
prenant en compte l'tat du systme lmentaire, pour une flotte entire.

Le dveloppement de cette nouvelle architecture de diagnostic offre de nouvelles possibilits mais


engendre cependant de nouvelles contraintes notamment en matire de sret de fonctionnement.
La complexit i duite pa li t g atio des s st es i tellige ts e d diffi ile la ua tifi atio du
niveau de sret de fonctionnement.
Selon le principe GAMAB (Globalement Au Moins Aussi Bon) prsent en introduction, l'architecture
de diagnostic dveloppe doit tre non-intrusive. Cette exigence de non-intrusivit du systme de
diagnostic se justifie par la dfaillance en exploitation de ce dernier, dont l'occurrence peut conduire
des vnements redouts de gravit significative. L'occurrence d'une dfaillance sur un train
retarde dans sa mission non seulement le train dfaillant (desserte des stations) mais propage
galement un retard sur tous les trains suivants de la ligne Co a , DA ia o, & Ha se ,2012). De
plus, l'augmentation du trafic voyageur en Europe ces dernires annes (ATOC,2007)(Eurostat,2010)
et une possible saturation des lignes, oblige les exploitants de matriel roulant atteindre un niveau
de disponibilit toujours plus lev. Pour ces raisons, la conception d'une nouvelle architecture de
diagnostic est un dfi. Ceci a conduit cette thse, qui vise s'assurer que la nouvelle architecture
de diagnostic est globalement au moins aussi bonne que l'architecture existante. Cette thse se situe
l'intersection de trois domaines (Figure 10): la sret de fonctionnement, le diagnostic et les
systmes distribus.

Problmatique
de thse

Sret de
fonctionnement

Systmes
distribus

Diagnostic

Figure 10 : Problmatique de thse, situe l'intersection de la sret de fonctionnement, du diagnostic et des systmes
distribus

Page 37 sur 134

Il s'agit donc d'apporter des solutions nouvelles de diagnostic et de maintenance. Le diagnostic


prdictif, le diagnostic curatif et un meilleur retour d'exprience doivent permettre au constructeur
d'atteindre plus facilement les objectifs de disponibilit. Ces objectifs de disponibilit conditionnent
la sortie de la priode de garantie, pendant laquelle l'occurrence d'une dfaillance sur un train en
exploitation est habituellement lie des pnalits financires (Umiliacchi et al.,2011). A noter que
les cots de maintenance corrective sont la charge du constructeur durant la priode de garantie.
D'autre part, l'optimisation dynamique du plan de maintenance permet l'exploitant d'optimiser le
cot de maintenance et donc d'optimiser le LCC.
Un tat de l'art des architectures de diagnostic est prsent, afin de bien situer la situation actuelle,
ses limites et les solutions apportes par le projet FUI SURFER.

2. Prsentation des architectures dans le transport ferroviaire


De nombreux brevets attestent de l'attrait pour industrie sur les sujets de diagnostic et
d'optimisation de maintenance (Wesling et al.,1993) (Worcester,2003) (Smedley & Steijger,2004)
(Whittaker,2009)(Fries et al.,2009).
Cependant, plusieurs difficults peuvent tre rencontres lors de l'application de la maintenance
conditionnelle sur un systme de transport, comme un vhicule ferroviaire. Deux approches
fondamentales peuvent tre distingues (Bengtsson,2002) (Alanen et al.,2006):

le diagnostic dbarqu : cette approche consiste collecter les donnes en temps rel dans
le vhicule et raliser le diagnostic dans un centre de maintenance distant.
le diag osti e a u : la al se des do
es et le diag osti so t e a u s et seule u e
information de plus haut niveau quitte le vhicule.

Chaque approche est plus ou moins performante en termes de classification, ractivit et robustesse.
D'un point de vue fonctionnel, ces diffrentes architectures peuvent tre classes sur trois axes
(embarquabilit, type d'architecture (centralis e, d e t alis e , organisation) (Le Mortellec et
al.,2013). Il est possible de distinguer :

le diagnostic distant centralis (Figure 11a), not RCD (de l'anglais "Remote Centralized
Diagnosis"), o un diagnostic global est dbarqu au centre de maintenance,
le diagnostic embarqu centralis (Figure 11b), o un diagnostic global est embarqu dans le
train et envoie un diagnostic global au centre de maintenance,
le diagnostic embarqu dcentralis (Figure 11c), qui repose sur des diagnostics locaux
embarqus assigns chaque systme lmentaire et un diagnostic global dbarqu au
centre de maintenance, qui ralise la synthse des diagnostics locaux gnrs,
le diagnostic embarqu distribu cooprant (Figure 11d), not EDCD (de l'anglais "Embedded
Decentralized and Cooperative Diagnosis"), qui repose sur des diagnostics locaux et un
diagnostic global embarqus dans le train ; ceux-ci s'changent des informations pendant la
ralisation du diagnostic. Enfin, le rsultat du diagnostic global est envoy au centre de
maintenance.

Page 38 sur 134

Maintenance Center

Off-board diagnosis

Diagnosis

Raw data
(status, fault codes)

Off-board capabilities

Embedded subsystem

Diagnosis process
Local diagnoser

On-board capabilities

Raw data (from subsytems)


Diagnosis information
Maintenance information

Complex Moving System

On-board diagnosis

(a) Remote Centralized Diagnosis

Maintenance Center
Diagnosis information
(entire system)

Off-board capabilities

Maintenance Center

Maintenance Center
Local diagnosis
(subsystem)

On-board capabilities

Diagnosis information
(entire system)
Cooperative area

Diagnosis
Raw data

Complex Moving System


(b) Embedded Centralized Diagnosis

Complex Moving System

Complex Moving System

(c) Embedded Decentralized Diagnosis

(d) Embedded Distributed


& Cooperative Diagnosis

Figure 11 : Classification des architectures de diagnostic dans le transport ferroviaire

Par la suite, seules les architectures RCD et EDCD vont tre abordes. Ce choix est motiv par les
observations suivantes :

L'architecture RCD est habituellement utilise dans les systmes de transport complexes
(Umiliacchi et al,2011). L'architecture EDCD est actuellement tudie et fait l'objet du projet
FUI SURFER (Le Mortellec et al,2013) (Gandibleux et al.,2011).
RCD et EDCD constituent deux extrmes : RCD est une architecture centralise o le
diagnostic est dbarqu, tandis que EDCD est une architecture distribue o tous les
diagnostics sont embarqus.

Les architectures RCD et EDCD sont maintenant dtailles tant sur les aspects fonctionnels que
matriels. Pour ce faire, la Figure 12 sert de support et permet d'introduire la notation.

Page 39 sur 134

RCD

EDCD

Centre de maintenance

Centre de maintenance

Systme de validation de la cohrence


S_GD

Systme de validation de la cohrence

S_TWN

S_TWN
S_GD

S_EDN
S_D1

S_D2

S_Dn

S_D1*

S_D2 *

S_Dn *

S_E1

S_E2

S_En

S_E1

S_E2

S_En

a)

b)

S_Ei : systme lmentaire i


S_Di : systme de diagnostic local bas niveau de S_Ei
S_Di* : systme de diagnostic local haut niveau de S_Ei
S_TWN : rseau de communication bord sol
S_GD : systme de diagnostic global
S_EDN : rseau de diagnostic embarqu

Donnes brutes et alarmes


Diagnostic
Acquisition

Figure 12 : Dtail sur les architectures RCD et EDCD dans le transport ferroviaire

2.1.L'architecture RCD (" Remote Centralized Diagnosis ")


Dans l'architecture RCD (Figure 12a), un systme de diagnostic "bas niveau" (voir sous-section 5.2.1),
not S_Di, gnre des alarmes. Cette fonction correspond la fonction surveillance (voir chapitre 1).
Chaque S_Di obtient les donnes brutes des systmes lmentaires (par exemple grce des
capteurs). Les donnes brutes et les alarmes sont ensuite transmises par le S_Di au centre de
maintenance distant. Un rseau de communication bord sol, not S_TWN (de l'anglais "Train to
Wayside communication Network"), ralise la transmission de donnes. Au sol, un systme de
diagnostic global, not S_GD (de l'anglais "Global Diagnosis"), est responsable du traitement des
donnes brutes obtenues. Ce dernier est l'entre d'un systme de validation de la cohrence, bas
sur un oprateur humain, qui valide les alarmes et vrifie la cohrence des alarmes avec le contexte
environnemental. Selon (Le Mortellec et al.,2013), le contexte environnemental permet de
caractriser l'tat d'un systme. Il peut tre, par exemple, de nature physique (prsence de
vibrations, d'interfrences lectromagntiques).
L'architecture RCD a fait l'objet de plusieurs travaux dans le transport ferroviaire. Dans cette optique,
le volet Romain (Remote Monitoring and Maintenance) du projet Traincom (Renner et
Umiliacchi,2003) avait pour objectif de dfinir une architecture complte pour la surveillance
Page 40 sur 134

distance et la maintenance des systmes ferroviaires. Les rsultats de Romain ont constitu le point
de dpart pour le projet europen EuRoMain (Shingler et Umiliacchi,2003) qui visait dfinir et
spcifier un systme d'aide la maintenance du systme ferroviaire, permettant :

de surveiller distance et de diagnostiquer des systmes bord des trains,


de ploite les do
es o te ues e te ps el e liaiso ave la do u e tatio te h i ue,
de rcuprer ces donnes dans le format standard d'une base de donnes distribue,
de prsenter les informations appropries aux utilisateurs finaux, au moyen d'un ensemble
complet d'outils.

Le projet InteGRail (Umiliacchi et al.,2006) vise quant lui introduire des concepts novateurs tels
que la lean Maintenance et tudier la coopration entre le matriel oula t et li f ast u tu e,
la coopration avec le systme de gestion et l'automatisation des dpts.

2.2.L'architecture EDCD (" Embedded Decentralized & Cooperative


Diagnosis ")
La Figure 12b fournit une vue dtaille de l'architecture EDCD. Dans cette architecture, les systmes
de diagnostic sont principalement embarqus l'intrieur du systme de transport (Benedettini et
al,2009). Les donnes brutes sont analyses pendant la circulation du train en service commercial par
des systmes de diagnostic de "haut niveau" (voir sous-section 5.2.2), nots S_Di*, qui gnrent des
diagnostics (la cause probable de la (les) dfaillance(s)) et gnrent des alarmes. Ces fonctions
correspondent en fait aux fonctions surveillance et diagnostic (voir chapitre 1).
Les S_Di* envoient leurs rsultats un systme de diagnostic global embarqu. Un rseau de
diagnostic embarqu, not S_EDN (de l'anglais "Embedded Diagnosis Network"), est ncessaire
(Kootkar, 2008). Celui-ci permet de supporter les changes de donnes entre les S_Di*. Une
combinaison de diffrents diagnostics locaux est ralise par le S_GD et, logiquement, un diagnostic
plus robuste et plus prcis est envoy au centre de maintenance distant (Byington et al,2003)
(Dievart et al,2010).
De la mme manire que dans l'architecture RCD, la transmission de donnes vers le centre de
maintenance est supporte par S_TWN. Le diagnostic raffin de S_GD est galement valid par un
oprateur humain.
Des travaux en cours la Directio de la Re he he de la NCF si t esse t ette app o he
prometteuse (SNCF,2009). De plus, les donnes fournies par un systme GPS permettent de relier
certains symptmes des conditions extrieures au vhicule, issues du contexte environnemental
(Tanarro et Fuerte,2011). C'est cette approche qui est actuellement dveloppe dans le cadre du
projet FUI SURFER.

3. Situation actuelle, limites et solutions envisages


Cette partie expose la situation actuelle et ses limites, et les solutions envisages. Ces solutions sont
apportes par les partenaires du projet FUI SURFER, qui sont prsents dans la section 3.1. Puis la
situation actuelle, ses limites et les solutions envisages sont successivement prsentes aux sous
sections suivantes.

Page 41 sur 134

3.1.Prsentation des partenaires


Le projet FUI SURFER est un projet multipartenaire runissant BOMBARDIER Transport, Prosyst, le
laboratoire TEMPO, l'IFSTTAR et HIOLLE INDUSTRIES, soutenus par les ples de comptitivit I-Trans
et Advancity. Chaque partenaire travaille sur un primtre dfini. Le laboratoire TEMPO,
BOMBARDIER Transport et Prosyst sont brivement introduits ci-dessous. L'IFSTTAR, HIOLLE
INDUSTRIES et les ples de comptitivit I-Trans et Advancity sont prsents en Annexe 2, car leurs
travaux n'entrent pas directement dans notre problmatique de recherche.

3.1.1. BOMBARDIER Transport


BOMBARDIER Transport France, situ Crespin, fait partie de BOMBARDIER Transport, chef de file
mondial en solutions de transport sur rail et services connexes. La gamme de vhicules sur rail de
Bombardier Transport est tendue (mtros, vhicules lgers sur rail, ou de locomotives et trains
g a de vitesse . G e au su s su les p ojets a t ieu s, tels ue lAuto ail G a de Capa it ,
BOMBARDIER Transport Crespin est devenu le site de rfrence en sret de fonctionnement au
sein de BOMBARDIER Transport.
Pour faire face aux limites des technologies utilises traditionnellement, le site de Crespin cherche
aujou dhui volue ve s la at ise du diag osti e a u . Il e fo e ai si sa position de chef de
file o dial da s le t a spo t fe oviai e e
etta t e uv e des solutio s i ova tes et oi s
coteuses, et le projet FUI SURFER doit y contribuer fortement.
3.1.2. Prosyst
Prosyst est une PME (Petite et Moyennes Entreprise) active dans le domaine des automatismes
industriels. Cette activit se traduit par la vente de produits et de services. Les savoir-faire suivants
de Prosyst contribuent au projet :

u veilla e et datatio des volutio s de va ia les du s st e apteu s/a tio eu s,


va ia les d tat ,
to kage et t aite e t des volutio s, pa des od les da al se auto o es et volutifs,
Diag osti des d failla es pa o pa aiso au o po te e t o i al du s st e via
le utio e te ps el du
od le st u tu el v e e ts discrets)

Prosyst apporte galement ses comptences en dveloppement logiciel.

3.1.3. TEMPO
Le laboratoire TEMPO (Thermique, Ecoulement, Mcanique, Matriaux, Mise en Forme, PrOduction)
est u e u it de e he he EA
lUniversit de Valenciennes et du Hainaut-Cambrsis (UVHC).
Les chercheurs impliqus dans le projet FUI URFER appa tie e t tous l uipe Production
Services Information PI de TEMPO. La tivit de e he he e e au sei de l uipe PI sa ti ule
autour de trois principaux thmes scientifiques :
I.
II.
III.

Les s st es daide la o eptio de p oduits intelligents et de s st es di fo atio ,


La od lisatio et lopti isatio de la s et de fo tio e e t et de la ai te a e,
La o eptio , lopti isatio et le pilotage de s st es o plexes.
Page 42 sur 134

Le croisement des thmes de recherche I et II, dans le cadre du projet FUI SURFER, constitue une
oppo tu it o igi ale o seule e t du poi t de vue appli atif, elui de la su veilla e et du
diagnostic embarqus de matriel roulant, mais aussi scientifique puisque les dveloppements
thoriques raliss se situent la croise de deux grands domaines scientifiques : la sret de
fonctionnement et les systmes intelligents. Il donne la possibilit plusieurs chercheurs de
olla o e au t ave s de lencadrement de deux thses, qui sont articules de la manire suivante :

La premire thse, nomme thse Prosyst-TEMPO, se droule en collaboration avec la


socit Prosyst. La thse Prosyst-TEMPO a pour mission de spcifier et modliser
l'architecture distribue de diagnostic : fonctions, donnes et traitement locaux. Les modles
labors sont utiliss par la socit Prosyst pour raliser les diffrents systmes intelligents
et procder leur intgration dans le train. Ils intgrent les outils dvelopps par l'IFSTTAR
t aite e t, su veilla e et od lisatio des sig au e vue d la o e u diag osti
prdictif, conformment aux spcifications de surveillance et de diagnostic embarqus qui
sont fixes en phase de conception.
La seconde thse, nomme thse Bombardier-TEMPO, se droule en collaboration avec
BOMBARDIER Transport. Il s'agit de la prsente th se, ui a pou o jet d la o e u e
mthodologie pour valuer l'impact de l'architecture de diagnostic dveloppe dans SURFER
sur un matriel roulant. Cette thse prend en entre les modles d'architectures dvelopps
dans la premire thse (thse Prosyst-TEMPO). La problmatique de la prsente thse (la
thse Bombardier-TEMPO) est dtaille dans la prochaine section.

3.2.Situation actuelle et limites


L'architecture aujourd'hui utilise par les constructeurs de matriel ferroviaire, est une architecture
de diagnostic type RCD. D'autre part, la mthode de diagnostic utilise est principalement base sur
des quations boolennes, qui se rapprochent des systmes experts (voir chapitre 1). Celle-ci permet
de tirer partie des capacits de calcul dbarqus mais prsente plusieurs limites :

D'importantes quantits de donnes brutes sont envoyes au S_GD localis au centre de


maintenance. L'architecture RCD implique des contraintes de transmission (telles que, les
erreurs de transmission de donnes, les pertes de donnes, les retards de transmission, et
une bande passante limite). L'architecture RCD implique un dlai important entre
l'occurrence de la dfaillance et le diagnostic adquat. De plus, le personnel de maintenance
a souvent des difficults trouver la cause exacte d'une dfaillance dans cette masse de
donnes, ce qui implique un temps de traitement des donnes non ngligeable (Khol &
Bauer,2010).
Le diagnostic est conu au niveau systme et prend peu en compte les interactions entre les
systmes lmentaires et le contexte environnemental associ aux dfaillances. Les alarmes
ne sont pas valides puisque le contexte environnemental n'est pas gr correctement. Cette
notion peut tre illustre concrtement sur un accs voyageur ferroviaire. (Cauffriez et
al.,2013) ont dmontr que ce systme lmentaire est soumis des contraintes externes
lors de l'exploitation du train (dvers de la voie, poids des voyageurs dans le vhicule ou
sur les marches lors de la monte/descente, obstacles lors des mouvements
d'ouve tu e/fe etu e, va dalis e . Pa e e ple, si u f otte e t a o al est d te t su
Page 43 sur 134

un accs voyageur, les composants internes seront suspects et un diagnostic sera gnr.
Cependant, si le mme frottement est dtect sur un autre accs voyageur, alors les
frottements peuvent probablement tre expliqus par le dvers de la voie.
Les solutio s d velopp es so t sp ifi ues et so t peu utilisa les du p ojet laut e.
De nombreuses dfaillances "non reproductibles" sont subies, de l'anglais "Cannot Duplicate
Failure" ou "No Fault Found" (Sderholm,2007). Dans une telle situation, une dfaillance
peut tre dtecte et localise sur une entit. Cependant, quand l'entit est teste un
niveau infrieur, alors la dtection et la localisation peuvent chouer. Ce phnomne peut
avoir plusieurs causes, comme par exemple les dfaillances intermittentes (cas des interfaces
lectriques) ou la complexit leve de la conception du systme. Ce phnomne a un
impact ngatif sur les cots et la sret de fonctionnement (Sderholm,2007).
L'architecture d'un train est rendue complexe. En effet, des techniques de tolrance aux
fautes (voir chapitre 1), telles que la redo da e, so t ises e uv e pou que le systme
lmentaire atteigne les objectifs de disponibilit.

Le projet FUI SURFER propose des solutions scientifiques et technologiques aux limites de
l'architecture existante. Ces solutions sont dtailles dans la section suivante.

3.3.Solutions apportes par le projet FUI SURFER


Pour surmonter les difficults lies la solution existante base sur RCD, SURFER vise dvelopper
l'architecture EDCD de diagnostics correctifs par la ise e uv e de modles de diagnostic
embarqus distribus, de diagnostics prdictifs, de maintenance conditionnelle et d'optimisation de
la maintenance. Les aspects thoriques de cette approche sont dtaills ci-dessous.
3.3.1. Diagnostic correctif et approche automatique par le modle
L'approche de diagnostic aujourdhui utilise, repose principalement sur des alarmes base
d'quations boolennes (franchissement de seuils). Selon les notions introduites au chapitre 1, il ne
sagit pas d'u e fo tio de diag osti ide tifi atio des auses d'u e d failla e , ais du e
fonction de surveillance (dtection d'un cart par rapport un comportement nominal). Il est
a oi s possi le d'essa e dasso ie es ala es une dfaillance.
Les approches de diagnostic (ne pas dtecter un cart mais identifier la cause de l'cart) font appel
diverses mthodes (mthodes base de modle, mthodes base de connaissance, etc.) qui ne sont
pas implmentes aujourd'hui chez Bombardier Transport.
La socit Prosyst a conu et valid un outil industriel, nomm "diagnostic automatique", utilisant
une mthode base de modle et une surveillance non intrusive des signaux (en entre et en sortie)
et repose sur le utio e te ps el du
od le v e e ts dis ets as su la st u tu e des
quipements surveiller (Prosyst,2008). Cet outil a t appliqu au diagnostic de lignes de
p odu tio o ple es, pou lide tifi atio de o posa ts d failla ts ou suspe ts e as de
pannes. Le schma ci-dessous en rsume le principe (Figure 13).

Page 44 sur 134

Modle
structurel
p.oprative
E/S
dates
Entres/sorties
C/C
dates

S
E

+
Analogique

Surveillance

PREDICTION
Evolution dtat prdictive

Dtection des
discordances

Discordances

DIAGNOSTIC

Liste
de composants
suspects

Traitement des discordances et


recherche des suspects

Figure 13 : Diagnostic automatique d'aprs (Prosyst,2008).

Une discordance correspond un cart entre le comportement attendu et le comportement observ.


Il s'agit, par exemple, de l'absence d'un front montant sur un capteur dans l'intervalle de temps fix
en conception. La connaissance, par le modle, de tous les quipements lectriques et
lectromcaniques intervenant dans la boucle actionneur->capteurs concerne, permet - par des
processus de suspicion/disculpation excuts en temps rel - de converger vers le plus petit
e se le de o posa ts suspe ts lo igi e du d faut. L'e se le de o posa ts suspe ts
correspond au diagnostic.
3.3.2. Enrichissement des diagnostics par l'utilisation d'entits intelligentes
cooprantes
L'utilisation de capacits de traitement embarques est rendue possible notamment par les
volutions technologiques relatives aux capteurs intelligents (CIAME,2009). Dans le projet FUI
SURFER, ces capacits de traitement, de mmorisation et communication sont utilises afin
d'enrichir le diagnostic.
Pour ce faire, une architecture de diagnostic cooprant par la mthode du diagnostic automatique
est propose (Le Mortellec et al.,2013). L'architecture propose se base sur la dcomposition d'un
systme complexe en sous-systmes et est compose de plusieurs niveaux de diagnostic. A chaque
niveau de dcomposition se trouve un systme diagnostiquer, un contexte environnemental et une
mthode de diagnostic. Afin d'amliorer la confiance sur le diagnostic et de rduire le nombre de
fausses alarmes, un diagnostic utilise le contexte environnemental de son niveau et peut aussi
changer des informations avec les diagnostics situs au mme niveau, au niveau suprieur ou au
niveau infrieur de l'architecture.
Cette problmatique est l'objet de la thse Prosyst-TEMPO du projet FUI SURFER, ralise en
partenariat entre la socit Prosyst et TEMPO, qui a pour mission de spcifier et modliser
l'a hite tu e dist i u e de diag osti , etta t e uv e des
anismes de coopration.

Page 45 sur 134

3.3.3. Diagnostic prdictif et maintenance conditionnelle


Certaines dfaillances (sur les systmes mcaniques par exemple) ont lieu suite un phnomne de
d g adatio p og essif tel ue lusu e, le d glage ou le vieillisse e t Cauffriez et al.,2013). Il est
possi le, e o se va t ette d g adatio i te valles gulie s, d value sa vitesse d volutio et de
dterminer le moment partir duquel l'tat de dgradation est trop important. Dans le projet FUI
SURFER, cest e ui est appel "diagnostic prdictif". Si suite ce diagnostic prdictif, une tche de
maintenance est dclenche, alors il s'agit d'une rparation par maintenance conditionnelle.
Le dveloppement du diagnostic prdictif est ralis par l'IFSTTAR.
3.3.4. Optimisation de la maintenance
Dans la pratique, plusieurs stratgies de maintenance peuvent cohabiter (par exemple, la
maintenance conditionnelle, la maintenance systmatique, la maintenance corrective), pour
atteindre des objectifs de disponibilit et de cot. Afin d'optimiser la maintenance, plusieurs
approches existent (Zwingelstein,1996)(Zille,2009).
Au cours de ces dernires annes, l'IFSTTAR (Institut Franais des Sciences et Technologies des
Transports, de l'Amnagement et des Rseaux, prsent en Annexe 2) a propos une approche
g
i ue pou lopti isatio des pa a t es de ai te a e de s st es o ple es
ulticomposants, ventuellement en interaction). Cette approche, nomme VirMaLab (Atelier Virtuel de
Maintenance), est illustre sur la Figure 14 (Bouillaut et al.,2011). Toutes les parties de la
od lisatio sappuie t su la th o ie des od les g aphi ues p o a ilistes ou seau a esie s
d a i ues ui ua tifie t, pa e e ple, la p o a ilit uu o posa t soit dans un tat donn.

1)

2)

3)

Figure 14 : Appro he VirMaLa pour lopti isatio des para

tres de

ai te a e (Donat,2009)

Page 46 sur 134

Le bloc 1 (Figure 14) porte sur la modlisation du processus de dgradation du systme lmentaire.
Elle peut te i o pte de li flue e de va ia les o te tuelles su la d g adatio et peut o sid e
plusieurs composants ayant leur propre mode de dgradation (pour une porte par exemple, les
actionneurs, les guides et transmissio s
a i ues .
Le bloc 2 (Figure 14) de la od lisatio si t esse au s st es de diag osti et i t g e les
paramtres du diagnostic et de la maintenance (priodicit, taux de couverture...).
Lo je tif final est d'valuer et comparer ces diffrentes politiques en fonction des besoins de
lutilisateu dispo i ilit , s u it , ots, ; le lo
(Figure 14) du modle consiste alors
intgrer les cots (de fonctio e e t, da t i opi , de ai te a e, a a t isa t le s st e.
Le dveloppement du modle d'optimisation de la maintenance est galement ralis par l'IFSTTAR.

4. Prsentation de la problmatique de thse


Le choix de l'architecture de diagnostic d'un train peut s'orienter vers une architecture de type RCD
ou vers une architecture de type EDCD. Si l'architecture RCD est choisie, le risque est alors de perdre
le systme lmentaire en ligne (du fait des limites de l'architecture), ou de visage u e edondance
du systme lmentaire en question. Li t t du e mthodologie d'valuation des architectures
pour argumenter le choix de passer de l'architecture RCD EDCD apparat donc ncessaire.
Selon le principe voqu prcdemment, l'architecture EDCD doit tre globalement au moins aussi
bonne que l'architecture RCD (voir chapitre 1). Cependant, le dveloppement de cette nouvelle
architecture de diagnostic (type EDCD) offre de nouvelles possibilits mais engendre galement de
nouvelles contraintes notamment en matire de sret de fonctionnement. La complexit induite
pa li t g atio des s st es i tellige ts et des seau de o
u i atio , inhrents une
architecture type EDCD, rend difficile la quantification du niveau de sret de fonctionnement
atteig a le, dauta t ue les o t ai tes li es le vi o e e t so t fo tes. Afi de v ifie si
l'architecture EDCD est globalement au moins aussi bonne que l'architecture RCD, il est ncessaire de
comparer l'architecture EDCD l'architecture RCD sur le train.
Cette problmatique est l'origine de ce sujet de thse, qui vise justifier l'intrt d'ajouter une
architecture EDCD dans un train. Pour ce faire, il convient de :

modliser les architectures de diagnostic afin d'valuer leurs attributs FMD,


quantifier la FMD de l'architecture EDCD et la FMD de l'architecture RCD,
et comparer les bnfices et pertes du nouveau systme par rapport au systme existant et
s'assurer que le nouveau systme rpond au principe GAMAB.

Pour atteindre ces objectifs, cette thse utilise en entre :

la formalisation de l'architecture de diagnostic existante (type RCD), qui est dj


implmente dans les trains,
la formalisation de l'architecture de diagnostic de type EDCD, qui est la sortie de la thse
Prosyst-TEMPO (Le Mortellec et al,2013) (Le Mortellec et al.,2012). Les thses ProsystTEMPO et Bombardier-TEMPO s'xcutant en parallle, la modlisation et l'valuation de

Page 47 sur 134

l'architecture de diagnostic EDCD n'a pu dmarrer qu'une fois la formalisation de


l'architecture EDCD acheve.
les informations issues du retour d'exprience en sret de fonctionnement de Bombardier
T a spo t tau de d failla e, tau de pa atio .

5. Verrous scientifiques lis aux systmes distribus, au diagnostic et


la sret de fonctionnement
Plusieurs verrous scientifiques inhrents aux architectures de diagnostic ont t ienditifis. Ceux-ci
concernent les systmes distribus, le diagnostic et la sret de fonctionnement.

5.1.Systmes distribus
Un train est un systme mobile sur un rseau ferr et est habituellement affect un centre de
maintenance (ou dpt) statique. Lorsqu'une dfaillance se produit en exploitation, l'agent de
conduite utilise un rseau de tlcommunication pour signaler la panne distance au centre de
maintenance. De plus, un train est caractrise par une architecture distribue et il existe
gnralement au moins un rseau de communication dans le train, afin que les diffrents systmes
lmentaires communiquent (Berbineau,2002)(Wahl,2004).
Comme cela est indiqu au chapitre 1, la prsence des rseaux de communication apporte des
contraintes sur le bon fonctionnement de l'architecture globale : la perte du rseau de
communication dans un systme distribu peut conduire la perte de mission du systme global.
Dans un premier temps, la sous-section 5.1.1 dtaille la qualit de service, qui caractrise le bon
fonctionnement des rseaux de communication. Puis, les menaces pour un rseau de communication
et les dfenses faces ces menaces sont prsentes.
5.1.1. Qualit de service
La qualit de service d'un rseau est dfinie dans (E.800,2008) comme " l'ensemble des
caractristiques d'un service de tlcommunication qui lui permettent de satisfaire aux besoins
explicites et aux besoins implicites de l'utilisateur du service". La qualit de service peut tre
exprime du point de vue du client ou du fournisseur.
En fonction de l'application, la qualit de service peut tre exprime et mesure de plusieurs
manires (Thomesse,2002)(Rahoual & Siarry,2006) (E.800,2008), par exemple :

la disponibilit du rseau de communication, qui est la probabilit que le rseau de


communication ne soit pas dfaillant t,
le taux d'erreur rsiduel, qui est le rapport entre le nombre de messages perdus ou mal
transmis et le nombre total de messages mis au cours d'une priode considre,
le temps de transit, qui mesure le temps coul entre le moment o l'utilisateur du service
de transport envoie un message et celui o l'entit de transport rceptrice le reoit.

La sous-section 5.1.2 liste brivement diffrentes menaces rcenses pour la qualit de service et les
techniques pour surmonter ces menaces.

Page 48 sur 134

5.1.2. Menaces et dfenses


Dans les rseaux industriels, les messages transmis doivent tre intgres et le rseau doit pouvoir
garantir l'authenticit, l'intgrit et la promptitude (Ciutat,2010).
Pour les applications ferroviaires, la norme (FprEN50159,2010) a identifi les menaces inhrentes
aux rseaux industriels, et les dfenses pour les rseaux industriels (Tableau 4). Les menaces
comprennent (Ciutat,2010) par exemple :

la perte : le message a t envoy mais il n'a pas t reu (il a t dtruit ou refus),
l'ordre incorrect : les messages sont envoys selon une squence initiale, mais sont reus
dans un autre ordre.

Pour rduire le risque li ces deux menaces, les dfenses suivantes peuvent tre utilises :

le numro de squence : chaque message envoy reoit un nombre appel numro de


squence. Le rcepteur peut ainsi vrifier que le numro du message reu correspond au
numro attendu,
l'horodatage : chaque message contient une date qui permet de savoir quelle date il a t
envoy.

Menaces

Dfenses
Numro de
squence

Horodatage

Rptition

Perte

Insertion

Ordre incorrect

Surveillance Identification des


Accus de
du temps
sourceset des
rception
imparti
destinations

Procdure
d'identification

Altration des
donnes
Retard

Code
Techniques
de
cryptographiques
scurit

x
x

Usurpateur

Tableau 4 : Matrice des menaces et dfenses, adapt de (FprEN50159,2010)

5.1.3. Conflit d'objectifs : objectif global vs. objectifs locaux


Dans un systme distribu, l'atteinte de l'objectif du systme global est base sur la collaboration et
le travail collectif des systmes locaux autonomes (Dievart, 2010). L'atteinte de l'objectif du systme
global peut tre incertaine, car les algorithmes senss amliorer la performance du systme global
exigent la plupart du temps une synchronisation entre systmes locaux. Ceci entre en conflit avec les
principes d'autonomie locale et d'information globale minimale (Prabhu & Duffie,1996). De plus, il
est difficile de prdire le comportement de ces systmes, qui peut sembler chaotique, plus
particulirement lorsque des rgles heuristiques sont utilises pour la prise de dcision locale
(Prabhu & Duffie,1996).
Ce conflit d'objectifs peut galement tre observ dans les architectures de diagnostic distribu,
entre l'objectif local d'un systme de diagnostic local et l'objectif global d'un systme de diagnostic
global. Dans les architectures de diagnostic distribu, le diagnostic global gnre un diagnostic pour
Page 49 sur 134

le processus complet (voir chapitre 1) partir des diagnostics locaux. Or, une proprit dsire d'un
diagnostic est qu'il soit minimal (voir chapitre 1). L'inconvnient est que, si les diagnostics locaux sont
minimaux, alors ils peuvent ne pas tre minimaux pour le systme distribu complet (Biteus et
al.,2011). Le diagnostic global minimal est donc prfr. Cependant, un inconvnient lors de
l'utilisation de diagnostics globaux minimaux est qu'ils peuvent inclure des composants inutiles, c'est-dire des composants non dfaillants. L'inclusion de ces composants implique une utilisation
importante de mmoire et de puissance de calcul et a donc des cots inutiles (Biteus et al.,2011).

5.2.Diagnostic
Dans notre travail, nous faisons rfrence deux notions sur les systmes de diagnostic : le
diagnostic local bas niveau et le diagnostic local haut niveau. Ces notions sont dfinies ci-dessous.
5.2.1. Notion de diagnostic local "bas niveau"
Le "diagnostic local bas niveau" ralise la fonction surveillance. C'est le type de diagnostic mis en
uv e da s l'a hite tu e RCD. Il est ualifi de " as iveau" da s la esu e o la so tie est une
information de bas niveau, c'est--dire un ensemble de donnes brutes et des alarmes.
La mthode utilise se base sur les quations boolennes. La fonction de surveillance gnre une ou
plusieurs alarmes, lorsqu'une quation boolenne a la valeur VRAI. Il s'agit par exemple du
franchissement d'un seuil sur une grandeur continue (temprature, vitesse, etc.). Les alarmes sont
habituellement accompagnes des valeurs atteintes par les grandeurs continues.
5.2.2. Notion de diagnostic local "haut niveau"
Le "diagnostic local haut niveau" est le t pe de diag osti
is e uv e da s l'a hite tu e t pe
EDCD, dveloppe dans le cadre du projet FUI SURFER. Il est qualifi de "haut niveau" dans la mesure
o la sortie est une information de haut niveau, c'est--dire un diagnostic.
La mthode de diagnostic utilise est le diagnostic base de modle. Cette approche consiste
comparer le comportement observ du systme et son comportement "prdit", rsultat de
l'infrence d'un modle explicite du systme (De Kleer and Williams,1987). Le diagnostic
automatique, utilis pour le diagnostic curatif SURFER, se base sur les notions de discordance (dans la
fonction surveillance) et de liste de suspect (dans la fonction diagnostic) (Willaeys,2008) :

La fonction de surveillance gnre une ou plusieurs alarmes, appeles discordances, lorsque


la valeur d'une variable caractristique observe sur le systme est diffrente de celle
prdite par le modle. Il s'agit, par exemple, de l'absence d'un front montant sur un capteur
dans l'intervalle de temps fix en conception.
La fonction de diagnostic traite la ou les discordances et permet - par des processus de
suspicion/disculpation excuts en temps rel - de gnrer une liste rduite de "variables
suspectes", c'est--dire les variables qui pourraient avoir gnr la discordance. L'ensemble
de variables suspectes correspond au diagnostic.

5.3.Sret de fonctionnement
Un systme de transport complexe, tel un train, est un systme automatis. Ce type de systme
prend une part croissante dans l'industrie (Antoni,2009)(Ciutat,2010). Cependant, il est dlicat

Page 50 sur 134

d'valuer le niveau de sret de fonctionnement de fonctions sur un systme automatis pour


plusieurs raisons.
L'approche habituelle en sret de fonctionnement considre d'un ct le matriel et d'un autre ct
le logiciel (Thiriet,2004)(Borrel,1996).
La sret de fonctionnement du logiciel peut tre vue comme un domaine spcifique
(Villemeur,1991). En effet, le matriel tombe en panne car il est sensible aux fautes physiques ;
tandis que le logiciel ne vieillit pas (Gaudoin & Ledoux,2007) et est elle e t se si le u des
fautes de o eptio do igi e hu ai e p se tes d s so o igi e (ISDF,2000). Or, les logiciels sont
caractriss par une grande complexit, qui conduit un risque plus lev d'erreurs de spcification
et de conception. De plus, les effets des erreurs de conception ne peuvent pas toujours tre pallis
par les techniques habituelles de conception tolrante aux fautes (redondance, programmation
dfensive, diversification) (Antoni,2009). En effet, une erreur de spcification, active par une
combinaison particulire d'entres, peut affecter toutes les sorties du systme redond, quelque soit
le nombre d'units en redondance.
Or, les systmes automatiss sont caractriss par des interactions entre le logiciel et le matriel
(Fota et al.,1999). De nouvelles difficults lies l'valuation de sret de fonctionnement de tels
systmes apparaissent (Antoni,2009) : nouveaux modes de dfaillance, vieillissement, augmentation
de la complexit. Il est donc ncessaire de combiner les modlisations des composants matriels et
logiciels (Villemeur,1991).
Enfin, le dveloppement de systmes automatiss s'appuie de plus en plus (Arlat,2000)(Clark et
al.,2004) sur les COTS (de l'anglais "commercial off-the-shelf"). L'utilisation de ce type de composants
a plusieurs avantages (Arlat,2000)(Redmill,2004) tels que la rduction du cot d'achat et
l'incorporation rapide des progrs technologiques. Cependant, les COTS ont galement plusieurs
inconvnients. Par exemple, les composants disponibles ne sont pas parfaitement adapts au besoin
et comportent des fonctionnalits non-dsires, qui peuvent tre sources de dfaillance.

5.4.Synthse et caractrisation de la complexit des architectures de


diagnostic
Ci-dessous, le Tableau 5 synthtise et permet de comparer les caractristiques principales des
architectures retenues : l'architecture RCD et l'architecture EDCD.
La partie 3 a permis de lister les limites lies l'architecture RCD. Une quantit leve de donnes
est transmise au centre de maintenance. De plus, les alarmes ne sont pas valides et de nombreuses
fausses alarmes sont gnres. Les S_D gnrent beaucoup de donnes, ce qui implique un temps
important pour les interprter au centre de maintenance. A titre d'exemple, une quantit de
donnes de plusieurs Gigaoctets peut tre gnre par jour par train ; cette quantit crot
rapidement lorsqu'il s'agit d'tudier une flotte de trains (plusieurs centaines de trains). Cependant,
l'architecture RCD est peu complexe cot de l'architecture EDCD.
Dans l'architecture EDCD, les donnes brutes analyses pendant l'exploitation du train rduisent les
cots de communication sur S_TWN. La coopration parmi les systmes de diagnostic embarqus
empche les mauvaises dtections et les mauvais diagnostics. En effet, le contexte environnemental
ainsi que l'tat des systmes voisins (par exemple, tat d'un autre systme similaire, profil de
Page 51 sur 134

mission) peut tre gr plus facilement, car les diagnostics locaux s'changent des informations (Le
Mortellec et al.,2013). Par consquent, l'architecture EDCD empche l'occurrence d'alarmes non
valides et fournit un diagnostic pertinent au centre de maintenance distant (Dievart,2010).
L'architecture EDCD permet donc plus de ractivit.
Cependant, l'architecture EDCD compte deux rseaux de communication tandis que l'architecture
RCD n'en compte qu'un. D'autre part, un S_Di* (architecture EDCD) ralise deux fonctions
(surveillance et diagnostic), tandis qu'un S_Di (architecture RCD) ne ralise qu'une fonction
(surveillance). Un S_Di* en EDCD est donc plus sophistiqu (il a plus de fonctions) qu'un S_Di en RCD.
La taille d'un systme tant li sa complexit (voir partie 1), l'architecture EDCD est plus complexe
que l'architecture RCD.
Cette observation sur la complexit est confirme par la conception innovante et l'utilisation des
nouvelles technologies comme les capteurs/actionneurs intelligents dans l'architecture EDCD (voir
chapitre 1). De plus, le rseau de communication est un point central. Cette dernire observation
prend tout son sens dans le transport ferroviaire, parce que les rseaux de communication
ferroviaires fonctionnent dans un environnement soumis des
contraintes importantes
(FprEN50159, 2010) (Wahl,2004). D'une part, l'environnement ferroviaire
implique des
tempratures de fonctionnement, qui varient de -25C +85C (EN50155, 2007) et une pollution
lectromagntique importante (EN50121, 2006) en provenance du train (convertisseurs de
puissance, quipements lectroniques des passagers). D'autre part, l'application ferroviaire
comprend des reconfigurations du train en exploitation (Wahl,2004) et conduit des modifications
de topologie du rseau.
Quantit de donnes
transmise au centre de
maintenance

Alarmes
envoyes
au
centre
de
maintenance

Temps
pour
interprter
les
donnes au centre
de maintenance

Complexit
de
l'architecture
de diagnostic

architecture 1
RCD

Eleve

Non-valides

Elev

Faible

architecture 2
EDCD

Faible

Valides

Faible

Eleve

Paramtre

Nombre
de
rseaux
de
communication

Tableau 5 : tableau comparatif des architectures RCD et EDCD

Page 52 sur 134

Conclusion
Ce chapitre a d'abord permis d'introduire le contexte gnral de cette thse, savoir le projet FUI
SURFER, qui vise optimiser la maintenance par l'amlioration du diagnostic. Puis, les architectures
de diagnostic du transport ferroviaire ont t prsentes afin d'exposer les solutions existantes et
leurs limites, ainsi que les solutions apportes par les partenaires du projet FUI SURFER. La
problmatique de thse, qui consiste valuer des architectures de diagnostic d'un point de vue
sret de fonctionnement proposes dans SURFER, a ensuite t dtaille. Enfin, la partie 5 a
identifi les verrous scientifiques lis aux systmes distribus, au diagnostic et la sret de
fonctionnement. La sret de fonctionnement des systmes distribus et des systmes automatiss
est difficile traiter. De plus, le rseau de communication occupe une place importante dans les
systmes distribus. Enfin, nous avons caractris la complexit des architectures de diagnostic RCD
et EDCD.
Ces observations soulvent le dfi de la conception de l'architecture de diagnostic retenue dans
SURFER.
Dans le chapitre 3, une mthodologie pour valuer les architectures de diagnostic d'un point de vue
FMD est propose.

Page 53 sur 134

Page 54 sur 134

Chapitr : Proposition d modls t


validation

INTRODUCTION ............................................................................................................................... 56
1. CHOIX D'UNE METHODE DE MODELISATION ET D'EVALUATION DE FMD .................................................. 56
1.1. Justification du choix de modlisation et d'valuation de FMD .................................................. 56
1.2. Prsentation des Rseaux de Petri Colors ................................................................................. 57
1.2.1. Notions de base ........................................................................................................................ 57
1.2.2. Extensions ................................................................................................................................. 58
1.2.2.1. Rseaux de Petri Temporiss ................................................................................................. 58
1.2.2.2. Rseaux de Petri Stochastiques ............................................................................................. 59
1.2.2.3. Rseaux de Petri Stochastiques Gnraliss ......................................................................... 59
1.2.2.4. Rseaux de Petri Colors ....................................................................................................... 59
1.2.3. Rsolution par simulation ......................................................................................................... 61
2. PROPOSITION D'UN MODELE ....................................................................................................... 61
2.1. Hypothses .................................................................................................................................. 62
2.2. Modles des architectures de diagnostic .................................................................................... 62
2.2.1. Modle d'un rseau de communication ................................................................................... 62
2.2.2. MODELE DE L'ARCHITECTURE RCD ................................................................................................... 65
2.2.3. MODELE DE L'ARCHITECTURE EDCD ................................................................................................. 67
3. VALIDATION ............................................................................................................................ 69
3.1. DEFINITION D'UN PROTOCOLE DE VALIDATION ....................................................................................... 69
3.2. SIMULATION ET RESULTATS ................................................................................................................ 70
3.2.1. PREMIER CAS THEORIQUE DE VALIDATION .......................................................................................... 71
3.2.2. SECOND CAS THEORIQUE DE VALIDATION ........................................................................................... 75
CONCLUSION.................................................................................................................................. 77

Page 55 sur 134

Chapitre 3 : Proposition de modles et


validation
Introduction
Ce chapitre prsente notre travail de recherche en rponse la problmatique de thse, qui consiste
valuer des architectures de diagnostic d'un point de vue FMD (Fiabilit, Maintenabilit,
Disponibilit).
Pour ce faire, la partie 1 dtaille notre justification du choix d'une mthode d'valuation de FMD et le
formalisme retenu, savoir les Rseaux de Petri Colors (RdPC). Puis, la partie 2 liste les hypothses
retenues et prsente les modles RdPC proposs pour les architectures de diagnostic. Enfin, la partie
3 se focalise sur la validation par simulation des modles proposs.

1. Choix d'une mthode de modlisation et d'valuation de FMD


Dans un premier temps, nous justifions dans cette partie notre choix d'une mthode d'valuation de
FMD. Puis le formalisme retenu (Rseaux de Petri Colors) est prsent.
1.1. Justification du choix de modlisation et d'valuation de FMD
L'tat de l'art propos sur l'valuation de FMD des architectures de diagnostic utilises dans le
transport ferroviaire (voir chapitre 1, partie 3) a permis de remarquer que :

Les architectures de diagnostic RCD et EDCD sont des systmes dynamiques et multi-tats.
Les architectures de diagnostic RCD et EDCD sont constitues leur base de n couples (S_Ei et
S_Di / S_Di*) identiques, partageant des ressources communes (le rseau de communication
bord sol, le systme de diagnostic global).
Les mthodes utilises (chapitre 1, partie 3) pour valuer la FMD de ces architectures de
diagnostic sont essentiellement des mthodes dynamiques (chanes de Markov et Rseaux
de Petri).

Ces observations nous ont amens nous intresser aux mthodes dynamiques et plus
particulirement aux Rseaux de Petri.
Les Rseaux de Petri permettent de reprsenter les systmes dynamiquement grce l'volution des
jetons dans les places (Barger,2003). Ils sont donc adapts pour reprsenter les architectures de
diagnostic RCD et EDCD, qui sont des systmes dynamiques.
Les systmes de diagnostic tant des systmes multi-tats (Amari et al.,2008) (Volovoi,2012), les
Rseaux de Petri sont galement adapts pour les modliser. Enfin, les Rseaux de Petri sont adapts
pour reprsenter le diagnostic et les stratgies de maintenance (Zille, 2009)(Dersin & Pronne,2007).
Les Rseaux de Petri ont une capacit modliser de nombreux types de systmes, par exemple les
s st es v e e ts dis ets, les s st es h ides (Cordier et al.,1997) (Barger,2003) (Boiteau
et al.,2006). Ils permettent de modliser des phnomnes complexes comme le partage de
Page 56 sur 134

ressources, l'exclusion mutuelle, le paralllisme. Les nombreuses extensions dont ils font l'objet leur
donnent un grand pouvoir d'expression (David & Alla, 2005). Ils sont donc adapts pour modliser les
rseaux de communication et le systme de diagnostic global des architectures de diagnostic.
Sous certaines conditions, une chane de Markov peut tre convertie en Rseaux de Petri
Stochastiques (David & Alla, 2005). Les modles de Markov recenss dans la littrature pourraient
donc tre traduits et valus en Rseaux de Petri.
Concernant leur valuation, les Rseaux de Petri coupls la simulation de Monte Carlo permettent
de traiter de grands modles. De plus, (Niel & Craye, 2002) prcise que " la vitesse de calcul des
ordinateurs actuels rend l'utilisation de la simulation de Monte Carlo de plus en plus efficace et la
critique de temps de calcul excessifs est de moins en moins fonde ".
Les Rseaux de Ptri colors intgrent les temporisations stochastiques et intgrent la notion de
couleur (Jensen,2007). Ces derniers sont utiliss pour modliser les rseaux de communication (Diaz,
2001)(Barger,2003)(Bereznyuk et al.,2007)(Jensen,2007).
Enfin, il existe de nombreux logiciels pour crer, diter, analyser et simuler les Rseaux de Petri, dont
: GRIF (http://grif-workshop.fr), CPN Tools (http://cpntools.org), TimeNET (http://www.tuilmenau.de/sse/timenet), Mbius (https://www.mobius.illinois.edu).
Pour toutes ces raisons, les Rseaux de Petri Colors (RdPC)(Jensen, 1994) coupls la simulation de
Monte Carlo ont finalement t retenus dans cette thse pour l'valuation de FMD des architectures
de diagnostic.
1.2. Prsentation des Rseaux de Petri Colors
Cette section prsente les Rseaux de Petri Colors (Jensen, 1994), qui sont une extension des
Rseaux de Petri (Petri, 1962). La premire sous-section rappelle les notions de base sur les Rseaux
de Petri. Puis, la deuxime sous-section prsente les principales extensions dont ils ont fait l'objet. La
dernire sous-section prsente une des techniques de rsolution habituellement utilise en sret
de fonctionnement, savoir la simulation.
1.2.1. Notions de base
Un rseau de Petri (ou RdP) est un graphe (Figure 15) compos de (Diaz, 2001):

un ensemble de places, reprsentes graphiquement par des cercles,


un ensemble de transitions, reprsentes graphiquement par des barres,
un ensemble d'arcs, reprsentes graphiquement par des flches, qui relient les places aux
transitions et les transitions aux places,
un ensemble de poids, associs aux arcs,
une distribution de jetons dans les places.

Page 57 sur 134

P10

Place

P11
Jeton

Arc
Transition

Poids de la

T10

Arc

P12

Place

Figure 15 : un Rseau de Petri

L'tat global d'un RdP peut se dfinir par un ensemble de places, qui sont soit marques (c'est--dire
lorsqu'elles contiennent un ou plusieurs jetons) soit non marques (c'est--dire lorsqu'elles ne
contiennent pas de jeton). La distribution des jetons dans les places est appele marquage (Diaz,
2001). Le marquage d'un RdP est dfini un moment donn.
Les a s illust e t les possi ilit s d' volutio . L volutio de l'e tit
od lis e (une fonction, un
systme) est li age de l volutio du a uage, lui-mme provoqu par le franchissement de
transitions (David & Alla, 2005). Le RdP peut voluer lorsque le nombre de jetons dans chaque place
d'entre d'une transition est suprieur ou gal au poids de l'arc qui relie la place la transition. La
transition est alors dite "franchissable". Un arc reliant la place P1 la transition T1, de poids p, signifie
que T1 est franchissable lorsque P1 contiendra au moins p jetons (David & Alla, 2005).
Un conflit structurel existe lorsqu'une place est l'entre d'au moins deux transitions (David & Alla,
2005). Plusieurs types de rsolution existent pour rsoudre ces conflits dans les Rseaux de Petri
(David & Alla, 2005):

La priorit. Ce type de rsolution est dterministe : lorsqu'un conflit existe entre deux
transitions, la priorit est donne une transition bien dfinie.
Le choix probabiliste. Dans ce type de rsolution, une probabilit est assigne chaque
transition. Quand les deux transitions sont franchissables, un nombre est tir au hasard, de
telle sorte que chaque transition est franchie avec la probabilit dfinie.
Le franchissement alternatif. Dans ce type de rsolution dterministe, des places
supplmentaires sont ajoutes, afin qu'une seule des transitions en conflit puisse tre
franchissable. De plus, la syntaxe est telle que les transitions en conflit sont franchies l'une
aprs l'autre.

1.2.2. Extensions
Depuis leur introduction (Petri, 1962), les RdP ont t dots de nombreuses extensions (David & Alla,
2005). Les principales extensions vont maintenant tre prsentes.
1.2.2.1. Rseaux de Petri Temporiss
Les Rseaux de Petri Temporiss permettent d'exprimer le temps. Dans un RdP temporis, le temps
peut tre associ aux places (RdP P temporis) ou aux transitions (RdP T temporis). Cependant,
(David & Alla, 2005) prcise qu'il est naturel d'associer la dure d'une opration (ou la dure d'un
Page 58 sur 134

tat) une place et d'associer le temps d'attente d'un vnement une transition (qui est franchie
sur occurrence de l'vnement). Nous choisissons donc de prsenter uniquement les RdP T
temporis.
Dans un RdP T temporis, une temporisation de dure di est associe chaque transition Ti . La
transition Ti est franchissable lorsque ses conditions de franchissement sont vraies et que la
temporisation di associe Ti est coule, sauf en cas de conflit (David & Alla, 2005).
1.2.2.2. Rseaux de Petri Stochastiques
Les Rseaux de Petri Stochastiques permettent d'exprimer des probabilits. Un RdP stochastique
peut tre considr comme un RdP temporis, dans lequel les temps ont des valeurs stochastiques
(David & Alla, 2005). Dans le RdP Figure 16, une fois que la transition est franchissable, la transition
est franchie quand la temporisation associe est coule : la temporisation, qui est ici rpartie selon
u e dist i utio e po e tielle, est ep se t e pa so pa a t e .

P11
Place

Jeton

Arc
Transition
Arc

P12

Paramtre de la
distribution de la
temporisation

Place

Figure 16 : un RdP stochastique

1.2.2.3. Rseaux de Petri Stochastiques Gnraliss


Les RdP Stochastiques Gnraliss sont semblables aux RdP stochastiques, mais incluent des
transitions immdiates, en plus des transitions associes des variables alatoires. C'est--dire
lorsqu'une transition est franchissable, celle-ci est franchie immdiatement, en un dlai nul (Vernez
et al.,2003). Une transition immdiate est habituellement reprsente sans paramtre.

1.2.2.4. Rseaux de Petri Colors


Un Rseau de Petri Color est compos de places, d'arcs, de transitions et de jetons (Jensen, 1994),
auxquels diffrentes notions sont ajoutes. Ces notions sur les Rseaux de Petri Colors sont
illustres la Figure 17.

Page 59 sur 134

Jetons color

P1
1

Place
colore

Couleur du jeton
9

Garde

Couleur de la place

[Marche == VRAI]

P2

Paramtre de la
temporisation
g

E p essio da

Couleur de la place

Figure 17 : un Rseau de Petri Color

Notion de couleur dans les Rseaux de Petri Colors

Une caractristique importante ajoute dans les Rseaux de Petri Color est la notion de couleur
(David & Alla, 2005). Pour des raisons historiques, la notion de couleur fait rfrence la valeur
associe un jeton. De mme, la notion de domaine couleur fait rfrence au type de donnes
(Jensen, 1994). Par exemple, l'ensemble des entiers naturels ( ) est dfini comme un domaine de
couleur, tandis que les valeurs 1, 5 ou 52 peuvent tre dfinies comme des couleurs proprement
dites. Cette notion mtaphorique permet de diffrencier les uns des autres les jetons des Rseaux de
Petri Color (les jetons sont "colors"), contrairement aux Rseaux de Petri "bas niveau", qui ne
permettent pas de distinguer les jetons (les jetons sont "noirs") (Jensen, 1994).

Notion de place dans les Rseaux de Petri Colors

Une place d'un Rseau de Petri Color est une place laquelle est associe un domaine de couleur.
Une place ne peut contenir que des jetons qui appartiennent une couleur ou un domaine de
couleur. Par convention, la couleur de la place est indique proximit de la place, en majuscule.

Notion de transition dans les Rseaux de Petri Colors

Les vnements dans un Rseau de Petri Color sont reprsents au moyen de transitions. Dans un
Rseau de Petri Color, une transition a les caractristiques supplmentaires suivantes (Jensen,
1994)(Jensen et al.,2007): une garde (de l'anglais "guard"), un segment de code (de l'anglais "code
segment") et une temporisation (de l'anglais "time inscription delay").
o

Une garde de transition est une expression boolenne (de variables), qui permet de
limiter la validation de la transition aux cas o l'expression boolenne prend la valeur
"VRAI". Par convention, la garde de la transition est indique proximit de la place,
entre crochets " [] ".
Un segment de code de transition est une portion de code, qui est excute chaque
fois que la transition est franchie (Jensen et al.,2007). Le code permet par exemple
Page 60 sur 134

de modifier l'information d'un jeton color : pour un jeton color (c'est--dire un


jeton associ une valeur) en entre de la transition, un autre jeton color en sortie
est cr (c'est--dire un jeton associ une autre valeur).
Une temporisation de transition en Rseaux de Petri Colors peut tre nulle,
dterministe ou stochastique. En fait, elle correspond une temporisation de
transition en Rseaux de Petri Stochastiques Gnraliss (voir sous-section 1.2.2.3).
Par convention, nous reprsentons la temporisation de transition de la mme
manire que dans les Rseaux de Petri Stochastiques Gnraliss.

Notion d'arc dans les Rseaux de Petri Colors

Un arc, en Rseau de Petri Color, est associ une expression d'arc, qui permet de modifier le
nombre de jetons et les valeurs des jetons (Jensen, 1994). Une expression d'arc peut contenir
(Barger,2003):
o
o

Une valeur : pour que le jeton puisse passer, il faut que l'expression d'arc contienne
cette valeur, sinon le passage lui est interdit.
Une variable : la variable est fixe une valeur particulire, et le mme principe que
prcdemment s'applique. Cependant, la valeur de la variable ne change pas
pendant tout le franchissement de la transition.
Une fonction : elle permet de raliser des oprations sur les jetons. Il peut s'agir
d'une fonction simple (fonction identit) ou plus complexe (expression incluant des
tests conditionnels par exemple).

1.2.3. Rsolution par simulation


La od lisatio du s st e e R seau de Pet i pe et u e eilleu e o p he sio de e
systme. Ce modle peut en plus tre analys de faon automatique par plusieurs mthodes (Diaz,
2001) (Niel & Craye, 2002) (Antoni, 2009) : l'analyse des invariants, le graphe de marquage, la
simulation.
Dans notre cas, les RdP sont utiliss pour leur capacit modliser les systmes et sont rsolus par
simulation. La plupart des proprits ncessaires (par exemple l'absence de conflit, l'inva ia e e
sont donc pas utilises (Niel & Craye, 2002). Le principe de la simulation est bas sur (Niel & Craye,
2002) :

la modlisation des parties fonctionnelle et dysfonctionnelle du systme tudier,


l'animation du modle par tirage de nombres au hasard pour raliser des histoires possibles
du systme,
l'obtention de rsultats statistiques.

2. Proposition d'un modle


Cette partie a pour but de prsenter les modles des architectures RCD et EDCD, qui ont t
proposs dans (Gandibleux et al.,2013). Ci-dessous, les hypothses fixes pour la modlisation sont
listes dans la premire section. Les modles RdPC des architectures de diagnostic sont proposs

Page 61 sur 134

dans la deuxime section. Enfin, les modles complets des architectures RCD et EDCD sont proposs
dans la troisime section.
2.1. Hypothses
Pour la suite de notre travail, les hypothses suivantes sont fixes :
i.
ii.

iii.

iv.
v.
vi.
vii.

Le systme lmentaire i (S_Ei) est suppos binaire : il peut tre soit dans l'tat de
marche, soit dans l'tat de panne et est dans l'tat de marche l'instant initial.
Le systme de diagnostic (S_Di / S_Di*) est suppos ne jamais tre dans un tat de
panne permanent et est suppos tre dans l'tat de marche l'instant initial. Le terme
permanent fait rfrence un tat de panne, depuis lequel plus aucune rparation
n'est possible. En effet, quand un S_Di subit une dfaillance permanente, plus aucune
alarme n'est mise.
De la mme manire, le rseau de communication bord sol (S_TWN) et le rseau de
communication embarqu pour le diagnostic (S_EDN) sont supposs ne jamais tre
dans un tat de panne permanent, car ce mode de dfaillance conduit une dfaillance
complte de l'architecture de diagnostic.
En cas de fonctionnement du systme de diagnostic (S_Di / S_Di*), la dfaillance de S_Ei
est dtecte. Cependant, S_Di / S_Di* peut dfaillir et gnrer des fausses alarmes.
A l'instant initial, r rparateurs sont disponibles pour n systmes lmentaires (r<n).
Une fois que la rparation est termine, S_Ei et S_Di sont supposs tre dans l'tat de
marche.
Le systme de diagnostic global S_GD traite toutes les alarmes qui n'ont pas t
valides. La notion d'alarme valide fait rfrence une alarme gnre par S_Di alors
que S_Ei est dfaillant. Cependant, S_GD peut mettre une demande de rparation
(succs) ou ne pas mettre de demande de rparation (chec).

Le comportement rsultant de ces hypothses peut maintenant tre modlis.


2.2. Modles des architectures de diagnostic
Cette section est ddie la modlisation des architectures de diagnostic RCD et EDCD. Les modles
RdPC des architectures RCD et EDCD sont composs de plusieurs RdPC interconnects. Chaque RdPC
dcrit le comportement d'une entit spcifique : les rseaux de communication S_TWN et/ou S_EDN,
les systmes lmentaires S_Ei, les systmes de diagnostic S_Di / S_Di*, le systme de diagnostic
global S_GD et la maintenance.
Les Rseaux de Petri Colors reposent sur un formalisme trs strict (voir sous-section 1.2.2.4).
Cependant, afin de faciliter la comprhension du lecteur, les expressions d'arc et couleurs de place
ne sont pas affiches dans les modles. Les interconnexions entre les RdPC sont mises en valeur par
des places et des arcs en pointills. Dans les RdPC, l'indice i indique le ime systme lmentaire S_Ei
et son systme de diagnostic associ, not S_Di ou S_Di*.
Etant donn que les architectures reposent sur des rseaux de communication (S_TWN et/ou
S_EDN), la modlisation en RdPC de ces rseaux est d'abord dtaille, dans la sous-section cidessous. Puis les modles des architectures de diagnostic RCD et EDCD sont prsents dans les soussections suivantes.
2.2.1. Modle d'un rseau de communication
Plusieurs modles pour les rseaux de communication ont t proposs dans la littrature (voir
chapitre 1). Les rseaux de communication embarqus dans les trains, comme S_EDN, reposent sur
Page 62 sur 134

des technologies spcifiques au transport ferroviaire, comme par exemple le rseau MVB
"Multifunction Vehicle Bus" (IEC61375,2012), ou des technologies plus gnralement utilises dans
l'industrie, comme par exemple le rseau Profibus (Wahl et al.,2004).
Quelque soit le type de rseau de communication, des protocoles existent pour dtecter les
messages qui ont t transmis en erreur : par exemple, le contrle de la parit ou les codes
redondance cyclique (Rahoual & Siarry, 2006)(Ciame,2009). Cependant, ces protocoles de dtection
ne sont pas parfaits. Il est donc possible qu'un message soit transmis avec une ou plusieurs erreurs
non dtecte(s) par les protocoles de dtection.
Dans notre travail, nous caractrisons cette erreur par la notion d'erreur rsiduelle. Nous la
dfinissons par le rapport entre le nombre de bits altrs en dpit des protocoles de
dtection/correction des erreurs sur le nombre total de bits transmis :
(8)
Dans notre travail, selon l'hypothse (iii), la modlisation du rseau de communication prend en
compte les dfaillances temporaires et les erreurs rsiduelles. De plus, nous supposons que,
lorsqu'une erreur rsiduelle se produit, elle est dtecte dans tous les cas et aucune retransmission
du message erron n'est ralise par le rseau de communication.
Pour modliser un rseau de communication temps rel, (Zimmermann & Hommel,2005) propose
un Rseau de Petri 2 places et identifie empiriquement les lois de probabilit exponentielles de
dfaillance temporaire (paramtre
) et de reprise aprs celles-ci (paramtre
). Inspir
de ce travail, la Figure 18 comporte deux principaux tats: l'tat de marche (place 1001) et l'tat
perturb (place 1002). Le jeton du Rseau de Petri volue de la place 1001 la place 1002 lorsqu'une
dfaillance temporaire se produit (par exemple, due des perturbations lectromagntiques). La
place 1001 est nouveau marque aprs un certain temps, modlis par le taux de reprise
.
A ce modle est ajoute la partie grise de la Figure 18, dcrivant le processus de transmission:
La transmission dmarre quand une requte de transmission est mise (place i12) et que le
rseau de communication est dans l'tat de marche (place 1001).
La transmission est modlise par les places 1003 et 1004 avec un temps de transmission T T
qui est li la taille du message n exprime en bit et au dbit du rseau de communication Q
en bit/s. TT est dfini par :
(9)

Page 63 sur 134

Le modle permet galement de prendre en compte la notion d'erreur rsiduelle. Cette


possibilit est modlise par deux transitions avales et par la probabilit pRE qu'un message
soit affect par une erreur rsiduelle. Il convient de s'assurer que la somme des probabilits,
associes aux diffrentes alternatives, soit gale 1. Ici, deux alternatives sont possibles :
occurrence de l'vnement ou absence d'vnement. Pour respecter cette galit, la
probabilit associe la transition "Transmissions avec erreur(s) rsiduelle(s)" est donc pRE et
la probabilit associe la transition "Transmissions sans erreur rsiduelle" est le
complment, soit 1-pRE.

i12
1

Demande de
transmission

(Zimmermann & Hommel,2005)

rseau

Marche

Transmission
en cours

1003

TT

1004

pRE

Transmission
avec erreur(s)
rsiduelle(s)

Fin de
transmission

1001
p

Perturb
1002

rseau

1-pRE
Transmission
sans erreur
rsiduelle

Lgende
rseau

: Taux de dfaillance du rseau de communication


Taux de reprise du rseau de communication
: Probabilit uu message soit affect par une erreur rsiduelle
: Temps de transmission

rseau :

pRE
TT

Figure 18 : Modle RdPC d'un rseau de communication

Page 64 sur 134

Il convient de remarquer que, tant donn que le rseau de communication est une ressource
commune, il doit tre capable de grer tous les jetons colors, correspondant aux diffrents
messages de S_Di ou S_Di*. Un conflit peut se produire lorsque plusieurs demandes de transmission
sont en attente et que le rseau de communication est dans l'tat de marche (la place 1001 contient
un jeton). Dans nos travaux, nous avons choisi de rsoudre ces conflits par priorit, en donnant la
priorit au jeton avec l'index i le plus petit.

2.2.2. Modle de l'architecture RCD


Le modle RdPC gnrique de l'architecture RCD est compos de plusieurs RdPC interconnects
(zones grises). Le modle RdPC est gnrique dans le sens o il peut convenir pour n couples S_Ei et
S_Di / S_Di*. A des fins d'illustrations, le modle RdPC est prsent pour n=1 (Figure 19). Pour une
architecture RCD donne, il existe un seul RdPC pour le rseau de communication bord sol S_TWN,
un seul RdPC pour le systme de diagnostic global S_GD et un seul RdPC pour la maintenance, tandis
que les systmes lmentaires S_Ei et systmes de diagnostic S_Di peuvent tre instancis n fois.
Cette instanciation des couples S_Ei et S_Di / S_Di* est ralise en mettant n jetons dans la place i1
et n jetons dans la place i11.
Requte de transmission
dalarme

i12

S_TWN
Marche

S_Di

Vraie alarme
gnre
1-pF

Fausse alarme
mise
pF

i13

Dfaillance
dtecte

1004

pRE_TWN

Transmission
sans erreur
rsiduelle

Transmission
avec erreur(s)
rsiduelle(s)

Fausse alarme

S_Ei

S_Ei

i1
Marche

i22

S_GD

Analyse de
lalarme

2004

2003

TA

i23

Fausse
alarme

R1

2002

Fin d
analyse

Fin de
Fin de
rparation rparation
de S_Di
de S_Ei

S_TWN

1-pRE_TWN

i15

i2

1002

Transmission
termine

i14

Panne

TT_TWN

Inhibition
dalarme

Perturb

1001

Transmission
en cours

1003

i11
Marche

S_TWN

Vraie
alarme

Trepair_i
Rparation
en cours

2005

1-pMAINT

i21
Maintenance

2006

Vraie alarme
valide

Attente
2001

pMAINT

Requte de
rparation

Legende
S_Ei : taux de dfaillance du systme lmentaire i (S_Ei)
Trepair_i : temps de rparation du couple (S_Ei / S_Di)

pF : probabibit que S_Di dfaille


TT _TWN: te ps pou t a s ett e u
essage dala e du _Di
vers le S_GD (au centre de maintenance)
TA : te ps da al se du e ala e
PMAINT : probabilit de dclencher une opration de maintenance

S_TWN :

taux de dfaillance de S_TWN


taux de reprise de S_TWN
pRE_TWN : p o a ilit uu
essage su _TWN soit affect par
une erreur rsiduelle
S_TWN :

Figure 19 : modle RdPC de l'architecture RCD

Page 65 sur 134

Le RdPC propos pour dcrire le comportement d'un S_Ei a deux places, correspondant
respectivement aux tats de marche et de panne (Figure 19). Le jeton i reprsente S_Ei. La transition
depuis l'tat de marche vers l'tat de panne (i2) suit une loi de distribution caractrise par le taux
de dfaillance S_Ei. La transition depuis l'tat de panne vers l'tat de marche (i1) est rgie par un
jeton dans la place i22, modlisant la fin de rparation l'issue de la chane de diagnostic et de
rparation.

Le comportement de S_Di est modlis par un Rseau de Petri color qui caractrise la bonne
dtection, lorsque la dfaillance de S_Ei est dtecte (place i13), la mauvaise dtection, en cas de
fausse alarme (place i15) et l'inhibition d'alarme (place i14). Cette place i14 modlise l'inhibition,
c'est--dire la non-transmission d'une demande d'alarme soit en cas de transmission errone (place
1004), soit en cas de fausse alarme (place 2004), soit lorsqu'une opration de maintenance n'est pas
dclenche (place 2005). Cette inhibition est ncessaire afin de rarmer le S_Di qui a gnr l'alarme
ou le diagnostic de S_Ei. Aprs inhibition d'une alarme, S_Di retourne dans l'tat initial (place i11).
S_Di est initialement dans l'tat de marche (place i11). L'volution de S_Di vers l'tat de dfaillance
dtecte ou de fausse alarme est modlise par deux transitions aux probabilits complmentaires :

S_Di volue vers l'tat de vraie alarme avec la probabilit 1-pF (place i13) et met une
requte de transmission d'alarme.
Sinon, S_ Di gnre des fausses alarmes avec la probabilit pF (place i15) et met dans ce cas
une requte de transmission de fausse alarme.

La modlisation de S_TWN est similaire celle prsente la sous-section 2.2.1, mis part que les
paramtres TT_TWN, S_TWN, et S_TWN sont ceux du rseau de communication bord sol (S_TWN).

Le comportement de S_GD est modlis par un Rseau de Petri color quatre places. Le S_GD est
en d'attente dans l'tat initial (place 2001) et volue dans l'tat d'analyse (place 2003) quand une
alarme est reue (place 2002). Le temps ncessaire pour analyser l'alarme est modlis par la dure
TA. A la fin de l'analyse, deux alternatives sont possibles (place 2004) :

Si l'alarme est considre comme "fausse", alors elle est inhibe (place i14).
Si l'alarme est considre comme "vraie" et valide (place 2005), alors deux alternatives sont
possibles :
o une demande une rparation est ralise avec la probabilit pMAINT car l'alarme est
justifie (place 2006).
o l'alarme est inhibe avec la probabilit 1-pMAINT si l'intervention est juge nonprioritaire (place i14).
Une fois que le choix entre ces alternatives a t ralis, S_GD retourne dans l'tat d'attente (place
2001).

La maintenance est modlise par un RdPC quatre places. Quand une rparation est demande
(place 2006) et qu'un rparateur est disponible (place R1), alors la rparation dmarre (place i21)
Page 66 sur 134

pour un couple S_Ei / S_Di dfaillant. La dure de rparation est modlise par le temps Trepair_i. Les
places i22 et i23 correspondent respectivement la fin de rparation de S_Ei et S_Di. Si plusieurs S_Ei
sont simultanment en attente de rparation (la place 2006 contient plusieurs jetons), alors il est
possible de modliser r rparateurs (place i21) par r jetons dans la place R1. A des fins d'illustration,
la Figure 19 illustre le RdPC de maintenance pour r=1.
Le lecteur doit garder l'esprit que des conflits peuvent exister, par exemple :

e t e les ouples _Ei / S_Di , lo s de l'a s au rseau de communication (place 1003) et


un rparateur (place R1),
lorsque plusieurs alarmes doivent tre analyses (place 2002) et que le S_GD est en attente.

De la mme manire que prcdemment, pour rsoudre ces conflits, la priorit est donne l'index i
le plus petit. De mme, S_TWN, S_GD et les r rparateurs sont des ressources communes (marque p)
et dfinis dans la couleur unit, qui est la couleur de base (Jensen,2007). Les S_Ei et S_Di sont dfinis
dans le domaine de couleur entier naturel ( ), o la marque i reprsente le systme i.

2.2.3. Modle de l'architecture EDCD


Le modle de l'architecture EDCD est similaire au modle de l'architecture RCD. Trois principales
diffrences existent :

Les systmes de diagnostic embarqus S_Di* gnrent des diagnostics de haut niveau, c'est-dire la cause probable d'une dfaillance.
Le diagnostic global S_GD est embarqu et n'est pas localis au centre de maintenance.
Un rseau de communication supplmentaire (S_EDN) est utilis pour changer les messages
dans le train, qui est modlis par un seul RdPC similaire S_TWN.

Le principe d'instanciation des couples _Ei / S_Di* est si ilai e l'a hite tu e RCD : ha ue _Ei
est coupl S_Di*.
La Figure 20 fournit les RdPC interconnects, modlisant l'architecture EDCD.

Page 67 sur 134

Requte de transmission
dalarme

i12

S_EDN
Marche

Fausse alarme
mise
pF

3003

i13

Dfaillance
dtecte

i11
Marche

S_EDN

S_Di*

Vraie alarme
gnre
1-pF

pRE_EDN

Transmission
sans erreur
rsiduelle

Transmission
avec erreur(s)
rsiduelle(s)

Fausse alarme

S_Ei

S_Ei

i1
Marche

i22

2002

Fin d
analyse

Fin de
Fin de
rparation rparation
de S_Di
de S_Ei

S_EDN

1-pRE_EDN

i15

i2

3002

Fin de
transmission

3004

i14

Panne

TT_EDN

Inhibition
dalarme

Perturb

3001

Transmission
en cours

S_GD

Analyse de
lalarme

2004

2003

TA

i23
R1

Fausse
alarme

Vraie
alarme

Trepair_i
Rparation
en cours

2001

Vraie alarme
valide

2005

pMAINT

1-pMAINT

i21

Attente

Maintenance

Requte de
transmission
de rparation

2006

S_TWN
S_TWN

Marche
1003

Transmission
en cours

pRE_TWN

Transmission
avec erreur(s)
rsiduelle(s)

1002

1001

TT_TWN

1004

Perturb

Transmission
termine

S_TWN

1-pRE_TWN

Transmission
sans erreur
rsiduelle
1005

Requte de
rparation

Lgende
S_Ei : taux de dfaillance du systme lmentaire i (S_Ei)
Trepair_i : temps de rparation du couple (S_Ei / S_Di)

pF : probabilit que S_Di* dfaille


TT _TWN: te ps pou t a s ett e u
centre de maintenance
TT_EDN : te ps pou t a s ett e u
S_GD

essage dala

e du _GD au

essage dala

e de S_Di*

S_TWN :

taux de dfaillance de S_TWN


taux de reprise de S_TWN
pRE_TWN : p o a ilit uu
essage su _TWN soit affect par
une erreur rsiduelle
S_TWN :

S_EDN :

taux de dfaillance de S_EDN


taux de reprise de S_EDN
pRE_EDN : p o a ilit uu essage su _EDN soit affect par une
erreur rsiduelle
S_EDN :

TA : te ps da al se du e ala e
PMAINT : probabilit de dclencher une opration de maintenance

Figure 20 : modle RdPC de l'architecture EDCD

Page 68 sur 134

3. Validation
Cette partie propose de valider thoriquement les modles proposs en comparant l'architecture
RCD l'architecture EDCD. Pour ce faire, le protocole de validation consiste considrer un cas
optimiste et un cas pessimiste. Puis, les rsultats sont gnrs en sortie des modles afin de valider
le comportement attendu en fonction des valeurs fixes en entre.

3.1.Dfinition d'un protocole de validation


Dans le protocole de validation retenu, les architectures RCD et EDCD sont simules. Pour obtenir
une sollicitation identique en entre des architectures, les temps avant dfaillance des systmes
lmentaires S_E sont tirs a priori, dans le logiciel MATLAB, selon la distribution de dfaillance
retenue. Puis, un vecteur, constitu de tous ces temps avant dfaillance, est mis en entre du logiciel
de simulation des Rseaux de Ptri. A chaque S_Ei en architecture RCD et en architecture EDCD est
associ un ensemble de temps identiques.
Pour comparer l'architecture RCD l'architecture EDCD, un ensemble de critres (Tableau 6) est
utilis. Les mesures implmentes pour la FMD (le MTTF, la MDT et A(t)) sont dfinies au chapitre 1.
Neuf critres supplmentaires sont introduits :

le nombre d'erreurs rsiduelles sur les rseaux de communication, not NRE (pour "Number
of Residual Errors"),
le temps cumul d'analyse des fausses alarmes, not CTFA (pour "Cumulative Time Spent on
analyzing False Alarms"), qui permet de mesurer le temps "perdu" analyser des alarmes,
dans le sens o il ne permet ni de rparer un S_Ei ni d'amliorer un attribut de l'architecture,
le temps cumul d'analyse des vraies alarmes, not CTTA (pour "Cumulative Time spent on
analyzing True Alarms"), qui permet de mesurer le temps consacr raison analyser des
alarmes, dans le sens o ces vraies alarmes sont mises aprs qu'un S_Ei soit dfaillant,
le temps cumul d'analyse de toutes les alarmes, not CTAA (pour "Cumulative Time spent
on analyzing All Alarms"), qui permet de mesurer le temps consacr analyser toutes les
alarmes : les fausses alarmes et les vraies alarmes. Ainsi, il est possible d'crire que CTAA est
la somme du temps cumul pass analyser les fausses alarmes (CTFA) et du temps cumul
pass analyser les vraies alarmes (CTTA).
le Pourcentage de Temps d'analyse pass analyser des Fausses Alarmes, not PTFA, qui
permet de mesurer la proportion de CTAA consacre l'analyse des fausses alarmes.
le nombre de vraies alarmes, not NTA (de l'anglais "Number of True Alarms"), qui mesure le
nombre d'alarmes/diagnostics gnrs aprs qu'un S_Ei soit dfaillant,
le nombre de fausses alarmes, not NFA (de l'anglais "Number of False Alarms"),
le nombre total d'alarmes, not NAA (de l'anglais "Number of All Alarms"), qui mesure le
nombre de toutes les alarmes/diagnostics gnrs. Ainsi, NAA est la somme du nombre de
vraies alarmes (NTA) et le nombre de fausses alarmes (NFA).
la taille de l'architecture de diagnostic, qui mesure l'encombrement de l'architecture de
diagnostic.

Page 69 sur 134

Critres de validation d'architecture


pendant le temps de simulation

Mesure implmente sur les RdPC

Fiabilit

MTTF

Maintenabilit

MDT

Disponibilit

A(t)

Mesure du nombre d'erreurs


rsiduelles sur les rseaux de
communication
Mesure du Temps Cumul d'analyse des
Fausses Alarmes

NRE

CTFA

Mesure du Temps Cumul d'analyse


des Vraies Alarmes

CTTA

Mesure du Temps Cumul d'analyse


de toutes les Alarmes

CTAA = CTTA + CTFA

Pourcentage de Temps d'analyse pass


analyser des Fausses Alarmes
Nombre de vraies alarmes

NTA

Nombre de fausses alarmes

NFA

Nombre total d'alarmes

NAA = NTA + NFA

Evaluation de taille de
l'architecture de diagnostic

Nombre d'entits constituant


l'architecture de diagnostic
embarques dans le train

Tableau 6 : critres de validation et mesures ralises sur les RdPC

Deux logiciels (CPN Tools et GRIF) ont t utiliss pour implmenter les modles RdPC des
architectures de diagnostic. GRIF ne supportant pas les Rseaux de Petri colors, les modles
proposs ont donc t convertis en Rseaux de Petri stochastiques. Cette conversion est possible, car
les RdPC proposs ont un nombre fini d'ensemble de couleurs (David & Alla,2005). Les rsultats
fournis par les deux logiciels ont une erreur relative de moyenne 11% et d'cart type 0.2.

3.2.Simulation et rsultats
Le p e ie as th o i ue de validatio o siste si ule u ouple _Ei / S_Di pou l'a hite tu e
RCD et u ouple _Ei / S_Di* pou l'a hite tu e EDCD = . Pour n=1, une architecture est
suppose :

fiable si tous les systmes S_E, S_D (ou S_D*) et tous les rseaux de communication (S_TWN
et S_EDN) sont dans l'tat de bon fonctionnement,
disponible si S_E et S_D sont tous les deux dans l'tat de bon fonctionnement

Page 70 sur 134

Le second cas thorique de validation est bas sur le mme principe de validation en utilisant trois
ouples _Ei / S_Di espe tive e t _Ei / S_Di* = . Pour n=3, une architecture est suppose :

fiable si tous les couples "S_Ei et S_Di / S_Di* associs" et tous les rseaux de communication
sont l'tat de bon fonctionnement (S_TWN et S_EDN)
dispo i le si au oi s u ouple pa i les t ois _Ei / S_Di ou _Ei / S_Di* est da s l' tat
de bon fonctionnement

3.2.1. Premier cas thorique de validation


Deux campagnes de simulation ont t ralises avec les entres donnes dans le Tableau 7. La
dure de simulation a t fixe 8760h (soit 1 an), afin que les valeurs asymptotiques soit atteintes.
Pou les deu as th o i ues de validatio , S_Ei et Trepair_i sont fixs arbitrairement. Le taux de
dfaillance de S_Ei suit une distribution de weibull de paramtres de forme gal 0.8, de paramtre
d'chelle gal 500 et de paramtre de temps gal 0. Le te ps de pa atio pou le ouple _Ei /
S_Di ou _Ei / S_Di* T_repair_i) suit une loi de distribution log normale de moyenne 50h de facteur
d'erreur gal 3. Les paramtres des architectures de diagnostic sont ensuite dfinis dans deux cas :

La simulation 1, qui se place dans un cas optimiste, et qui suppose que l'architecture de
diagnostic est "parfaite":
o S_Di ne gnre aucune fausse alarme (pF=0),
o Les temps de transmission sont fixs des valeurs nulles (TT_TWN=TT_EDN=0),
o Les rseaux de commu i atio e so t ja ais pe tu s S_TWN= S_EDN=10-10h-1 afin
que les perturbations n'aient jamais lieu durant la simulation et donc il n'y a pas
d'erreur rsiduelle PRE_TWN=PRE_EDN=0),
o le temps TA pour analyser une alarme est suppos nul,
o la probabilit de dclencher une opration de maintenance est fixe 1 (pMAINT=1),

La simulation 2, qui se place dans un cas pessimiste, et qui suppose que l'architecture de
diagnostic est "mauvaise" :
o S_Di gnre des fausses alarmes (pF=0.6),
o Les temps de transmission sont fixs des valeurs importantes (TT_TWN=TT_EDN=0.2h),
o Le rseau de communication S_TWN est souvent perturb S_TWN=3.10-2h-1 de telle
manire que les perturbations ont lieu souvent pendant la dure de simulation avec
des erreurs rsiduelles pRE_TWN=0.3). Etant donn que l'architecture EDCD implique
un nouveau rseau de communication S_EDN, ce rseau est suppos tre un rseau
-10 -1
lo al i dust iel ui 'est ja ais pe tu
S_EDN=10 h ) mais o des erreurs
rsiduelles apparaissent (pRE_EDN=0.3). Ceci afin de ne pas tudier l'influence du
rseau sur l'architecture,
o la probabilit de dclencher une opration de maintenance est fixe 0.2
(pMAINT=0.2),

Page 71 sur 134

Entres
Paramtre

architecture
RCD

architecture
EDCD

Type de
distribution

Simulation 1: cas optimiste

Simulation 2: cas pessimiste

Valeur

Valeur
Paramtre de forme : 0.8
Paramtre d'chelle : 500
Paramtre de temps : 0
3.10-2h-1

S_Ei

exponentielle

S_TWN

exponentielle

Paramtre de forme : 0.8


Paramtre d'chelle : 500
Paramtre de temps : 0
10-10h-1

S_TWN

exponentielle

10h-1

pRE_TWN

3.10-1

TT_TWN

dterministe

0h

0.2h

pF

6. 10-1

TA

dterministe

0h

0h

pMAINT

Trepair_i

exponentielle

0.2
Moyenne : 50 h
Facteur d'erreur : 3
Paramtre de forme : 0.8
Paramtre d'chelle : 500
Paramtre de temps : 0
10-10h-1

S_Ei

exponentielle

S_EDN

exponentielle

1
Moyenne : 50 h
Facteur d'erreur : 3
Paramtre de forme : 0.8
Paramtre d'chelle : 500
Paramtre de temps : 0
10-10h-1

S_EDN

exponentielle

10h-1

pRE_EDN

3.10-1

TT_EDN

dterministe

0h

0.2h

-10 -1

S_TWN

exponentielle

10 h

3.10-2h-1

S_TWN

exponentielle

10h-1

pRE_TWN

3.10-1

TT_TWN

dterministe

0h

0.2h

pF

6.10-1

TA

dterministe

0h

0h

pMAINT

Trepair_i

exponentielle

1
Moyenne : 50 h
Facteur d'erreur : 3

0.2
Moyenne : 50 h
Facteur d'erreur : 3

Tableau 7 : Paramtres et valeurs en entre des modles pour les cas optimiste et pessimiste

Pour les rsultats des cas thoriques de validation, l'affichage des rsultats sous forme
d'histogramme est prfre (Figure 21 et Figure 22).

Rsultats

La Figure 21 illustre les rsultats de simulation pour les cas pessimiste (x_P) et optimiste (x_O). En ce
qui concerne la disponibilit, la valeur asymptotique converge pour les deux cas respectivement vers
0.914 pour RCD_O, 0.898 pour EDCD_O, 0.882 pour RCD_P et 0.852 pour EDCD_P (Figure 21a).
Quant la MDT, sa valeur atteint 49.25h et 49.84h pour RCD et EDCD dans le cas optimiste et sa
valeur atteint 71.8h et 77.49h pour le cas pessimiste (Figure 21b).

Page 72 sur 134

0,914
0,898
0,882
0,852

Temps (h)

a)
MDT

MTTF

90

700

77,49

80

71,8

60

535,54

500
49,84

49,25

50

Temps (h)

Temps (h)

576,6

600

70

40
30
20

400
300
200

10

100

0
RCD_O

EDCD_O

RCD_P

EDCD_P

14,03

13,12

RCD_P

EDCD_P

0
RCD_O

EDCD_O

b)

c)

Nombre d'Erreurs Rsiduelles sur


S_TWN et S_EDN (NRE)
600

Nombre total d'alarmes (NAA), Nombre de


vraies alarmes (NTA) et nombre de fausses
alarmes (NFA)

550,67

1200

500

363,6

1000
400

NTA
800

372,2

NFA

281,65

300

733,5

600
200
533,7

400
100
0

200

0
RCD_O

EDCD_O

RCD_P

EDCD_P

16,25
0

d)

e)

Temps Cumul d'analyse de toutes les


Alarmes (CTAA), Temps cumul
d'analyse des Fausses Alarmes (CTFA),
Temps cumul d'analyse des Vraies
Alarmes (CTTA)

Pourcentage du Temps d'analyse pass


sur des Fausses Alarmes (PTFA)
1,2
1
0,8

1
0,8

Temps (h)

16,19
0

CTTA

0,6

CTFA

0,4

0,6
0,4
0,2
0

0,2

0
0
RCD_O

EDCD_O

RCD_P

EDCD_P

f)
RCD_O : RCD, cas optimiste
RCD_P : RCD, cas pessimiste

RCD_O

EDCD_O

RCD_P

EDCD_P

g)
EDCD_O : EDCD, cas optimiste
EDCD_P : EDCD, cas pessimiste

Figure 21 : Rsultats de simulation pour les cas pessimiste et optimiste (n=1)

Page 73 sur 134

Le MTTF prend respectivement une valeur asymptotique de 576.6h et 535.34h pour RCD et EDCD
dans le cas optimiste, tandis que le MTTF est respectivement gal 14.03h et 13.22h pour RCD et
EDCD dans le cas pessimiste (Figure 21c).
Le rsultat pour l'indicateur NRE (Figure 21d) prouve que le comportement du modle est le
comportement attendu : une valeur nulle pour le cas optimiste, puisque pRE_EDN et pRE_TWN sont fixs
la valeur 0. Pour le cas pessimiste, l'architecture EDCD atteint une valeur de 550.67 (Figure 21d), ce
qui est environ le double de l'architecture RCD dans le cas pessimiste, puisque l' architecture EDCD
intgre deux rseaux de communication et est de ce fait plus sensible aux erreurs de transmission.
Le nombre de fausses alarmes est nul (indicateur NFA) pour RCD_O et EDCD_O car pF est fix 0
(Figure 21e). Les indicateurs de temps cumul d'analyse de fausses alarmes (CTFA) et de vraies
alarmes (CTTA) sont aussi nuls (Figure 21f), du fait de la valeur d'entre de TA (gale 0).
Le Pourcentage de Temps d'analyse pass analyser des Fausses Alarmes ne peut tre calcul
(Figure 21g) dans tous les cas, car le Temps Cumul d'analyse des Fausses Alarmes CTFA et le Temps
Cumul d'analyse des Vraies Alarmes CTTA n'ont pas t pris en compte en entre du modle (Figure
21f).

Interprtation

L'objectif de cette tude est de valider l'aspect stochastique du modle.


Dans le cas optimiste, les valeurs de tous les indicateurs dcrivent des architectures performantes :
disponibilit et fiabilits leves (Figure 21a c), pas d'erreur rsiduelle (Figure 21d) ni de fausse
alarme (Figure 21e et f). Les architectures RCD et EDCD sont trs proches sur tous les indicateurs
(Figure 21a g). Ce rsultat permet de valider le modle pour ces valeurs d'entre, car les
dfaillances dues aux rseaux communication (S_TWN et S_EDN) et aux systmes de diagnostic
(S_D/S_D*) ont t "dsactives".
Ces rsultats de sortie permettent donc de valider le modle et l'implantation dans les logiciels de
simulation, dans le cas optimiste, pour ces valeurs d'entre.

Dans le cas pessimiste, l'architecture EDCD est moins bonne que RCD sur tous les indicateurs (Figure
21a g). En effet, un nombre important d'erreurs rsiduelles a lieu en architecture EDCD (Figure 21d).
Ce nombre, presque deux fois plus grand qu'en architecture RCD, implique davantage d'alarmes
gnres par le S_D (Figure 21e) et au final, davantage de temps perdu avant de commencer la
rparation.
Ces rsultats de sortie permettent donc de valider le modle et l'implantation dans les logiciels de
simulation, dans le cas pessimiste, pour ces valeurs d'entre. Cette premire simulation permet
galement de souligner que, en thorie dans le cas pessimiste, EDCD est moins ractive et implique
davantage d'erreurs que RCD, du fait de la prsence du second rseau de communication. Les
rsultats du cas pessimiste illustrent galement que le rseau embarqu peut occuper une place

Page 74 sur 134

centrale : s'il est mauvais (probabilit d'erreur rsiduelle leve et taux de dfaillance lev), il peut
conduire une architecture EDCD aux performances rduites.

3.2.2. Second cas thorique de validation


En ce qui concerne le second cas thorique de validation, le mme processus de validation est ralis
en utilisa t t ois ouples _Ei / S_Di espe tive e t _Ei / S_Di* pou les a hite tu es RCD et
EDCD. De la mme manire que prcdemment, deux campagnes de simulation ont t ralises
pour une dure de 8760h avec les mmes valeurs d'entre (Tableau 7).

Rsultats

La Figure 22 donne les rsultats de simulation pour les cas optimistes et pessimistes. En ce qui
concerne la disponibilit (Figure 22a), la valeur asymptotique pour les deux cas converge
respectivement vers 0.999 pour RCD_O, vers 0.997 pour EDCD_O, vers 0.964 pour RCD_P et vers
0.953 pour EDCD_P. En ce qui concerne la MDT (Figure 22b), sa valeur atteint 47.66h et 48.023h pour
RCD et EDCD dans le cas optimiste et sa valeur atteint 57.44h et 72.5h pour le cas pessimiste.
Le MTTF prend respectivement une valeur asymptotique de 134.17h et 134.08h pour les cas
optimistes RCD et EDCD, tandis que le MTTF est respectivement gal 11.06h et 10.65h pour RCD et
EDCD dans le cas pessimiste (Figure 22c).
De la mme manire que pour le premier cas thorique de validation, tant donn que le but de
cette tude est de valider l'aspect stochastique du modle :
o

NRE (Figure 22d) est nul pour le cas optimiste car pRE_EDN et pRE_TWN sont fixs 0. Pour
le cas pessimiste, la valeur de l'architecture EDCD (EDCD_P=662.98) est suprieure
l'architecture RCD (RCD_P=461.39) car EDCD a un second rseau de communication
les indicateurs NFA (Figure 22e) et CTFA (Figure 22f) sont gaux 0 et PTFA ne peut
tre calcul (Figure 22g).

Interprtation

Pour n=3, le modle a le comportement attendu dans les cas optimistes et pessimistes et donne en
sortie des rsultats similaires aux rsultats pour n=1 :
o
o
o

Les architectures RCD et EDCD sont trs proches et performantes dans le cas
optimiste (fiabilit et disponibilit leves, aucune fausse alarme).
l'architecture EDCD est moins performante que l'architecture RCD dans le cas
pessimiste.
Le rseau embarqu (S_EDN) occupe une place centrale dans l'architecture EDCD,
car sa mauvaise performance (probabilit d'erreur rsiduelle leve et taux de
dfaillance lev), peut diminuer les performances (fiabilit, disponibilit, nombre
d'erreurs rsiduelles) de l'architecture EDCD.
La faiblesse de l'architecture EDCD rside (en thorie) dans la prsence de deux
rseaux de communication, parce que l'indicateur NRE est gal 461.39 pour RCD_P,
tandis qu'il atteint 662.98 pour EDCD_P (Figure 22d).

Page 75 sur 134

0,999
0,997
0,964

0,953

Temps (h)

a)
MTTF

MDT
80

160

72,5

70

48,023

47,66

50

134,08

120
Temps (h)

Temps (h)

134,17

140
57,44

60

40
30
20

100
80
60
40

10

20

0
RCD_O

EDCD_O

RCD_P

11,06

10,65

RCD_P

EDCD_P

EDCD_P

RCD_O

EDCD_O

b)

c)

Nombre d'Erreurs Rsiduelles sur


S_TWN et S_EDN (NRE)
700

662,98

Nombre total d'alarmes (NAA),


Nombre de vraies alarmes (NTA) et
nombre de fausses alarmes (NFA)
2500

600
500

873,8

2000

461,39

NTA

400
1500

632

NFA

300
1000

200

952,2

1311,2

100
0

500

0
RCD_O

EDCD_O

RCD_P

EDCD_P

45,2
0

45,39
0

e)

d)
Temps Cumul d'analyse de toutes
les Alarmes (CTAA), Temps cumul
d'analyse des Fausses Alarmes
(CTFA), Temps cumul d'analyse
des Vraies Alarmes (CTTA)
1

1,2
1
0,8

0,8

Temps (h)

Pourcentage du Temps d'analyse


pass sur des Fausses Alarmes
(PTFA)

CTTA

0,6

CTFA
0,4
0,2

0,6
0,4
0,2

0
0
RCD_O

EDCD_O

RCD_P

EDCD_P

f)
RCD_O : RCD, cas optimiste
RCD_P : RCD, cas pessimiste

RCD_O

EDCD_O

RCD_P

EDCD_P

g)
EDCD_O : EDCD, cas optimiste
EDCD_P : EDCD, cas pessimiste

Figure 22 : Rsultats de simulation pour les cas pessimiste et optimiste (n=3)

Page 76 sur 134

Conclusion
Ce chapitre a permis de prsenter nos modles et notre protocole d'valuation de FMD pour la
validation des modles d'architectures de diagnostic prsentes.
Dans un premier temps, notre choix d'une mthode d'valuation de FMD a t prsent et justifi.
Les caractristiques des architectures de diagnostic (systmes dynamiques et multi-tats, partage de
ressources communes) nous ont pousss nous orienter vers les Rseaux de Petri Colors (RdPC),
que nous avons ensuite prsents. Parmi les mthodes de rsolution, nous avons retenu la
rsolution par simulation, qui est gnralement utilise avec les Rseaux de Petri.
Dans un second temps, nous avons propos des modles RdPC pour les architectures RCD et EDCD
du chapitre 2. Nous avons d'abord dtaill un modle RdPC pour les rseaux de communication, qui
occupent une place centrale dans ces architectures de diagnostic. Puis, nous avons propos des
modles RdPC pour les architectures RCD et EDCD.
Un protocole, compos de critres d'valuation des modles et de cas de simulations (cas optimiste
et cas pessimiste) a ensuite t prsent afin de valider ces modles. De plus, les modles RdPC ont
t implments dans deux logiciels diffrents afin de s'assurer de l'absence d'erreurs de
modlisation en comparant l'erreur entre les valeurs numriques atteintes par les critres et la
cohrence des rsultats.
Les modles RdPC des architectures RCD et EDCD sont valids. Le chapitre suivant a pour objet de les
exploiter et de les appliquer sur un cas rel ferroviaire.

Page 77 sur 134

Page 78 sur 134

Chapitr
proposs

: xploitation ds modls

INTRODUCTION ............................................................................................................................... 80
1. APPLICATION SUR UN CAS REEL .................................................................................................... 80
1.1. PRESENTATION DE L'ACCES VOYAGEURS ................................................................................................ 80
1.2. ESTIMATION DES PARAMETRES DU SYSTEME ELEMENTAIRE D'ACCES VOYAGEURS ......................................... 82
1.2.1. Estimation de la distribution de dfaillance d'un accs voyageurs .......................................... 83
1.2.2. Estimation de la distribution de rparation d'un accs voyageurs........................................... 85
1.3. QUANTIFICATION DES PARAMETRES DES RESEAUX DE COMMUNICATION .................................................... 87
1.3.1. Rseau de communication bord sol (S_TWN) .......................................................................... 87
1.3.2. Rseau de diagnostic embarqu (S_EDN) ................................................................................. 87
1.4. QUANTIFICATION DES PARAMETRES DES SYSTEMES DE DIAGNOSTIC ........................................................... 88
1.5. SYNTHESE DES DONNEES D'ENTREE ...................................................................................................... 89
1.6. SIMULATIONS................................................................................................................................... 90
1.6.1. Un systme lmentaire S_Ei (n=1) .......................................................................................... 90
1.6.2. Trois systmes lmentaires S_Ei (n=3).................................................................................... 92
2. ETUDES DE SENSIBILITE ............................................................................................................... 94
2.1. SENSIBILITE DES ARCHITECTURES RCD ET EDCD AU TAUX DE DEFAILLANCE DU RESEAU DE COMMUNICATION
BORD SOL (S_TWN) ................................................................................................................................... 94
2.2. SENSIBILITE DE L'ARCHITECTURE EDCD AU TAUX DE DEFAILLANCE DU RESEAU EMBARQUE POUR LE DIAGNOSTIC
(S_EDN) .................................................................................................................................................. 97
2.3. SENSIBILITE DES ARCHITECTURES RCD ET EDCD AU TEMPS DE VALIDATION D'UNE ALARME AU SYSTEME DE
DIAGNOSTIC GLOBAL (S_GD)...................................................................................................................... 100
2.4. SYNTHESE ...................................................................................................................................... 102
CONCLUSION................................................................................................................................ 104

Page 79 sur 134

Chapitre 4 : exploitation des modles


proposs
Introduction
Ce chapitre a pour but d'exploiter les modles RdPC (Rseaux de Ptri Colors) proposs dans le
chapitre prcdent pour les architectures RCD et EDCD sur des cas rels.
Pour ce faire, la premire partie prsente l'application des modles RdPC sur un cas rel propos par
Bombardier, o le systme lmentaire retenu est un accs voyageurs. La distribution du taux de
dfaillance et la distribution des temps de rparation de ce systme lmentaire sont d'abord
estimes partir du retour d'exprience, puis les paramtres des rseaux de communication et des
systmes de diagnostic sont quantifis. Enfin, les rsultats de l'architecture RCD sont compars aux
rsultats de l'architecture EDCD, pour les paramtres d'entre retenus.
La seconde partie de ce chapitre prsente les tudes de sensibilit ralises. Dans la premire
section, la sensibilit des architectures RCD et EDCD au taux de dfaillance du rseau bord sol est
prsente. Puis, la sensibilit de l'architecture EDCD au taux de dfaillance du rseau embarqu pour
le diagnostic est prsente. La sensibilit des architectures RCD et EDCD au temps de validation
d'une alarme au systme de diagnostic global est tudie dans la troisime section. Enfin, les
conclusions de ces trois tudes de sensibilit sont synthtises dans la quatrime section.

1. Application sur un cas rel


Cette partie dtaille l'application des modles RdPC des architectures RCD et EDCD sur un cas rel
propos par Bombardier, o le systme lmentaire est un accs voyageurs. Ce systme lmentaire
est prsent ci-dessous.

1.1.Prsentation de l'accs voyageurs


Le systme lmentaire tudi est un accs voyageurs (AV), situ bord des matriels roulants (de
type train priurbain) circulant sur le rseau ferr franais de la rgion parisienne (Gandibleux et
al.,2012b) (Turgis,2013). La localisation et la trs forte urbanisation impliquent que le train soit
soumis une exploitation de type "mtro", c'est--dire des arrts frquents et un flux important de
passagers. Au final, l'accs voyageurs est soumis une sollicitation accrue par rapport un train de
voyageurs de type train rgional ou de type train grande vitesse. Un train comporte plusieurs accs
voyageurs (Figure 23), qui diffrent s'ils sont monts sur les vhicules de t
it
uip s pou
la essi ilit des UFR U it e Fauteuil Roula t et des PMR Pe so e Mo ilit R duite , ou su
les vhicules intermdiaires (uniquement accs PMR).
L'accs voyageurs est compos de trois sous systmes : un sous-systme porte coulissante deux
vantaux, un sous-systme marche mobile PMR (Personne Mobilit Rduite) et un sous-systme
marche mobile UFR (Unit Fauteuil Roulant) (Figure 23).

Page 80 sur 134

Vhicules dextrmit

..
Vhicules intermdiaires

Sous-systme
porte
Sous-systme
comble-lacune
UFR

Sous-systme
marche mobile
PMR

Systme accs voyageurs


Figure 23 : Disposition des sous-systmes accs voyageurs sur les vhicules du train (Turgis,2013).

Chaque sous-systme est entran par des moteurs lectriques. La demande d'ouverture est ralise
par un bouton poussoir et l'acquisition de l'tat de la partie oprative est ralise par des capteurs
de fin de course (Figure 24). Les trois sous-systmes (porte, marche mobile UFR et marche mobile
PMR) sont pilots par une unit lectronique, appele DCU, (de l'anglais "Door Control Unit").
Chaque accs voyageurs est ainsi quip d'une DCU, qui assure l'interface entre les informations de
pilotage envoyes depuis la cabine du conducteur et chaque sous-systme (porte et marches
mobiles) (Turgis,2013).

Page 81 sur 134

FCC

Porte

FCV
FCF

CM&IFC

LTC

FCC
Train

LTIS

DCU

CM&IFC

PMR

FCV
FCF

IP

Commandes
et
informations
train

Traitement
des
informations
et pilotage
des soussystmes

LTC : Ligne de train de commande


LTIS : Ligne de train information de scurit
IP : Connexion au rseau IP train

FCC

CM&IFC
UFR
Commandes et
informations des
sous-systmes

FCV
FCF
Informations
Fins de Course
(IFC)

FCC : Fin de course de condamnation


FCV : Fin de course de verrouillage
FCF : Fin de course de fermeture
CM&IFC : Commande moteur et informations capteurs

Figure 24 : Diagramme de contrle / commande des sous-systmes accs voyageurs (Turgis,2013)

Le retour d'exprience issu de travaux de recherche prcdents (Cauffriez et al.,2013)(Turgis et


al.,2010) a permis de souligner la criticit de ce systme lmentaire en termes de disponibilit. De
ce fait, ce systme lmentaire a galement t retenu comme application pour le diagnostic dans le
projet FUI SURFER (Gandibleux et al., 2011). Ce systme lmentaire a t choisi pour l'application
relle de nos travaux.

1.2.Estimation
voyageurs

des

paramtres

du

systme

lmentaire

d'accs

Cette section prsente l'estimation des lois de distributions de dfaillance et de rparation d'un
accs voyageurs, qui a t ralise partir des donnes disponibles grce au retour d'exprience de
Bombardier. Ce retour d'exprience comporte des informations, telles que la date de dfaillance, la
date de dmarrage de l'opration de maintenance, le mode de dfaillance, saisies la main par le
personnel de maintenance.
Les donnes disponibles concernent une population de 240 accs voyageurs. D'une part, ces
systmes lmentaires ont t mis en service chronologiquement les uns aprs les autres. D'autre
part, le retour d'exprience tant labor la main, les donnes ne sont pas toujours compltes et
ne sont pas toujours valides. Par exemple, le mode de dfaillance n'est pas toujours indiqu.
Pour nos travaux, le mode de dfaillance le plus grave a t retenu. Celui-ci correspond une perte
de l'accs voyageurs pendant la mission du train. Ce mode de dfaillance implique un retard de 5
minutes dans la mission du train (Gandibleux et al.,2012b).

Page 82 sur 134

Il est noter que, tant donn leur nature confidentielle, les donnes de dfaillance et de rparation
prsentes ci-dessous ne sont pas les donnes relles mais se situent dans le mme ordre de
grandeur.

1.2.1. Estimation de la distribution de dfaillance d'un accs voyageurs


Les donnes de dfaillance proviennent de 240 accs voyageurs (AV), qui ont t progressivement
mis en service. Les donnes ont t obtenues 18 mois aprs l'instant de mise en service en service du
premier accs voyageurs (tser AV1), ce qui dcrit une fentre d'observation de 18 mois sur l'ensemble
de la population (Figure 25). Dans cette fentre d'observation, 91 accs voyageurs parmi les 240 ont
connu leur premire dfaillance.
L'accs voyageur i entre en service l'instant tser AVi (Figure 25). Connaissant l'instant d'occurrence de
la premire dfaillance de l'accs voyageurs i (tdef AVi), il est possible de calculer le temps avant la
premire dfaillance de l'accs voyageurs i (ttf AVi) par :
(10)

ttf AV1
ttf AV2
ttf AV3

AV1
AV2
AV3
AV4

ttf AV4

...

ttf AV91

AV91
...
AV240

tser AV1

tser AV3 tser AV4 tdef AV3


tdef AV2
tser AV91
t

tser AV2

tdef AV4

tdef AV91

Temps
calendaire

def AV1

fe t e do se vatio

te ps ale dai e =

ois

tser AVi instant de mise en service de laccs voyageurs i


tdef AVi instant doccurrence de la 1re dfaillance de laccs voyageurs i
ttf AVi: temps avant la 1re dfaillance de laccs voyageurs i

date dobtention
des donnes

Figure 25 : Reprsentation graphique des donnes de dfaillance des accs voyageurs avant hypothse

Des modifications de conception peuvent avoir lieu entre l'instant de mise en service de l'AV1 (tser AV1)
et l'AV240 (tser AV240). De plus, l'environnement extrieur (temprature, humidit), qui varie durant le
temps calendaire considr, est un des facteurs qui influencent le fonctionnement de l'AV
(Turgis,2013). Les conditions de mesure des temps avant premire dfaillance peuvent donc varier
d'un accs voyageur l'autre. Enfin, la fentre d'observation constitue une partie de la phase de
dverminage (ou phase de rodage) des accs voyageurs, car la fentre d'observation ne couvre que
les 18 premiers mois de la vie de ces systmes dont la dure de vie est prvue pour 40 ans.

Lorsque des processus de dfaillances sont observs, plusieurs types d'essais existent (Procaccia et
al.,2011). Les essais sont dits "censurs" lorsque ces essais se terminent aprs un temps t dtermin
Page 83 sur 134

(Procaccia et al.,2011). Dans notre travail, il s'agit de ce type d'essai, car la fentre d'observation est
limite par le temps d'observation disponible. Dans un premier temps, nous choisissons de ne pas
prendre en compte l'effet de la censure sur les donnes, afin de simplifier l'estimation.
Dans ce cas, la distribution de dfaillance d'un accs voyageurs peut tre estime en posant
l'hypothse d'une distribution de dfaillance particulire et en traant les donnes pour la
distribution d'hypothse (Kumamoto & Henley,1996). La proximit d'une droite avec les donnes
indique alors si le modle (la distribution de probabilit) reprsente raisonnablement les donnes
(Kumamoto & Henley,1996).
Plusieurs distributions de probabilit (loi de Weibull, loi exponentielle, loi normale) ont t testes
dans MATLAB pour reprsenter les donnes de dfaillance. Par la mthode graphique, (Kumamoto &
Henley,1996) prcise que dans le cas d'une loi de Weibull, les donnes traces dans le repre
}] doivent former une ligne droite (Figure 26). Certains points, entours en

rouge, illustrent que la distribution de Weibull ne correspond pas parfaitement aux donnes et
qu'une erreur e iste, a es poi ts s loig e t de la d oite desti atio .
Probability plot for Weibull distribution
0.999
0.99
0.95
0.9
0.75

Probability
Probabilit

0.5
0.25
0.1
0.05

0.01
estimation
donnes

0.005
1

10

10

Temps
Data(h)

10

10

Figure 26 : Test des donnes de dfaillance pour une distribution de Weibull

Pour estimer les paramtres des distributions de probabilit, plusieurs mthodes existent (mthode
graphique, mthode par intervalle de confiance, mthode du maximum de vraisemblance)
(Lyonnet,2006)(Procaccia et al.,2011) (voir annexe 1). Parmi ces mthodes, la mthode du maximum
de vraisemblance a t utilise pour estimer la valeur des paramtres, car elle peut tre rapidement
et fa ile e t ise e uv e da s le logi iel MATLAB. De plus, la
thode pa i te valle de o fia e
a galement t utilise car elle permet de fixer un intervalle de confiance sur la prcision des

Page 84 sur 134

paramtres estims (voir annexe


MATLAB.

. Cette

thode peut aussi t e

ise e uv e da s le logi iel

Le Tableau 8 prsente, pour un intervalle de confiance 90%, les rsultats d'estimation des
paramtres de la loi de Weibull : le paramtre de forme estim ( ), la borne infrieure du
paramtre de forme estim ( ), la borne suprieure du paramtre de forme estim ( ), le

paramtre d'chelle estim ( ), la borne infrieure du paramtre d'chelle estim ( ), la borne


suprieure du paramtre d'chelle estim ( ). Pour simplifier les calculs, le paramtre de temps
( ) a t suppos nul comme indiqu dans (Kumamoto & Henley,1996).
Paramtre de forme

0.693796 0.797816 0.917431


Paramtre d'chelle

396.206

497.367

624.356

Tableau 8 : Rsultats d'estimation des paramtres de la loi de Weibull pour les donnes prsentes Figure 26

La distribution de Weibull a finalement t retenue pour deux raisons :

D'une part le test des donnes de dfaillance par la mthode graphique pour une
distribution de Weibull est concluant avec MATLAB (Figure 26)
D'autre part, les rsultats d'estimation donnent infrieur 1. Ce rsultat est reprsentatif
de la ralit car les donnes proviennent de la phase de rodage, qui est caractrise par un
taux de dfaillance dcroissant ( infrieur 1).

Au vu des rsultats d'estimation, nous choisissons une distribution de Weibull de paramtres =0.8 ;
=500 ; =0 pour la distribution de dfaillance d'un accs voyageur.
1.2.2. Estimation de la distribution de rparation d'un accs voyageurs
Pour estimer la distribution des temps de rparation d'un accs voyageurs, les dures de toutes les
rparations de tous les accs voyageurs sur la priode de 18 mois ont t considres. Un test a t
ralis par la mthode graphique (Figure 27). Parmi les distributions testes, la loi log normale a t
retenue pour deux raisons :

D'une part, parce que celle-ci peut convenir aux temps de rparation des accs voyageurs,
car la plupart des points forment une droite, bien qu'une erreur existe (Figure 27).
D'autre part, parce que la loi log normale est habituellement utilise pour reprsenter les
donnes de rparation (Villemeur,1991).

Page 85 sur 134

Probability plot for Lognormal distribution


0.995
0.99
0.95

Probability
Probabilit

0.9
0.75
0.5
0.25
0.1
0.05
0.01
0.005
0

10

10

10
Temps
(h)
Data

10

10

Figure 27 : Test des donnes de rparation pour une distribution log normale

De la mme manire, les valeurs des paramtres sont estimes par la mthode du maximum de
vraisemblance avec un intervalle de confiance (Procaccia et al.,2011). Le Tableau 9 prsente, pour un
intervalle de confiance 90%, les rsultats d'estimation des paramtres de la loi log normale : la
moyenne estime ( ), la borne infrieure de la moyenne estime ( ), la borne suprieure de la
moyenne estime ( ), l'cart type estim ( ), la borne infrieure de l'cart type estim ( ), la
borne suprieure de l'cart type estim ( ).
Moyenne

3.498 3.594 3.690


Ecart type

0.729 0.791 0.865

Tableau 9 : Rsultats d'estimation des paramtres de la loi log normale pour les donnes prsentes Figure 27

Au vu des rsultats d'estimation, une distribution log normale est retenue avec les paramtres =3,6
et =0.8. Par la suite, la distribution log normale sera caractrise par (Villemeur,1991):

la moyenne des temps de rparation, gale

,
Page 86 sur 134

et le facteur d'erreur, dfini par

pour un intervalle de confiance 90%.

1.3.Quantification des paramtres des rseaux de communication


Les architectures de diagnostic RCD et EDCD comportent des rseaux de communication dont les
paramtres sont quantifis ci-dessous. La premire sous-section traite les paramtres du rseau de
communication bord sol S_TWN, tandis que la seconde sous-section traite les paramtres du rseau
de communication embarqu pour le diagnostic S_EDN.
1.3.1. Rseau de communication bord sol (S_TWN)
Parmi les travaux recenss dans la littrature (chapitre 1), (Zimmermann & Hommel, 2005) tudie le
rseau de communication bord sol GSM-R, qui est le GSM (Global System for Mobile
communications) utilis dans le transport ferroviaire. Les taux de transition vers l'tat de bon
fonctionnement et vers l'tat perturb sont approchs par une analyse numrique et dmontrent un
systme trs perturb ( S_TWN = 0.02719 s-1 et S_TWN = 3.236 s-1). Par la suite, S_TWN sera choisi dans
l'ordre de grandeur suprieur, car la valeur leve de S_TWN = 0.02719 s-1 conduit un effondrement
des architectures de diagnostic.
La quantification du temps de transmission (TT_TWN) sur le rseau de communication bord sol GSM-R
pour RCD et pour EDCD est ralise partir de la taille du message, obtenue partir des
spcifications fonctionnelles de l'architecture RCD chez Bombardier, et le dbit du rseau de
communication, obtenu dans la spcification fonctionnelle du GSM-R (UIC, 2006).
La probabilit d'erreur rsiduelle des bits pour S_TWN (pRE_TWN) est calculable partir de la formule
suivante, propose au chapitre 3 :
(11)

Par la suite, une valeur de pRE_TWN gale 10-3 sera retenue pour l'tude.
1.3.2. Rseau de diagnostic embarqu (S_EDN)
Une dmarche similaire est applique pour quantifier les paramtres du rseau de diagnostic
embarqu S_EDN. Cependant, cette thse se droule pendant la phase de conception de
l'architecture EDCD. Les paramtres de S_EDN ont donc t calculs partir de prvisions sur la taille
des messages et le choix de technologie du rseau de diagnostic embarqu.
La technologie choisie pour S_EDN est le rseau CAN (Controller Area Network) (ISO 118981,2003)(IEC61375, 2012). Le temps de transmission sur S_EDN (TT_EDN) est donc dtermin partir de
la taille du message transmettre par un systme de diagnostic local haut niveau (S_Di*) et du dbit
du rseau CAN.
Pour le CAN, (CIA,2013) spcifie que la probabilit d'erreur rsiduelle pour un message (ici pRE_EDN)
atteint 4,7.10-11. Pour l'application relle, nous choisissons une hypothse moins optimiste (pRE_EDN =
10-6 ).
Les hypothses sur les taux de dfaillance et de reprise du rseau CAN sont fixes comme suit. Nous
supposons qu'un rseau local industriel filaire comme le CAN est moins perturb qu'un rseau de
tlcommunication de type GSM-R, donc S_EDN = 10-5 h-1. De mme, le taux de reprise du rseau de

Page 87 sur 134

diagnostic embarqu est suppos au moins aussi bon voire meilleur que le taux de reprise du rseau
de communication bord sol. Un choix pessimiste nous amne fixer S_TWN = S_EDN.

1.4.Quantification des paramtres des systmes de diagnostic


Le dlai de validation d'une alarme / d'un diagnostic (TA) au systme de diagnostic global (S_GD) et la
probabilit de dclencher une opration de maintenance (pMAINT) sont quantifis selon le retour
d'exprience de Bombardier pour l'architecture RCD et selon des prvisions pour l'architecture EDCD.
En architecture RCD, le dlai d'analyse et de validation d'une alarme peut atteindre 6h, tandis qu'en
a hite tu e EDCD, les p e ie s sultats de ise e uv e du diag osti haut iveau pe ette t de
raccourcir TA, qui peut atteindre au maximum 1h (Le Mortellec et al.,2013).
Concernant la probabilit de dclencher une opration de maintenance (pMAINT), l'importante
quantit de donnes brutes et d'alarmes traiter dans l'architecture RCD provoque chez le personnel
de maintenance des difficults localiser l'origine de la dfaillance. De ce fait, une rparation n'est
dclenche que dans un cas sur deux (pMAINT = . . E a hite tu e EDCD, la ise e uv e du
diagnostic haut niveau permet d'identifier la liste de composants l'origine de la dfaillance. La
probabilit de dclencher une opration de maintenance est donc amliore (pMAINT = 0.9).
En architecture RCD, la probabilit de fausse alarme pF des systmes de diagnostic local (S_D), a t
estime partir des informations du retour d'exprience. Le rsultat exact ne pouvant tre
communiqu pour des raisons de confidentialit, pF est fixe une valeur reprsentative de la ralit
(pF=0.2). Du fait de l'exprimentation en cours depuis Juillet 2013 dans le cadre du projet FUI
SURFER, il n'existe pas encore de retour d'exprience sur la ise e uv e d'u s st e de
diagnostic haut niveau (S_Di*) en architecture EDCD. Cependant, l'architecture EDCD doit tre
globalement au moins aussi bonne que l'architecture RCD. Ces raisons nous ont conduites fixer pF
en architecture EDCD une valeur pessimiste, c'est--dire la mme valeur qu'en architecture RCD.

Page 88 sur 134

1.5.Synthse des donnes d'entre


Les paramtres estims et quantifis prcdemment sont synthtiss dans le Tableau 10. Ces
donnes sont mises en entres des modles dans la section suivante.
Paramtre

Type de
distribution

Valeur
Paramtre de forme : 0.8

S_Ei

weibull

Paramtre d'chelle : 500


Paramtre de temps : 0

Architecture
RCD

-2

-1

S_TWN

exponentielle

2.719 10 h

S_TWN

exponentielle

3.3236 h

pRE_TWN

10

TT_TWN

dterministe

8.33 10 h

pF

0.2

TA

dterministe

6h

pMAINT

Trepair_i

log normale

0.5
Moyenne des temps de
rparation : 50 h

-1

-3
-3

Facteur d'erreur : 3
Paramtre de forme : 0.8
S_Ei

weibull

Paramtre d'chelle : 500


Paramtre de temps : 0

Architecture
EDCD

-5

-1

S_EDN

exponentielle

10 h

S_EDN

exponentielle

3.3236 h

pRE_EDN

10

TT_EDN

dterministe

5.333 10 h

S_TWN

exponentielle

2.719 10 h

S_TWN

exponentielle

3.3236 h

pRE_TWN

10

TT_TWN

dterministe

8.33 10 h

pF

0.2

TA

dterministe

1h

pMAINT

0.9

Trepair_i

log normale

Moyenne des temps de


rparation: 50 h
Facteur d'erreur : 3

-1

-6
-5

-2

-1

-1

-3
-3

Tableau 10 : Paramtres et valeurs en entre des modles pour le cas rel

Page 89 sur 134

1.6.Simulations
Un systme lmentaire (n=1) puis trois systmes lmentaires S_Ei (n=3) en architecture RCD et
EDCD ont t simuls. Ci-aprs, les rsultats pour 1000 histoires sont prsents. La dure de chaque
histoire est fixe 8760h.
1.6.1. Un systme lmentaire S_Ei (n=1)
Pour cette simulation, une architecture de diagnostic est considre :
o

fiable si le systme lmentaire (S_E), le systme de diagnostic local bas/haut niveau


(S_D / S_D*) et tous les rseaux de communication sont dans l'tat de bon
fonctionnement,
disponible si le systme lmentaire (S_E) et le systme de diagnostic local associ (S_D /
S_D*) sont dans l'tat de bon fonctionnement.

La Figure 28 illustre les rsultats associs.

Rsultats

Pour ces valeurs spcifiques, l'architecture EDCD est plus disponible que l'architecture RCD (Figure
28a et b), car la disponibilit asymptotique des architectures RCD et EDCD atteint respectivement
0,890 et 0,912. De mme, la MDT de l'architecture RCD (63,33h) est suprieure la MDT de
l'architecture EDCD (50,88h).
La fiabilit de l'architecture EDCD (MTTF=23,98h) est diminue de 6,7% par rapport la fiabilit de
l'architecture RCD (MTTF=25,70h) (Figure 28c). Concernant l'indicateur NRE (Figure 28d),
l'architecture EDCD (NRE=0,375) connait lgrement plus (0,001) d'erreurs rsiduelles que
l'architecture RCD (NRE=0,374), mais cet indicateur n'est pas significatif car le nombre d'erreurs
rsiduelles est infrieur 1.
Le nombre d'alarmes fausses (NFA) ou vraies (NTA) et les temps cumul d'analyse des fausses
alarmes (CTFA) et des vraies alarmes (CTTA) de l'architecture EDCD (Figure 28e et f) sont rduits de
44% par rapport l'architecture RCD. De mme, PTFA en architecture EDCD est rduit par rapport
l'architecture RCD (Figure 28g).
L'architecture EDCD traite 15,25 dfaillances du S_E tandis que l'architecture RCD traite 14,98
dfaillances du S_E sur la mme dure de simulation. Pour ces valeurs, l'architecture EDCD est
lgrement plus ractive que l'architecture RCD sur la mme dure de simulation.

Interprtation

Il est possible de calculer le nombre moyen de vraies alarmes traites par dfaillance du systme
lmentaire S_E (Tableau 11). En architecture EDCD, ce nombre atteint 1,11, tandis qu'il atteint 2,03
en architecture RCD. L'architecture EDCD conduit donc gnrer une quantit de donnes
infrieure, par dfaillance de S_E, par rapport l'architecture RCD.

Page 90 sur 134

A(t)

0,912

EDCD

0,890

RCD

Temps (h)

a)
MDT

MTTF

80

28

70

26

63,33

60

25,7
23,98

24
22

Temps (h)

Temps (h)

50,88
50
40
30

20
18
16

20
14

10
12
0

10
RCD

EDCD

RCD

EDCD

b)

c)

Nombre d'Erreurs
Rsiduelles sur
S_TWN et S_EDN (NRE)
0,5

Nombre total d'alarmes (NAA),


Nombre de vraies alarmes (NTA) et
nombre de fausses alarmes (NFA)
50

0,45
0,4

0,374

45

0,375

40
0,35
35

Temps (h)

0,3
0,25
0,2
0,15

30
25

30,48

NTA

20

NFA

15

0,1

10

0,05

16,97

7,98

4,45

0
RCD

EDCD

EDCD

d)

RCD

e)

Temps Cumul d'analyse de toutes


les Alarmes (CTAA), Temps cumul
d'analyse des Fausses Alarmes
(CTFA), Temps cumul d'analyse des
Vraies Alarmes (CTTA)

Pourcentage du Temps
d'analyse pass sur des
Fausses Alarmes (PTFA)

250

21,00
20,95

200

20,94

150

Temps (h)

20,90
180,48

CTTA
100

CTFA
50

20,85
20,80
20,80
20,75
20,70

47,8
16,94
4,45

0
EDCD

RCD

EDCD

RCD

f)

g)

Figure 28 : Rsultats de simulation pour le cas rel (n=1).

Page 91 sur 134

Nombre de
dfaillances du S_E

Nombre de vraies alarmes Nombre moyen de


traites par l'architecture vraies alarmes traites
de diagnostic
par dfaillances du S_E

Architecture RCD

14,98

30,48

30,48 / 14,98 = 2,03

Architecture EDCD

15,25

16,97

15,25 / 16,97 = 1,11

Tableau 11 : calcul du nombre moyen de vraies alarmes traites par dfaillance du systme lmentaire S_E

En plus de gnrer moins de donnes par dfaillance, l'architecture EDCD conduit une meilleure
rpartition du temps cumul d'analyse de toutes les alarmes (CTAA) que l'architecture RCD. Cette
dernire interprtation est visible sur les temps cumuls CTFA et CTTA, et sur PTFA (Figure 28f et g) :
CTFA et CTTA, et PTFA sont infrieurs en architecture EDCD par rapport l'architecture RCD.
Cette interprtation ne pouvait tre ralise au chapitre 3, dans les cas thoriques de validation, car
le dlai de validation TA tait alors fix 0h.

1.6.2. Trois systmes lmentaires S_Ei (n=3)


Pour cette simulation, une architecture de diagnostic est considre :
o

fiable si tous les systmes lmentaires (S_E), tous les systmes de diagnostic local
bas/haut niveau (S_Di / S_Di*) et tous les rseaux de communication sont dans l'tat de
bon fonctionnement,
disponible si au moins un couple systme lmentaire (S_Ei) et le systme de diagnostic
local associ (S_Di / S_Di*) sont dans l'tat de bon fonctionnement.

Les rsultats sont illustrs Figure 29 et sont similaires aux rsultats de la sous-section 1.6.1.

Rsultats

La phase transitoire des courbes de disponibilit est reprsente Figure 29a. Cette Figure illustre que,
pour ces valeurs spcifiques, la disponibilit de l'architecture EDCD atteint une valeur asymptotique
de 0,986 et sa MDT (Figure 29b) atteint 46,99h. L'architecture RCD quant elle atteint une valeur
asymptotique de 0,960 et une MDT de 50,38h. L'architecture EDCD est donc plus disponible que
l'architecture RCD.
Par ailleurs, la fiabilit de l'architecture EDCD est lgrement plus faible que la fiabilit de
l'architecture RCD, parce que la valeur du MTTF pour EDCD est de 12,46h pour EDCD tandis que la
valeur du MTTF pour RCD est gale 13,7h (Figure 29c).
Concernant l'indicateur NRE (Figure 29d), une augmentation du nombre d'erreurs rsiduelles se
produit en passant de l'architecture RCD (NRE = 0,468) l'architecture EDCD (NRE = 0,965). Cependant
NRE reste infrieur l'unit dans les deux cas.

Page 92 sur 134

A(t)
0,986

EDCD

0,96

RCD

Temps (h)

a)
MTTF

MDT
60

14

13

50,38
50

46,99

Temps (h)

Temps (h)

13,7

13,5

55

45
40

12,46

12,5
12
11,5
11

35
10,5
30
RCD

10

EDCD

RCD

EDCD

c)

b)
Nombre d'Erreurs
Rsiduelles sur
S_TWN et S_EDN (NRE)

Nombre total d'alarmes


(NAA), Nombre de vraies
alarmes (NTA) et nombre de
fausses alarmes (NFA)

1,2

0,965

100
90

0,8

80

Temps (h)

70
0,6

0,468
0,4

NTA

60

NFA

50
40
43,87

30

0,2

49,78

20
10

13,09

11,61

0
RCD

EDCD

EDCD

e)

d)

Pourcentage du Temps
d'analyse pass sur
des Fausses Alarmes
(PTFA)

Temps Cumul d'analyse de toutes les


Alarmes (CTAA), Temps cumul d'analyse
des Fausses Alarmes (CTFA), Temps
cumul d'analyse des Vraies Alarmes
(CTTA)

35,00

350

25,00

250

21,27

CTTA

223,86

CTFA
150

20,00

Temps (h)

32,04

30,00

300

200

RCD

15,00

10,00

100
105,56

5,00

50

49,60
13,40

0,00
RCD

EDCD

EDCD

RCD

f)

g)

Figure 29 : Rsultats de simulation pour le cas rel (n=3).

Page 93 sur 134

Le nombre d'alarmes fausses(NFA) ou vraies (NTA) de l'architecture EDCD (Figure 29e) est suprieur
par rapport l'architecture RCD. Cependant, le temps cumul d'analyse des fausses alarmes (CTFA)
et des vraies alarmes (CTTA) de l'architecture EDCD est infrieur par rapport l'architecture RCD
(Figure 29g).

Interprtation

La faible perte de fiabilit (9%) de l'architecture EDCD par rapport l'architecture RCD s'explique par
l'ajout d'un second rseau de communication (S_EDN).
En architecture EDCD, au plus une erreur rsiduelle a lieu pendant le temps de simulation (8760h)
(Figure 29d). L'ajout d'un second rseau de communication provoque donc une augmentation du
nombre d'erreurs rsiduelles par rapport l'architecture RCD. Cependant, les consquences sur les
performances de l'architecture EDCD sont limites et le nombre d'erreurs rsiduelles est infrieur
1.
Les indicateurs CTTA, CTFA et PTFA confirment et illustrent que l'architecture EDCD conduit une
rduction de la dure moyenne d'indisponibilit MDT, parce que le concept de "diagnostic haut
niveau" rduit la quantit de donnes traiter et permet d'analyser plus vite ces dernires. TA est
donc rduit ce qui permet de rduire le temps cumul pass analyser des fausses alarmes. D'autre
part, en fin de simulation, un compteur indique que l'architecture EDCD a trait en moyenne 44,72
dfaillances de S_Ei, tandis que l'architecture RCD n'a trait que 22,69 dfaillances sur la mme
dure de simulation.

2. Etudes de sensibilit
Cette partie prsente les rsultats et interprtations pour plusieurs tudes de sensibilit. Trois
systmes lmentaires sont considrs et les mmes hypothses de fiabilit et de disponibilit sont
fixes.
Dans la premire section, la sensibilit des architectures RCD et EDCD au taux de dfaillance du
rseau bord sol S_TWN est tudie. Dans la deuxime section, la sensibilit de l'architecture EDCD au
taux de dfaillance du rseau embarqu pour le diagnostic S_EDN est prsente. Puis, la sensibilit
des architectures RCD et EDCD au temps de validation d'une alarme au systme de diagnostic global
est tudie dans la troisime section. Enfin, les conclusions de ces tudes de sensibilit sont
synthtises dans la quatrime section.

2.1.Sensibilit des architectures RCD et EDCD au taux de dfaillance du


rseau de communication bord sol (S_TWN)
Le manque de donnes sur le taux de dfaillance du rseau de communication bord sol (S_TWN)
(une seule valeur dans (Zimmermann & Hommel,2005)) nous a pouss raliser une tude de
sensibilit des architectures RCD et EDCD ce paramtre. Le taux de dfaillance du rseau de
communication bord sol est fix successivement aux valeurs du Tableau 12. Les autres paramtres
des modles RdPC sont fixs aux valeurs synthtises dans le Tableau 10. Il est galement rappel
que, selon nos hypothses de modlisation pour le rseau de communication, lorsqu'un message est
affect par une erreur rsiduelle, le rseau de communication ne fait aucune retransmission.

Page 94 sur 134

Les rsultats associs ces entres sont illustrs par la Figure 30.
Il convient de remarquer que les indicateurs de la Figure 30 prennent plusieurs valeurs pour l'tude
de sensibilit S_TWN, avec S_TWN [10-5 ; 10-1]. Pour cette raison, la reprsentation sous forme de
courbe est prfre la reprsentation sous forme d'histogramme dans la suite de notre travail.
Paramtre
S_TWN

Type de
distribution
exponentielle

Valeurs

10-5 h-1

10-4 h-1

10-3 h-1

10-2 h-1

10-1 h-1

Tableau 12 : Valeurs utilis es pour l' tude se si ilit S_TWN

Rsultats

Lo s ue S_TWN passe de 10-5 h-1 10-1 h-1 (Figure 30a), la disponibilit asymptotique de l'architecture
EDCD est peu influence (0,986 0,984), tandis que la disponibilit asymptotique de l'architecture
RCD diminue de ,
,
. Le fait de ultiplie S_TWN par 10 000 implique en sortie une
diminution de la disponibilit asymptotique de 0,36% pour l'architecture EDCD et de 0,7 % pour
l'architecture RCD. Cette observation est galement illustre par la MDT (Figure 30b), qui augmente
de , h , h pou EDCD et de , h , h pou RCD lo s ue S_TWN passe de 10-5 h-1
-1 -1
10 h . La disponibilit des a hite tu es RCD et EDCD di i ue do ave l'aug e tatio de S_TWN.
Le MTTF de l'a hite tu e RCD passe de , h , h ave l'aug e tatio de S_TWN de 10-5 h-1 10-1
-1
h (Figure 30c). Le MTTF de l'architecture EDCD passe de 66,66h 4,47h avec l'augmentation de
-5 -1
-1 -1
-5 -1
-1 -1
S_TWN de 10 h 10 h (Figure 30c). Da s ha ue as, l'aug e tatio de S_TWN de 10 h 10 h
implique une perte de fiabilit de 93%.
L'augmentation du taux de dfaillance du rseau de communication bord sol (S_TWN) ne conduit ni
une augmentation ni une rduction des autres indicateurs (Figure 30d g).

Interprtation
o

Les rsultats de cette tude de sensibilit illustrent comment la prsence d'un rseau de
communication bord sol de plus en plus perturb conduit une rduction de la fiabilit
et de la disponibilit de l'architecture. Au contraire, un rseau bord sol trs peu perturb
-5 -1
S_TWN = 10 h ) conduit une augmentation de la fiabilit et de la disponibilit.

L'aug e tatio de S_TWN correspond un tat perturb, o le rseau bord sol ne peut
pas transmettre de message. Cela implique un temps d'attente supplmentaire avant
qu'un message ne puisse tre transmis et, au final, qu'une rparation puisse dmarrer.

Toutefois, cette tude de sensibilit dmontre que les rsultats restent similaires aux
rsultats du cas rel Bombardier :
L'architecture EDCD est plus disponible que l'architecture RCD (Figure 30a).
L'architecture EDCD est moins fiable que l'architecture RCD (Figure 30c).
Le nombre d'erreurs rsiduelles NRE, pour les valeurs d'entre de pRE_TWN et
pRE_EDN, n'est pas significatif dans les deux cas : NRE est sensiblement infrieur ou
gal l'unit (Figure 30d).
Page 95 sur 134

A(t)

Temps (h)

a)
MTTF

MDT
80

65,00
59,36
60,00

70

55,00

60

Temps (h)

45,00

46,68

46,30

46,00

68,37

66,66

65,21

60,92

50,38

46,99

Temps (h)

49,28

48,19

47,12

50,00

69,17

47,59
RCD

40,00

EDCD

35,00

60,12

50
40

RCD
30

EDCD

20

13,7
4,54

10

30,00

12,46
25,00

0
1E-06

20,00
1E-06

1E-05

1E-04

1E-03

1E-02

1E-01

1E-04

1E-02

4,47

1E+00

S_TWN (h-1)

1E+00

S_TWN (h-1)

c)

b)

Nombre total d'alarmes (NAA), Nombre de vraies alarmes (NTA) et nombre de


fausses alarmes (NFA)

Nombre d'Erreurs Rsiduelles sur


S_TWN et S_EDN (NRE)
2,5

250

200

229,9

229,3

230,4

229,7

223,8

CTFA RCD
1,039

1,123

1,067

0,965

1,064
RCD

0,54

0,56

0,55

0,47

Temps (h)

1,5

EDCD

0,54

150

CTTA RCD
100,6

100,4

105,6

100,4

CTFA EDCD

99,99

CTTA EDCD

100

0,5

49,35

49,25

49,12

49,60

49,08

13,53

13,51

13,66

13,40

13,55

1E-05

1E-04

1E-03

1E-02

1E-01

50
0
1E-06

1E-05

1E-04

1E-03

1E-02

1E-01

1E+00

0
1E-06

S_TWN (h )
-1

1E+00

S_TWN (h-1)

e)

d)
Temps Cumul d'analyse de toutes les Alarmes (CTAA), Temps cumul d'analyse des Fausses
Alarmes (CTFA), Temps cumul d'analyse des Vraies Alarmes (CTTA)

Pourcentage du Temps d'analyse pass sur des


Fausses Alarmes (PTFA)

60
50

49,66

49,74

49,70

49,78

49,79

43,84

43,89

44,04

43,87

43,88

45,00
40,00

35,00

NFA RCD

30

25,00

NFA EDCD
NTA EDCD

20
13,03

13,10

13,14

13,09

13,15

30,39

30,36

21,53

21,76

21,35

32,04

30,33

21,27

21,56

20,00

RCD

15,00

EDCD

10,00

10
0
1E-06

30,49

30,00

NTA RCD
%

Temps (h)

40

11,68

11,61

11,7

1E-05

1E-04

1E-03

11,61

11,67

1E-02

1E-01

5,00
1E+00

0,00
1E-06

1E-05

1E-04

1E-03

1E-02

1E-01

1E+00

S_TWN (h-1)

S_TWN (h )
-1

g)
f)
Figure 30 : Rsultats de simulation pour l'tude de sensibilit au taux de dfaillance du rseau de communication bord
sol (n=3).

Page 96 sur 134

2.2.Sensibilit de l'architecture EDCD au taux de dfaillance du rseau


embarqu pour le diagnostic (S_EDN)
De la mme manire que dans la section 2.1, le manque de donnes sur le taux de dfaillance du
rseau embarqu pour le diagnostic ( S_EDN) nous a pousss raliser une tude de sensibilit de
l'architecture EDCD ce paramtre.
Pour raliser cette tude de sensibilit, la valeur du taux de dfaillance du rseau embarqu pour le
diagnostic ( S_EDN ) est fixe successivement des valeurs suprieures ou gales 10-5 h-1 (Tableau 13),
qui refltent un rseau de communication de plus en plus perturb. A noter que les valeurs des
indicateurs restent sensiblement gales aux valeurs prises pour S_EDN=10-5 h-1 , lorsque S_EDN est
strictement infrieur 10-5 h-1 .

Paramtre

S_EDN

Type de
distribution
exponentielle

Valeurs

10-5 h-1

10-4 h-1

10-3 h-1

10-2 h-1

10-1 h-1

Tableau 13 : Valeurs utilis es pour l' tude se si ilit S_EDN

Les autres paramtres des modles RdPC sont fixs aux valeurs synthtises dans le Tableau 10. Les
rsultats associs ces entres sont illustrs la Figure 31.

Rsultats

Lo s ue S_EDN passe de 10-5 h-1 10-1 h-1 (Figure 31a), la disponibilit asymptotique de l'architecture
EDCD est peu influence. En effet, il existe une faible diminution (de 0,986 0,982), qui ne
reprsente qu'une perte de 0,3%. Cette observation est galement illustre par la MDT (Figure 31b),
ui aug e te de , h , h lo s ue S_EDN passe de 10-5 h-1 10-1 h-1. La disponibilit de
l'a hite tu e EDCD di i ue do ave l'aug e tatio de S_EDN.
Le MTTF de l'a hite tu e EDCD passe de , h , h ave l'aug e tatio de S_EDN de 10-5 h-1 10-1
-1
h (Figure 31c). Ce rsultat illustre comment la prsence d'un rseau de communication de plus en
plus pe tu
o duit u e du tio de la fia ilit : ultiplie S_EDN par 10 000 implique une perte
de fiabilit d'environ 71%.
L'augmentation du taux de dfaillance du rseau embarqu influence sensiblement l'indicateur NRE
(Figure 31d) : celui-ci reste gal 1,038 en moyenne avec un cart type de 0,04 (Tableau 14), compte
tenu des valeurs d'entre.
Le nombre d'alarmes total (NAA), fausses(NFA) ou vraies (NTA) de l'architecture EDCD (Figure 31e)
est suprieur par rapport l'architecture RCD ; le temps cumul d'analyse de toutes les alarmes
(CTAA), des fausses alarmes (CTFA) et des vraies alarmes (CTTA) de l'architecture EDCD est infrieur
l'architecture RCD (Figure 31f).
Le Pourcentage de Temps d'analyse pass analyser des Fausses Alarmes (PTFA, Figure 31g) est plus
faible en architecture EDCD qu'en en architecture RCD.
Page 97 sur 134

A(t)

0,986
0,9858

EDCD

0,9866
0,9856
0,9844
0,9824

RCD

0,96

Temps (h)

a)
MDT

MTTF

55,00
50,00

46,99

47,14

47,31

16

50,38
47,70
47,47

14

40,00

12,42

13,7

12,25

35,00

RCD

30,00

EDCD

10,35

10

Temps (h)

Temps (h)

12,46

12

45,00

8
RCD

EDCD

3,65
4

25,00

2
0
1,00E-06 1,00E-05 1,00E-04 1,00E-03 1,00E-02 1,00E-01 1,00E+00

20,00
1,00E-06 1,00E-05 1,00E-04 1,00E-03 1,00E-02 1,00E-01 1,00E+00

S_EDN (h-1)

S_EDN (h-1)

c)

b)

Nombre total d'alarmes (NAA), Nombre de vraies alarmes (NTA) et nombre de


fausses alarmes (NFA)

Nombre d'Erreurs Rsiduelles sur


S_TWN et S_EDN (NRE)

60

49,78

49,88

49,85

49,72

49,63

50

1,8
1,6

40

1,4
1,2

0,965

1,066

1,050

1,066

NTA RCD
30

NFA EDCD

RCD

0,8

0,6

NTA EDCD

20

EDCD
0,468

0,4

13,12

13,08

13,12

1,00E-05

1,00E-04

1,00E-03

1,00E-02

11,61

0
1,00E-06 1,00E-05 1,00E-04 1,00E-03 1,00E-02 1,00E-01 1,00E+00

0
1,00E-06

S_EDN (h-1)

1,00E+00

e)

Temps Cumul d'analyse de toutes les Alarmes (CTAA), Temps cumul d'analyse des
Fausses Alarmes (CTFA), Temps cumul d'analyse des Vraies Alarmes (CTTA)

Pourcentage du Temps d'analyse pass sur des


Fausses Alarmes (PTFA)

250

35,00

223,86
200

32,04

30,00
25,00
CTFA RCD
CTTA RCD
105,56
49,60

49,29

49,26

49,15

49,17

13,40

13,61

13,50

13,59

13,63

1,00E-05

1,00E-04

1,00E-03

1,00E-02

1,00E-01

f)

21,66

21,51

21,70

20,00

CTFA EDCD

15,00

RCD

CTTA EDCD

10,00

EDCD

5,00

50

S_EDN (h-1)

21,27

21,64

150

100

1,00E-01

S_EDN (h-1)

d)

Temps (h)

13,17

13,09

10

0,2

0
1,00E-06

NFA RCD

43,87

1,044

0,00
1,00E-06
1,00E+00

1,00E-05

1,00E-04

1,00E-03

1,00E-02

1,00E-01

1,00E+00

S_EDN (h-1)

g)

Figure 31 : Rsultats de simulation pour l'tude de sensibilit au taux de dfaillance du rseau de communication pour le
diagnostic embarqu (n=3).

Page 98 sur 134

De mme, l'augmentation du taux de dfaillance du rseau embarqu n'influence pas les indicateurs
de temps cumul d'analyse des alarmes (CTFA, CTAA et CTA, Figure 31f), de nombre d'alarmes (NAA,
NTA, et NFA, Figure 31e) et de pourcentage de temps pass analyser des fausses alarmes (PTFA,
Figure 31g). Les moyennes et carts type des valeurs de ces indicateurs ont t calculs pour
l'architecture EDCD et sont reports au Tableau 14.
Indicateur
NRE

Moyenne

Ecart type

1,038

0,0421

CTFA

13,546 h

0,0938

CTTA

49,292 h

0,1815

CTAA

62,837 h

0,1096

NFA

13,115

0,0329

NTA

49,772

0,1015

NAA

62,887

0,1218

PTFA

21,557

0,1739

Tableau 14 : Moyennes et carts types des valeurs des indicateurs NRE , CTFA, CTAA, CTA, NAA, NTA, NFA et PTFA pour
l' tude de se si ilit de l'ar hite ture EDCD S_EDN

Interprtation

Pour les valeurs choisies, l'tude de sensibilit permet d'illustrer l'influence du taux de dfaillance du
rseau embarqu pour le diagnostic ( S_EDN) sur la FMD de l'architecture EDCD. Des conclusions
similaires l'tude de sensibilit prcdente peuvent tre tires.
L'augmentation de S_EDN conduit une rduction de disponibilit de l'architecture EDCD, car la
transmission de message ne peut dmarrer. La fiabilit est galement rduite, car selon nos
hypothses (voir section 1.6.2), une architecture de diagnostic n'est pas fiable, lorsqu'une
perturbation a lieu sur le(s) rseau(x) de communication.
Les temps cumuls d'analyse des fausses alarmes (CTFA) et des vraies alarmes (CTTA) de
l'architecture EDCD sont infrieurs l'architecture RCD (Figure 31f). Cette observation est galement
visible sur PTFA (Figure 31g), qui illustre que l'architecture EDCD conduit une meilleure rpartition
du temps d'analyse de toutes les alarmes (CTAA).

Page 99 sur 134

2.3.Sensibilit des architectures RCD et EDCD au temps de validation


d'une alarme au systme de diagnostic global (S_GD)
Pour raliser cette tude de sensibilit, le temps de validation d'une alarme au systme de diagnostic
global (TA) est fix des valeurs comprises entre 1h et 10h (Tableau 15). De la mme manire que
prcdemment, les autres paramtres des modles RdPC sont fixs aux valeurs synthtises dans le
Tableau 10.
Paramtre Type de distribution
TA

dterministe

Valeurs

1h

2h

6h

10h

Tableau 15 : Valeurs utilises pour l'tude de sensibilit TA

Rsultats

Les rsultats associs ces entres, prsents Figure 32, illustrent l'influence du temps de validation
d'une alarme au niveau du systme de diagnostic global (TA) sur la FMD de l'architecture EDCD.
En architecture EDCD, la disponibilit asymptotique est peu influence (Figure 32a) : multiplier TA par
10 implique en sortie une diminution de 0,32%. Cette observation est galement illustre par la MDT,
qui augmente de 46,99h 47,63h (Figure 32b). La diminution est plus importante en architecture
RCD : la disponibilit asymptotique passe de 0,969 0,950 et le MDT volue de 48,96h 64,68h
lorsque TA passe de 1h 10h. Multiplier TA par 10 implique en sortie une diminution de 1,91% de la
disponibilit asymptotique. La disponibilit des architectures RCD et EDCD diminue donc avec
l'augmentation de TA.
L'augmentation du temps de validation d'une alarme au systme de diagnostic global n'influence pas
les indicateurs MTTF et NRE (Figure 32c et Figure 32d). Les valeurs moyennes et cart types de ces
indicateurs ont t calculs (Tableau 16). Le nombre d'erreurs rsiduelles en architecture EDCD reste
suprieur au nombre d'erreurs rsiduelles en architecture RCD du fait de la prsence de S_EDN.
Architecture RCD
Indicateur
MTTF
NRE

Moyenne

Ecart type

Architecture EDCD
Moyenne

Ecart type

13,497h

0,258

12,652h

0,131

0,539

0,04

1,008

0,033

Tableau 16 : Moyennes et carts types des valeurs des indicateurs MTTF et N RE, pour l'tude de sensibilit des
architectures TA

Le nombre total d'alarmes (NAA), de fausses alarmes (NFA) et de vraies alarmes (NTA) augmente
avec la diminution de TA (Figure 32e). Ce rsultat est interprt au paragraphe suivant. L'indicateur
NFA diminue respectivement de 13,09 12,61 en architecture EDCD et de 11,80 11,47 en
architecture RCD. De mme, l'indicateur NTA diminue respectivement de 49,78 47,63 en
architecture EDCD et de 44,46 43,17 en en architecture RCD.
L'augmentation du paramtre TA est galement visible sur les indicateurs de temps cumul d'analyse
de fausses alarmes (CTFA), de vraie alarme (CTTA), et de toutes les alarmes (CTA) (Figure 32f).
Page 100 sur 134

A(t)
0,986
0,9844

EDCD

0,9842
0,9826

0,969
0,965
0,96
0,95

RCD

Temps (h)

a)
MTTF

MDT
16,00

80,00

14,00

64,68

70,00

12,00
48,9650,34

50,38

46,9947,47

47,53

Temps (h)

60,00

Temps (h)

50,00
40,00

47,63

RCD
EDCD

30,00

13,7

12,4612,67

12,83

12,65

8,00

RCD

6,00
4,00

10,00

2,00

EDCD

0,00
0

10

12

TA (h)

10

c)

Nombre d'Erreurs Rsiduelles sur S_TWN


et S_EDN (NRE)

Nombre total d'alarmes (NAA), Nombre de vraies alarmes (NTA) et nombre de


fausses alarmes (NFA)
60

1,80

49,78 49,45

48,62

47,63

44,46 44,42

43,87

43,17

50

1,60
1,40
0,97

1,06

1,02

1,00

1,00
0,80

RCD

0,60

EDCD

0,40

0,57 0,56

RCD NFA
30

RCD NTA
EDCD NFA

20

0,56

0,47

0,20

Temps (h)

40

1,20

10

0,00
0

12

TA (h)

b)

2,00

13,16

10,00

20,00

0,00

13,5613,43

10

12

13,09 13,03

12,85

12,61

11,80 11,82

11,61

11,47

EDCD NTA

TA (h)

10

12

TA (h)

d)

e)

Temps Cumul d'analyse de toutes les Alarmes (CTAA), Temps cumul d'analyse des Fausses
Alarmes (CTFA), Temps cumul d'analyse des Vraies Alarmes (CTTA)

Pourcentage du Temps d'analyse pass sur des


Fausses Alarmes (PTFA)

800

438,90
50,00

277,60

373,78

90,72

EDCD CTTA

34,21
38,79

30,81

25,00
20,00

RCD

27,03

24,63

21,27 22,17

15,00
16,91

32,04

30,36 30,74

30,00
EDCD CTFA

Temps (h)

49,60

35,00

RCD CTTA

162,6

77,09

40,00

RCD CTFA

105,6

97,18
80

45,00

166,4

223,86

EDCD

10,00

27,68

5,00
0,00

13,40

8
0

TA (h)

f)

10

12

10

12

TA (h)

g)

Figure 32 : Rsultats de simulation pour l'tude de sensibilit au temps de validation d'une alarme au systme de
diagnostic global (n=3).

Page 101 sur 134

L'indicateur CTFA augmente de 49,60h 438h en architecture EDCD et de 38,79h 373h en


architecture RCD. De mme, l'indicateur CTTA augmente en architecture RCD de 16,91h 166,4h et
en architecture EDCD de 13,40h 162,6h. Cependant, PTFA reste infrieur en architecture EDCD par
rapport l'architecture RCD.

Interprtation

Pour les valeurs choisies, l'architecture EDCD conduit une rduction du temps cumul d'analyse des
fausses alarmes CTFA et une augmentation du temps cumul d'analyse des vraies alarmes CTTA, par
rapport l'architecture RCD, lorsque TA varie de 1h 10h.
A dlai de validation gal (TA), l'architecture EDCD tant plus ractive, elle a la possibilit (sur la
mme dure de simulation) de traiter un plus grand nombre de dfaillances, et gnre de ce fait un
plus grand nombre de diagnostics avec validation (NTA) ou non (NFA) des alarmes.
Cette observation implique en sortie une amlioration de la disponibilit de l'architecture EDCD par
rapport l'architecture RCD.

2.4.Synthse
Une comparaison semi-quantitative des indicateurs en sortie des modles, base sur les valeurs
prises par les indicateurs pour les deux cas rels (n=1 et n=3 systmes accs voyageurs) et pour les
tudes de sensibilit (partie 2 de ce chapitre) est prsente au Tableau 17. Il est rappel que les
valeurs prises par les indicateurs sont fonction des paramtres d'entre du Tableau 10.

A(t)
MTTF
MDT
CTFA
CTTA
CTAA
PTFA

Architecture
RCD
+
++
+
+
+
+
+

Architecture
EDCD
++
+
++
++
++
++
++

Performance des rseaux de


communication

NRE

++

Ractivit

NFA
NTA
NAA

+
+
+
2/11

++
++
++
9/11

+
++

pire
meilleur

Attribut

Indicateur

Disponibilit
Fiabilit
Maintenabilit
Performance du diagnostic
global

Globalement
Lgende :

Tableau 17 : Comparaison semi-quantitative des valeurs des indicateurs des architectures RCD et EDCD (valeurs du cas
rel et des trois tudes de sensibilit)

Page 102 sur 134

Le Ta leau
pe et do se ve ue la hite tu e EDCD est eilleu e ue la hite tu e RCD su
neuf indicateurs parmi onze. En effet, le concept de diagnostic haut niveau utilis pa la hite tu e
EDCD pe et de dui e le te ps da al se du e ala e au diag osti glo al TA) et de dclencher
u e pa atio plus apide e t ue a hite tu e RCD. La dispo i ilit de EDCD est do a lio e,
ce qui est illustr par de meilleures valeu s de A t et de MDT. Daut e pa t, le te ps u ul pass
analyser les vraies et fausses alarmes (CTTA et CTFA) est galement rduit.
Le Tableau 17 illustre galement une perte de la hite tu e EDCD pa appo t la hite tu e RCD en
termes de fiabilit MTTF et de eu s siduelles su les seau de communication (NRE).
Cependant, la perte de fiabilit par rapport RCD est limite (perte infrieure 10% dans tous les
cas). En ce qui concerne les erreurs rsiduelles, NRE en architecture EDCD reste infrieur 1 dans tous
les cas. De plus, les o s ue es du e e eu siduelle so t li it es : le message est inhib mais le
systme diagnostic local peut tre rarm et un nouveau diagnostic local peut tre gnr et
retransmis. Pa o s ue t, larchitecture EDCD peut donc tre considre comme globalement
uivale te la hite tu e RCD e te es de fia ilit et de eu s siduelles su les seau de
communication.
La hite tu e EDCD est soit eilleu e ue la hite tu e RCD soit uivale te la hite tu e RCD,
pour les valeurs choisies et pour les hypothses retenues. La hite tu e EDCD dveloppe dans le
contexte industriel est donc conforme au principe GAMAB prconis dans le transport ferroviaire
franais.

Page 103 sur 134

Conclusion
Dans ce chapitre, les modles RdPC des architectures de diagnostic ont t appliques sur un cas
rel.
Dans un premier temps, l'estimation des paramtres du systme lmentaire rel, un accs
voyageurs ferroviaire, a t ralise. Puis, les paramtres des rseaux de communication et des
systmes de diagnostic des architectures RCD et EDCD ont t estims.
Pour l'application relle, l'objectif est de comparer l'architecture RCD l'architecture EDCD. Pour les
paramtres d'entre, les rsultats illustrent que l'architecture EDCD est GAMAB (globalement au
moins aussi bonne) que l'architecture RCD. L'architecture EDCD permet de gagner en disponibilit et
sur le temps d'analyse des fausses alarmes, mais rduit la fiabilit (exprime par le MTTF) de 10%.
L'architecture EDCD est aussi plus ractive que l'architecture RCD car elle permet de traiter plus de
dfaillances de systmes lmentaires que l'architecture RCD sur la mme priode.
Dans un second temps, la sensibilit des architectures RCD et EDCD au taux de dfaillance des
rseaux de communication et au temps de validation d'une alarme au systme de diagnostic global a
t tudie. Pour les valeurs utilises, les rsultats illustrent que l'augmentation du taux de
dfaillance d'un rseau de communication conduit une rduction de disponibilit et de fiabilit de
l'architecture. D'autre part, l'augmentation du temps de validation d'une alarme au systme de
diagnostic global conduit galement une rduction de la disponibilit des architectures RCD et
EDCD et une augmentation du temps cumul pass analyser des fausses alarmes. Lors de ces deux
tudes, l'architecture EDCD reste nanmoins plus disponible que l'architecture RCD.

Page 104 sur 134

Chapitr
: Conclusion gnral t
prspctivs
1. Conclusion

La mission d'un systme de transport ferroviaire consiste transporter des passagers ou des
marchandises d'un point de dpart un point d'arrive, selon un temps de parcours tabli et selon
des conditions de scurit optimales. Pour optimiser le cot du systme de transport ferroviaire, une
des solutions o siste opti ise les ots de ai te a e. Cette solutio peut t e ise e uv e
en amliorant les architectures de diagnostic. Pour justifier l'intrt d'une nouvelle architecture de
diagnostic, il faut que le niveau de disponibilit atteint par la nouvelle architecture de diagnostic soit
au moins aussi bon que l'architecture de diagnostic actuelle. Cependant, l'amlioration du diagnostic
passe par l'emploi de systmes intelligents et complexes, ce qui rend l'valuation de la FMD plus
difficile.
Les travaux prsents dans ce mmoire de thse ont eu pour objectif de proposer des modles et un
protocole de validation, afin d'valuer la FMD d'architectures de diagnostic. La tche est rendue
difficile, du fait de la complexit inhrente aux systmes intelligents, du fait de l'emploi de rseaux
de communication et du fait de la grande taille d'un systme de transport ferroviaire. Ces
observations ont orient le choix vers une modlisation par rseaux de Petri colors et une
rsolution par simulation de Monte Carlo.
Dans le premier chapitre, les notions de fiabilit, maintenabilit et disponibilit et les notions de base
en surveillance, diagnostic et gestion de faute non-intrusive ont t rappeles afin de donner un
cadre thorique aux travaux raliss. Puis, quelques travaux de la littrature, proches de la
problmatique d'valuation FMD d'architectures de diagnostic ont t recenss. Les formalismes
utiliss sont essentiellement dynamiques, tels que les Rseaux de Ptri et les chanes de Markov.
Nous avons dtaill au deuxime chapitre le contexte gnral et les objectifs de ces travaux de thse,
qui se droulent dans le cadre du projet FUI SURFER. Les architectures de diagnostic du transport
ferroviaire ont t prsentes, afin de mieux cerner les limites de la situation actuelle et la solution
envisage dans le projet FUI SURFER. Cette prsentation a permis de poser les objectifs de cette
thse, qui consiste modliser et valuer d'un point de vue FMD des architectures de diagnostic.
Enfin, les verrous scientifiques de cette thse lis aux rseaux de communication, au diagnostic et
la sret de fonctionnement ont t identifis et dtaills.
Le troisime chapitre a permis de justifier et de prsenter le formalisme retenu, savoir les Rseaux
de Ptri colors associs la rsolution par simulation de Monte Carlo. Dans un premier temps, nous
avons propos un modle gnrique pour les rseaux de communication, qui occupent une place
centrale dans les architectures de diagnostic du transport ferroviaire. Puis nous avons propos des
modles en Rseaux de Ptri colors des architectures de diagnostic RCD et EDCD. Les modles
proposs ont ensuite t valids par un protocole de validation compos de cas pessimistes et
optimistes, qui a permis de valider les rsultats en sortie du modle pour les valeurs d'entre
retenues.
Page 105 sur 134

Le quatrime chapitre a permis d'appliquer les modles proposs sur un cas rel propos par
Bombardier, coordinateur du projet FUI SURFER, o les systmes lmentaires sont des accs
voyageurs. Dans un premier temps, la distribution du taux de dfaillance et la distribution des temps
de rparation d'un accs voyageurs ont t estimes partir du retour d'exprience fourni par
Bombardier. Puis, les paramtres des rseaux de communication et des systmes de diagnostic ont
t estims. Les rsultats pour l'application relle ont t obtenus. Devant le manque de donnes
concernant le rseau de communication bord sol et le rseau de communication embarqu pour le
diagnostic, nous avons dcid de raliser des tudes de sensibilit afin d'tudier l'influence de leur
dysfonctionnement sur la FMD des architectures de diagnostic.
La conclusion gnrale de ce travail, synthtisant les objectifs et les rsultats est expose ci-dessous :

Ces travaux de thse permettent de proposer une mthodologie d'valuation de FMD pour
comparer des architectures de diagnostic base sur les RdPC et la simulation de Monte Carlo.
En ce qui concerne l'application relle propose par Bombardier : les rsultats illustrent, pour
les valeurs d'entre, que passer de l'architecture RCD de l'architecture EDCD permet un
gain en disponibilit et conduit une meilleure rpartition du temps d'analyse des alarmes.
Cependant, l'ajout d'un rseau supplmentaire dgrade lgrement la fiabilit et augmente
le nombre d'erreurs rsiduelles. Cet inconvnient peut tre peru comme ngligeable car
l'objectif est d'avoir une architecture EDCD au moins aussi disponible que RCD et car le
nombre d'erreur rsiduelle est faible. Nous pouvons donc affirmer que, selon les hypothses
et les valeurs d'entres retenues, l'architecture de diagnostic type EDCD dveloppe dans le
projet FUI SURFER est conforme au principe GAMAB.
Les tudes de sensibilit ralises illustrent, pour les hypothses et les valeurs d'entre
retenues, que les rseaux de communication ont un effet trs faible sur la disponibilit.
Cependant, l'effet est plus important sur la fiabilit des architectures de diagnostic.

Page 106 sur 134

2. Perspectives
Des perspectives aux travaux raliss ont t identifies tant sur le plan scientifique que sur le plan
industriel.

2.1.Perspectives scientifiques
Deux perspectives scientifiques aux travaux raliss ont t identifies. Elles concernent
l'enrichissement des modles proposs pour les architectures de diagnostic et la proposition d'une
mthodologie d'valuation FMD a priori.
2.1.1. Enrichissement des modles proposs
Les modles RdPC des architectures de diagnostic RCD et EDCD ont t proposs et sont bass sur
des hypothses. Ainsi, la politique de maintenance modlise est la maintenance corrective. Au
diagnostic global, les alarmes ou diagnostics sont traits et toutes les fausses alarmes sont dtectes.
Les systmes lmentaires sont caractriss par deux tats. Les systmes lmentaires sont
indpendants. Ci-dessous, des perspectives sont proposes.

Enrichissement des modles des systmes lmentaires

Nous avons pos l'hypothse qu'un systme lmentaire ne peut tre que dans deux tats (tat de
marche ou tat de panne). De plus, la transition depuis l'tat de marche vers l'tat de panne est la
consquence d'une dfaillance soudaine. Cette hypothse permet des simplifications dans les
modles RdPC des architectures de diagnostic. Cependant, d'autres types de dfaillances peuvent se
produire, comme les dfaillances progressives (Zwingelstein,1995). Il est alors possible de distinguer
des tats de fonctionnement dgrad, c'est--dire des tats de fonctionnement o le service fournit
par le systme lmentaire est limit.
De plus, le systme lmentaire accs voyageurs est un cas particulier, dans le sens o il peut tre
considr comme un systme fonctionnant la sollicitation (Gandibleux et al.,2012b). Par exemple,
lorsque le train roule, les portes sont fermes et verrouilles. Quand le train arrive une station
donne, l'accs voyageurs est sollicit en ouverture, si un voyageur appuie sur le bouton d'ouverture
de porte. Cette observation ouvre la voie l'intgration de modles de systmes lmentaires
fonctionnant la sollicitation (Meshkat et al.,2002).

Modlisation des dfaillances de cause commune

Les systmes lmentaires, soumis au diagnostic, ont t considrs comme indpendants et


subissant des dfaillances indpendantes. Or, l'hypothse d'indpendance n'est pas toujours vrifie
dans la pratique (Kumamoto & Henley,1996). Dans le cas de plusieurs systmes lmentaires de type
accs voyageurs, il est possible d'identifier plusieurs lments communs. Par exemple, la commande
d'ouverture ou de fermeture des portes vient d'un seul signal, propag par une ligne de train. Une
dfaillance sur la commande des portes peut provoquer une dfaillance de cause commune sur
l'ensemble des accs voyageurs du train. Cette perspective mrite galement d'tre explore.

Ajout de processus continus : fiabilit dynamique

Les systmes lmentaires peuvent contenir des variables continues (par exemple une temprature,
une pression). L'volution du systme dans diffrents tats ou l'volution de la loi de dfaillance du
systme lmentaire peut tre fonction de franchissement de seuils sur ces variables continues (cas
Page 107 sur 134

d'un quipement lectronique refroidi par un ventilateur (Kermisch & Labeau,2000). Par exemple, la
dfaillance du ventilateur entraine une hausse de la temprature et un stress supplmentaire pour
l'quipement lectronique, ce qui modifie la loi de dfaillance de l'quipement lectronique. La
modlisation de tels systmes est habituellement ralise par la "fiabilit dynamique", qui est " la
partie de la sret de fonctionnement qui tudie de manire intgre le comportement des systmes
industriels complexes affects par une volution dynamique continue sous-jacente " (Kermisch &
Labeau,2000).

Affinement de l'estimation de la distribution du taux de dfaillance d'un accs voyageurs

Pour l'application spcifique d'un systme lmentaire de type accs voyageurs, l'estimation de la
distribution du taux de dfaillance a t ralise sur des donnes censures par une dure maximale
de 8544h de fonctionnement. Dans un premier temps, nous avons ralis une estimation de la
distribution du taux de dfaillance sans tenir compte de la censure des donnes. Une perspective
consiste donc tenir compte de cette censure afin d'estimer la distribution du taux de dfaillance.
D'autre part, la dure d'observation n'atteint que 8544h (soit un peu moins d'un an) sur un systme
dont la dure de fonctionnement est prvu pour une priode de 40 ans. Une autre perspective
consiste donc mettre jour avec davantage de donnes l'estimation de la distribution ralise.
Suite ces deux perspectives, l'hypothse initiale d'une distribution de Weibull peut tre conforte
ou non.

Nouvelle stratgie au diagnostic global

Il est envisag d'intgrer une nouvelle stratgie d'analyse au niveau du diagnostic global. Il s'agit de
l'inhibition, qui est propose dans (Le Mortellec et al.,2012). Dans ce cas, chaque systme
lmentaire est suppos avoir son propre contexte environnemental (par exemple : la temprature
ambiante du systme lmentaire). Des tables d'inhibitions sont utilises pour dcider, en fonction
du diagnostic gnr et en fonction du contexte environnemental, si le diagnostic est inhib ou non.
Par exemple, pour le cas d'un accs voyageurs ferroviaire, le dvers influence le bon fonctionnement
(voir chapitre 4). Avec la stratgie d'inhibition, lorsque le diagnostic "porte ferme avec un retard
(T)" est gnr et que le contexte environnemental "train arrt dans une station en dvers "
existe, alors le diagnostic peut tre inhib. La modlisation de ces nouvelles stratgies doit permettre
de montrer d'autres avantages de l'architecture EDCD par rapport l'architecture RCD.

Nouvelles stratgies de maintenance

Enfin, il est galement envisag d'intgrer d'autres politiques de maintenance dans les modles. En
effet, nos avons modlis le diagnostic curatif et modlis la maintenance curative, mais le projet FUI
SURFER vise aussi le dveloppement du diagnostic prdictif et de la maintenance conditionnelle.
L'intgration de ces nouvelles stratgies doit permettre de vrifier si l'architecture EDCD dveloppe
dans SURFER conduit l'optimisation de la maintenance.
2.1.2. Proposition d'une mthodologie d'valuation FMD a priori
L'approche propose en rponse la problmatique de thse peut tre qualifie d'approche "a
posteriori", dans le sens o l'valuation de FMD est ralise aprs l'analyse technique et

Page 108 sur 134

fonctionnelle de l'architecture dveloppe dans le projet FUI SURFER. Cette dmarche est l'approche
habituellement ralise lors d'une valuation FMD (Villemeur,1991).
Cette dmarche a un caractre itratif (Villemeur,1991). L'analyse technique et fonctionnelle du
systme est d'abord ralise. Puis, une analyse qualitative et une analyse quantitative sont ralises.
Enfin, l'tude est synthtise et les conclusions sont tires : si les objectifs initiaux sont atteints, alors
l'tude prend fin. Sinon, le projet est rvis et des modifications sont apportes au systme
(bouclage).
Le nombre de bouclage, en cas de non atteinte des objectifs, peut potentiellement tre important,
du fait de la complexit des architectures de diagnostic. D'autre part, le cot des modifications est
croissant avec le temps coul depuis le dmarrage du projet (Calvez,1990). Ce constat nous a
pousss rechercher une dmarche permettant de limiter le nombre de bouclages.
Dans cette optique, intgrer les objectifs de sret de fonctionnement ds la phase d'analyse
fonctionnelle et technique semble prometteuse. Dans cette approche, qualifie d'approche a priori,
les objectifs de FMD sont intgrs ds le dpart. Les objectifs finaux doivent tre plus facilement
atteints et le nombre de bouclages doit diminuer.
Nous avons apport une premire rponse dans ce sens dans (Gandibleux et al.,2012a), en utilisant
les concepts de la norme (IEC 61508,2012) pour concevoir un systme de surveillance/diagnostic.
La dmarche propose se base sur l'approche de risque et la rduction du risque, prconise par la
norme (IEC 61508,2012) et prconise dans le transport ferroviaire franais (EN 50126,2000). La
norme (IEC 61508,2012) introduit la notion de scurit fonctionnelle et propose une dmarche de
conception pour les systmes Electriques/Electroniques/Electroniques Programmables (E/E/PE)
relatifs la scurit.
La dmarche propose dans (Gandibleux et al.,2012a) peut se rsumer comme suit. Bombardier
dfinit le risque maximal tolrable li au systme de transport, not MTR. Si le risque initial li au
systme de transport, est suprieur au MTR, alors il est ncessaire de procder une rduction du
risque. Pour rduire le risque, un systme de surveillance/diagnostic est greff sur le systme de
transport. Pour raliser une rduction de risque donne, le systme de surveillance/diagnostic doit
atteindre un objectif donn (par exemple, une valeur minimale de MTTF). Pour atteindre ce niveau
de fiabilit, diffrentes alternatives d'architectures sont possibles (par exemple : architecture
redondante ou non).
Cette dmarche s'inscrit bien dans la dmarche propose dans la norme (IEC 61508,2012), car la
norme prcise que la scurit fonctionnelle est "centre sur la fiabilit des systmes relatifs la
scurit dans l'excution des fonctions de scurit". Donc, concevoir un systme relatif la scurit
conformment la norme (IEC 61508,2012) revient concevoir un systme fiable.

2.2.Perspectives industrielles
Deux perspectives industrielles nos travaux de recherche ont t identifies. Elles consistent
rutiliser les modles gnriques proposs d'une part et exploiter les modles pour raliser des
tudes technico conomiques d'autre part.

Rutilisation des modles gnriques

Page 109 sur 134

La mthodologie propose a aujourd'hui permis d'argumenter, d'un point de vue sret de


fonctionnement, l'intrt de passer d'une architecture RCD une architecture EDCD. Les conclusions
ont conduit l'implantation de l'architecture EDCD sur le train NAT ("Nouvelle Automotrice
Transilien"), qui est aujourd'hui en exploitation en Ile-de-France. Fort ce succs, l'utilisation de la
mthodologie est aujourd'hui envisage pour justifier l'intrt d'installer une architecture de type
EDCD sur les prochaines gnrations de trains conus par Bombardier Crespin (mtros, trains
rgionaux).

Etudes technico-conomiques

Pour Bombardier, il est envisag de coupler les modles proposs une tude conomique, car
lo u e e du e d failla e est li e des ots U ilia hi et al.,2011). Une telle tude doit
permettre de calculer le cot global li l'architecture RCD et l'architecture EDCD. Ce nouvel
indicateur permettrait de comparer sur un plan conomique les deux alternatives. Ce type
d'indicateur est intressant pour le constructeur, car il s'agit d'un critre de comparaison pour
l'exploitant ferroviaire, lors du choix d'un nouveau matriel roulant.

Page 110 sur 134

Bibliographi

ATOC. (2007). Ten-year European Rail Growth Trends. Britains railways - the fastest
growing in Europe (Rapport). London, UK. Association of Train Operating
Companies.
Agudelo, C., Anglada, F. M., Cucarella, E. Q., et Moreno, E. G. (2013). Integration of
techniques for early fault detection and diagnosis for improving process safety:
Application to a Fluid Catalytic Cracking refinery process. Journal of Loss Prevention
in the Process Industries. 26 (4), 660-665. ISSN 0950-4230. Elsevier
Alanen, J., Haataja, K., Laurila, O., Peltola, J., et Aho, I. (2006). Diagnostics of mobile work
machines. Research Notes 2343. Finland. VTT Technical Research Centre of Finland.
Amari, S. V., Myers, A. F., Rauzy, A., et Trivedi, K. S. (2008). Imperfect Coverage Models:
Status and Trends. Dans K. B. Misra (d.), Handbook of Performability Engineering.
Springer London, UK., 321-348. 10.1007/978-1-84800-131-2_22
Antoni, M. (2009). Validation dautomatismes ferroviaires de scurit base de rseaux de
Petri (Thse de doctorat). Braunschweig Technische Universitt. Braunschweig,
Allemagne.
Arlat, J. (2000). Composants logiciels et sret de fonctionnement: intgration de COTS.
Paris. Herms science publications. COTS: Components off the shelf. ISBN 978-27462-3840-4.
Aubrun, C., Sauter, D., et Yam, J. J. (2008). Fault diagnosis of networked control systems.
International Journal of Applied Mathematics and Computer Science. 18 (4), 525-537.
ISSN 2083-8492. University of Zielona Gra, Institute of Control and Computation
Engineering. Poland.
Aubrun, C., Simon, D., et Song, Y.-Q. (2010). Co-design Approaches for Dependable
Networked Control Systems. London, UK. ISTE Wiley. ISBN 978-1-84821-176-6.
Avizienis, A., Laprie, J. C., et Randell, B. (2000). Fundamental concepts of dependability.
Proceedings of ISW 2000. 34th Information Survivability Workshop. Los Alamitos,
USA., 712.
Aza-Vallina, D., Denis, B., et Faure, J.-M. (2011). Communications reliability analysis in
networked embedded systems. Dans G. & G. S. Brenguer (d.), Actes de
ESREL2011. Advances in Safety, Reliability and Risk Management. Troyes, France.
Taylor & Francis Group., 2639-2646.
Barger, P. (2003). Evaluation et validation de la fiabilit et de la disponibilit des systmes
dautomatisation intelligence distribue, en phase dynamique (Thse de doctorat).
Universit Henri Poincar Nancy 1. Facult des sciences et techniques. Nancy, France.

Page 111 sur 134

Benard, V., Cauffriez, L., et Renaux, D. (2008). The Safe-SADT method for aiding designers
to choose and improve dependable architectures for complex automated systems.
Reliability Engineering & System Safety. 93 (2), 179 - 196. ISSN 0951-8320. Elsevier
Benedettini, O., Baines, T. S., Lightfoot, H. W., et Greenough, R. M. (2009). State-of-the-art
in integrated vehicle health management. Proceedings of the Institution of Mechanical
Engineers, Part G: Journal of Aerospace Engineering. 223 (2), 157-170. SAGE
journals
Bengtsson, M. (2003). Condition Based Maintenance on Rail Vehicles - Possibilities for a
more effective maintenance strategy (Technical Report). Malardalen University,
Malardalen, Sweden.
Berbineau, M. (2002). Les systmes de tlcommunication existants ou mergents et leur
utilisation dans le domaine des transports guids. Synthse INRETS. Arcueil, France.
INRETS. ISBN 9782857825623.
Biteus, J., Frisk, E., et Nyberg, M. (2011). Distributed Diagnosis Using a Condensed
Representation of Diagnoses With Application to an Automotive Vehicle. Systems,
Man and Cybernetics, Part A: Systems and Humans, IEEE Transactions on. 41 (6),
1262-1267. ISSN 1083-4427. IEEE
Boiteau, M., Dutuit, Y., Rauzy, A., et Signoret, J.-P. (2006). The AltaRica data-flow language
in use: modeling of production availability of a multi-state system. Reliability
Engineering & System Safety. 91 (7), 747-755. ISSN 0951-8320. Elsevier
Bombardier. (2010). Le site de Crespin - les comptences russies dun intgrateur
ferroviaire (Dossier de presse). Crespin, France. Bombardier Transport.
Borrel, M. (1996). Interactions entre composants matriel et logiciel de systmes tolrants
aux fautes: caractrisation, formalisation, modlisation - application la suret de
fonctionnement du CAUTRA (Thse de doctorat). Institut National Polytechnique de
Toulouse, Toulouse, France.
Boudali, H., et Dugan, J. B. (2005). A discrete-time Bayesian network reliability modeling
and analysis framework. Rel. Eng. & Sys. Safety. 87 (3), 337-349. ISSN 0951-8320.
Elsevier
Bouillaut, L., Franois, O., Aknin, P., Donat, R., Bondeux, S., et Dubois, S. (2011).
VirMaLab atelier virtuel de maintenance un outil daide la dcision pour
loptimisation des politiques de maintenance. Recherche Transports Scurit. 27 (4),
241-257. ISSN: 1951-6614. Springer
Brissaud, F., Barros, A., et Brenguer, C. (2010). Improving availability and safety of control
systems by cooperation between intelligent transmitters. Actes de PSAM 10:
Probabilistic safety assessment and management. Seattle, tats-Unis.
Broy, P., Chraibi, H., et Donat, R. (2011). Using dynamic Bayesian networks to solve a
dynamic reliability problem. Actes de ESREL2011. Advances in Safety, Reliability and
Risk Management. Troyes, France. Taylor & Francis Group., 335-341.
Page 112 sur 134

Byington, C. S., Kalgren, P. W., Johns, R., et Beers, R. J. (2003). Embedded


diagnostic/prognostic reasoning and information continuity for improved avionics
maintenance. Proceedings of the AUTOTESTCON 2003 IEEE Systems Readiness
Technology Conference. California, USA., 320-329.
CCE. (2004). Directive du parlement europen et du conseil modifiant la directive
91/440/CEE du Conseil relative au dveloppement de chemins de fer communautaires.
Bruxelles, Belgique. Commission des Communauts Europennes.
CEI

61508.
(2010).
Scurit
fonctionnelle
des
systmes
lectriques/lectroniques/lectroniques programmables relatifs la scurit. Parties 1
7. Geneva, Switzerland. Commission Electrotechnique Internationale.

CIA. (2013). CAN (Controller area network) Specification 2.0, Part A (Spcification
technique). Erlangen, Germany. CAN in Automation (CiA). Consult le 01 Mai 2013
Cabarbaye, A., et Laulheret, R. (2005). Evaluation de la sret de fonctionnement des
systmes dynamiques par modlisation rcursive. Actes du 6me Congrs
International pluridisciplinaire, qualit et sret de fonctionnement, Qualita 2005.
Bordeaux, France.
Caldern-Espinoza, G. (2003). Model based fault diagnosis techniques: an overview and a
proposal (Research report). Universitat de Girona-Departament EIA, Girona, Espaa.
Calvez, J. P. (1990). Spcification et conception des systmes: une mthodologie. Manuels
informatiques Masson. Alenon, France. Masson. ISBN 2-225-82107-0.
Cauffriez, L. (2005). Mthodes et modles pour lvaluation de la sret de fonctionnement
de systmes automatiss complexes: Application lexploitation de lignes de
production - Application la conception de systmes intelligents distribus
(Habilitation Diriger des Recherches). Universit de Valenciennes et du HainautCambresis, Valenciennes, France.
Cauffriez, L., Ciccotelli, J., Conrard, B., et Bayart, M. (2004). Design of intelligent distributed
control systems: a dependability point of view. Reliability Engineering and System
Safety. 84 (1), 19-32. ISSN 0951-8320. Elsevier.
Cauffriez, L., Loslever, P., Caouder, N., Turgis, F., et Copin, R. (2013). Robustness study and
reliability growth based on exploratory design of experiments and statistical analysis:
a case study using a train door test bench. The International Journal of Advanced
Manufacturing Technology. 66 (1-4), 27-44. ISSN 0268-3768. Springer-Verlag.
Cauffriez, L., Renaux, D., Bonte, T., et Cocquebert, E. (2012). Systemic modeling of
integrated systems for decision making early on in the design process. Cybern. Syst.
44 (1), 122. ISSN 0196-9722.
Ciame. (2009). Rseaux de terrain - critres de sret de fonctionnement. Traits IC2
(Information - Commande - Communication), srie systmes automatiss. Paris,
France. Hermes-Lavoisier. ISBN 2-7462-1946-8.

Page 113 sur 134

Ciutat, F. (2010). SIL: automatisme & scurit: SIS, SRECS, SRP-CS, APIdS, FS-PLC,
rseaux. Fontvieille, France. Apta d. ISBN 9782746613997.
Claesson, V. (2002). Efficient and Reliable Communication in Distributed Embedded Systems
(Thse de doctorat). Chalmers University of Technology, Gteborg, Sweden.
Clark, J., Clarke, C., De Panfilis, S., Granatella, G., Predonzani, P., Sillitti, A., Succi, G., et al.
(2004). Selecting components in large COTS repositories. Journal of Systems and
Software. 73 (2), 323-331. ISSN 0164-1212. Elsevier
Cordier, C., Fayot, M., Leroy, A., et Petit, A. (1997). Integration of process simulations in
availability studies. Reliability Engineering & System Safety. 55 (2), 105-116. ISSN
0951-8320. Elsevier
Cordier, M.-O., Dague, P., Lvy, F., Montmain, J., Staroswiecki, M., et Trav-Massuys, L.
(2004). Conflicts versus Analytical Redundancy Relations: a Comparative Analysis of
the Model Based Diagnosis Approach from the Artificial Intelligence and Automatic
Control Perspective. IEEE transactions on systems, man and cybernetics. 34, 21632177.
Corman, F., DAriano, A., et Hansen, I. A. (01). Evaluating disturbance robustness of
railway schedules ( No. RT-DIA-197-2012.). Roma, Italy. Universita degli Studi di
Roma Tre.
DIN EN 13306. (2010). Maintenance Maintenance terminology (Norme). Berlin,
Allemagne. Deutsches Institut fr Normung. European Committee for Standardization
David, R., et Alla, H. (2005). Discrete, continuous, and hybrid Petri Nets. Springer. ISBN
9783540224808.
De Kleer, J., et Williams, B. C. (1987). Diagnosing multiple faults. Artificial Intelligence. 32
(1), 97 - 130. ISSN 0004-3702. Elsevier.
Dersin, P. (2009). Reliability Challenges in Rail Transport Industry. Proceedings of
Mathematical Methods in Reliability 2009. Moscow, Russia.
Dersin, P., et Pronne, A. (2007). Influence de la testabilit et de la politique de maintenance
sur la disponibilit dun systme ferroviaire. Actes de PENTOM2007. Valenciennes,
France.
Diaz, M. (2001). Les rseaux de Petri: Modles fondamentaux. IC2. Paris, France. Herms
science publications. ISBN 2-7462-0250-6.
Dievart, M. (2010). Architectures de diagnostic et de pronostic distribues de systmes
techniques complexes de grande dimension (Thse de doctorat). Toulouse. Institut
National Polytechnique de Toulouse, Toulouse, France.
Donat, R. (2009). Modlisation de la abilit et de la maintenance par modles graphiques
probabilistes Application la prvention des ruptures de rails (Thse de doctorat).
Institut National des Sciences Appliques de Rouen, Rouen, France.
Page 114 sur 134

Dubuisson, B. (2001). Diagnostic, intelligence artificielle et reconnaissance des formes. IC2


information - commande - communication. Paris, France. Herms Science
publications. ISBN 2-7462-0249-2.
E.800. (2008). Qualit de service: concepts, modles, objectifs, planification de la sret de
fonctionnement Termes et dfinitions relatifs la qualit des services de
tlcommunication. Dfinition de termes relatifs la qualit de service.
(Recommandation UIT-T). Genve, Suisse. Union Internationale des
Tlcommunications.
EN 50121. (2006). Applications ferroviaires - Compatibilit lectromagntique. (Norme).
Bruxelles, Belgique. Comit Europen de Normalisation Electrotechnique.
EN 50126-1. (2000). Applications ferroviaires. Spcification et dmonstration de la fiabilit,
de la disponibilit, de la maintenabilit et de la scurit (FDMS). Partie 1: Exigences
de base et procds gnriques. (Norme). Bruxelles, Belgique. Comit Europen de
Normalisation Electrotechnique.
EN 50155. (2007). Applications ferroviaires - Equipements lectroniques utiliss sur le
matriel roulant. (Norme). Bruxelles, Belgique. Comit Europen de Normalisation
Electrotechnique.
Eurostat. (2010). Railway passenger transport decreased slightly at the beginning of 2009
(Rapport No. ISSN 1977-0316). Luxembourg. Eurostat.
Feldman, A. (2010). Approximation Algorithms for Model-Based Diagnosis (Thse de
doctorat). Technische Universiteit Delft, Delft, Netherlands.
Fota, N., Kaniche, M., et Kanoun, K. (1999). Dependability evaluation of an air traffic
control computing system. Proceedings of the IEEE Computer Performance and
Dependability Symposium. Durham, USA., 206-215.
FprEN50159. (2010). Railway applications - Communication, signalling and processing
systems - Safety-related communication in transmission systems. Final Draft (Projet
de norme). Bruxelles, Belgique. Comit Europen de Normalisation Electrotechnique.
Final Draft
Fries, J. M., Weingartner, A. A., et Herinckx, D. J. (2009). Surveillance distance
dquipement de voie ferre laide de protocoles rseau. Brevet. WO2009042283
A2. General Electric Company
Galdun, J., Thiriet, J.-M., Ligus, J., et Sarnovsky, J. (2008). Reliability increasing through
networked cascade control structure - consideration of quasi-redundant subsystems.
Dans IFAC (d.), Preprints of the 17th IFAC World Congress. Seoul, Core., 68396844.
Gandibleux, J., Cauffriez, L., et Branger, G. (01b). Evaluation de FMD dun systme
dynamique hybride par Rseaux de Petri: application un accs voyageurs. Actes de
Lambda Mu 18. Tours, France. IMDR., 1376-1385.

Page 115 sur 134

Gandibleux, J., Cauffriez, L., et Branger, G. (2012a). Extension des Concepts de la norme
CEI-61508 pour la conception dun systme de surveillance/diagnostic embarqu.
Actes de la Confrence Internationale Francophone dAutomatique CIFA2012.
Grenoble, France., 131-136.
Gandibleux, J., Cauffriez, L., et Branger, G. (2011). Improving the reliability/availability of a
complex system by an active monitoring based onto augmentation
concept :Application onto a railway system. Actes de ESREL2011. Advances in
Safety, Reliability and Risk Management. Troyes, France. Taylor & Francis Group.
Gandibleux, J., Clarhaut, J., Cauffriez, L., et Sallez, Y. (2013). Comparison of embedded
diagnosis architectures in the field of railway transport:a dependability point of view.
Proceedings of the Institution of Mechanical Engineers, Part F: Journal of Rail and
Rapid Transit. Submitted to the journal. SAGE Journals.
Gaudoin, O., et Ledoux, J. (2007). Modlisation alatoire en fiabilit des logiciels. Mthodes
stochastiques appliques. Paris, France. Herms Science Publications. ISBN 978-27462-1608-2.
Ghostine, R., Thiriet, J.-M., et Aubry, J.-F. (2006). Dependability evaluation of networked
control systems under transmission faults. Proceedings of the 6th IFAC Symposium on
Fault Detection, Supervision and Safety of Technical Processes, Safeprocess. Beijing,
China. Elsevier., 1129-1134.
Hallgren, D., et Skog, H. (2005). Distributed Fault Diagnosis for Networked Embedded
Systems (Thse de Master). Linkping University, Department of Electrical
Engineering, Linkping, Sweden.
Herzog, U. (2002). Lectures on formal methods and performance analysis. Dans E. Brinksma,
H. Hermanns, & J.-P. Katoen (d.), . New York, NY, USA. Springer-Verlag New
York, Inc., 137.
Hoyland, A., et Rausand, M. (2004). System reliability theory: models, statistical methods,
and applications. Wiley series in probability and statistics: Applied probability and
statistics. New York, USA. Wiley-Interscience. ISBN 9780471471332.
IEC 60300-3-1. (2003). Dependability management - Part 3-1: Application guide - Analysis
techniques for dependability - Guide on methodology (Norme). Genve, Suisse.
International Electrotechnical Commission.
IEC 61375. (2012). Electronic railway equipment - Train communication network - Parts 1 to
3 (Norme). Bruxelles, Belgique. International Electrotechnical Commission.
International Electrotechnical Commission
ISDF. (2000). Dmarche et mthodes de Sret de Fonctionnement des logiciels (Rapport du
Groupe de Travail et de Rflexion Dmarche et mthodes de Sret de
Fonctionnement des logiciels ). France. Institut de Sret de Fonctionnement.

Page 116 sur 134

ISO 11898-1. (2003). Road vehicles - Controller area network (CAN). Part 1: Data link layer
and physical signalling (Norme). Geneva, Switzerland. International Organization for
Standardization.
ISO 13374-1. (2003). Condition monitoring and diagnostics of machines -- Data processing,
communication and presentation -- Part 1: General guidelines (Norme). Geneva,
Switzerland. International Organization for Standardization.
Isermann, R. (2006). Fault-Diagnosis Systems: An Introduction from Fault Detection to Fault
Tolerance. Berlin, Allemagne. Springer-Verlag Berlin Heidelberg. ISBN
9783540241126.
Jensen, K. (1994). An Introduction to the Theoretical Aspects of Coloured Petri Nets. Lecture
Notes in Computer Science. 803, 230-272. Springer-Verlag
Jensen, K., Kristensen, L. M., et Wells, L. (2007). Coloured Petri Nets and CPN Tools for
modelling and validation of concurrent systems. International Journal on Software
Tools for Technology Transfer. 9 (3-4), 213-254. ISSN 1433-2787. Springer
Kohl, J., et Bauer, A. (2010). Role-Based Diagnosis for Distributed Vehicle Functions. Online
Proceedings of the 21st International Workshop on the Principles of Diagnosis (DX).
Portland, USA. PHM Society.
Koopman, P., et Chakravarty, A. (2001). Analysis of the Train Communication Network
Protocol Error Detection Capabilities. Institute for Software Research. Pittsburgh,
USA. Carnegie Mellon University.
Kootkar, S. B. (2008). Reliable sensor networks - a case study in commuter trains (Thse de
Master). Delft, Netherlands. Delft University of Technology, Delft, Netherlands.
Koutsoukos, X., Biswas, G., Mylaraswamy, D., Hadden, G., Mack, D., et Hamilton, D.
(2010). Benchmarking the Vehicle Integrated Prognostic Reasoner. Proceedings of the
Annual Conference of the Prognostics and Health Management Society. Portland,
USA. PHM Society.
Kumamoto, H. (2007). Satisfying safety goals by probabilistic risk assessment. Springer
series in reliability engineering. London, UK. Springer-Verlag. ISBN 9781846286810.
Kumamoto, H., et Henley, E. J. (1996). Probabilistic risk assessment and management for
engineers and scientists. IEEE Press. ISBN 9780780310049.
Laprie, J. C. (1995). Guide de la sret de fonctionnement. Toulouse, France. CpadusEditions. ISBN 2-85428-382-1.
Lavina, Y., et Perruche, E. (1998). ISO 9000 - EAFQ maintenance et assurance de la qualit.
Paris, France. Ed. dOrganisation. ISBN 2-7081-2087-5.
Le Mortellec, A., Clarhaut, J., Berger, T., et Trentesaux, D. (2013). Embedded holonic fault
diagnosis of complex transportation systems. Engineering Applications of Artificial
Intelligence. 26 (1), 227-240. ISSN 0952-1976. Elsevier
Page 117 sur 134

Le Mortellec, A., Clarhaut, J., Sallez, Y., Berger, T., et Trentesaux, D. (2012). Embedded
cooperative holarchy for diagnosing complex moving systems. Proceedings of the
14th IFAC symposium on Information & Control problems in Manufacturing
(INCOM). Bucarest, Romania., 673-678.
Lyonnet, P. (2006). Ingnierie de la fiabilit. Paris, France. Tec & Doc Lavoisier. ISBN
9782743008239.
MIL-HDBK-217F. (1991). Military handbook - Reliability prediction of electronic
equipment. USA. Department of Defense.
Menighed, K. (2010). Commandes coopratives embarques et tolrantes aux dfauts (Thse
de doctorat). Universit Henri Poincar Nancy 1. Facult des sciences et techniques.
Nancy, France.
Metodi, A., Stern, R., Kalech, M., et Codish, M. (2012). Compiling Model-Based Diagnosis
to Boolean Satisfaction. Proceedings of the Twenty-Sixth AAAI Conference on
Artificial Intelligence. Toronto, Canada.
Myers, A. F., et Rauzy, A. (2008). Assessment of redundant systems with imperfect coverage
by means of binary decision diagrams. Rel. Eng. & Sys. Safety. 93 (7), 1025-1035.
ISSN 0951-8320. Elsevier
Mrquez, F. P. G., Lewis, R. W., Tobias, A. M., et Roberts, C. (2008). Life cycle costs for
railway condition monitoring. Transportation Research Part E: Logistics and
Transportation Review. 44 (6), 1175 - 1187. ISSN 1366-5545. Elsevier
Meshkat, L., Bechta Dugan, J., et Andrews, J. D. (2002). Dependability Analysis of Systems
WithOn-Demand and Active Failure Modes,Using Dynamic Fault Trees. IEEE
Transactions on Reliability. 51 (2), 240-251. ISSN 0018-9529. IEEE.
NF ISO 13372. (2005). Surveillance et diagnostic des machines - Surveillance et diagnostic
de ltat des machines - Vocabulaire. (Norme). Paris, France. AFNOR.
Navet, N., Song, Y.-Q., et Simonot, F. (2000). Worst-case deadline failure probability in realtime applications distributed over controller area network. Journal of Systems
Architecture. 46 (7), 607 - 617. ISSN 1383-7621. Elsevier
Nicolet, J.-L., Carnino, A., et Wanner, J.-C. (1989). Catastrophes? Non merci! La prvention
des risques technologiques et humains. Paris, France. Masson. ISBN 2-225-81710-3.
Niel, E., et Craye, E. (2002). Matrise des risques et sret de fonctionnement des systmes de
production. IC2: Srie Productique. Paris, France. Herms Science Publications. ISBN
9782746204027.
Nyberg, M. (2002). Criterions for detectability and strong detectability of faults in linear
systems. International Journal of Control. 75 (7), 490-501. ISSN 0020-7179. Elsevier.

Page 118 sur 134

Pags, A., et Gondran, M. (1980). Fiabilit des systmes. Collection de la Direction des
tudes et recherches dlectricit de France. Paris. Eyrolles. ISBN 978-2-212-015829.
Papadopoulos, Y., Tran, A., Faure, J.-M., et Grante, C. (2006). Component Failure Behaviour:
Patterns and Reuse in Automated System Safety Analysis. Proceedings of SAE 2006
World Congress. Detroit, tats-Unis.
Patton, R. J. (1997). Robustness in model-based fault diagnosis: The 1995 situation. Annual
Reviews in Control. 21 (0), 103-123. ISSN 1367-5788. Elsevier
Petri, C. A. (1962). Kommunikation mit Automaten (Thse de doctorat). Universitt Hamburg,
Hambourg, Allemagne.
Prabhu, V. V., et Duffie, N. A. (1996). Modelling and Analysis of Heterarchical
Manufacturing Systems Using Discontinuous Differential Equations. CIRP Annals Manufacturing Technology. 45 (1), 445-448. ISSN 0007-8506. Elsevier
Procaccia, H., Ferton, E., Procaccia, M., et Lannoy, A. (2011). Fiabilit et maintenance des
matriels industriels rparables et non rparables. SRD, sciences du risque et du
danger. Paris, France. d. Tec & doc. ISBN 978-2-7430-1362-2.
Prosyst. (2008). Diagnostic Automatique. Une nouvelle approche de diagnostic machine
base sur lexcution dun modle structurel. Actes de la Journe SEEAAI,
GDRMACS-S3. Les nouveaux outils de diagnostic dans les processus industriels - Les
cls de la comptitivit. Paris, France.
Rahoual, M., et Siarry, P. (2006). Les rseaux informatiques: conception et optimisation.
Paris, France. Technip. ISBN 978-2-7108-0877-0.
Redmill, F. (2004). Analysis of the COTS debate. Safety Science. 42 (5), 355 - 367. ISSN
0925-7535. Elsevier
Renner, E., et Umiliacchi, P. (2003). TrainCom: an Integrated Communication System for
Intelligent TrainApplications. Proceedings of the WCRR, World Conference on
Railway Research. Edinburgh, UK.
Ribot, P. (2009). Vers lintgration diagnostic-pronostic pour la maintenance des systmes
complexes (Thse de doctorat). Toulouse. Universit Paul Sabatier, Toulouse, France.
Roos, N., Teije, A. T., et Witteveen, C. (2003). Multi-Agent Diagnosis with Semantically
Distributed Knowledge. Proceedings of the 15th Belgium-Dutch Conference on
Artificial Intelligence (BNAIC-2003). Nijmegen, Netherlands., 259266.
SNCF. (2009). Maintenance prdictive : Savoir pour anticiper. Rail et Recherche n52., 9-12.
Schweiger, S. (2009). Lebenszykluskosten optimieren: Paradigmenwechsel fr Anbieter und
Nutzer von Investitionsgtern. Wiesbaden, Allemagne. Gabler Verlag / GWV
Fachverlage GmbH. ISBN 978-3834909893.

Page 119 sur 134

Shingler, R., et Umiliacchi, P. (2003). Advances in railways maintenance: the EuRoMain


project. Proceedings of the WCRR, World Conference on Railway Research.
Edinburgh, UK.
Smedley, V. A., et Steijger, L. A. (2004). Remote system condition monitoring. Brevet.
GB2392983. Bombardier Transportation
Smith, G., et Bowen, M. (1995). Considerations for the utilization of smart sensors. Sensors
and Actuators A: Physical. 47 (13), 521 - 524. ISSN 0924-4247. Elsevier
Staroswiecki, M. (2005). Intelligent sensors: a functional view. IEEE Transactions on
Industrial Informatics. 1 (4), 238249. ISSN 1551-3203. IEEE
Su, R., Wonham, W. M., Kurien, J., et Koutsoukos, X. (2002). Distributed Diagnosis for
Qualitative Systems. Proceedings of the 6th International Workshop on Discrete Event
Systems (WODES-2002). Zaragoza, Spain., 169174.
Sderholm, P. (2007). A system view of the No Fault Found (NFF) phenomenon. Reliability
Engineering & System Safety. 92 (1), 1-14. ISSN 0951-8320. Elsevier.
Tanarro, F., et Fuerte, F. (2011). OHMS - real-time analysis of the pantograph catenary
interaction to reduce maintenance costs. Proceedings of the 5th IET Conference on
Railway Condition Monitoring and Non-Destructive Testing. Derby, UK. IET
Conference Publications.
Thiriet, J.-M. (2004). Sret de fonctionnement de Systmes dAutomatisation Intelligence
Distribue (Habilitation Diriger des Recherches). Universit Henri Poincar Nancy
1. Nancy, France.
Thomesse, J.-P. (2002). Fieldbuses and Quality of Service. Proceedings of the 5th Portuguese
Conference on Automatic Control. Aveiro, Portugal., 10-14.
Turgis, F. (2013). Amlioration de la fiabilit dun systme complexe. Application ferroviaire:
accs voyageurs. (Thse de doctorat). Universit de Valenciennes et du HainautCambresis,Valenciennes, France.
Turgis, F., Copin, R., Loslever, P., Cauffriez, L., et Caouder, N. (010). Proposition dune
mthodologie pour la ralisation dessais de fiabilit sur un systme complexe daccs
voyageur. Actes de Lambda Mu 17. La Rochelle, France., 1-10.
UIC. (2006). EIRENE (European Integrated Railway Radio Enhanced NEtwork) System
Requirements Specification (Spcification technique). Paris, France. Union
Internationale des Chemins de Fer.
Umiliacchi, P., Lane, D., et Romano, F. (2011). Predictive maintenance of railway subsystems
using an Ontology based modelling approach. Proceedings of the WCRR2011, World
Conference on Railway Research. Lille, France.
Umiliacchi, P., Shingler, R., Langer, G., et Henning, U. (2006). A new approach to
optimisation through intelligent integration of railway systems:the InteGRail project.
Page 120 sur 134

Proceedings of the 7th WCRR, World Conference on Railway Research. Montral,


Canada.
Utne, I. B., Brurok, T., et Rdseth, H. (2012). A structured approach to improved condition
monitoring. Journal of Loss Prevention in the Process Industries. 25 (3), 478-488.
ISSN 0950-4230. Elsevier.
Vannier, S., et Dersin, P. (006). Modlisation de la disponibilit dun systme de
communication ferroviaire base sur les standards Wireless IEEE 802.11. Actes de
Lambda Mu 15. Lille, France.
Venkatasubramanian, V., Rengaswamy, R., Yin, K., et Kavuri, S. N. (2003). A review of
process fault detection and diagnosis: Part I: Quantitative model-based methods.
Computers and Chemical Engineering. 27 (3), 293 - 311. ISSN 0098-1354. Elsevier
Vernez, D., Buchs, D., et Pierrehumbert, G. (2003). Perspectives in the use of coloured Petri
nets for risk analysis and accident modelling. Safety Science. 41 (5), 445 - 463. ISSN
0925-7535. Elsevier
Villemeur, A. (1991). Reliability, Availability, Maintainability and Safety Assessment. New
York, USA. John Wiley & Sons ltd. ISBN 9780471930488.
Volovoi, V. (2012). Challenges in Assessing System-Level Effects of IVHM. Proceedings of
the Indo-US workshop on Integrated Vehicle Health Management and Aviation Safety
(WIAS). Bangalore, India.
Wahl, M. (2004). Les rseaux de terrain embarqus dans les transports guids. Synthse
INRETS. Arcueil, France. INRETS. ISBN 2857825913.
Wahl, M. (2010). Survey of Railway Embedded Network Solutions: Towards the Use of
Industrial Ethernet Technologies. Synthse INRETS. Mayenne, France. INRETS.
ISBN 9782857826828.
Weber, P., Medina-Oliva, G., Simon, C., et Iung, B. (2012). Overview on Bayesian networks
applications for dependability, risk analysis and maintenance areas. Engineering
Applications of Artificial Intelligence. 25 (4), 671 - 682. ISSN 0952-1976. Elsevier
Wesling, H. J., Novakovich, M. R., et Roberts, R. D. (1993). REAL-TIME REMOTE
SIGNAL MONITORING SYSTEM. Brevet. WO9318952 A1. Aeg Westinghouse
Transportation Systems, Inc.
Whittaker, G. S. (2009). Systmes et procds de maintenance base de conditions. Brevet.
WO2009070347 A1. The Boeing Company
Willaeys. (2008). Device and method for a system analysis and diagnosis. Brevet.
US0086288. Prosyst
Worcester, P. (2003). A fault prediction system for vehicles. Brevet. GB2378248. Worcester
Entpr

Page 121 sur 134

Wysocki, J., Debouk, R., et Nouri, K. (2004). Shared redundancy as a means of producing
reliable mission critical systems. Proceedings of the Reliability and Maintainability,
2004 Annual Symposium - RAMS. Los Angeles, USA., 376-381.
Zille, V. (2009). Modlisation et valuation des stratgies de maintenance complexes sur des
systmes multi-composants (Thse de doctorat). Universit de Technologie de Troyes,
Institut Charles Delaunay, Troyes, France.
Zimmermann, A., et Hommel, G. (2005). Towards modeling and evaluation of ETCS realtime communication and operation. Journal of Systems and Software. 77 (1), 47 - 54.
ISSN 0164-1212. Elsevier
Zwingelstein, G. (1995). Diagnostic des dfaillances: thorie et pratique pour les systmes
industriels. Trait des nouvelles technologies. Srie Diagnostic et maintenance. Paris,
France. Herms. ISBN 9782866014636.
Zwingelstein, G. 1996. La maintenance base sur la fiabilit: Guide pratique dapplication
de la RCM. Paris, France: Hermes Science Publications. ISBN 9782866015459.

Page 122 sur 134

Annx

: lois d probabilit

Cette annexe dtaille les caractristiques des lois de probabilit dans la partie 1 et les mthodes pour
estimer les paramtres des lois dans la partie 2. Enfin, un trac des ces lois de probabilit est
prsent dans la partie 3.

1. Dfinition des lois


Les lois de probabilit discrte ou continue sont habituellement distingues en sret de
fonctionnement (Villemeur,1991). Les caractristiques gnrales et les fonctions de rpartition des
principales lois de probabilit sont rappeles ci-dessous.

1.1.Lois discrtes
Les lois de probabilit discrtes sont utilises, par exemple, lorsque la fiabilit est quantifie par un
nombre de cycles, un nombre de pices fabriques ou lorsqu'il s'agit de quantifier la dfaillance la
sollicitation (Lyonnet,2006).
1.1.1. La loi binomiale (ou loi de Bernoulli)
Soient p la probabilit d'occurrence de l'vnement A, et 1-p la probabilit que l'vnement A n'ait
pas lieu. La variable alatoire X reprsentant le nombre de ralisation de A est distribu selon une loi
binomiale si (Pags & Gondran,1980):

1.1.2. La loi de Poisson


La loi de Poisso est u e loi a a t pou pa a t e lesp a e mathmatique de X, note m. X suit
une loi de Poisson si (Gaudoin & Ledoux,2007):

La loi de Poisson peut tre considre comme un cas limite de la loi binomiale, lorsque le nombre
d'expriences est lev et quand l'esprance mathmatique de la variable alatoire est constante
(Villemeur,1991).

1.2.Les lois continues


Les lois de probabilit continues sont associes aux variables alatoires continues (exemple : dure
de fo tio e e t du e e tit .

Page 123 sur 134

1.2.1. La loi de Weibull


La loi de Weibull permet de modliser un grand nombre de phnomnes grce trois paramtres :
le pa a t e d' helle , le pa a t e de fo e et le pa a t e de temps (qui est souvent nul,
(Pags & Gondran,1980)). Elle se dfinit par (Gaudoin & Ledoux,2007):
]

Le taux de dfaillance est fonction du temps et permet de modliser plusieurs situations (Gaudoin &
Ledoux,2007) : un taux de dfaillance dcroissant
, un taux de dfaillance croissant
,
un taux de dfaillance constant
, qui est le cas de la loi exponentielle.
1.2.2. La loi exponentielle
La loi exponentielle peut-tre considre comme une distribution de Weibull avec des paramtres
particuliers (Gaudoin & Ledoux,2007). Elle est frquemment utilise en sret de fonctionnement car
les calculs sont faciles simplifier (Villemeur,1991).
L'hypothse du taux de dfaillance constant est discutable (Kumamoto,2007). Cependant, cette
hypothse d'indpendance vis--vis des tats occups antrieurement par le systme est vrifie
dans certains systmes industriels (Niel & Craye,2002). Les lois rgissant le systme voluent alors
suivant des temps exponentiellement distribus.
Cette loi est dfinie par :
{

1.2.3. La loi normale


La loi o ale est u e dist i utio s
t i ue de o e e
et d' a t t pe (Gaudoin &
Ledoux,2007). Cette loi s'applique de nombreux phnomnes (incertitude lie des mesures,
fa i atio (Villemeur,1991).

1.2.4. La loi Log-Normale


La loi Log-Normale, de paramtres et , est si ilai e la dist i utio o ale l'e eptio ue e
seront les logarithmes des valeurs qui sont normalement distribues contrairement aux valeurs ellesmmes (Kumamoto & Henley,1996). Cette loi est frquemment utilise pour dcrire des donnes de
maintenabilit (Villemeur,1991) et pour les dfaillances dues la fatigue (Lyonnet,2006).

Page 124 sur 134

) ]

1.2.5. La loi gamma


La loi gamma est une distribution trs gnrale deux paramtres et (Villemeur,1991). Des
valeurs particulires permettent do te i soit la loi e po e tielle, soit la loi d'E la g (Gaudoin &
Ledoux,2007). Cette dernire peut tre utilise lorsqu'un vnement se produit aprs une squence
de sous vnements distribus exponentiellement, par exemple dans la mthode des tats fictifs
(Villemeur,1991). Le taux de dfaillance est fonction du temps et permet de modliser plusieurs
situations (Gaudoin & Ledoux,2007) : un taux de dfaillance dcroissant
, un taux de
dfaillance croissant
, un taux de dfaillance constant
, qui est le cas de la loi
exponentielle.

2. Mthodes d'estimation des lois de probabilit


Plusieurs mthodes existent pour estimer les paramtres des lois de probabilit (Pags &
Gondran,1980) (Villemeur,1991). Ci-dessous, cette partie se concentre sur l'estimation du paramtre
de la loi exponentielle ( ), par la mthode graphique et par la mthode de l'intervalle de confiance.

2.1.Mthode graphique (Kumamoto & Henley,1996)


Dans le cas de la loi exponentielle, la fiabilit est donne par :

Ce qui peut aussi s'crire :


[

Cette seconde quation permet d'illustrer que, si le logarithme nprien de 1/R(t) est trac en
fonction de t, alors la courbe devrait tre une droite de coefficient directeur . La mthode
graphique va consister tracer les donnes empiriques dans un repre [

coefficient directeur de la droite passant par ces points.


Pour faciliter la comprhension, l'estimation de
applique l'exemple des donnes du Tableau 18.

] ] et estimer le

par la mthode graphique va maintenant tre

Page 125 sur 134

temps avant nombre cumul


dfaillance de dfaillances
0
20
40
60
90
160
230
400
900
1200
2500

0
9
23
50
83
113
143
160
220
235
240
250

Tableau 18 : Exemple de recueil de donnes de sret de fonctionnement (Kumamoto & Henley,1996)

Les donnes d'exemples sont traces dans le repre[

] ] de la Figure 33. Il est finalement

possible d'estimer la "meilleure" ligne droite passant par ces points :

120

100

ln [ 1/R(t) ]

80

60

40

20
donnees empiriques
estimation
0

50

100

150
200
250
temps avant dfaillance

Figure 33 : Test des do

300

350

400

es pour u o sta t

2.2.Mthode par intervalle de confiance (Lyonnet,2006)


L'estimation par intervalle de confiance permet, en plus, d'indiquer une marge d'erreur sur la
prcision des paramtres estims.
oit u pa a t e esti e , do t il faut he he la valeu esti
1- telle u'u v e e t de p obabilit 1- puisse t e o sid
alors tre calcule par :

e, ot e . Soit une probabilit


o
e e tai . L'e eu E peut

Page 126 sur 134

(|

L'ingalit signifie que l'intervalle [ -E ; +E] o tie d a la valeu i o ue du pa a


probabilit 1-. Cet i te valle est appel intervalle de confiance au niveau 1- .

t e ave la

Soit le nombre moyen de dfaillances attendues not k et le temps cumul d'observation not T, il
est possible de dmontrer que (Lyonnet,2006):

o
est la loi du Khi deux Y degrs de libert et de paramtre X. En posant =k/T, il est possible
de calculer l'intervalle de confiance sur le taux de dfaillances :

3. Trac des lois de probabilit


Les lois de probabilit prsentes prcdemment sont traces ci-dessous (Figure 34).
Exponentielle

=1 h -1

=2 ; =1

Normale

Log Normale

=2 ; =1
1

F(t)

F(t)

F(t)

0.8

0.8

0.8

0.8

0.6

0.6

0.6

0.6

0.4

0.4

0.4

0.4

0.2

0.2

0.2

Exponentielle

=1 h -1

10

10

(t)

4
2

=4 ;

Gamma

10

Binomiale

10

0.4

0.4

0.4

0.2

0.2

=4 ;

10
Binomiale

10

20

6
4

15

30

p=0.5

15

(t)

10

(t)

40

50

10

m=7.5

0.2

=5

10

=0.5 ; =1 ; =0

F(k)

0.6

Gamma

0.6

1
0

F(k)

10

Weibull

0.6

0.04

0.8

=2 ; =1

0.06

Poisson

50

0.8

40

(t)

p=0.5

F(t)

30

0.08

0.8

20

0.02

=5

10

0.1

1.001

1.001

0.2

0.12

1.001

Log Normale

(t)

1.001

10

=2 ; =1

Normale

1.001

=0.5 ; =1 ; =0

Weibull

F(t)

10
Poisson

1.5

(k)

10

0.5

15

m=7.5
(k)

2
0

10

10

15

10

15

Figure 34 : Tracs des lois de probabilits

Page 127 sur 134

Page 128 sur 134

Annx
: prsntation ds autrs
partnairs du projt FUI SURFER

Le projet FUI SURFER est un projet multipartenaire runissant BOMBARDIER Transport, le laboratoire
TEMPO, Prosyst, l'IFSTTAR et HIOLLE INDUSTRIES, soutenus par les ples de comptitivit I-Trans et
Advancity. Le laboratoire TEMPO, BOMBARDIER Transport et Prosyst, sont brivement introduits la
partie 3. L'IFSTTAR et HIOLLE INDUSTRIES et les ples de comptitivit I-Trans et Advancity sont
prsents ci-dessous.

1. IFSTTAR
L'IFSTTAR est l'Institut Franais des Sciences et Technologies des Transports, de l'Amnagement et
des Rseaux. C'est un tablissement public caractre scientifique et acteur de la recherche sur les
transports et leur scurit. Il est constitu de 18 laboratoires de recherche couvrant tous les modes
de transport (principalement te est es et toutes les dis ipli es des s ie es de li g ieu au
sciences sociales), dont le laboratoire LTN (Laboratoire des Technologies Nouvelles). Le LTN traite
plusieurs aspects des transports ferroviaires : nergie, dynamique des vhicules, et
diagnostic/maintenance. L'quipe diagnostic/maintenance est implique dans le projet FUI SURFER
et a pour objectifs de fournir des modles de diagnostic prdictif et une mthodologie pour
optimiser les paramtres des politiques de maintenance.

2. HIOLLE INDUSTRIES
Hiolle Industries est un groupe proposant des services pour l'industrie, comme la maintenance des
matriels roulant. Le Groupe est trs impliqu dans les technologies installer sur les trains, ce qui
lui permet proposer des quipements adapts pour l'intgration (l'installation dans les trains). De
plus, les mthodes de dpannage vont voluer.
La participation de Hiolle Industries au projet FUI SURFER lui permet donc de rester en phase avec les
avancs dans le domaine du diagnostic et de la maintenance. Hiolle Industries apporte galement
son savoir faire pour l'installation de la solution finale dans le train.

3. Positionnement vis--vis des ples de comptitivit


Le projet FUI SURFER s'inscrit dans deux ples de comptitivit :

Le ple i-Trans, qui a vocation rpondre aux enjeux dans les transports innovants en
appo ta t so soutie t pou le o tage et la gestio de p ojets di ovatio pa te a iale et
la recherche de fonds publics. Plus prcisment, le projet FUI URFER si s it da s les a es
stratgiques du ple pour 2010: lA e Qualit -Scurit, sur le thme Scurit, fiabilit
et sret des modes de transport et lA e Co p titivit , su le th e Amliorer
leffi a it et la fle i ilit i dust ielles .
Le ple Advancity, qui a vocation permettre aux entreprises et aux structures de recherche
de cooprer et de monter des projets collaboratifs sur le territoire francilien. Les retombes
Page 129 sur 134

du projet FUI URFER o e e t aujou d'hui di e te e t lIle de F a e, puis ue le


dveloppement et l'application pilote du projet FUI SURFER est ralise sur le train NAT
(Nouvelle Automotrice Transilien), produit par BOMBARDIER Transport et exploit sur le
rseau Transilien. Il est donc logique que le ple Advancity ait labellis ce projet.

Page 130 sur 134

Indx ds figurs

Figure 1 : Arbre de la sret de fonctionnement, adapt de (Avizienis et al.,2000). ........................... 15


Figure 2 : Evolution du taux de dfaillance d'un systme. .................................................................... 16
Figure 3 : Classification des types de maintenance (Zwingelstein,1995). ............................................. 17
Figure 4 : Chanage temporel des activits de dtection et de remise en service, adapt de
(Zwingelstein,1996). .............................................................................................................................. 19
Figure 5 : Relations entre les attributs de la sret de fonctionnement (Ciame,2009)........................ 20
Figure 6 : La dtection, le diagnostic et la gestion de fautes (adapt de Isermann,2006) ................... 24
Figure 7 : Architecture de diagnostic centralise, adapt de (Menighed,2010) ................................... 27
Figure 8 : Architecture de diagnostic centralise hirarchise, adapt de (Menighed,2010) .............. 28
Figure 9 : Architecture de diagnostic distribue, adapt de (Menighed,2010) .................................... 29
Figure 10 : Problmatique de thse, situe l'intersection de la sret de fonctionnement, du
diagnostic et des systmes distribus ................................................................................................... 37
Figure 11 : Classification des architectures de diagnostic dans le transport ferroviaire ...................... 39
Figure 12 : Dtail sur les architectures RCD et EDCD dans le transport ferroviaire .............................. 40
Figure 13 : Diagnostic automatique d'aprs (Prosyst,2008). ................................................................ 45
Figure 1 : App o he Vi MaLa pou lopti isatio des pa a t es de ai te a e Do at,
. 46
Figure 15 : un Rseau de Petri............................................................................................................... 58
Figure 16 : un RdP stochastique ............................................................................................................ 59
Figure 17 : un Rseau de Petri Color ................................................................................................... 60
Figure 18 : Modle RdPC d'un rseau de communication .................................................................... 64
Figure 19 : modle RdPC de l'architecture RCD .................................................................................... 65
Figure 20 : modle RdPC de l'architecture EDCD .................................................................................. 68
Figure 21 : Rsultats de simulation pour les cas pessimiste et optimiste (n=1) ................................... 73
Figure 22 : Rsultats de simulation pour les cas pessimiste et optimiste (n=3) ................................... 76
Figure 23 : Disposition des sous-systmes accs voyageurs sur les vhicules du train (Turgis,2013). . 81
Figure 24 : Diagramme de contrle / commande des sous-systmes accs voyageurs (Turgis,2013) . 82
Figure 25 : Reprsentation graphique des donnes de dfaillance des accs voyageurs avant
hypothse .............................................................................................................................................. 83
Figure 26 : Test des donnes de dfaillance pour une distribution de Weibull.................................... 84
Figure 27 : Test des donnes de rparation pour une distribution log normale .................................. 86
Figure 28 : Rsultats de simulation pour le cas rel (n=1). ................................................................... 91
Figure 29 : Rsultats de simulation pour le cas rel (n=3). ................................................................... 93
Figure 30 : Rsultats de simulation pour l'tude de sensibilit au taux de dfaillance du rseau de
communication bord sol (n=3). ............................................................................................................. 96
Figure 31 : Rsultats de simulation pour l'tude de sensibilit au taux de dfaillance du rseau de
communication pour le diagnostic embarqu (n=3). ............................................................................ 98
Figure 32 : Rsultats de simulation pour l'tude de sensibilit au temps de validation d'une alarme au
systme de diagnostic global (n=3). .................................................................................................... 101
Figu e : Test des do
es pou u
o sta t .............................................................................. 126
Figure 34 : Tracs des lois de probabilits .......................................................................................... 127

Page 131 sur 134

Page 132 sur 134

Indx ds tablaux

Tableau 1 : Attributs de la sret de fonctionnement et mesures associes ....................................... 18


Tableau 2 : Principales lois de probabilit utilises en sret de fonctionnement .............................. 21
Tableau 3 : Classification des principales mthodes dans le domaine de la sret de fonctionnement
(Cauffriez et al.,2012). ........................................................................................................................... 22
Tableau 4 : Matrice des menaces et dfenses, adapt de (FprEN50159,2010) .................................... 49
Tableau 5 : tableau comparatif des architectures RCD et EDCD ........................................................... 52
Tableau 6 : critres de validation et mesures ralises sur les RdPC.................................................... 70
Tableau 7 : Paramtres et valeurs en entre des modles pour les cas optimiste et pessimiste ........ 72
Tableau 8 : Rsultats d'estimation des paramtres de la loi de Weibull pour les donnes prsentes
Figure 26 ................................................................................................................................................ 85
Tableau 9 : Rsultats d'estimation des paramtres de la loi log normale pour les donnes prsentes
Figure 27 ................................................................................................................................................ 86
Tableau 10 : Paramtres et valeurs en entre des modles pour le cas rel ....................................... 89
Tableau 11 : calcul du nombre moyen de vraies alarmes traites par dfaillance du systme
lmentaire S_E..................................................................................................................................... 92
Ta leau : Valeu s utilis es pou l' tude se si ilit S_TWN ............................................................. 95
Ta leau : Valeu s utilis es pou l' tude se si ilit S_EDN.............................................................. 97
Tableau 14 : Moyennes et carts types des valeurs des indicateurs NRE , CTFA, CTAA, CTA, NAA, NTA,
NFA et PTFA pou l' tude de se si ilit de l'a hite tu e EDCD S_EDN .............................................. 99
Tableau 15 : Valeurs utilises pour l'tude de sensibilit TA ............................................................ 100
Tableau 16 : Moyennes et carts types des valeurs des indicateurs MTTF et NRE, pour l'tude de
sensibilit des architectures TA......................................................................................................... 100
Tableau 17 : Comparaison semi-quantitative des valeurs des indicateurs des architectures RCD et
EDCD (valeurs du cas rel et des trois tudes de sensibilit).............................................................. 102
Tableau 18 : Exemple de recueil de donnes de sret de fonctionnement (Kumamoto &
Henley,1996) ....................................................................................................................................... 126

Page 133 sur 134

Contribution l'valuation de sret de fonctionnement des architectures de


surveillance/diagnostic embarques. Application au transport ferroviaire
Rsum : Dans le transport ferroviaire, le cot et la disponibilit du matriel roulant sont des questions
majeures. Pour optimiser le cot de maintenance du systme de transport ferroviaire, une solution consiste
mieux dtecter et diagnostiquer les dfaillances. Actuellement, les architectures de surveillance/diagnostic
centralises atteignent leurs limites et imposent d'innover. Cette innovation technologique peut se
at ialise pa la ise e uv e da hite tu es e a u es de su veilla e/diag osti dist i ues et
communicantes afin de dtecter et localiser plus rapidement les dfaillances et de les valider dans le contexte
oprationnel du train.
Les prsents travaux de doctorat, mens dans le cadre du FUI SURFER (SURveillance active Ferroviaire)
coordonn pa Bo a die , vise t p opose u e d a he
thodologi ue d valuatio de la s et de
fo tio e e t da hite tu es de su veilla e/diag osti . Pou e fai e, u e a a t isatio et u e
modlisation gnriques des architectures de surveillance/diagnostic base sur le formalisme des Rseaux de
Petri stochastiques ont t proposes. Ces modles gnriques intgrent les rseaux de communication (et les
modes de dfaillances associs) qui constituent un point dur des architectures de surveillance/diagnostic
retenues. Les modles proposs ont t implants et valids thoriquement par simulation et une tude de
sensibilit de ces architectures de surveillance/diagnostic certains paramtres influents a t mene. Enfin,
ces modles gnriques sont appliqus sur un cas rel du domaine ferroviaire, les systmes accs voyageurs
des trains, qui sont critiques en matire de disponibilit et diagnosticabilit.
Mots cls : Sret de fonctionnement, fiabilit, maintenabilit, disponibilit, tude de sensibilit
da chitectures, surveillance, diagnostics distribus, rseaux de communication, modlisation rseaux de Petri
stochastiques

Contribution to embedded monitoring/diagnosis architectures dependability assesment.


Application to the railway transport.
Abstract : In the railway transport, rolling stock cost and availability are major concern. To optimise the
maintenance cost of the railway transport system, one solution consists in better detecting and diagnosing
failures. Today, centralized monitoring/diagnosis architectures reach their limits. Innovation is therefore
necessary. This technological innovation may be implemented with embedded distributed and communicating
monitoring/diagnosis architectures in order to faster detect and localize failures and to make a validation with
respect to the train operational context.
The present research work, carried out as part of the SURFER FUI project (french acronym standing for railway
active monitoring) lead by Bombardier, aim to propose a methodology to assess dependability of
monitoring/diagnosis architectures. To this end, a caracterisation et une modlisation gnriques des
monitoring/diagnosis architectures based on the stochastic Petri Nets have been proposed. These generic
models take into account communication networks (and the associated failure modes), which constitutes a
central point of the studied monitoring/diagnosis architectures. The proposed models have been edited and
theoretically validated by simulation. A sensitiveness of the monitoring/diagnosis architectures to parameters
has been studied. Finally, these generic models have applied to a real case of the railway transport, train
passenger access systems, which are critical in term of availability and diagnosability.

Keywords : Dependability, reliability, maintainability, availability, architectures sensitivity study, monitoring,


distributed diagnosis, communication networks, stochastic Petri Nets modelling

Page 134 sur 134