Académique Documents
Professionnel Documents
Culture Documents
Systèmes d'information
et de communication
III
Cet ouvrage fait par tie de
Automatique et ingénierie système
(Réf. Internet ti660)
composé de :
Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
IV
Cet ouvrage fait par tie de
Automatique et ingénierie système
(Réf. Internet ti660)
Pierre VIDAL
Professeur honoraire des universités
Chékib GHARBI
Directeur du Centre d'Innovation des Technologies sans Contact (CITC
EuraRFID), Lille
Christian TAHON
Professeur à l'Université de Valenciennes et du Hainaut Cambrésis (UVHC)
Étienne DOMBRE
Directeur de Recherche Émérite du CNRS au LIRMM, UMR 5506 Université
Montpellier-CNRS
Éric BONJOUR
Professeur à l'université de Lorraine / ENSGSI, Vice-président Enseignement
-Recherche de l'AFIS
Dominique LUZEAUX
Ingénieur général de l'armement, HDR
Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
V
Les auteurs ayant contribué à cet ouvrage sont :
Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
VI
Systèmes d'information et de communication
(Réf. Internet 42397)
SOMMAIRE
Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
VII
Communication avec les périphériques S8590 99
Sûreté de fonctionnement des systèmes industriels complexes. Etude opérationnelle S8252 125
Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
Systèmes d'information et de communication
(Réf. Internet 42397)
Q
1– Technologie sans contact Réf. Internet page
2– Réseaux industriels
4– Sûreté de fonctionnement
Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
Y
Q
QP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
eQTWP
nsérer une clé pour démarrer un véhicule, badger pour accéder à un bâti-
I ment ou une salle, utiliser les remontées mécaniques lors d’un séjour au ski,
valider un titre de transport dans le bus ou le métro sont des gestes entrés
dans le quotidien de bon nombre d’entre nous. Nous utilisons, sans en être
toujours conscients, des technologies de capture automatique de données
basées sur les ondes et rayonnements radiofréquence. Cette technologie est
connue sous le nom de RFID pour Identification RadioFréquence. De même
que chaque individu peut être identifié grâce à un passeport biométrique ou
p。イオエゥッョ@Z@ョッカ・ュ「イ・@RPQU
encore un badge d’accès personnel, les objets sont aujourd’hui de plus en plus
QQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
eQTWP
Données ou
données + énergie
Antenne(s)
interrogateur Antenne
Liaison câble
ou sans fil
Interrogateur Support
Système hôte
fixe ou portable
Puce
Étiquette/tag
Émission RF ou
rétromodulation
QR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
eQTWP
QS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
eQTWP
que l’on peut écrire (une fois ou plusieurs fois) de nouvelles infor-
mations via des commandes transmises par l’interrogateur.
Antenne Tag
Enfin, une quatrième classification peut se faire suivant le pro-
tocole de communication entre l’étiquette et l’interrogateur. Dans
une première famille, l’étiquette, une fois présente dans le champ
de l’interrogateur, attend une commande de la station de base Téléalimentation
pour transmettre des informations. On parle de protocole ITF AC/DC
Q
(Interrogator Talk First). Dans d’autres cas, l’étiquette transmet Récupération
des informations dès son activation dans le champ de l’interroga- d’énergie
teur. On parle alors de protocole TTF (Tag Talk First). Bien sûr, on
trouvera des variantes de ces protocoles dans diverses normes
ISO ou propriétaires.
Démodulateur Data IN
Logique et
mémoire
2.1 RFID active ou passive Commutation
Data OUT
de charge
Dans les systèmes RFID actifs, l’étiquette possède une puce
électronique ayant un émetteur RF. La communication entre
l’interrogateur et l’étiquette peut donc se faire comme dans
n’importe quel système pair à pair, en utilisant des protocoles
full duplex par exemple. Généralement, l’énergie rayonnée par a tag passif
l’interrogateur et captée par l’étiquette n’est pas suffisante pour
alimenter correctement la puce électronique. Les systèmes actifs
doivent donc prévoir l’embarquement d’une source d’énergie Antenne Tag
propre à l’étiquette. Ajouté au fait que la puce possède son Assistée par batterie
propre circuit d’émission, cela peut augmenter fortement le coût
de l’étiquette RFID. La norme ISO/IEC 18000-7 prévoit le fonction-
nement de systèmes actifs à 433 MHz. Avec de tels systèmes, la Alimentation DC
portée de communication entre un interrogateur et une étiquette
peut atteindre sans difficulté la centaine de mètres. Le mode 3
de la norme ISO/IEC 18000-4 propose également un protocole
basé sur l’utilisation de tags actifs dans la bande de fréquence
2,405 – 2,483 GHz. Ce protocole est d’ailleurs lui-même basé sur
la couche physique (NPL : Network Physical Layer) de la norme Démodulateur Data IN
Logique et
IEEE 802.15.4 également utilisée dans les protocoles ZigBee et mémoire
6LoWPAN. Émetteur RF Data OUT
Le principe de fonctionnement des systèmes RFID passifs
repose quant à lui sur la rétromodulation de l’onde provenant
de l’interrogateur. Cette onde (ou ce champ) est alors partielle-
ment réfléchie par l’étiquette. Quels que soient les fréquences
ou les modes de couplage, le moyen utilisé pour réaliser cette
rétromodulation, consiste à commuter une charge (impédance) b tag actif
placée en parallèle entre la puce électronique et l’antenne de
l’étiquette.
Figure 3 – Schémas de principe des étiquettes (a) passive
et (b) active
Nota : il est clair que ce système de commutation de charge fait partie intégrante de la
puce RFID.
Le signal réfléchi par l’étiquette vient alors se superposer au source d’énergie peut également servir à alimenter d’autres sys-
signal provenant de l’interrogateur. Dans le cas, très majoritaire- tèmes électroniques associés à l’étiquette RFID comme des cap-
ment rencontré, des étiquettes passives ne possédant pas de teurs. L’étiquette RFID peut alors récupérer de l’information issue
source d’énergie embarquée, le rapport entre la puissance du de ces capteurs, la stocker dans une zone mémoire particulière de
signal émis par l’interrogateur (pour alimenter la puce) et la puis- la puce électronique sans pour autant être dans le champ rayonné
sance du signal rétromodulé par l’étiquette peut atteindre 60 dB. par un interrogateur. Ces systèmes, appelés BAP (Battery Assisted
L’interrogateur doit donc présenter une bonne sensibilité pour Passive), se comportent comme des systèmes passifs sans source
détecter et décoder l’information issue de l’étiquette. La difficulté d’énergie une fois cette source épuisée.
de ces systèmes consiste donc à trouver la meilleure charge per-
mettant de créer de fortes variations de signal réfléchi sans pour
autant pénaliser l’alimentation du circuit lui-même. 2.2 Champ proche ou champ lointain
La figure 3 schématise les grandes différences entre tags actifs
et passifs, séparant ces notions de la présence ou non de source Les systèmes RFID passifs peuvent fonctionner à différentes fré-
d’énergie embarquée par l’étiquette. quences. Dans un premier temps, l’interrogateur doit émettre un
Dans la majorité des cas, la distance de communication entre signal permettant la téléalimentation de la ou des étiquettes pré-
une étiquette passive et son interrogateur est limitée par la dis- sentes à proximité. Pour rayonner et de la même manière recevoir
tance de téléalimentation (sauf dans les cas, de plus en plus rares, un signal radio, il faut se poser la question de l’antenne la mieux
où l’interrogateur n’a pas la sensibilité nécessaire). Une manière adaptée. Le concepteur a le choix entre deux grandes familles
d’augmenter cette distance est d’ajouter à l’étiquette une source d’antennes : les antennes fermées (boucles) ou ouvertes (dipôles).
d’énergie propre. Cette source d’énergie va permettre d’alimenter Les premières vont plutôt créer un champ magnétique dans leur
le circuit de la puce électronique sans pour autant devoir capter entourage proche alors que les secondes créeront plutôt un
l’énergie issue du signal RF transmis par l’interrogateur. Cette champ électrique. Au fur et à mesure que l’on s’éloigne de la
QT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
eQTWP
Q
zones de champ proche et de champ lointain. Les limites
dépendent de D, la plus grande dimension de l’antenne rayonnant
le champ électromagnétique et de λ la longueur d’onde du signal.
Il n’est pas dans l’objectif de cet article de détailler plus en avant
ces notions et le lecteur pourra se référer aux ouvrages [1] et [2]. Région de Rayleigh Région de Fresnel Région de Fraunhofer
Fréquence
Spectre radio
QU
Q
QV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
hUSRU
QW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
hUSRU
Mais aussi, elle permet d’améliorer la traçabilité des produits, de mieux lutter
contre la contrefaçon, les vols dans un entrepôt, par exemple...
Cependant, de nombreux autres usages sont prometteurs, et pourraient
transformer le quotidien de notre société par l’automatisation de certaines
tâches de notre vie courante, par une meilleure adaptation de notre environne-
ment à nos besoins personnels...
Q Cet article présente les RFID sous l’angle technologique, mais aussi :
– de l’architecture réseau dans laquelle elles évoluent ;
– du standard EPCGlobal ;
– des différents usages possibles ;
– des risques encourus pour notre vie privée ;
– des verrous technologiques à lever ;
– des familles de solutions de sécurité aujourd’hui préconisées.
QX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
hUSRU
1.2 Bénéfices et risques raison du manque de ressources de calcul sur les étiquettes RFID,
les solutions de sécurité qui ont fait leur preuve dans les systèmes
L’une des premières applications connues de la technologie d’information ne sont pas applicables. Les solutions de sécurité
RFID (Radio Frequency IDentification ) remonte à la seconde guerre pour RFID sont vulnérables à l’identification et traçage clandestin
mondiale, et servait comme système d’identification des avions de des marchandises, le clonage, les écoutes, et les attaques par
combats « friend or foe » (« ami ou ennemi »). relais. La technologie RFID nécessite donc que la communauté
scientifique s’intéresse à ce domaine pour améliorer la sécurité et
■ Avantages des systèmes RFID la protection des données personnelles des usagers.
L’intérêt pour cette technologie a resurgi plusieurs décennies
après, en vue de remplacer les codes-barres optiques, dans le
secteur de la logistique [1], et ce, pour automatiser les C’est en ce sens que la commission européenne a émis une
Q
traitements : recommandation demandant que les applications RFID soient
– inventaire ; sécurisées, et que plus de recherches soient menées sur des
– contrôle d’expédition ; solutions de sécurité RFID à hautes performances et bas-coût.
– contrôle de réception ;
– suivi industriel en chaîne de montage.
• Les enjeux sont de taille, puisque, de la bonne résistance de
Ces mêmes traitements avec les codes-barres sont, en effet, ces parades techniques, découlera l’émergence possible de
beaucoup plus coûteux en temps, en main-d’œuvre et en flexibilité l’Internet des Objets (Internet of Things – IoT), c’est-à-dire : la pos-
d’usages. sibilité que chaque objet soit identifié, référencé et puisse interagir
avec un réseau de type Internet [RE 165], voire avec l’environne-
Exemple ment physique immédiat dans lequel il évolue.
Wal-Mart, qui est l’un des plus gros détaillants précurseurs de l’uti-
lisation de la technologie RFID, estime pouvoir réaliser des écono-
mies de plusieurs centaines de millions de dollars en limitant le
volume de ses marchandises perdues, et ce principalement, grâce à
la localisation de marchandises par RFID [NET].
2. Architecture des RFID
et technologie
• La petite taille des étiquettes RFID leur permet d’être implan-
tées à l’intérieur des objets, et l’identification par radio fréquence
L’architecture classique d’un système RFID, comme l’illustre la
permet de lire un très grand nombre d’étiquettes simultanément,
figure 1, est constituée de trois composants principaux :
et ce, dans des conditions visuelles ou environnementales diffi-
ciles. Grâce au facteur d’échelle, les étiquettes RFID sont très peu – une étiquette RFID ;
coûteuses (quelques centimes d’euros pour des étiquettes – un lecteur RFID ;
passives, contre plusieurs euros pour des étiquettes actives). – une base de données appelée très souvent « back-end » en
• Enfin, les 96 bits disponibles pour coder les identifiants RFID anglais.
permettent à chaque objet d’être identifié de façon unique. Cette Cette base de données sert à répertorier l’ensemble des
particularité rend possible le suivi d’un produit marchand dans ses étiquettes du système avec un ensemble d’informations associées
changements de localisation, et ce, dans le but premier à ces étiquettes. Les éléments d’informations sont propres au
d’améliorer la gestion de la chaîne logistique d’approvisionnement domaine d’application et peuvent contenir la localisation d’une
et de fabrication. étiquette RFID, le prix du produit porteur de l’étiquette, etc.
• De ces particularités des RFID, émergent deux familles d’appli-
cations selon le type d’étiquetage. Ainsi, pour les étiquettes visi-
bles et personnalisables, résultent essentiellement des Notons que le véritable apport des systèmes RFID ne vient
applications d’identification et de paiement : pas de la simple lecture des étiquettes, mais de l’obtention des
– les passeports ; informations attenantes à l’objet et dans un format exploitable,
– les cartes de télépéage ; et ce, pour servir une application particulière.
– cartes de crédits ;
– cartes d’accès ;
– dispositifs de suivi des animaux de compagnie et du bétail. Plusieurs standards ont été définis par l’ISO/IEC dans les années
2000 pour caractériser les technologies RFID sans contact en fonc-
• Les étiquettes furtives incrustées dans des produits visent, en
tion de leur portée, leurs fréquences, le protocole de transport
plus de faciliter les opérations de logistique à mieux lutter contre
(modulation, et techniques d’anti-collision). Les principaux
les vols et la contrefaçon de produits tels que : vêtements, médica-
standards sont rassemblés dans le tableau 1.
ments... À savoir, d’après Verisign [2], l’ensemble des vols commis
sur les chaînes d’approvisionnement représentent une perte de 30 Cette architecture à trois composants, qui correspond au modèle
milliards de dollars US par an. Un meilleur suivi des produits dans fonctionnel d’un système RFID au sein d’une entreprise, a été
la chaîne d’approvisionnement s’avère indispensable pour étendue par l’organisation mondiale, EPCGlobal pour organiser les
identifier et limiter les vols. informations à l’échelle mondiale, et répondre aux besoins de
La contrefaçon de produits est un problème économique localiser et tracer les objets (§ 3 et figure 1 [3]).
majeur, mais aussi de santé publique quand il s’agit de la
contrefaçon de produits pharmaceutiques. Devant la complexité
des chaînes d’approvisionnement que nous connaissons, l’authen- 2.1 Étiquettes RFID
ticité des médicaments est difficile à prouver. Les étiquettes RFID
peuvent être un moyen efficace d’atténuer la contrefaçon. Les étiquettes sont attachées à tout objet que le système RFID a
besoin d’identifier ou de tracer. Les étiquettes peuvent être placées
■ Risques et enjeux directement sur un objet individuel, ou bien sur le
• Les risques liés à l’utilisation des étiquettes RFID sont connus. conditionnement des objets (cartons, containers). Les étiquettes
La sécurité et la confidentialité des données est le principal existent en différentes formes et tailles. En anglais, les étiquettes
obstacle à leur adoption dans de nombreuses applications. En RFID sont désignées sous le terme de « tag ».
QY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
hUSRU
Q FR
AG
ILE
Antenne
ISO/IEC 14443 40 mm 13,56 MHz (HF) Contrôle d’accès, carte d’identité, transport, paiement
• Étiquettes passives
Elles n’ont pas de batterie intégrée. Elles sont composées
d’une micropuce et d’une antenne. La mémoire est utilisée
uniquement pour stocker un identifiant unique et quelques
informations supplémentaires. Les informations du tag
peuvent être lues par un lecteur RFID à une distance raison-
nable et sans nécessiter de visibilité directe. Ces étiquettes
sont alimentées par le champ électromagnétique du lecteur
pour communiquer et, éventuellement, pour effectuer des
Figure 2 – Étiquette RFID embarquée sur un ePassport calculs. De cette façon, puisqu’aucune énergie n’est localisée
sur l’étiquette passive, elle porte la mention d’« étiquette
passive ». Ainsi cette étiquette n’est pas en mesure de
■ Les étiquettes RFID sont classées en trois grandes familles –
communiquer, ni de calculer en l’absence d’un lecteur à proxi-
passives, actives, semi-passives – selon la source d’énergie qui les
mité.
alimente (cf. encart « Classifications des étiquettes RFID »). Ces
dernières années, ce sont les étiquettes RFID passives qui ont • Étiquettes actives
connu le plus vif succès du fait de leurs très faibles coûts. Le Elles disposent d’une batterie à partir de laquelle elles
passeport électronique, illustré à la figure 2, [1] en est un exemple peuvent effectuer des calculs et émettre un signal vers des
d’utilisation. lecteurs (ou d’autres étiquettes).
• Étiquettes semi-passives
■ L’étiquette qui a pour fonction première de transmettre des
données au reste du système RFID, contient généralement les Elles disposent aussi d’une source d’énergie qui est exclusi-
trois éléments suivants : vement utilisée pour effectuer des calculs (et non pour
émettre). Ce type d’étiquette combine les spécificités des tech-
– un circuit intégré électronique ; nologies RFID passive et active. Pour leurs communications,
– une antenne miniature ; les étiquettes semi-passives prennent l’énergie nécessaire des
signaux radio fréquence transmis par le lecteur.
– un substrat qui assemble le circuit intégré, l’antenne à l’objet.
RP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXVUP
La technologie NFC
Principes de fonctionnement et
applications
Q
par Ali BENFATTOUM
Ingénieur projet R&D
RQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXVUP
Q
Liste des abréviations
APDU Application Protocol Data Unit
European association for standardizing information and communication systems (anciennement European
ECMA
Computer Manufacturers Association)
GP Global Platform
HF High Frequency
NRZ Non-Return-to-Zero
RR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXVUP
RZ Return-to-Zero
SE Secure Element
SIM
SP
Subscriber Identity Module
Service Provider
Q
SSD Suplementary Security Domain
1. Les principes et normes normes, dans lesquelles sont introduits de nouveaux modes de
communication, reposent en grande partie sur les normes déjà
du NFC existantes : ISO 14443A et JIS X6319-4.
Ces normes évolueront par la suite intégrant le type B de la
norme ISO 14443, utilisée notamment dans quelques réseaux de
transports publics. Aujourd’hui, la technologie NFC s’intègre dans
Interagir avec son environnement, échanger de l’information,
toutes sortes d’accessoires et d’équipements électroniques : télé-
valider son titre de transport et effectuer ses achats depuis son
phone mobile, téléviseur, haut-parleur, podomètre, etc.
mobile et d’un simple geste, sont quelques-uns des usages que
permet la technologie NFC. Le NFC est une technologie de commu-
nication sans contact à très courte portée fonctionnant à la fré-
quence de 13,56 MHz. Elle permet la communication et l’échange
1.2 De la RFID à la technologie NFC
d’informations à courte distance (< 10 cm) entre deux objets : un Comme nous l’avons vu précédemment, ces technologies sans
lecteur et une carte sans contact par exemple. Les principaux avan- contact, reposant sur le principe d’identification par radiofréquence
tages de cette technologie sont la rapidité, la simplicité d’utilisation (RFID), sont à l’origine de la technologie NFC. En effet, les normes
et la sécurité. Intégrée dans un téléphone mobile, elle permet de et les spécifications définissant une communication NFC héritent
lire le contenu de cartes sans contact ou d’étiquettes sans contact de normes et de standards issus de la RFID. D’ailleurs, le principe
(appelées « tag » ou « transpondeur »), de dématérialiser sur de communication en champ proche est déjà présent dans une par-
mobile les cartes sans contact : cartes bancaires, billets de trans- tie des systèmes RFID.
port ou cartes de fidélité, et d’échanger des données entre deux
terminaux. La RFID consiste en l’utilisation d’ondes électromagnétiques
rayonnantes ou d’un couplage de champ magnétique pour commu-
niquer vers ou à partir d’une étiquette selon différents schémas de
1.1 Origine du concept de NFC modulation et de codage afin de lire l’identité d’une étiquette de
radiofréquence ou d’autres données stockées sur celle-ci. Comme le
Le concept NFC voit le jour au début des années 2000. Sony et montre la figure 1, il existe plusieurs bandes de fréquences disponi-
Philips Semiconductors (devenu NXP Semiconductors) sont alors bles pour l’utilisation de systèmes RFID. Pour chaque fréquence de
les deux principaux fabricants de puces sur le marché des techno- ce spectre, il existe une multitude de normes définissant différents
logies sans contact. Philips domine largement le marché avec sa types de systèmes RFID fonctionnant à des distances plus ou moins
famille de produits Mifare, qui repose sur la norme ISO 14443A, importantes et avec des modulations et des codages différents.
appelée « type A » (nous verrons qu’il existe également Parmi les normes de communication existantes dans la bande de
l’ISO 14443B, appelée « type B »). La technologie de Sony, nommée fréquence 13,56 MHz (RFID HF), nous retrouvons les normes
« Felica », n’est quant à elle, pas reconnue par l’ISO (Organisation ISO 14443 et JIS X6319-4 (desquelles découle la technologie NFC)
internationale de normalisation) et doit se contenter d’une standar- et la norme ISO 15693. Cette dernière, appelée « vicinity », permet
disation japonaise : JIS X6319-4. une distance de communication plus importante (de l’ordre du
Sony et NXP (Philips) proposent alors en 2002, avec d’autres mètre) que les normes ISO 14443 et JIS X6319-4 (appelée « proxi-
industriels tels que Nokia et Sony Ericsson, les premières normes mity »). Ainsi, malgré une fréquence de fonctionnement commune
relatives au NFC : ECMA 340 (ECMA : European association for (13,56 MHz), ces normes ont chacunes des codages, des modula-
standardizing information) puis ISO 18092, cette dernière reprenant tions et des formats de trame différents (ces informations seront
quasiment à l’identique le contenu de la norme ECMA 340. Ces explicitées par la suite).
RS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXVUP
RFID LF : 125 kHz - 134,2 kHz RFID UHF : 860 MHz - 960 MHz
Données
f0 = 13,56 MHz
Antenne Antenne
Couplage magnétique
Énergie
RT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
hXUPP
Réseaux de capteurs
tion complexe.
Avant la révolution des télécommunications et le développement des techno-
logies sans fil, l’acheminement de l’information relevée par un capteur se
faisait par un système de câblage coûteux, encombrant et nécessitant la mobi-
lisation d’efforts humains relativement importants. Le spectre d’utilisation des
capteurs restait très limité. Pour justifier le déploiement d’un réseau de cap-
teurs, il fallait un très grand enjeu sécuritaire ou des perspectives de profits
économiques importants.
À présent, les capteurs de nouvelles générations se sont dotés de circuits
« radio » leur permettant de transmettre et de recevoir de l’information. De
plus, ils disposent de capacité de mémorisation et d’une puissance de
calcul permettant de réaliser le routage et l’acheminement des paquets
RU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
hXUPP
Q 1. Comment se définit Les nœuds actifs (en bleu sur la figure 1) transmettent l’informa-
tion qu’ils détiennent. Lors de la transmission, le nœud doit s’assu-
un réseau de capteurs ? rer qu’il est seul à occuper l’espace de transmission afin d’éviter des
interférences sur les autres transmissions. Sa transmission se fait en
diffusant l’information et seul le nœud dont l’adresse apparaît
Un réseau de capteurs se compose de deux types de nœuds : des comme destination récupère l’information pour la relayer à son tour
simples capteurs et des collecteurs d’informations appelés puits. en la transmettant au nœud suivant. Ces nœuds sont appelés les
Le capteur est composé d’un microcontrôleur et d’un circuit nœuds relais. Le relais est un nœud indispensable dans un réseau
radio. Le microcontrôleur est simple et peut être embarqué aisé- large. En effet, il est impossible de couvrir tous les nœuds du réseau
ment. Plusieurs fabricants, tels que Texas Instruments, Atmel, par une seule transmission. L’atténuation des signaux radio et
Freescale… en produisent. Cet appareil doit répondre à l’exigence d’autres phénomènes comme l’évanouissement ou le multichemin
d’une faible consommation d’énergie tout en ayant la possibilité font que le signal, à partir d’une certaine distance, peut se dégrader
d’exécuter de simples opérations et de posséder une mémoire per- et contenir un nombre important d’erreurs le rendant incompréhen-
mettant d’emmagasiner de l’information. L’appareil doit aussi pré- sible. C’est pourquoi, relayer l’information permet de la récupérer
senter la possibilité d’avoir un état oisif durant lequel il consomme dans un nœud intermédiaire, de la régénérer avec une énergie
une quantité d’énergie infinitésimale. Ces états oisifs peuvent par- remise à neuf redonnant ainsi à l’information la possibilité d’attein-
fois durer très longtemps. Le capteur peut se réveiller seulement dre une destination plus lointaine. Ainsi, la transmission de proche
pour capter la grandeur physique à mesurer et aussi pour effectuer en proche permet de joindre le nœud final (le nœud puits men-
des opérations de réseaux comme dialoguer avec des capteurs tionné en gris sur la figure 1). Certains capteurs captent la grandeur
voisins ou relayer l’information provenant d’autres capteurs. physique et la gardent afin d’agréger l’information mesurée qui sera
Le circuit radio assure la communication du capteur avec envoyée plus tard pour réduire la consommation d’énergie. Ces
d’autres appareils via des liens radios. Ces derniers ont facilité nœuds sont indiqués en bleu clair sur la figure 1. L’agrégation, la
l’implantation massive de capteurs et ont offert une indépendance synchronisation, la manière de relayer l’information, etc. sont toutes
précieuse car il a réduit les coûts du câblage et de l’ingénierie des procédures qui doivent être bien pensées afin d’optimiser la
nécessaire pour les installations passées. Grâce à la communica- durée de vie du réseau qui est intimement liée au nombre de nœuds
tion par ondes hertziennes, un installateur peut déposer facilement considérés comme finis car leur batterie est épuisée. Ces nœuds
des capteurs sans se soucier de la complexité des opérations pour sont indiqués avec la couleur blanche sur la figure 1.
les atteindre afin de relever les mesures. Il suffit d’être dans le Pour que l’acheminement de l’information se fasse de manière
champ de couverture radio pour transmettre ou recevoir l’informa- harmonieuse, on peut distinguer plusieurs fonctionnalités.
tion requise.
Avec ses capacités de traitement et de mémorisation, le capteur ■ Endormir et réveiller les nœuds
peut devenir un nœud actif dans un réseau relativement large. Ici, l’algorithmique reste complexe car endormir un nœud vou-
Lorsque le nombre de capteurs devient conséquent, la communi- drait dire que le nœud n’est plus là pour servir de relais et le pro-
cation en réseau devient indispensable. Il n’est en effet alors plus cessus d’endormissement doit prendre en considération le fait
possible d’atteindre un capteur directement par un câble ou même d’éviter qu’un groupe de capteurs se retrouve isolé du reste du
par une connexion radio. C’est là alors qu’on peut parler de vérita- réseau car tous ses nœuds relais sont en état oisif.
bles réseaux de capteurs capables de s’auto-configurer et de
s’auto-organiser de manière dynamique. Ces propriétés offrent un
très large spectre d’applications, notamment dans les domaines
militaires, de l’environnement, de l’écologie, etc.
Dans un réseau de capteurs, une autre entité, appelé puits,
détient un rôle très important. Cette entité généralement possède
des capacités supérieures en termes de puissance de traitement,
de capacité de mémoire et d’autonomie d’énergie. Elle permet de
collecter l’information en provenance des capteurs et apporte un
soutien très fort au fonctionnement du réseau. Elle peut locale-
ment assurer des fonctions centrales dans le routage, l’agrégation
des données, la configuration des nœuds ou encore l’organisation
de l’ordre de transmission et de réception des différents capteurs
avoisinants.
La figure 1 illustre un exemple de réseau de capteurs où nous
pouvons distinguer différents scénarios possibles. Sur cette figure, Puits
nous pouvons repérer :
Nœud actif
• des nœuds hors service car leurs batteries sont usées ; Nœud relais
• des nœuds actifs en étant soit source de l’information ou ser- Nœud capteur et agréateur
vant comme relais pour atteindre le puits de la collecte Nœud mort
d’informations ;
• des nœuds endormis qui se trouvent dans leur état oisif. Figure 1 – Exemple de réseau de capteurs.
RV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
hXUPP
■ Accéder à la transmission sans collision ni interférence avec les besoins. Ici, les contraintes sont plus nombreuses et empêchent la
voisins création d’un type spécifique du réseau de capteurs. Sans être
La transmission physique se fait sur l’interface radio qui est parta- exhaustif, voici une liste de contraintes possibles lors de la concep-
gée avec les capteurs voisins. Les ondes peuvent perturber à la fois tion d’un réseau de capteurs.
les nœuds qui se retrouvent dans la couverture radio et ceux qui sont
en dehors mais pas suffisamment loin de l’émetteur pour que leurs
signaux soient largement atténués. Un protocole d’accès au support 2.1 Contraintes liées à l’application
Q
de transmission doit offrir au capteur la possibilité de transmettre à
la demande, et parfois une contrainte d’accès déterministe s’impose Il est impossible aujourd’hui de créer un réseau de capteurs
lorsqu’il s’agit d’applications présentant des risques élevés. La capable de répondre aux besoins de toutes les applications poten-
conception du protocole d’accès doit tenir compte des contraintes tielles. On peut relever des mesures pour une infinité de situations
énergétiques des nœuds capteurs car cela ne doit pas user les batte- et dans des environnements très variables tout en ayant une
ries inutilement. Il faut savoir que la transmission, la réception, concentration faible ou forte des capteurs ; on peut se retrouver
l’écoute et l’interférence représentent les fonctions les plus gourman- avec des réseaux denses comme avec des réseaux épars. La diffi-
des en énergie et ce loin devant d’autres fonctions comme l’accès à culté réside alors dans la recherche d’un dénominateur commun à
la mémoire, la mesure ou le traitement de l’information. toutes ces applications ce qui est pour l’instant très complexe et
relève de l’impossible. C’est pourquoi, l’application devient le prin-
■ Acheminer l’information cipal paramètre lors de la conception de protocoles très spécifi-
Acheminer l’information utilise ce qu’on appelle le routage qui ques pour que le fonctionnement des capteurs produise le résultat
permet de faire véhiculer l’information du capteur vers le nœud attendu par l’application en question.
puits destination. Le routage doit être dynamique et distribué.
Dynamique car nous n’avons jamais les mêmes routes pour cause
d’endormissement et de disparition de certains capteurs. Il est éga- 2.2 Contrainte énergétique
lement distribué pour ne pas user toujours les mêmes relais. Ici, le
capteur endosse des responsabilités importantes car il est consi- L’énergie est considérée comme la contrainte principale dans un
déré, à certains moments, comme étant un nœud routeur capable réseau de capteurs. Déjà, comme pour tout réseau sans fil, il est
à la fois de réfléchir pour décider du prochain relais et d’intégrer important de tenir compte de cette contrainte car la plupart des
dans cette décision des paramètres importants comme l’augmen- machines fonctionnent sur batterie. Après la décharge de la batte-
tation de la durée de vie du réseau de capteurs et la réduction de rie, l’utilisateur est obligé de trouver une source électrique pour la
la consommation de sa propre énergie ainsi que celle de tous les recharger. Cependant, dans les réseaux de capteurs, il est prati-
nœuds de son réseau. L’aspect distribué du routage permet au quement impossible de recharger de par le nombre élevé de cap-
réseau de capteurs d’accéder au principe du passage à l’échelle où teurs par installateur et de par la difficulté de l’environnement
localement l’évolution du nombre de capteurs dans une zone dans lesquels ils peuvent se trouver. On parle alors pour la pile ou
n’influence en aucun cas les autres nœuds du réseau. la batterie d’âme du capteur. Une fois vide, le capteur est consi-
déré comme mort ou hors service. L’objectif à atteindre devient
■ Gérer l’énergie de façon à réduire le nombre de capteurs qui dis- l’augmentation de la durée de vie du réseau de capteurs. Ce para-
paraissent mètre peut être défini sous différentes formes telles que la con-
L’énergie est la contrainte la plus importante dans un capteur. sommation globale de tous les capteurs ou l’évitement qu’un
Généralement, lorsqu’on installe un réseau de capteurs, on pense capteur important perde son énergie ou la perte de la connectivité
en mettre beaucoup et souvent dans des endroits isolés. Par consé- du réseau, etc.
quent, aller recharger les capteurs en énergie ou tout simplement
remplacer leurs batteries devient une opération complexe et coû-
teuse. Il est donc important de comprendre que la durée de vie d’un 2.3 Contraintes liées aux déterminismes
capteur est relative à l’autonomie de son support d’énergie. Ainsi,
toute opération imaginée ou envisagée doit être évaluée en termes La plupart des réseaux de capteurs sont destinés à être
de consommation d’énergie. Gérer l’énergie dans un réseau de cap- déployés dans des environnements hostiles sur des sites indus-
teurs peut devenir une opération très délicate selon le but à attein- triels importants ou à opérer pendant des scénarios de crises.
dre. Parfois, on souhaite que la consommation totale des batteries L’information que le capteur mesure doit parfois atteindre le col-
des différents capteurs soit diminuée mais d’autres fois et aux lecteur d’informations en un temps borné bien défini. Au-delà de
dépens de cette consommation, on privilégie l’augmentation de la ce temps, l’information est considérée comme périmée ou non
durée de vie d’un capteur auquel on a affecté une opération délicate existante. Atteindre le déterminisme sur un réseau de capteurs
ou urgente. En somme, à la conception et aussi pendant l’évolution sans fil n’est pas une tâche évidente. La raison vient du fait que
du réseau, la question de l’énergie est à traiter de manière précise. pratiquement tous les standards de communication sans fil
aujourd’hui utilisent des méthodes probabilistes pour accéder à
Toutes ces opérations sont organisées dans le but d’optimiser le cette interface radio.
fonctionnement du réseau de capteurs. Ce bon fonctionnement
tient en répondant à un nombre de contraintes fixées par la fonc-
tion à laquelle est destiné le réseau de capteurs.
2.4 Contraintes de passage à l’échelle
Le passage à l’échelle (en anglais scalability) indique que le
réseau est suffisamment large et peut croître de manière illimi-
2. Contraintes tée. En d’autres termes, quand on passe à l’échelle, il est trop
dans la conception tard pour effectuer des mises à jour radicales au réseau. À cha-
que nouvel ajout, on doit prendre en considération les services
d’un réseau de capteurs existants et assurer leur pérennité. De plus, gérer un grand
réseau par des humains devient une tâche impossible à réaliser.
Pour pouvoir opérer quand on passe à l’échelle, il faut que les
Les réseaux de capteurs diffèrent des réseaux classiques où l’on capteurs soient capables de s’auto-configurer seuls. L’auto-confi-
peut être relativement générique et définir seulement un certain guration peut aller de la simple attribution d’un identifiant
nombre de classes de service pour satisfaire le maximum de jusqu’à l’application du protocole pour le bon fonctionnement du
RW
Q
RX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sWUQP
RY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sWUQP
1. Réseaux de capteurs :
définition et applications
Un capteur (figures 1 et 2) est un équipement qui permet de
mesurer une grandeur physique dans l’environnement qui l’en-
toure, telle que la température, le taux d’humidité, des vibrations
Q
et qui la transforme en une grandeur numérique capable d’être trai-
tée informatiquement. Un capteur seul peut permettre des applica-
tions locales.
SP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sWUQP
Q
teurs sur les animaux permet de mesurer les inter-contacts entre calcul et donc ne peut pas exécuter des calculs compliqués
eux et de retracer leurs habitudes. comme des intégrales, des cosinus ou autres. Il dispose d’une
source d’énergie limitée qu’il faut préserver au maximum afin que
& Applications industrielles le réseau vive le plus longtemps possible. Enfin, suivant l’applica-
tion, les capteurs peuvent être mobiles (si apposés sur des ani-
Les réseaux de capteurs apparaissent également dans le monde maux ou des véhicules par exemple), ce qui introduit une topologie
industriel qui leur prête de nouveaux usages. En effet, au-delà de du réseau constamment dynamique et pas toujours prédictible.
leur fonction première qui consiste à prélever une donnée physique
Les plus grands défis sont liés bien sûr à l’auto-organisation de
sur l’environnement, les industriels exploitent maintenant leur ces capteurs en réseau et aux primitives nécessaires pour remonter
capacité à véhiculer de l’information sans le besoin d’une infra- les données captées, que nous listons ci-dessous. De par les
structure et avec des propriétés liées à la propagation sans fil. contraintes matérielles et spécificités des capteurs listées ci-dessus,
Les applications industrielles pourraient être regroupées en six on favorisera des protocoles locaux (ne se basant que sur des infor-
grands thèmes : mations propres à chaque capteur qui ne nécessitent pas ou peu
d’échanges de messages) et distribués (tous les capteurs sont les
1) Surveillance de l’environnement : les applications plus ‘tradi- mêmes et exécutent le même algorithme). À cela s’ajoutent deux
tionnelles’ comme celles évoquées précédemment (surveillance de défis transverses que sont l’énergie qu’il faut préserver au maxi-
feu de forêt, de volcans, etc) sont commercialisées et généralisées. mum et la mobilité des nœuds.
À cela s’ajoutent des applications à destination des citoyens,
notamment dans les villes, qui permettent la mesure de la qualité Très souvent, des compromis sont à faire dans les choix techni-
ques des protocoles entre coûts (en matériel, en énergie, etc.) et
de l’air ou encore de la pollution sonore.
performances (latence, taux de réceptions, etc.).
2) Contrôle des structures : les réseaux de capteurs font main-
L’énergie est en général la ressource la plus critique dans un
tenant leur apparition dans les projets d’urbanisme pour détecter réseau de capteurs sans fil car dans la plupart des cas, on ne sau-
des fuites d’eau ou de gaz dans les infrastructures urbaines ou rait envisager de remplacer ou recharger la batterie. La radio est le
encore pour mesurer et contrôler les consommations énergéti- composant qui nécessite le plus d’énergie dans un capteur (par
ques de divers équipements. Ils peuvent également être placés rapport aux activités de sensing (prélever les données physiques),
sur des structures telles que des ponts ou des tunnels pour de calcul ou d’accès mémoire. Il faut également avoir conscience
mesurer les vibrations et anticiper les ruptures et fêlures de ces que écouter demande autant d’énergie qu’émettre et que, en
structures comme c’est le cas par exemple du Golden Gate [2] à radio, tout nœud se trouvant à portée radio de l’émetteur reçoit
San Francisco. (pas seulement le destinataire du message) et consomme par
3) Automatisation des processus : les capteurs sont placés le conséquent. Les différents capteurs doivent coopérer pour faire
long de la chaı̂ne de production et permettent de détecter le pas- fonctionner le réseau. Une façon de réduire la consommation sera
sage des pièces, de les aiguiller dans les bonnes directions et de de mettre périodiquement le capteur en veille (couper la radio)
mais cela signifie que le capteur ne peut pas recevoir pendant ce
remonter des alertes en cas de problèmes.
temps. On introduira donc dans le réseau, soit un délai, soit des
4) Traçabilité, suivi et logistique : Du fait de leur grande agilité pertes de messages.
(pas besoin de câblage) et de leur capacité à s’auto-organiser en Chaque capteur doit, de façon autonome et indépendante, trans-
réseau de façon opportuniste en se basant sur tout mode de com- mettre l’information qu’il a lui-même perçue et relayer celle
munication disponible, les réseaux de capteurs sans fil sont égale- d’autres capteurs vers le puits.
ment utilisés pour remonter des données depuis des zones non
couvertes par un réseau filaire ou cellulaire. Ils sont par exemple Pour cela, chaque capteur doit être en mesure de découvrir son
apposés sur des biens qui voyagent à travers le monde et permet- voisinage, c’est-à-dire, établir la liste des autres capteurs à portée
tent de les suivre en quasi-temps réel. radio avec qui il peut communiquer directement (ses voisins) et
garder cette liste à jour malgré la mobilité ou la défaillance des cap-
5) Sport et santé : Des capteurs corporels (mesure du rythme car- teurs. Cette étape se situe entre les couches de niveaux 2 et 3 de la
diaque, de la pression sanguine, etc.) sont également utilisés pour couche OSI. Elle est utile à la plupart des protocoles de niveau 3 tels
étudier le corps des sportifs ou pour surveiller l’état de santé de que le routage [E 7 520] ou supérieur (clustering, ordonnancement
certains patients. Le mode de communication sans fil est privilégié d’activité, localisation, etc). Nous verrons au § 3 cette étape plus en
pour ne pas entraver les mouvements de la personne surveillée. détail.
6) Services : De nouveaux services sont proposés au travers de Ensuite, lorsque le capteur envoie ou relaie un message, tous ses
réseau de capteurs. Par exemple, ils sont déployés dans des par- voisins le recevront. Il faut donc identifier celui parmi eux pour qui
kings pour détecter les places disponibles et guider les automobi- le message est destiné. Ce peut être le destinataire final du mes-
listes. Les propriétés de la propagation radio sont également sage ou alors juste un nœud intermédiaire qui devra à son tour
exploitées pour proposer des solutions de localisation qui se relayer le message. Dans ce dernier cas, l’identification du relais
basent sur les puissances des signaux. se fait de façon locale et diffère à chaque saut. C’est le rôle du pro-
tocole de routage. Suivant les algorithmes, cette identification peut
De nombreuses applications industrielles sont détaillées dans [3], être faite au niveau du nœud expéditeur qui inscrit alors l’identi-
expliquant pour chacune les solutions existantes. fiant du prochain relais dans le message ou par le nœud qui reçoit
Ainsi, les réseaux de capteurs trouvent leur place dans de nom- le message et qui décide par lui-même s’il doit relayer ou non.
breuses applications pluri-disciplinaires [4] [5] qui sont chaque Le premier cas est le plus simple et le plus courant. Le second
jour plus nombreuses. cas a l’avantage de ne pas toujours nécessiter de découverte de
SQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sWUQP
voisinage au préalable mais ne peut être mis en place que pour cer- temps (généralement égal à 3 fois la période d’envoi des messages
tains protocoles de routage comme les protocoles géographiques HELLO), u efface v de la liste de ses voisins. C’est ce protocole sim-
ou opportunistes. ple qui est généralement implémenté aujourd’hui avec une période
Enfin, lors de la transmission, chaque capteur doit d’abord transmission égale à 2 s et donc une période de rafraı̂chissement
s’assurer qu’il est seul à occuper l’espace de transmission afin égale à 6 s. En général, la table de voisinage est cependant limitée
d’éviter des interférences et collisions sur les autres transmissions. à 10 entrées pour des raisons d’occupation mémoire mais, à l’heure
Un espace de transmission est défini ici par une zone géogra- actuelle, les réseaux déployés étant peu denses, cette limite est
phique, temporelle et fréquentielle. (Par exemple, deux capteurs amplement suffisante. En cas de densité plus forte, un filtrage est
effectué pour maintenir seulement les voisins dont le signal radio
Q
ne peuvent émettre pas en même temps sur la même fréquence
en étant à portée radio l’un de l’autre.) est le plus puissant.
En effet, les différents messages entrant en collision seraient non Ce protocole est simple et efficace. Il est très adapté à des situa-
seulement perdus et devraient être re-transmis (impliquant des tions où les capteurs sont statiques ou bougent peu.
délais de retransmission) mais aussi leur émission et leur écoute Cependant, lorsque le réseau est plus dynamique, les verrous
par les différents capteurs à portée radio auraient provoqué des consistent en l’adaptation des fréquences d’envoi et de rafraı̂chisse-
consommations d’énergie non négligeables. Il est donc parfois pré- ment de la table afin d’avoir des tables à jour, même en cas de
férable d’attendre avant d’envoyer pour économiser les différentes mobilité des capteurs, sans saturation des ressources. Les fréquen-
ressources et même diminuer la latence (puisqu’en cas de collision, ces d’envoi de ces messages et celle, de rafraı̂chissement de la
la latence sera plus grande du fait du temps nécessaire aux re-
table de voisinage doivent s’adapter à leur environnement car
transmissions). Ces différentes problématiques sont traitées au
envoyer trop de messages pourrait saturer inutilement la bande
niveau de la couche MAC (Medium Access Control) de la pile de
passante et consommer inutilement de l’énergie alors qu’en
transmission des capteurs [TE 7 020] [H 2 284] [25]. Cette dernière
envoyer trop peu ne permettrait pas de détecter tous les voisins.
gère également la mise en veille et le réveil des capteurs nécessai-
De la même façon, effacer trop vite des entrées de la table de voisi-
res pour l’économie d’énergie. La couche MAC n’étant pas détaillée
dans cet article, le lecteur intéressé peut se référer au chapitre 2 nage pourrait effacer des liens toujours existants et ne pas rafraı̂-
de [6]. Les standards les plus connus et les plus développés chir assez souvent conduirait à des tables obsolètes dans lesquelles
aujourd’hui étant IEEE 802.11 [TE 7 376] et IEEE 802.15.4 [TE 7 509]. figureraient encore des voisins hors de portée.
Il s’agit là des primitives de base à assurer afin que le réseau soit Dans ce chapitre, nous allons voir quelles sont les solutions pro-
opérationnel. De nombreuses autres fonctionnalités peuvent posées aujourd’hui pour améliorer cet algorithme simple et obtenir
cependant être apportées en fonction des applications pour optimi- des tables de voisinage plus consistantes surtout en cas de mobi-
ser l’utilisation des ressources et en particulier l’énergie. Ainsi, cer- lité des capteurs. En effet, afin de permettre la détection des voisins
tains mécanismes d’ordonnancement d’activité existent, consistant la plus fine possible, la fréquence d’envoi d’un message Hello doit
chaque capteur à décider d’envoyer moins de données. Ils peuvent s’adapter à la mobilité des capteurs. En effet, plus un capteur va
se baser sur des méthodes d’apprentissage qui permettent de pré- vite, plus la fréquence doit être élevée.
dire les données aussi bien à la source qu’à la destination. Ainsi la
source n’envoie les données que si elles diffèrent de celles prédites.
On peut également décider de différer l’envoi de données afin de 3.1 Découverte de voisinage sans
les agréger (temporellement ou spatialement) avec d’autres à connaissance des coordonnées
venir. Les solutions récemment proposées en ce sens reposent
généralement sur des approches de Machine Learning simplifié Comment adapter la fréquence d’envoi d’un message HELLO si
afin de pouvoir être exécutée sur les capteurs [28]. les capteurs ne connaissent pas leurs coordonnées et donc n’ont
Ces derniers ne seront pas détaillés dans cet article. Nous ren- aucun moyen d’estimer leur mobilité ?
voyons le lecteur intéressé vers [24]. Une première solution Event-Based HELLO protocol (EHP) adapte
De plus, proposer des solutions distribuées et locales a un autre le protocole HELLO de la façon suivante. Si un capteur ne reçoit
avantage. Cela assure une robustesse au réseau vu qu’une panne aucun message HELLO pendant un certain temps et n’a aucune don-
ne pourra impacter que son voisinage et non pas l’ensemble du née à transmettre alors, il arrête d’envoyer des messages. Cela lui
réseau. Cela facilite également l’auto-réparation puisque cette permet d’économiser de l’énergie. L’idée est la suivante : si un cap-
même panne aura juste besoin d’être identifiée et isolée localement. teur ne reçoit pas de messages alors c’est qu’il est seul et donc n’a
Nous ne pourrons pas développer ici tous ces défis. Nous nous pas besoin de signaler sa présence. Malheureusement, EHP ne tient
attacherons plus précisément à deux d’entre eux qui sont le décou- pas compte de la dynamique du réseau qui fait qu’un capteur peut
verte de voisinage et le routage géographique. apparaı̂tre ou disparaı̂tre ou se déplacer. Un nouveau capteur appa-
raissant dans le voisinage d’un capteur qui a arrêté l’envoi de ses
messages HELLO ne le signalera pas.
Une première solution propose que chaque capteur calcule en
3. Découvrir le réseau permanence deux valeurs basées sur l’observation de son voisi-
nage, le TLF (Time Link Failure), temps pendant lequel un lien
reste actif, et le TWC (Time Without Change), temps pendant lequel
La découverte de voisinage [8] est un mécanisme qui permet à la table de voisinage ne change pas. Les messages HELLO sont
chaque capteur d’établir la liste des autres capteurs à portée radio alors envoyés avec une fréquence flow. Si un capteur remarque
(ses voisins). Cette étape est très importante dans la vie d’un que le TWC passe au-dessous d’un seuil donné (le réseau est
réseau puisque la plupart des algorithmes de niveau supérieur donc fortement dynamique), il passe en mode « hautement dyna-
(routage, ordonnancement, etc.) reposent sur les tables de voisi- mique » et envoie les messages HELLO avec une fréquence fhigh
nage construites par ces algorithmes. plus élevée. Puis si la valeur TLF passe en dessous d’un autre
seuil (le réseau est stable), les messages HELLO sont de nouveau
La découverte de voisinage se fait traditionnellement au travers
envoyés à la fréquence flow.
de l’envoi périodique d’un message HELLO. Sur réception d’un tel
message envoyé par le capteur v, le capteur u apprend l’existence Cette solution considère donc la mobilité relative des capteurs, ce
de v en tant que son voisin et l’inscrit dans sa table de voisinage, qui est plus approprié que la vitesse absolue. En effet, même si deux
ou met à jour l’entrée correspondante si v y apparaı̂t déjà. Lors- capteurs sont très rapides (vitesse absolue), s’ils évoluent côte à
qu’aucun message de v n’est reçu par u au bout d’un certain côte, de leurs points de vue, c’est comme s’ils ne bougeaient pas.
SR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sWUQQ
et Christophe LOYEZ
Chargé de recherche CNRS à l’Institut d’Électronique de Microélectronique et de
Nanotechnologie, Villeneuve d’Ascq, France
a capacité d’un canal radio tel qu’étudié par Shannon en 1948 est connue et
L des solutions existent pour l’atteindre. La question peut alors se poser sur
l’intérêt qu’il faut porter à la couche physique et à l’architecture matérielle des
systèmes de communication. Cependant l’évolution des réseaux de capteurs
vers l’Internet des objets crée la nécessité d’une nouvelle compréhension de
p。イオエゥッョ@Z@、←」・ュ「イ・@RPQS
SS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sWUQQ
Depuis quelques années, les premiers réseaux de capteurs sont déployés sur
de grandes échelles. Si le premier réseau de capteurs date de 1969 (capteurs
sismiques utilisés par l’armée américaine au Vietnam) on peut compter à
l’heure actuelle près de 10 milliards d’objets communicants (pas uniquement
les capteurs) et l’étendue des champs d’application laisse penser que ce nom-
bre va croı̂tre très rapidement : villes et bâtiments intelligents, véhicules, cata-
strophes naturelles et secours, autonomie des personnes âgées, inventaires…
La figure 1 illustre une application des réseaux de capteurs dédiée au suivi du
Q vieillissement d’infrastructures.
Les réseaux de capteurs sans fil permettent de collecter des données, de les
traiter localement ou de les transmettre à des centres qui les géreront. Mais les
contraintes des communications diffèrent de ce que l’on a fait jusqu’à
maintenant :
la durée de vie des nœuds doit être grande pour assurer une durée de vie du
réseau suffisamment longue (années, décennies) sans pour autant devoir
changer les piles ;
la densification des réseaux nécessite une grande robustesse, en particulier
aux interférences dont la densité de probabilité n’a pas nécessairement la
classique allure gaussienne.
L’efficacité spectrale est le nombre de bits d’information que l’on peut transmettre par
seconde et par Hertz. Une solution simple pour améliorer l’efficacité spectrale est d’aug-
menter la puissance du signal transmis : plus celui-ci sera fort, moins il sera sensible au
bruit, et plus la transmission sera efficace. Il semble clair pourtant qu’augmenter la
puissance d’émission présente beaucoup d’inconvénients et a ses limites. Les recher-
ches en communication sans fil ont permis de concevoir des stratégies de communica-
tion (modulation, codage en particulier) qui permettent (presque) de faire ce que l’on
peut faire de mieux (capacité sur bande passante comme Shannon nous l’avait
annoncé en 1948). Sauf que les contraintes énergétiques et la densification des réseaux
voudraient que l’on exprime l’efficacité en bits par seconde par Hertz mais aussi par
Joule et par mètre !
ST
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sWUQQ
Cet article discute les différentes solutions pour des applications ultra basse
consommation. Nous ne parlerons pas ici de « communications vertes » bien
que ce soit tentant, mais la très basse consommation est plus un besoin égoı̈ste
du réseau pour s’assurer une longue durée de vie qu’une visée écologiste. Nous
présenterons tout d’abord le standard IEEE 802.15.4 qui définit les couches phy-
sique et MAC (couche 1 et 2 du modèle OSI) adaptées à la basse consomma-
tion. Plutôt que de détailler le standard, nous essayons d’expliquer ce qui déter-
mine les choix qui ont été faits pour assurer la faible consommation. Il nous
semble que cette compréhension est nécessaire pour ne pas déployer les
réseaux sans une connaissance minimale des enjeux au niveau radio, et donc
sans commettre des erreurs qui pourraient tout simplement empêcher le fonc-
Q
tionnement du réseau. Nous discutons ensuite les architectures matérielles,
celles proposées sur le marché et d’autres qui permettront de supporter
l’énorme croissance attendue de la quantité de données transmises. Nous
nous intéresserons tout particulièrement à des solutions possibles dans la
bande millimétrique qui pourraient permettre de pallier la trop grande occupa-
tion des bandes ISM en dessous de 3 GHz. Enfin, nous discuterons d’une pro-
blématique et d’une solution cruciales pour le développement de ces technolo-
gies : l’interférence et la coopération.
SU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sWUQQ
WLAN
WiGig
Q Réseaux
Mobillité
cellulaires
100 kbits/s UMTS/LTE
WIFI
GSM
1 kbits/s
Courte portée
IEEE 802.15.4
M2M
10 bits/s
Énergie
10 m 100 m 1 km 10 km
Tableau 1 – Ensemble des bandes possibles dans la norme IEEE 802.15.4 (toutes les bandes ne sont
pas disponibles dans l’ensemble des régions du monde), débits attendus sur chaque bande
et méthodes d’étalement et de modulation associées
Bande Débits
Étalement, modulation
(MHz) (kbits/s)
20 GFSK
950
100 DSSS – BPSK
20 DSSS – BPSK/OQPSK
868-868.6 (1 canal)
100 PSSS – BPSK/ASK
40 DSSS – BPSK/OQPSK
902-938 (10 canaux)
250 PSSS – BPSK/ASK
250-750
5944-10234
SV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sWUQQ
reposent toutes sur le standard IEEE 802.15.4. Chaque solution a représentant les évanouissements à grand échelle. Une illustration
ses avantages spécifiques. 6lowPAN repose par exemple sur l’Ipv6 de cette formule est donnée sur la figure 3.
avec l’objectif de donner à chaque objet un numéro IP, alors que
Le coefficient d’atténuation peut prendre des valeurs légèrement
Zigbee propose des solutions spécifiques.
inférieures à 2 dans des environnements indoor jusqu’à des valeurs
Nous allons nous intéresser au standard IEEE 802.15.4. Il définit de 5, voire 6, dans des environnements urbains denses. On
les couches physique et d’accès à la ressource (MAC : Medium remarque également l’influence de la fréquence porteuse : pour
Access Control) pour le déploiement des réseaux. Nous introduisons propager plus loin, il vaut mieux privilégier les basses fréquences
tout d’abord la principale difficulté des communications sans fils : le (800 ou 900 MHz) et pour confiner les ondes, les hautes fréquences.
Q
canal radio. Nous verrons alors comment il est possible de fiabiliser Les hautes fréquences offrent également plus de bande passante,
un peu les communications en faisant un compromis sur le débit. ce qui permet plus de robustesse ou plus de débit.
Si cette expression peut suffire pour la planification des systè-
1.2 Canal radio mes, elle ne prend pas en compte un effet majeur du canal radio :
les multitrajets. Supposons la situation simple de deux trajets et la
Le canal radio est souvent le mieux adapté aux réseaux de cap- transmission d’une sinusoı̈de. Soit une source qui émet un signal
teurs sans fil car il ne limite pas les communications à une configu- x (t) = cos (2pfct) vers une destination. Comme le montre la figure 4,
ration point à point, contrairement aux solutions optiques et infra- nous supposons également que le signal subit une réflexion si bien
rouge. Mais son utilisation est délicate et il est donc l’une des limi- que deux signaux se superposent à la destination, le second ayant
tations fondamentales des performances de la transmission. un retard t1 par rapport au premier (le trajet direct ici).
L’émetteur et le récepteur peuvent être en vue directe ou masqués En se synchronisant sur l’instant d’arrivée du premier trajet nous
par des bâtiments, des arbres, des bureaux… Le canal radio est pouvons donc écrire que le signal reçu est :
alors aléatoire et son étude complexe. De plus, la mobilité des uti-
lisateurs et même de l’environnement le rend variable et le fait fluc- r (t ) = a0 x (t ) + a1x (t − t1) = a0 cos (2πfc t ) + a1 cos (2πfc (t − t1)) (2)
tuer rapidement. Enfin, la fréquence de transmission a également
un impact sur la propagation et influence les caractéristiques du où a0 et a1 sont les atténuations des deux trajets. Nous pouvons
canal. alors déterminer la puissance du signal reçue :
La loi de Friss permet d’exprimer la puissance reçue (Pr) en fonc- Tc
tion de la puissance émise (Pe), des gains des antennes émettrice
(Ge) et réceptrice (Gr) et de la distance d séparant l’émetteur du
Pr =
1
Tc ∫ r (t )
2
dt =
2
(
1 2
)
a0 + a12 + a0a1 cos (2πfc t1) (3)
0
récepteur. Cette loi n’est valide que dans le cas du champ lointain
de l’antenne d’émission et en espace libre. Elle est modifiée en
introduisant un coefficient d’atténuation g qui indique l’évolution
de l’atténuation moyenne en fonction de la distance et un coeffi- Source Destination
cient d’évanouissements à grande échelle (shadowing) qui modé-
lise l’environnement à grande échelle (par exemple les obstacles).
En dB, l’expression de la puissance reçue peut s’écrire :
⎛ c2 ⎞
Pr = Pe + 10log10 ⎜Ge Gr ⎟ − 20 log10 (fc ) − 10γ log10 (d ) − X S (1)
⎜⎝ (4π)2 ⎟⎠ Réflecteur
La valeur c est la vitesse de la lumière, fc est la fréquence por-
teuse, d la distance émetteur récepteur et XS la variable aléatoire Figure 4 – Scénario d’une transmission avec deux trajets
100
75
50
1 10 100 1 000
Distance (m)
Figure 3 – Exemple d’atténuation dans un canal à 2,4 GHz avec un coefficient d’atténuation g = 3 et un shadowing lognormal (ce qui signifie
qu’en dB, la loi de la variable Xs est gaussienne)
SW
Q
SX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sWURP
Q
par GT 18-4 CIAME SEE
Groupe Technique « Composants Intelligents pour l’Automatisation et la Mesure »
Société de l’Électricité, de l’Électronique et des Technologies de l’Information et de la Com-
munication
Mireille BAYART
Professeur des Universités, Polytech’Lille (École Polytechnique Universitaire de Lille)
LAGIS UMR CNRS 8146 (Laboratoire d’Automatique, de Génie Informatique et Signal),
Animateur du GT Ciame
Blaise CONRARD
Maître de Conférences, Polytech’Lille (École Polytechnique Universitaire de Lille)
LAGIS UMR CNRS 8146 (Laboratoire d’Automatique, de Génie Informatique et Signal)
André CHOVIN
Adjoint à la Direction des Développements Business Unit Sensors & Actuators
CROUZET Automatismes
et Michel ROBERT
Professeur des Universités, Université Henri Poincaré Nancy 1 ESSTIN
CRAN UMR CNRS 7039 (Centre de Recherche en Automatique de Nancy)
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur S 7 520 − 1
SY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sWURP
1. Systèmes automatisés — suivi en 1991 du projet européen EURÊKA baptisé INCA (Inter-
face normalisée pour capteurs et actionneurs). Le projet INCA a
à intelligence distribuée complété ces travaux en intégrant l’étude des actionneurs intelli-
gents. Cette idée est la base des projets de normes IEEE 1451 rela-
tive à la standardisation d’une interface numérique pour capteurs et
actionneurs.
1.1 Évolutions Parallèlement, dans le cadre d’un programme ESPRIT II, le projet
de recherche franco-italien DIAS (Distributed Intelligent Actuators
and Sensors) a été effectué [5], suivi dans le programme ESPRIT III
L’évolution des systèmes automatisés prenant en compte, en plus par le projet PRIAM (Pre-normative Requirements for Intelligent
du contrôle-commande, la maintenance, la sécurité et la gestion Actionnement and Measurement).
technique conduit à un besoin de plus en plus important d’informa- Dans la suite logique de la rédaction des livres blancs, le CIAME
tions, et une augmentation des traitements en nombre et en com- (Comité Interprofessionnel pour l’Automatisation et la Mesure),
plexité. Cette évolution mène à une délocalisation des traitements structure dépendant de l’APIST (Association pour la Promotion de
rendue possible par le développement des réseaux de terrain, d’une l’Instrumentation Scientifique et Technique), a réuni des groupes de
part, et des équipements intelligents, d’autre part. travail composés d’utilisateurs, d’offreurs et d’universitaires concer-
nés par ce domaine sur les thèmes « capteurs intelligents » et
Les premiers capteurs dits « intelligents » sont apparus dans les « actionneurs intelligents », les résultats de ces travaux ont fait
années 1980. Dédiés le plus souvent aux systèmes numériques de l’objet de deux ouvrages [3] [4].
contrôle-commande, ils sont développés par des grands construc-
teurs d’automatismes : Honeywell, Fuji, Control Bailey, … En
France, des travaux sur les besoins des utilisateurs donnent lieu à
un Livre Blanc sur les capteurs intelligents en 1987 [1] et un autre sur 1.2 Conjonction des besoins
les actionneurs en 1988 [2]. Les institutions nationales et/ou euro- et disponibilité de la technologie
péennes ont été partie prenante dans la genèse de ces concepts et
produits ; en témoignent le soutien apporté aux travaux de la CIAME
Les apports des capteurs et/ou des actionneurs intelligents sont
(Commission Interministérielle pour l’Automatisation et la Mesure)
relatifs, en premier lieu, à leurs fonctions primitives (mesurer pour
dans les années 1980 et les différents projets qui ont été soutenus.
un capteur, agir pour un actionneur) et relèvent alors d’amélioration
On citera :
de performances (exactitude, temps de réponse…).
— le projet INF (Interface normalisée fonctionnelle pour capteurs Les capteurs et actionneurs étant utilisés dans de nombreux
intelligents), de 1988 à 1992 dans le cadre d’un programme « saut systèmes de production de biens (processus continus ou manufac-
technologique » soutenu par le ministère de la Recherche et de turiers) ou de services (tertiaire, systèmes embarqués), l’apport de
l’Espace, ce projet, regroupant des industriels de l’offre et de la l’intelligence est lié à l’accroissement de la crédibilité de la mesure
demande, a permis la description et la modélisation des fonctions et aux conditions dans lesquelles elle a été effectuée pour les cap-
de base d’un capteur intelligent ainsi que son développement indé- teurs, à la garantie de la réalisation de l’ordre transmis et à la sur-
pendamment du réseau de terrain utilisé ; veillance des conditions d’exécution pour un actionneur.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
S 7 520 − 2 © Techniques de l’Ingénieur
TP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sWURP
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur S 7 520 − 3
TQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sWURP
Unité de
E traitement S
C
Réseau de terrain
Unité de Unité de
E traitement S E traitement S
Q
C C
Capteurs et actionneurs
Capteurs C C C CI CI intelligents A AI A A Préactionneurs
Détecteurs Actionneurs
Procédé
Mémoire Alimentation(s)
D’un point de vue matériel, un instrument intelligent se compose
alors de trois sous-ensembles :
Organe de
calcul interne — une unité de traitement numérique (c’est-à-dire une unité de
calcul associée à de la mémoire) ;
Interface de — une interface de communication permettant un dialogue bidi-
communication
rectionnel numérique avec le reste du système ;
— un transducteur-conditionneur pour le capteur (figure 5) ou un
Réseau de organe d’actionnement pour l’actionneur (figure 6).
communication
Pour conclure, un capteur ou un actionneur intelligent peut être
considéré comme un véritable « système embarqué », qui devra
Figure 5 – Architecture matérielle générique d’un capteur intelligent
posséder son propre système d’exploitation lui permettant de coo-
pérer au sein d’une organisation plus complexe.
— l’instrument numérique offre la même fonction de conversion,
mais au travers d’une chaîne de traitements dans laquelle figure une
ou plusieurs opérations numériques, susceptible d’améliorer cette
fonction élémentaire ; comme par exemple, la numérisation de la
2.2 L’instrument intelligent en terme
mesure en vue de son utilisation par une centrale d’acquisition via de services
une liaison série ;
— l’instrument « smart » possède des fonctionnalités qui amélio-
rent ses performances métrologiques, par des fonctions embar- De ce qui précède, un instrument intelligent se caractérise fonda-
quées de mémorisation et de traitement de données ; mentalement par les fonctions qu’il peut offrir aux intervenants et ce
— l’instrument intelligent enrichit cela d’une capacité à crédibiliser tout au long de son cycle de vie. Dans ce paragraphe, on s’attachera
sa fonction associée à une implication plus importante dans la réali- donc à recenser les fonctions caractéristiques de ce type de compo-
sation des fonctions du système auquel il appartient. Cette sant.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
S 7 520 − 4 © Techniques de l’Ingénieur
TR
Systèmes d'information et de communication
(Réf. Internet 42397)
4– Sûreté de fonctionnement
Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
TS
R
TT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sWUWT
R
1. Réseaux et modèle OSI........................................................................... S 7 574 – 2
1.1 Réseau, réseau local, réseau local industriel ............................................ — 2
1.2 Modèle de référence OSI de l’ISO .............................................................. — 3
1.3 Conclusion.................................................................................................... — 7
2. Systèmes automatisés............................................................................ — 7
2.1 Architectures de systèmes et réseaux locaux industriels ........................ — 8
2.2 Domaines d’application .............................................................................. — 9
2.3 Architectures des applications.................................................................... — 10
3. Réseaux locaux industriels.................................................................... — 14
3.1 Types de coopération .................................................................................. — 14
3.2 Qualité de service ........................................................................................ — 17
3.3 Architectures des réseaux locaux industriels............................................ — 17
4. Conclusion ................................................................................................. — 20
Bibliographie ...................................................................................................... — 20
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur S 7 574 − 1
TU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sWUWT
Notre ambition est de clarifier la situation de tous les réseaux locaux indus-
triels (RLI) ou embarqués, en introduisant les concepts et les critères adéquats
pour permettre au lecteur de situer les différents réseaux les uns par rapport aux
autres mais surtout par rapport aux besoins. C’est pourquoi nous préciserons
d’abord la notion de réseau et de réseau local en nous appuyant sur le modèle
de référence OSI, dont les concepts peuvent s’appliquer à tout réseau, qu’il soit
public, local, industriel, domotique ou embarqué, puis la différence entre réseau
local d’entreprise et réseau local industriel, même si dans les deux cas, certains
protocoles peuvent être identiques.
Pour comprendre la variété des réseaux (mais aussi leurs similitudes), nous
R
étudierons les architectures des applications dans les différents domaines
considérés comme « industriels » et nous terminerons par l’étude des caractéris-
tiques des réseaux industriels.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
S 7 574 − 2 © Techniques de l’Ingénieur
TV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sWUWT
Nota : on retrouvera des caractéristiques voisines dans des systèmes autres que ceux les réseaux temps réel plus en détail et de façon comparative, étu-
de production, par exemple dans la domotique, ainsi que dans les systèmes de transport
(trains, automobiles). Nous reviendrons sur ces sujets dans le paragraphe 2.2.
dions d’abord les concepts de base de la communication qui servi-
ront de référence. Ces concepts sont définis dans le modèle OSI
(Open Systems Interconnection – Basic Reference Model, ISO 7498)
1.1.4 Réseau local d’entreprise de l’International Organization for Standardization (ISO).
Alors que les réseaux locaux industriels sont utilisés par les
processus déclenchés selon l’état des machines et par les événe-
1.2 Modèle de référence OSI de l’ISO
ments survenant dans leur environnement, les réseaux locaux
d’entreprise sont utilisés au final par des êtres humains. Les uti-
lisateurs de réseaux locaux d’entreprise, du point de vue techni- 1.2.1 Origine du modèle
R
que, sont les stations de travail, les terminaux, les micro-
ordinateurs et les serveurs qui leur sont connectés. Mais devant Afin de simplifier la définition des normes de communication, en
ces matériels sont des êtres humains qui décident ou non d’uti- les situant les unes par rapport aux autres, l’ISO a lancé en 1977 un
liser leur outil de travail et le réseau en fonction de ce qu’ils ont projet de définition d’un modèle de référence pour l’interconnexion
à faire. de systèmes ouverts appelé simplement « modèle OSI » ou
« modèle de référence OSI » [1]. La version finale du modèle OSI
date de 1984. Il a été défini à partir des expériences dans les réseaux
En considérant dans une entreprise les services de gestion du per- publics, mais a dû ultérieurement être adapté aux réseaux locaux.
sonnel, de gestion des stocks, des approvisionnements, de la comp-
tabilité, tous interconnectés par un réseau, chacune des personnes de Un système est dit ouvert lorsqu’il permet la communication
ces services crée du trafic de façon non concertée et donc aléatoire. entre équipements de types différents, pouvant provenir de cons-
De tels réseaux doivent offrir des services adaptés pour chaque sorte tructeurs différents, pourvu que ces équipements respectent les
d’utilisation : accès à des fichiers ou des bases de données distantes règles de communication dans un environnement OSI. Les règles de
et partagées, accès à tout type d’application informatisée, impression communication sont publiques, accessibles à tous. Et inversement,
d’états, messagerie intraentreprise et interentreprise, et ils doivent un système est dit privé lorsqu’il ne permet la communication
être dimensionnés pour supporter tous les utilisateurs simultanés en qu’entre des équipements d’un même type ou d’un même construc-
leur offrant des temps de réponse acceptables. Mais surtout, on ne teur, en utilisant des protocoles qui sont la propriété de quelqu’un.
peut pas faire d’hypothèses sur les comportements des uns et des Nous considérons aussi comme privés les systèmes multiproprié-
autres pour définir des services et/ou des protocoles particuliers, ce taires dans lesquels on peut accéder à des spécifications privées
qui conduit à établir des mécanismes de communication suffisam- moyennant des accords avec les propriétaires. On qualifie parfois
ment généraux pour satisfaire toutes les sortes de besoins. Les tech- ces systèmes de « propriétaires » (en anglais : proprietary). On dit
nologies de l’Internet et du Web ont investi ce domaine. aussi parfois que ces systèmes sont fermés, mais en fait, ils ne le
sont jamais complètement.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur S 7 574 − 3
TW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sWUWT
R
de session Le modèle OSI définit non seulement les sept couches bien con-
nues, mais aussi et surtout des concepts, des principes, des
Protocole mécanismes qui peuvent s’appliquer ou être mis en œuvre a priori
4 Transport Transport dans toutes les couches. Les sujets que nous traitons ci-après sont :
de transport
— les notions de service et de protocole (§ 1.2.4.1) ;
Protocole
— les transmissions en point à point, en multipoint ou en diffu-
3 Réseau Réseau sion (§ 1.2.4.2) ;
de réseau
— les communications avec connexion ou non (§ 1.2.4.3) ;
— les protocoles avec ou sans acquittement (§ 1.2.4.4) ;
Liaison de Protocole Liaison de — le contrôle de flux (§ 1.2.4.5).
2 données données
de liaison D’autres principes ou règles comme l’adressage ne seront pas
étudiés ici, car ils intéressent plus les concepteurs de protocoles que
Protocole les utilisateurs. Il suffit de supposer qu’un processus d’application
1 Physique Physique
physique sache désigner son ou ses correspondants sans regarder comment
la désignation et l’adressage sont réalisés. Nous verrons (§ 3) pour-
quoi certains choix sont faits selon les protocoles des réseaux
Médium Médium locaux industriels.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
S 7 574 − 4 © Techniques de l’Ingénieur
TX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQRP
Caractéristiques temporelles
des réseaux industriels
TY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQRP
Tt Temps de transmission Ces contraintes sont directement ressenties par les utilisateurs,
et les offreurs de service vont tout mettre en œuvre afin de les satis-
Ttrans _ PDU Temps de transfert d’une PDU faire. Comment acheminer le plus rapidement possible un message
entre deux villes ? Et ils auront alors d’autres contraintes à satisfaire
Ttrans _ poll Temps de transfert du droit de parole ou d’autres critères à optimiser. Comment mieux rentabiliser les
Ttransfert Temps de transfert moyens développés et mis en œuvre pour satisfaire un maximum
d’utilisateurs ? Cette question était déjà d’actualité à l’époque des
Ttransit _ j Temps de transit dans la station intermédiaire j messagers à cheval qui sont passés du portage d’un message
unique entre deux personnes précises à celui de plusieurs
U Taux d’utilisation d’un canal messages entre deux cités, introduisant ainsi la collecte et la dis-
tribution. Sans parler du problème de la sécurité de la transmission
V Vitesse de propagation qui ne fera pas l’objet de ce dossier.
UP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQRP
R
la théorie mathématique de l’information dans un article fondateur « A Mathematical
Theory of Communication », The Bell System Technical Journal, 27, 379-423, and 623-656,
July and October 1948.
d’outils de ligne, de « transceiver » en anglais, abréviation de
transmitter-receiver.
Dans le domaine des télécommunications, on appelle jonction
1.2 Système de communication l’interface entre ETTD et ETCD. Il s’agit en général de la spécification
des signaux nécessaires aux échanges et à la synchronisation entre
Un système de transmission de données est constitué d’un canal les deux appareils. Une jonction est aussi une spécification, voire
de transmission de données et d’équipements communicants. Les une norme, de connecteur.
systèmes terminaux, station de travail, automate, capteur, action-
neur sont les équipements de l’utilisateur qui produisent les infor-
mations à transporter, et qui exploitent les informations reçues. Ces 2.1 Circuit de données
systèmes terminaux sont connectés par un canal de transmission.
Un canal est caractérisé par les paramètres suivants : la bande Le terme circuit de données vient du terme électrique « circuit » ;
passante, l’affaiblissement, la distance entre stations terminales. à l’origine, c’est un chemin en téléphonie sur lequel un courant élec-
Les canaux sont réalisés sur différents supports, paires télé- trique circule ; pensez à l’expression « commutation de circuits » qui
phoniques, paires torsadées ou non, blindées ou non, liaisons consistait à établir un circuit électrique entre l’appelant et l’appelé,
radio dans différentes gammes de fréquence, câbles coaxiaux, sur lequel la parole était transportée par modulation de courant. Il
fibres optiques, etc. Les termes de canal, voie, liaison, support sont s’agit, dans les réseaux d’ordinateurs, du canal de transmission et
parfois utilisés l’un pour l’autre comme dans la phrase précédente. de ses équipements terminaux d’émission et de réception (ETCD).
Il faut toutefois distinguer le support qui transporte le signal, et le On peut aussi parler de liaison physique point à point.
canal qui, sur un support, occupe tout ou partie de la bande
passante ; la voie physique est analogue au canal. 2.1.1 Circuit simplex
Il existe aussi des équipements intermédiaires, qui n’ont pas de On appelle circuit simplex, un circuit de données qui ne permet
rôle particulier pour l’utilisateur final mais qui assurent des que la transmission dans un sens ; il relie un ETTD émetteur à un
fonctions de répétition, de routage pour la transmission proprement ETTD récepteur.
dite et qui introduisent d’autres délais dans les communications.
Nous allons d’abord étudier les voies physiques sans tenir
compte des équipements intermédiaires. Nous étudierons ensuite
2.1.2 Circuit full duplex
les voies logiques construites sur les voies physiques et les équi- On appelle circuit full duplex un circuit qui permet la trans-
pements intermédiaires. mission de données simultanément dans les deux sens sur le
même circuit. Une communication simultanée dans les deux sens
peut aussi avoir lieu sur deux circuits simplex de sens opposés.
2. Voie physique
2.1.3 Circuit half duplex
On appelle voie physique (figure 1) un canal sur un support On appelle circuit half duplex un circuit qui permet la trans-
entre deux stations terminales. En vocabulaire normalisé, une mission de données dans les deux sens mais alternativement. On
voie physique relie deux équipements terminaux de circuit de parle aussi de transmission à l’alternat.
données (ETCD, en anglais DCE, data circuit-terminating
equipment ) qui sont les interfaces des équipements terminaux 2.1.4 Liaison physique multipoint
de traitement de données (ETTD, en anglais DTE pour data
terminal equipment ). On appelle liaison physique multipoint, un circuit de données
direct permettant à plusieurs équipements terminaux de circuits de
données de recevoir les données émises par un équipement
Un équipement terminal de traitement de données est l’ensem- terminal de circuits de données.
ble des appareils qui permettent la communication entre les proces-
sus de traitement, les systèmes de stockage et un équipement
terminal de circuits de données. Un ETTD est, la plupart du temps, 2.1.5 Circuits de données et synchronisation
un ordinateur, un automate programmable, une station de travail et
La transmission sur un circuit simplex peut être synchrone ou
maintenant un capteur, un actionneur à condition qu’ils soient
asynchrone. Sur un circuit full duplex, les transmissions dans un
évidemment munis des dispositifs adéquats de communication et
sens ou dans l’autre peuvent être également synchrones ou
de traitement des données. On appelle en général l’ETTD, station,
asynchrones. Elles peuvent aussi présenter des débits différents
site, machine, hôte, nœud, (en anglais DTE, site, host, node).
selon le sens de transmission. Un exemple était le Minitel. Le poste
Un équipement terminal de circuit de données est l’ensemble Minitel émet à 75 bit/s et reçoit à 1 200 bit/s. On dit dans ce cas que
des appareils d’une station situés entre la ligne et l’équipement la voie est asymétrique. Le cas des liaisons ADSL est un autre
terminal de traitement de données. On appelle souvent un ETCD, exemple dans lesquelles les voies descendantes vers le domicile
modem (abréviation de modulateur-démodulateur), on parle aussi sont beaucoup plus rapides que les voies montantes.
UQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQRP
Sur une voie half duplex, seule une transmission asynchrone est 2.2.2.2 Déphasage
possible, car chaque station est alternativement source et puits. On
parle toutefois de transmission asynchrone synchronisée quand, Le déphasage, encore appelé distorsion de phase, est un
durant tout le temps où une même station est source, tous les bits phénomène qui décale, ou qui retarde le signal en fonction de sa
émis le sont de façon synchrone. fréquence.
Un circuit de données peut utiliser des éléments intermédiaires Si l’on reprend l’exemple du quadripôle précédent, on a un
tels que des répéteurs ou amplificateurs de signaux. déphasage φ défini par : tan φ = – RC ω, le déphasage est l’argument
du gain complexe.
R
2.2.1 Caractéristiques des signaux
mises à un affaiblissement inférieur ou égal à A. La bande passante
Les caractéristiques d’un signal sont la fréquence, la phase et s’exprime en hertz (Hz).
l’amplitude. On transmet les informations soit en modulant une On connaît la bande passante d’une chaîne haute fidélité. Tous
onde porteuse en fréquence, en phase ou en amplitude, ou par une les signaux qui sont d’une fréquence inférieure ou supérieure aux
combinaison de ces caractéristiques (on parle de transmission par bornes ne sont pas transmis, ou sont affaiblis de telle façon qu’ils
bande porteuse, en anglais carrier band), soit sans modulation, on ne seront pas reconnus par le récepteur, c’est-à-dire que c’est
parle alors de transmission en bande de base (en anglais comme s’ils n’étaient pas transmis. Un canal se comporte comme
baseband ). Le modem est l’appareil capable de moduler une onde un filtre passe-bande.
à l’émission et de la démoduler à la réception.
UR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQRP
Tt
Les termes corrects et les bonnes unités doivent toujours être Tp
utilisés, le débit est exprimé en bit/s, la rapidité de modulation
en bauds, et la bande passante en Hz.
Ttransfert
2.3 Délais caractéristiques
d’une voie physique
2.3.1 Délai de propagation
Figure 3 – Diagramme spatio-temporel
R
Un signal se propage sur un support à une vitesse dite vitesse On remarquera que les deux délais Tp et Tt ne sont pas toujours
de propagation. En notant d la longueur du canal en m, V la vitesse du même ordre de grandeur et que l’on peut alors négliger le plus
de propagation en m/s, d/V est le délai ou le temps de faible.
propagation :
d Sur des canaux de faible longueur (de l’ordre de quelques km),
T p = -----
V le délai de propagation est négligeable et souvent négligé.
La vitesse de propagation dépend du support de transmission. Les
valeurs usuelles sont : c, c’est-à-dire 300 000 km/s pour la lumière 2.3.4 Longueur de canal
dans l’air ou le vide, 220 000 km/s pour un signal électrique dans un
câble métallique ou un signal lumineux sur une fibre optique. Dans La longueur de canal ou encore longueur de circuit se mesure
la plupart des exemples nous prendrons une valeur approchée égale naturellement en mètres, mais aussi en bits. Elle représente alors le
2c nombre de bits présents simultanément tout au long du canal. On
à -------- pour simplifier les calculs. À cette vitesse, le délai unitaire de peut l’assimiler à la taille d’une trame telle que l’on émet le dernier
3
bit quand le premier arrive au récepteur. C’est le nombre de bits que
propagation est de 5 µs par km.
l’on émet pendant que le premier se propage sur le canal.
Exemples Notons Lc la longueur du canal en bits :
Le délai de propagation sur un support métallique de 100 km est de
0,5 ms. d
L c = B ----- = BT p
V
Sur une liaison par satellite à 36 000 km, ce délai est de 12 · 10–2 s
soit 120 ms entre la station terrestre et le satellite. Entre deux stations L’équation aux dimensions (bit/s × s ⇒ bit) (vitesse × durée
terrestres, le délai est donc au minimum de 2 × 120 = 240 ms. ⇒ longueur) donne bien une longueur en bits.
Il faut y ajouter le temps mis par le satellite pour réémettre le signal. Cette grandeur établit un lien entre débit et temps de propagation.
Il s’agit d’un délai de transit introduit par une station intermédiaire (voir La longueur de canal permet de construire des représentations
§ 3.1.1 et 3.2). spatiales de la propagation des trames, de les situer à un instant
donné sur le support.
2.3.2 Délai de transmission Cette notion permettra aussi d’unifier dans le concept de canal
équivalent tous les délais induits par la présence de stations inter-
On appelle délai ou temps de transmission le temps nécessaire à médiaires, comme on le verra au § 3.
l’émission ou à la réception d’une trame. Sur une voie physique
simple, les délais d’émission et de réception sont identiques. Ce n’est
pas toujours le cas quand on prend en compte une voie logique. 2.3.5 Débit réel ou throughput
Si on note L la longueur de la trame en bits, B le débit binaire
en bit/s, le temps de transmission est : Le throughput ou débit réel a été introduit pour évaluer la per-
formance de l’usage que l’on fait d’un canal. Si l’on émet de toutes
L petites trames, on utilisera peu le canal, si l’on émet de grandes
T t = -----
B trames, ce sera le contraire.
Exemples Le throughput s’exprime en bit/s et est défini par :
Une trame de 8 octets sur un réseau CAN dans l’automobile à
L
250 kbit/s a un délai de transmission de 64/250 · 103 = 0,256 · 10–3 s Th = --------------------
Tt + Tp
soit 0,256 ms.
Une trame de 128 octets sur un réseau WorldFIP à 1 Mbit/s a un Exemples
délai de transmission de 1 024/106 ≈ 10–3 s soit 1 ms environ. 10 Mbit/s, 2 km avec L = 2 000 octets, Th ≈ 9,9 Mbit/s
Une trame de 128 octets sur un réseau Ethernet à 10 Mbit/s a un 10 Mbit/s, 2 km avec L = 100 octets, Th ≈ 8,89 Mbit/s
délai de transmission de 1 024/107 ≈ 10–4 s soit 0,1 ms environ. 10 Mbit/s, 2 km avec L = 512 bits, Th ≈ 8,3 Mbit/s
2.3.3 Temps de transfert sur une voie physique 2.3.6 Débit réel utile et efficacité
On appelle temps ou délai de transfert la somme du délai de
Le débit réel utile représente la performance du canal par rapport
transmission et du délai de propagation (cf. figure 3). On parle
aux informations utiles en tenant compte des informations de
parfois aussi de délai d’acheminement. C’est le temps nécessaire à
contrôle du protocole conformément aux principes du modèle
l’émission et à la réception de toute la trame :
OSI [16] [34]. Il ne faut pas oublier que pour transporter l’information
Ttransfert = Tt + Tp utile, on lui adjoint des informations de contrôle du protocole (PCI,
US
R
UT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQSP
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Informatique industrielle S 8 130 − 1
UU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQSP
Principaux sigles
ALM ATMLightRing Manager PCC Poste de Commande Centralisée
R CAS
CBR
Composition Adjustment by Sealed Argon bubbing
RIS
Riging GENerator
MICDA Modulation par Impulsions Codées Différentielles Adapta- VBR Variable Bit Rate
tive
1. Raisons du choix ATM Le support choisi est la fibre optique monomode (cf. [E 7 110]
réf. [6]).
Elle propage un signal avec une longueur d’onde (mode) prédé-
La Compagnie des transports strasbourgeois CTS a, sur la terminée. De ce fait, l’affaiblissement est très réduit. La distance
ligne A, un réseau de télécommunications bâti sur deux réseaux permise sans amplification et répétition du signal atteint 30 km sur
parallèles en fibre optique (monomode et multimode) dans les les produits industrialisés, pour un débit de 2,5 Gbit/s. C’est ce type
infrastructures de la ligne A du tramway. Plusieurs applications de fibre qui est très généralement posé dans les réseaux fédéra-
propres au fonctionnement de la CTS sont gérées sur ces réseaux : teurs à haut débit.
téléphonie, vidéo, sonorisation, GTC, interconnexion de réseaux
Ethernet, ... Les technologies de transport qui ont été envisagées avant le
choix d’ATM étaient les technologies FDDI, Ethernet et SDH.
Dans le cadre de la mise en place des lignes B et C, la CTS en
1998, a souhaité s’assurer de la pertinence du choix de la techno- FDDI est une structure de réseau fondée sur un simple ou double
logie du nouveau réseau. anneau physique en fibre optique. L’évolution de cette technologie
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
S 8 130 − 2 © Techniques de l’Ingénieur, traité Informatique industrielle
UV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQSP
n’offrait pas une garantie forte quant à la pérennité. Elle reste Le débit utile est plus important en ATM que pour SDH, du fait
d’ailleurs une technologie coûteuse et orientée vers des réseaux de l’utilisation de moins d’octets dans les trames. L’ATM limite
informatiques. donc les surdébits liés aux couches physiques.
La technologie Ethernet constituait un facteur limitatif pour les La solution ATM est beaucoup plus souple dans un contexte
réseaux fédérateurs hauts débits du fait : hétérogène.
— de la gestion des collisions qui ne permet pas d’utiliser la
Nota : l’ATM fait l’objet de nombreuses publications ou sites (cf. [1] [2] [3] [4] [5],
bande passante totale disponible (saturation aux environs de 30 à [E 7 180] réf. [7], [IP 2710] réf. [8]).
40 % de son débit de crête en half-duplex ) ;
— de son mode de fonctionnement en half-duplex au niveau
physique ; La compagnie des transports strasbourgeois
— de la longueur limitée des segments Ethernet ; La compagnie des transports strasbourgeois a été fondée en 1878. En
1898, c’est le début de l’électrification du réseau de tramway. La dernière
R
— du faible niveau de service offert par les ponts ; ligne de l’ancien tramway s’est arrêtée le 1er mai 1960.
— des problèmes de performance au niveau des routeurs si l’on En 1989, La communauté urbaine de Strasbourg décide de construire
approche leurs débits de saturation ; un nouveau réseau de tramway. C’est en 1994 qu’est inaugurée la pre-
— de sa limitation aux données (aux échanges non isochrones). mière ligne de tramway (ligne A) de 9,8 km de Hautepierre Maillon à Bag-
gersee.
Les technologies Fast Ethernet (100 Mbit/s) et Giga Ethernet En 1998, un prolongement (2,8 km) de la ligne A a été construit entre
permettent de reculer les risques de saturation par l’augmentation Baggersee et Lixenbuhl. La même année, la ligne D entre Rotonde et
Étoile Polygone a été créée.
de la bande passante, mais ne résolvent pas les limitations du
La première ligne (A et D) a été réalisée pour un montant de 296 M€
protocole de gestion des trames et la difficulté de traiter (à (1 940 MF), y compris matériel roulant.
l’époque) d’autres médias que les données. En 2000, les lignes B et C du tramway, d’une longueur de 12,6 km sont
inaugurées. Elles ont coûté 248 M€ (1 625 MF).
La technique de transmission synchrone ou SDH permettait
La figure 1 présente le réseau tramway depuis septembre 2000.
d’atteindre des débits potentiels de 2,5 Gbit/s. La technologie SDH
La CTS a trois missions essentielles :
identifie en cours de transmission les flux et les extraits pour les
— exploiter le réseau urbain, 24 lignes de bus et 4 lignes de
acheminer. Cette « commutation » est statique, configurée une fois tramway ;
pour toutes dans les tables de routage. Une technologie SDH peut — exploiter le réseau interurbain, 10 lignes de bus soit 70 % du
être réalisée en topologie unidirectionnelle ou bidirectionnelle, réseau interurbain ;
— assurer la conception, la construction et la maîtrise d’ouvrage des
point à point, bus ou anneau simple ou double. infrastructures du réseau tram.
L’ATM est une technologie à la convergence de la commutation
Le tramway
de circuits et de la commutation de paquets (cellules). Les cellules
sont de petite taille et peuvent être commutées rapidement, au Sur la base d’expériences antérieures, il s’est avéré nécessaire d’adop-
ter un matériel roulant à plancher bas intégral, sur toute la longueur des
bénéfice d’applications isochrones. La commutation se fait en rames, sans marches, ni podiums à l’intérieur du véhicule (figure 2). En
temps réel et la bande totale est partagée dynamiquement (ou 1994, c’était une première mondiale.
avec des réservations) entre les applications. La première série de 26 rames a été achetée à ABB. Ces rames avaient
pour caractéristiques principales :
L’ATM repose sur une technique de circuit virtuel et ne mobilise — longueur hors tout : 33,10 m ;
que les ressources de communication et d’acheminement néces- — largeur hors tout : 2,40 m ;
saires au passage des informations, par opposition à la technique — hauteur : 3,10 m ;
— nombre de moteurs de traction : 12 ;
de commutation de circuits. Le débit alloué à un circuit virtuel est — puissance totale : 318 kW (432 ch) ;
adapté à chaque sens de transmission. C’est le principe d’asymé- — poids à vide : 40 t.
trie. La deuxième série de 27 rames était composée de 10 rames
« 3 caisses » de 33,10 m et 17 rames « 4 caisses » de 43 m de long. Ces
L’ATM est particulièrement adaptée à un environnement multi- dernières ont 16 moteurs et pèsent 50 t à vide.
services, comportant des applications de données à haut débit, des
applications isochrones (téléphonie, audiovisuel, hifi) et de l’image Les courants faibles
animée. Pour assurer une exploitation optimale, il est nécessaire que les régu-
lateurs et les personnes du PC information puissent être informés, en
Le mode de communication ATM est conçu de manière à temps réel, de l’état des équipements sur le terrain ainsi que de la posi-
permettre le transport, de façon transparente, de la plupart des tion des véhicules. Il faut également que le personnel puisse renseigner
protocoles existants à ce jour. Cette tendance a motivé les fournis- la clientèle sur l’état du dispositif. Pour ce faire, un système articulé
autour d’une gestion technique centralisée (GTC) et d’un réseau de trans-
seurs d’ATM, dans la quête d’une solution de migration préservant mission haut débit permet de commander tous les outils nécessaires à
l’existant, appelée LAN Emulation (LANE). Cette technique émule ces fonctions.
le fonctionnement des réseaux locaux traditionnels, rendant La communication entre les stations et le poste de commande centra-
l’infrastructure ATM transparente pour les niveaux supérieurs lisé (PCC) (figure 3) constitue une des principales tâche dévolue au sys-
tème de GTC, partie intégrante des courants faibles, qui assure l’interface
(Netware, TCP/IP, Windows NT, ...). de commande pour :
Tous les éléments composant les réseaux locaux existants (adap- — la liaison interphonique entre le PCC et la station enterrée de la
gare ;
teur Ethernet, hubs, commutateurs, routeurs) ont dû cohabiter — la sonorisation des stations ;
avec le déploiement de réseau fédérateur ATM. — la télésurveillance visuelle depuis le PCC à l’aide de 75 caméras ;
— la surveillance de l’état des distributeurs automatiques de titres de
Après un premier tri, les deux solutions qui se sont dégagées transport ;
sont SDH et ATM. — la surveillance de la détection incendie ;
— la supervision et la commande de la distribution d’énergie électri-
Cependant, ATM présente des avantages pour : que pour les tram ;
— la commande de l’éclairage des stations ;
— l’établissement de connexions entre points homogènes ; — la supervision et la commande des escalators et des ascenseurs.
— l’optimisation de la bande passante utile ; Un système dédié est utilisé pour superviser et commander la signali-
— les connexions asymétriques, intéressantes dans un environ- sation ferroviaire.
nement multimedia où les flux « requête » (demande utilisateur) Un autre système appelé système d’aide à l’exploitation (SAE) permet
entre autre le suivi et la localisation de l’ensemble des véhicules en
sont faibles par rapport à la réponse ; temps réel, le suivi et la surveillance de l’horaire, l’information aux
— l’évolutivité du réseau vers des débits supérieurs (moyennant conducteurs et aux clients ainsi que la liaison phonie entre le PCC et les
conducteurs.
un rajout de cartes et sans nécessité de câblage supplémentaire).
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Informatique industrielle S 8 130 − 3
UW
R
UX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQSQ
R
de la Compagnie des transports strasbourgeois CTS
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Informatique industrielle S 8 131 − 1
UY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQSQ
Le réseau bas débits regroupe la collecte, le transport et la dis- . Brassage (insertion/extraction) de ces informations
tribution des informations des services téléphoniques, SAI et sono- en utilisant la matrice de brassage d'intervalles de
temps 64 kbit/s (IT) de l'UMUX 1500
risation/audio.
PPC
Le principe général adopté s’articule autour des fonctions répar- . Mise en forme de ces informations dans des trames
ties dans les équipements qui composent le réseau de transmis- 2 Mbit/s, G.704. Deux trames E1 (active et redontante)
par station sont ainsi constituées
sion sol/sol TSS suivant la figure 1.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
S 8 131 − 2 © Techniques de l’Ingénieur, traité Informatique industrielle
VP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQSQ
UMUX 1500
R
UMUX 1300
12
Port 1
1 2 3 4
L’unité MEGIF 120 Ω comprend deux interfaces 2 Mbit/s G. 703. interconnexion est prévue pour n canaux à 64 kbit/s (n = 1 à 31). La
Les caractéristiques électriques sont conformes à la recom- fonction d’interconnexion simultanée de la signalisation par voie
mandation G. 703 UIT, section 6. La structure de trame du signal commune CAS (signalisation dans l’intervalle IT16) est standard.
est conforme à la recommandation G. 704 UIT. L’unité SUBL6 (SUBscriber Line analog) 600 Ω, est une unité
L’unité de commande centrale CENCA fait partie de l’équipement d’interface téléphonique. Chaque unité offre 12 raccordements.
de base de l’UMUX 1300. Elle contient, entre autres, la fonction de SUBL6 reproduit les fonctions de l’autocommutateur de ratta-
brassage (DXC, matrice résidente commandée par logiciel) des chement, détecte les signaux téléphoniques correspondants et les
signaux utiles entre les unités d’interface au niveau 64 kbit/s. Cette transmet à l’unité EXLA6 située côté autocommutateur.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Informatique industrielle S 8 131 − 3
VQ
R
VR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sWUYX
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Informatique industrielle S 7 598 − 1
VS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sWUYX
Par conséquent, à l'heure actuelle, la gestion des flux de l’atelier devient pré-
pondérante et la conduite d'atelier, dont le rôle principal est de réaliser la pro-
duction prévue dans un environnement dynamique et fortement perturbé,
constitue un enjeu de plus en plus important si l’on veut conserver ou accroître
les parts de marché de l’entreprise.
Cependant, étant donné une offre logicielle souvent inadaptée, un accroisse-
ment de la complexité des ateliers et des opérations et une large diversité des
métiers concernés, les performances obtenues en conduite d’atelier sont sou-
vent largement inférieures aux performances attendues ou potentielles.
La conduite des systèmes manufacturiers est présentée suivant une approche
automaticienne à partir des notions de système, boucle cybernétique, pilotage,
R processus, décision, information, etc. Un moyen pour accroître les performances
consiste à augmenter la capacité de décision du niveau de conduite pour réagir
de manière adaptée.
Les auteurs remercient, pour son aide précieuse dans la rédaction de cet article,
monsieur C. Delstanche, directeur financier de la société Précimétal (Belgique),
du groupe Manoir Industries. (0)
Glossaire Glossaire
Ce glossaire constitue une liste non exhaustive de définitions Lot : quantité de transformation d'un produit, désigne l'ensemble
couramment utilisées et issues pour la plupart de normes ou physique des éléments subissant la transformation.
d’articles faisant référence dans le domaine. Il est également en Manufacturing execution system (MES) : un système intégré en
partie basé sur le dictionnaire APICS [1]. temps réel d’information et de communication d’atelier de produc-
tion supportant les fonctions d’allocation de ressource, d’ordon-
Activité : transformation d’éléments d'entrée en éléments de sortie nancement détaillé, de lancement, de gestion de données, de
(matière, produit, information, flux) selon une règle reproductible. gestion des calendriers de travail, de suivi, des opérations de
Cette transformation est supportée par un ensemble de ressources maintenance et d’analyse de performances.
(humaines, techniques, etc.).
Modèle : vue « logique » (c’est-à-dire traitant des informations, par
Commande : niveau de traduction de l'ordre en une séquence opposition à la vue « physique » traitant de l’énergie ou de la
d'instructions exécutables par la machine. matière) et réductrice d’une réalité afin d’en améliorer la compré-
Concourance : mise en œuvre simultanée de moyens de natures hension.
diverses en vue de concourir à un objectif global dans les meilleu-
res conditions de coût, de qualité et de délai. Ordonnancement (scheduling): planning des opérations complété
par les affectations des ressources qui vont réaliser ces opéra-
Conduite (production control): niveau de la gestion de production tions. Organisation fine du travail, équilibrage de la charge.
responsable de la pile de tâches, de l’intégration des contraintes
locales, du lancement, du suivi des produits et de chaque res- Planification (production planning): planification à long terme des
source. Ce niveau est responsable de la réalisation des actions de ventes et de la production.
production planifiées. Processus : un processus est constitué d’un ensemble d’activités
Contrôle : composante de la conduite assurant la définition des identifiées en nombre fini et concourant chacune à la réalisation
décisions possibles, la prise de décision à proprement parler et d’un objectif commun.
l’application de celle-ci de manière cohérente avec les objectifs de Programmation : définition des besoins nets, jalonnement, créa-
production. tion du programme prévisionnel de production.
Décision : restriction d’un domaine de valeur d’une variable, tri sur
plusieurs domaines ou valeurs ou classement sur plusieurs Ressource : entité du système de production capable d'effectuer
domaines ou valeurs. une tâche (transformation, action) sur un lot (poste de travail, cel-
lule, stock, poste de contrôle, etc.).
Entreprise resource planning (ERP) system : un système intégré
dédié à la gestion globale de toutes les ressources requises d’une Stock : point d'accumulation du flux de produits.
entreprise de production de biens ou de services pour prendre, Supervision de production : composante de la conduite assurant
faire, transporter et gérer d’un point comptable l’ensemble des le suivi de l'état du système de production (productivité, stocks,
commandes des clients. etc.) et la détection des anomalies.
Évaluation des performances (des systèmes de production) : mise Système : se dit d’un artéfact qui décrit quelque chose (quoi) qui,
en évidence des impacts d’une décision, passée ou future, sur le dans quelque chose (environnement), pour quelque chose (fina-
positionnement relatif de la finalité, des objectifs, des résultats et lité), fait quelque chose (activité), par quelque chose (structure) et
des moyens constitutifs de ces systèmes, sur la globalité du cycle qui se transforme dans le temps (évolution). Un système peut être
de vie de ces impacts, et sous chacun des points de vue concernés. caractérisé par le triplet (être, faire, devenir) décrivant sa structure,
Gestion de production (production management) : fonction géné- sa fonction et son évolution.
rale consistant à gérer prévisionnellement et à conduire les pro-
duits (leur stockage, leur transformation) de la commande des Tableau de bord : interface présentant à l'opérateur de conduite,
matières premières à la livraison des produits finis. sous une forme ergonomique, un certain nombre d'informations
sur le système de production.
Gestion prévisionnelle : prise en compte prévisionnelle des
besoins, niveaux de stock et charge, regroupe les fonctions de pla- Tâche : ordre de fabrication, de transformation d'un lot de produits
nification, de programmation et d'ordonnancement. sur une ressource donnée, prescription d’une activité.
Indicateur de performance : donnée quantifiée qui mesure l'effi- Temps réel : un système en temps réel est un système qui est
cacité de tout ou partie d'un processus ou d'un système par rap- capable de réagir dans un horizon temporel fixé par son environ-
port à une norme, un plan ou un objectif déterminé et accepté nement.
dans le cadre d'une stratégie d'entreprise. Transformateur : point de modification des caractéristiques du
Lancement (dispatching) : au niveau de la conduite, envoi d'une flux de produits (les ressources de l'atelier sont des transforma-
demande d'exécution d'une tâche à la commande de la ressource. teurs).
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
S 7 598 − 2 © Techniques de l’Ingénieur, traité Informatique industrielle
VT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sWUYX
1. Pilotage des systèmes conception concerne tous les systèmes de pilotage composant la
structure considérée. Au niveau le plus bas du système opérant,
c’est à dire sans plus de décomposition récursive, nous suppose-
rons que le modèle du système opérant est donné. La conception a
Nous présentons ici les différents modèles de pilotage qui servi- pour conséquence de générer un système global remplissant une
ront de support pour les phases de conception (§ 3.1), d’exploitation fonction globale a priori. Dans le cas où ces lois seraient conçues
(§ 3.2) et d’analyse des systèmes de conduite (§ 3.3). pour évoluer dynamiquement en fonction d’un modèle dynamique
Ces modèles sont déclinés selon deux axes : fonctionnel (quoi du système opérant (par exemple, identifié en temps réel), le sys-
faire et comment faire) et structurel (qui fait quoi). Auparavant, nous tème de pilotage est qualifié d’adaptatif ;
décrivons le concept de pilotage. — en phase d’analyse, à vérifier, a posteriori de l’exploitation ou
durant cette même phase, que les objectifs sont bien atteints et avec
Nous ne nous focaliserons pas sur la vue « physique » du pilo- quel degré de qualité par rapport à la conception et au cahier des
tage. Cette vue ne sera abordée que succinctement au niveau du charges. Il est également possible, durant cette phase, de mettre en
R
cadre applicatif proposé (§ 4). évidence des mécanismes d’amélioration de la pertinence de la
conception, soit en terme de simplification du système de pilotage
pour des performances au mieux semblables, soit en terme de com-
1.1 Concept de pilotage plexification pour augmenter ces performances.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Informatique industrielle S 7 598 − 3
VU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sWUYX
Vue statique
Consigne A0
erreur
évaluer Commande
de débit
de débit
commander
R 1
Débit y( k )
plusieurs fonctions. Une structure de pilotage peut être établie dès — activité de conception du signal de commande à générer en
que plusieurs systèmes de pilotage interagissent ou dès qu’un ou fonction de ces erreurs et de la valeur à l’instant précédent (t – Te) du
plusieurs systèmes opérants sont décomposés récursivement en signal de commande ;
couple (système de pilotage, système opérant). Cette structure se — activité d‘application de ce signal à l’instant t au système opé-
compose ainsi : rant.
— des systèmes supports des fonctions de pilotage et des pro- Les activités de déclenchement, de renseignement et d’évaluation
cessus associés (acteurs, systèmes informatisés, ressources de pro- sont mises en œuvre par le système qui réalise la fonction d’évaluation
duction, etc.) ; (calcul de l’erreur) et celles de conception et d’application, par le sys-
tème « PI numérique » qui remplit la fonction de commande de la par-
— des liens entre ces systèmes (entrées et sorties). Il existe deux
tie opérative du système opérant.
types de liens : des liens hiérarchiques et des liens hétérarchiques.
Les liens hétérarchiques permettent aux systèmes de pilotage d’un Des modèles fonctionnel et structurel correspondant à cet exemple
même niveau hiérarchique de communiquer dans un objectif de sont donnés figure 1.
coordination, de coopération ou de négociation.
Nota : le lecteur pourra se référer aux travaux de Mesarovic dans ce domaine, qui 1.2.3 Articulation entre les deux axes
concernent plus particulièrement la coordination au sein des structures hiérarchiques [5].
de modélisation
L’exemple suivant va nous permettre d’illustrer ces deux axes de
modélisation et d’introduire les notions qui nous serviront dans la Ces deux axes sont orthogonaux dans le sens où une fonction
suite. peut être mise en œuvre par plusieurs systèmes et un système peut
Exemple : soit une fonction globale de poursuite de consigne de participer à la mise en œuvre de plusieurs fonctions.
débit. Cette fonction peut se concrétiser par la conception puis l’exploita- La figure 2 schématise cet aspect : à l’emplacement ij, on identifie
tion d’un système de pilotage (couramment appelé « système de le système i qui contribue à la mise en œuvre de la fonction j. Est
commande » dans ce cadre) de type PI (proportionnel intégral) comman- donnée à titre illustratif la matrice de croisement concernant l’exem-
dant en tension un système opérant constitué d’une pompe et de son ple précédent.
réservoir. Cette fonction peut être décomposée en deux fonctions d’éva-
luation et de commande. À un niveau de détail plus fin, on peut définir un
processus de pilotage composé des cinq activités suivantes (pour simpli-
fier cette description, nous adopterons une approche par échantillonnage/
1.3 Du pilotage au pilotage décisionnel
reconstruction des signaux à une période d’échantillonnage donnée Te) :
— activité de déclenchement du besoin en calcul du signal de com- Le système de pilotage précédent (PI numérique) n’est pas déci-
mande aux périodes d’échantillonnage ; deur dans le sens où le système de pilotage n’a pas à décider de la
— activité de renseignement : relevés des objectifs (consigne de valeur de commande. En effet, la loi a été conçue préalablement de
débit) et de la sortie du système opérant (débit réel) aux instants t et manière à lever toute marge de manœuvre dans la détermination de
t – Te ; la valeur du signal de commande (pas de degré de liberté) de telle
— activité d’évaluation : calcul des erreurs correspondant à ces sorte que cette valeur soit déterminée dès que les entrées du sys-
deux instants ; tème de pilotage sont déterminées.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
S 7 598 − 4 © Techniques de l’Ingénieur, traité Informatique industrielle
VV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sWUYX
R
variable est alors entièrement spécifiée). C’est une problématique
de « choix »,
i Système • soit à trier les domaines (singletons ou non) de valeurs des
variables d’état d’un système. C’est une problématique de « tri »,
• soit à classer (ranger) ou non ces domaines ou ces valeurs par
catégories. C’est une problématique de « rangement » par catégo-
Fonction ries. Cette problématique est différente de la précédente car au
sein de chaque catégorie rangée, on suppose qu’il n’est pas possi-
Déclencher X ble d’effectuer un tri (notion d’ex aequo). Notons que la différence
entre la problématique de tri et la problématique de rangement
Évaluer Renseigner est sensiblement la même que celle entre un préordre total suppo-
X
sant l’existence d’une fonction d’utilité établissant et quantifiant le
Évaluer erreur tri et un préordre partiel où seules les catégories sont explicitées,
X
Conception sans définir la notion de « distance » entre chaque catégorie ;
X
Commander — activité d’évaluation : il existe deux types d’activité/fonction
Application X d’évaluation :
• une évaluation a priori qui consiste à évaluer avant application
Système
de commande
Système
Système
d'évaluation
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Informatique industrielle S 7 598 − 5
VW
R
VX
Systèmes d'information et de communication
(Réf. Internet 42397)
2– Réseaux industriels
S
3– Communication temps réel Réf. Internet page
4– Sûreté de fonctionnement
Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
VY
S
WP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQTP
Bus CAN
WQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQTP
WR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQTP
WS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQTP
Malheureusement, toutes les spécifications et normalisations Tous ces développements n’auraient pas de sens s’ils ne débou-
CAN publiées contenaient des erreurs ou étaient incomplètes. chaient pas sur des utilisations. Dans l’automobile et depuis 1992,
Pour éviter les implémentations CAN incompatibles, Bosch s’est Mercedes-Benz utilise le bus CAN dans ses voitures de tourisme
assuré (et le fait toujours) que toutes les puces CAN sont de classe supérieure. Dans un premier temps, les unités de
conformes au modèle de référence CAN Bosch. En outre, l’univer- contrôle électroniques (ECU) chargées de la gestion du moteur
sité des sciences appliquées de Braunschweig/Wolfenbüttel, en ont été connectées via le bus CAN. Dans un deuxième temps, les
Allemagne, effectue depuis plusieurs années des tests de confor- unités de contrôle nécessaires à l’électronique de carrosserie sont
mité CAN. Les modèles de tests utilisés sont basés sur la spécifi- passées en CAN. Deux systèmes de bus CAN physiquement dis-
cation de tests normalisée ISO 16845. Aujourd’hui, plusieurs tincts ont été mis en œuvre, connectés via une passerelle.
entreprises de tests proposent des services de tests de conformité D’autres constructeurs automobiles ont suivi et mettent désor-
CAN. mais en place plusieurs réseaux CAN dans leurs véhicules de tou-
Les spécifications CAN révisées ont été normalisées. L’ISO risme comme les utilitaires. Les constructeurs européens ont
11898-1 décrit la couche liaison de données CAN, l’ISO 11898-2 intégré le bus CAN dans leurs véhicules, c’est aussi en grande
(en 2003) décrit la couche physique CAN (haute vitesse) et l’ISO partie le cas dans l’industrie des biens de production et dans les
11898-3 (en 2006) la couche physique CAN basse vitesse, tolérante bâtiments industriels. À noter que le terme employé dans l’auto-
aux défauts. mobile est « le multiplexage », qui fait référence au réseau dans
l’automobile.
Les normes ISO 11992 (interface pour camions et remorques) et
ISO 11783 (machines agricoles et forestières) définissent toutes De nombreuses déclinaisons du bus CAN sont aujourd’hui
deux des profils d’application basés sur le bus CAN et sur le pro- présentes, couvrant les couches hautes non définies dans les
tocole américain SAE J1939, mais ils ne sont pas compatibles. normes CAN de base, par exemple CANopen, DeviceNet, CAL,
SDS, CAN Kingdom, NMEA2000, FlexCAN, SocketCAN, CAN-
Toutes ces spécificités seront indiquées dans le descriptif
aerospace.
détaillé du bus CAN.
Le grand tournant du bus CAN se fait en 2011 ; General Motors En effet en 1994, Allen-Bradley a introduit DeviceNet, protocole
et Bosch ont alors commencé à travailler sur certaines améliora- de communication (couche 7 du modèle OSI) dédié aux applica-
tions du protocole CAN relatives à un débit binaire plus élevé. tions d’automatisation dans l’industrie. Le CiA a ensuite publié
L’industrie automobile a particulièrement souffert du télécharge- CANOpen, également relatif à la couche d’application.
ment en fin de ligne de progiciels de plus en plus importants dans
les unités de contrôle électroniques (ECU). Cette tâche fastidieuse Déjà en 1995, il y a eu dix millions de circuits CAN vendus dont
a dû être réduite par un système de communication plus rapide. six millions pour des applications hors véhicules. Depuis, les
En coopération avec d’autres experts CAN, Bosch a prédéveloppé ventes annuelles se comptent en centaines de millions et couvrent
la spécification CAN FD, officiellement introduite en 2012 lors de très nombreux domaines et applications.
de la treizième conférence internationale CAN dans le château de La société Bosch (Allemagne) possède la propriété intellectuelle
Hambach, en Allemagne. des protocoles du bus CAN. En tant que tel, elle touche des royal-
Le bus CAN s’offre alors une deuxième jeunesse qui va lui ties selon des conditions dite FRAND, (fair reasonable and non
prolonger sa durée de vie au moins dans le secteur de l’automo- discriminatory terms) : somme forfaire de 2 500 € pour les pre-
bile, mais peut-être aussi dans l’industrie. Certains experts miers 10 000 produits, puis au-delà, 1 % du prix du composant
annoncent une prolongation de 10 à 20 ans. Tous les détails de limité à 0,051 €. Cela représente une somme considérable,
ce nouveau protocole se trouvent dans la section 3 dédiée au sachant que plus de 800 millions de composants CAN sont vendus
CAN-FD. chaque année.
WT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQTP
S
la couche 2, couche liaison.
L’architecture de communication considérée est comparable à
celle d’un réseau local ; elle est limitée à trois couches (comme Dans les applications « temps réel », il est spécifié à la sous-
indiqué en figure 5) qui sont, de haut en bas : la couche applica- couche LLC des contraintes temporelles sur les messages envoyés
tion, la sous-couche LLC (logical link control), la sous-couche MAC tels que la période, le temps d’arrivée, l’échéance…
(medium access control) et la couche physique. Pour une garantie de service, tous les messages préparés (mis
dans une file de transmission) sont transmis avec respect de leurs
2.1.1 Couche application échéances. En revanche, pour un service de meilleur effort, les
messages en attente de transmission seront mis dans un ordre tel
Cette couche fournit les services nécessaires à la gestion des que le taux de perte de messages (le nombre de messages dont
tâches et du contrôle tout en respectant les contraintes de temps. les échéances ne sont pas respectées) soit minimal.
Couche 6 Présentation
MAC (medium access control )
Encapsulation / décapsulation de données
Couche 5 Session
Codage de trame (stuffing / destuffing)
Protocole d’accès au support
Couche 4 Transport
Détection d’erreurs
Signalisation d’erreurs
Couche 3 Réseau Accusé de réception
Sérialisation / désérialisation
Couche 2 Liaison
Couche 1 Physique
Couche physique
WU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQTP
Bus Récessif
Dominant
1
Ligne de bus
1 2 3 2
S 1 perdu 3 perdu
La « gestion des erreurs » est un mécanisme responsable de la ■ Arbitrage bit à bit non destructif
détection et éventuellement de la correction d’erreurs lors de la trans-
mission de paquets. Le mécanisme classique ARQ (automatic repeat Pour le traitement temps réel des données, le débit binaire phy-
request) qui consiste à renvoyer à l’émetteur un acquittement positif sique (ici 1 Mbit/s maximum) n’est pas le seul critère ; il faut aussi
si un paquet est bien reçu et négatif dans le cas contraire. que l’assignation du bus soit efficace. Comme les informations
traitées n’ont pas le même niveau de priorité, un identificateur de
Une solution avec acquittement serait d’associer un nombre maxi- chaque trame a été défini pour déterminer dans quelle mesure le
mal de retransmissions de trames en fonction de son échéance. Si message doit être transmis par rapport à un autre moins urgent.
un acquittement positif est reçu, la copie de la trame est supprimée Ainsi, le conflit d’accès au bus est résolu au moyen d’un arbitrage
localement. Une autre solution sans acquittement serait d’envoyer à bit à bit par l’intermédiaire d’identificateurs respectifs. La figure 6
la fois le maximum de copies de trames sans se préoccuper des montre le câblage et le chronogramme de l’arbitrage non destruc-
erreurs, le receveur s’arrangera pour garder la copie sans erreur et tif. C’est le bit dominant qui l’emporte sur un bit récessif.
supprimer les autres. Il est clair qu’aucune solution n’est complète-
ment fiable et présente toujours un taux d’erreurs. ■ Efficacité de l’attribution du bus
Le « contrôle de flux » est une technique de synchronisation qui
garantit au récepteur de ne pas être débordé par les messages de Les procédés d’assignation de bus utilisés sont nombreux ; on
l’émetteur. Pour un service de garantie, il faut s’assurer qu’il distingue les suivants :
existe suffisamment d’espace dans le buffer récepteur avant • assignation à tranches de temps fixe : l’assignation s’effectue
d’accepter un message. En revanche, pour un service de meilleur de manière séquentielle au niveau de chaque poste pour une
effort, si le buffer récepteur est plein, le message reçu est perdu. fourchette de temps maximale, sans se préoccuper du fait
Les spécificités de la couche liaison de données du bus CAN que la station ait besoin du bus à ce moment-là (exemple :
sont ici présentées. Token Slot) ;
■ Principe de l’échange de données • assignation en fonction des besoins : l’assignation est fonc-
tion de la volonté de transmettre ; seules les stations souhai-
Lors de la transmission des données sur un bus CAN, aucune sta- tant émettre sont prises en compte ; c’est le procédé utilisé
tion n’est adressée, mais le contenu d’un message est identifié par par le bus CAN ;
un identificateur univoque sur l’étendue du réseau. Outre identifier
le contenu du message, l’identificateur détermine également sa • accès non destructif au bus : chaque accès au bus par une ou
priorité, ce qui est déterminant pour l’assignation d’un bus lorsque plusieurs stations conduit toujours à l’attribution univoque
plusieurs messages sont en concurrence pour le droit d’accès au d’un bus, alors que l’accès destructif impose qu’à tout accès
bus. Si l’unité centrale de l’une des stations souhaite envoyer un simultané par plusieurs stations il faut interrompre les tenta-
message à une ou plusieurs stations, elle transfère les données à tives d’émission de toutes les stations (CSMA/CD). Le ratta-
transmettre et leur identificateur au module CAN qui lui est affec- chement de la priorité d’accès au contenu du message
tée. Ce dernier se charge de la constitution et la transmission du permet, en cas de surcharge du bus, d’éviter la saturation de
message. Dès qu’il reçoit l’assignation du bus (« émission du mes- l’ensemble de la transmission, comme c’est le cas du CSMA/
sage ») toutes les autres stations du réseau se mettent à l’écoute CA (carrier sense multiple access/collision avoidance). Le bus
(« réception du message »). Chaque station du réseau CAN est en CAN est doté d’un contrôle décentralisé de l’accès au bus,
mesure d’ignorer ou de prendre en compte le message qui est sur c’est-à-dire que tous les mécanismes essentiels à la commu-
le bus (« sélection »). Ce type d’adressage permet d’avoir une nication, y compris le contrôle de l’accès au bus, sont repris
grande flexibilité au niveau de la configuration. Contrairement à en plusieurs points du réseau. Ceci permet d’empêcher de
d’autres réseaux, aucune adresse cible physique n’est prescrite du ramener ces mécanismes vers une seule unité qui, une fois
côté du protocole de transmission de données. Ainsi, les valeurs de en panne, serait très difficile à substituer. Une station redon-
certains capteurs sont réparties sur toutes les stations du réseau, dante mettra beaucoup de temps à prendre en charge la ges-
évitant que chaque organe de commande n’ait son propre capteur tion du bus (ce qui peut empêcher tout fonctionnement en
(« diffusion générale multidestinataire »). temps réel).
WV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQTP
2.1.3 Sous-couche MAC (medium access control) Une station est autorisée à émettre lorsque le bus est libre.
Toutes les stations doivent se synchroniser sur le front de tran-
Cette couche gère l’accès au canal physique à l’aide d’un protocole sition du bit SOF de la station qui a commencé la transmission
de communication ; autrement dit, elle récupère les unités de don- en premier.
nées (trames) de la couche LLC et les renvoie dans le canal physique
en ajoutant l’information de contrôle selon le protocole implanté. ■ Champ d’arbitrage
Les protocoles dont traite cet article sont ceux qui ont pour Il est composé de 11 bits ID-0 à ID-10 pour l’identificateur (identifier)
objectif le respect des échéances des messages. Il existe différents suivi d’un bit RTR (remote transmission request) (la figure 8) :
protocoles temps réel selon qu’ils garantissent le respect des • identificateur : les 11-bits associés doivent être transmis
échéances des messages ou pas. suivant l’ordre ID-10 à ID-0, ID-0 étant le bit de plus faible
poids (LSB : least significant bit). Il est possible de coder
2.1.4 Couche physique 2e11 = 2 048 messages. L’identificateur permet de détermi-
ner la priorité du message correspondant. La priorité est
Cette couche correspond à l’aspect matériel (connecteurs) et d’autant plus élevée que la valeur de l’identificateur est
électrique des signaux (codage, tensions, impédance…). faible ;
• RTR : il définit la nature de la trame ; il doit être dominant dans
2.2 Concepts de base du bus CAN une trame de données et récessif dans une trame de requêtes ;
WW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQTP
Messages Les informations sur le bus sont émises suivant un format fixe. Il existe quatre types de messages : DATA
FRAME, REMOTE FRAME, ERROR FRAME, OVERLOAD FRAME… Lorsque le bus est libre, toute unité qui lui
est connectée peut transmettre un nouveau message.
Routage Un nœud CAN n’utilise aucune information relative à la configuration du réseau. Cela a d’importantes
conséquences :
• flexibilité : aucune modification logicielle ou matérielle n’est requise lorsqu’un nœud est ajouté au
réseau ;
• routage : le contenu d’un message est associé à un IDENTIFICATEUR. Ce dernier n’indique pas la destina-
tion du message mais décrit le type des données, de sorte que chaque nœud peut décider si ce message
le concerne ou pas grâce à une procédure de FILTRAGE DES MESSAGES ;
• multicast : un même message peut être reçu par plusieurs nœuds ;
• consistance : la consistance des données est assurée par les mécanismes de multicast et de détection
et signalisation d’erreurs.
S Bit rate La vitesse du CAN peut être différente d’un réseau à un autre. Toutefois, un même réseau doit fonctionner
avec une vitesse uniforme.
Priorités C’est l’IDENTIFICATEUR d’un message qui définit sa priorité d’accès au bus.
Multimaître Lorsque le bus est libre, n’importe quel nœud peut commencer à transmettre. C’est le nœud
avec le message de priorité la plus élevée qui « gagne » le bus.
Nombre de stations Théoriquement illimité, mais pratiquement restreint par les capacités des drivers de lignes. Typiquement,
un nombre entre 32 et 64 nœuds par réseau est courant. Certains constructeurs offrent des composants
permettant de gérer 110 nœuds sur un même réseau.
Arbitrage Les conflits d’accès au bus sont résolus à l’aide d’un arbitrage bit à bit sur l’IDENTIFICATEUR.
Si une REMOTE FRAME est transmise au même instant que sa DATA FRAME associée (dans ce cas,
elles ont le même IDENTIFICATEUR), c’est la DATA FRAME qui est prioritaire.
Sécurité Pour assurer la plus grande sécurité dans le transfert des messages, le CAN intègre de puissantes
procédures de détection et de signalisation des erreurs et d’autotests. Une erreur détectée
dans un message entraîne sa retransmission automatique.
Mode de communication Mode producteur-consommateur : une station émettrice envoie un message qui peut être lu par toute autre
station qui en a l’utilité.
Mode client-serveur : des requêtes (REMOTE FRAME) peuvent être envoyées par une station (le client)
sur le bus. La station concernée par l’identificateur (le serveur) répond en transmettant les données
demandées.
Confinement d’erreur Le CAN est capable de distinguer une courte perturbation d’une erreur permanente. Les nœuds défectueux
sont automatiquement mis hors service.
États du bus Deux valeurs logiques sont possibles : d = dominant ou r = récessif. Si un bit « dominant »
est transmis en même temps qu’un bit « récessif », l’état du bus qui en résulte est « dominant ».
Accusé de réception Tous les récepteurs testent la consistance du message reçu et acquittent même s’ils ne sont pas concernés
par le message.
Mode sommeil Afin de réduire la puissance consommée, un composant CAN peut être mis en mode sommeil (sleep mode)
sans aucune activité interne et avec des drivers de bus déconnectés. Pour réveiller les nœuds en mode
sommeil, un message spécial contenant l’identificateur de plus basse priorité (soit rrrrrrdrrrr) a été réservé.
Distance maximale 10 40 130 270 130 620 1 300 3 300 6 700 10 000
(m)
WX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQTP
Couche physique
Topologie Bus
Sous-couche Mac
Méthodes d’accès au médium CSMA/CA et arbitrage bit à bit (CA – collision avoidance)
Types de trames Trame de données (data frame), trame de demande de données (remote frame),
trame d’erreur (error frame), trame de surcharge (overload frame)
Sous-Couche LLC
Services offerts par la sous-couche LLC • Transfert de données sans acquittement ni connexion
• Demande de ces données
Début de trame Zone d’arbitrage Zone de contrôle Zone de données Zone de CRC Zone de ACK Fin de trame Intertrame Bus inactif
S R R0
O Identificateur 11 bits T et r0 DCL 0 – 8 octets 15 bits CRC
F R R1
Il n’y a donc pas de champ de données. Ces champs obéissent de données (data length code) sont identiques à la trame de don-
aux mêmes règles que la trame de données, le bit RTR étant ici à nées correspondantes.
l’état récessif. L’identificateur (identifier) et la longueur des octets
WY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQTP
10 9 8 7 6 5 4 3 2 1 0 R 3 2 1 0
Champ d’identification
S
Figure 8 – Champ d’arbitrage
0 d d d d
Drapeau d’erreur Délimiteur de champ
1 d d d r
2 d d r d
Trame
3 d d r r en cours Champ de trame d’erreur Intertrame
de diffusion
4 d r d d
6 d r r d
2.3.4 Trames de surcharge
7 d r r r
Un message OVERLOAD FRAME est composé de deux champs :
8 r d d d • OVERLOAD FLAG : composé de 6 bits dominants ;
• OVERLOAD DELIMITER : lorsqu’une station transmet un
« overload flag », elle gère le bus jusqu’à ce qu’elle détecte
2.3.3 Trames d’erreur une transition dominant à récessif. À cet instant, chaque sta-
tion a fini de transmettre son overload flag et toutes les
stations commencent à transmettre 7 autres bits récessifs de
Un message ERROR FRAME est composé de deux champs :
façon synchronisée.
• ERROR FLAG : il y en a deux types : « active error » et « pas- Il y a deux conditions de surcharge pouvant provoquer la trans-
sive error ». L’active error se compose de 6 bits dominants mission d’un overload flag :
consécutifs ; le passive error est constitué de 6 bits récessifs,
• les conditions internes d’un récepteur qui a besoin d’un délai
à moins que ces bits ne soient écrasés par des bits autres
pour la trame de données ou la trame de requête ;
provenant d’autres nœuds ;
• la détection d’un bit dominant pendant l’intertrame ; un nœud
• ERROR DELIMITER : il consiste en 8 bits récessifs. peut générer au plus deux trames de surcharge pour retarder
la trame de données ou de requête.
Après la transmission du champ ERROR FLAG, le nœud envoie
un bit récessif, puis les 7 autres lorsqu’il détecte que le bus est
dans un état récessif. 2.3.5 Espace intertrame (INTERTRAME SPACE)
Une station en mode active error qui détecte une erreur trans- C’est un champ qui précède systématiquement toute data frame
met un « active error flag ». Toutes les autres stations détectent ou remote frame. Les autres types de trames ne sont pas précé-
une erreur et démarrent alors la transmission de différents « error dés par un tel champ.
flag ». La longueur totale de la séquence de bits dominants trans- L’espace intertrame se compose de deux ou trois champs selon
mise par chaque station varie entre un minimum de 6 bits et un les cas.
maximum de 12 bits.
• pour les nœuds qui ne sont pas error passive ou qui ont été
récepteurs, l’espace intertrame contient deux champs :
Une station passive error, qui détecte une erreur, essaie de la
INTERMISSION et BUS IDLE ;
signaler en transmettant un « passive error flag ». Cette transmission
s’achève lorsque cette station reçoit 6 bits consécutifs de même pola- • pour les autres nœuds, c’est-à-dire ceux qui sont error pas-
rité. La figure 9 représente le format d’une trame d’erreur. sive et qui ont été émetteurs, l’espace intertrame contient
XP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQUP
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur S 8 150 − 1
XQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQUP
Tous ces facteurs expliquent pourquoi ces technologies sont peu utilisées
dans les applications grand public.
Par ailleurs, les protocoles de communication utilisés au-dessus de ces tech-
nologies présentent rarement la souplesse et la robustesse nécessaires aux pro-
duits grand public. Or la polyvalence affichée des ordinateurs personnels
implique la connexion de périphériques de nature et de caractéristiques très
diverses (par exemple des scanners, des imprimantes, des modems, des appa-
reils photos, des caméras numériques, etc.). La mobilité de certains de ces
périphériques entraîne la reconfiguration dynamique quasi permanente du mini-
réseau constitué par l’ordinateur et son environnement technologique. Enfin les
utilisateurs, qui refusent généralement de lire la documentation accompagnant
les produits, recherchent surtout des solutions simples qui « résistent à leur
ignorance », voire qui anticipent les besoins à venir. Le résultat attendu doit en
effet être obtenu quelles que soient les conditions d’utilisation.
Les besoins qui ont provoqué le développement initial de l’Universal Serial
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
S 8 150 − 2 © Techniques de l’Ingénieur
XR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQUP
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur S 8 150 − 3
XS
S
XT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQUR
1.
1.1
Grands principes de Firewire ................................................................
Présentation..................................................................................................
S 8 152 - 2
— 2 S
1.2 Architecture .................................................................................................. — 3
1.3 Évolution ....................................................................................................... — 5
2. Spécifications............................................................................................ — 5
2.1 Couche physique.......................................................................................... — 5
2.2 Couche liaison de données ......................................................................... — 7
2.3 Transactions asynchrones........................................................................... — 9
2.4 Actions isochrones....................................................................................... — 11
2.5 Configuration et gestion .............................................................................. — 12
3. Performances ............................................................................................ — 13
3.1 Influence de la taille du réseau ................................................................... — 13
3.2 Résistance à la charge ................................................................................. — 13
3.3 Sensibilité à la distribution de la charge .................................................... — 13
3.4 Utilisation dans le domaine industriel ....................................................... — 13
Pour en savoir plus ........................................................................................... Doc. S 8 152
irewire est l’appellation utilisée à la fin des années 1980 par Apple, son
F concepteur originel, pour désigner le bus de communication sériel, numé-
rique et à haut débit défini depuis par la norme IEEE 1394-1995 et ses dérivés.
Firewire est ainsi devenu la dénomination utilisée par les constructeurs dans
les produits grand public. Ce bus était destiné initialement aux applications
multimédias, mais il fait aujourd’hui le bonheur de quelques autres applica-
tions, notamment dans le domaine industriel. En effet, ses performances
élevées, son architecture et son modèle de communication le rendent poten-
tiellement utilisable par de nombreuses applications dans des domaines très
variés.
Malgré cela, Firewire a dû initialement se battre pendant de nombreuses
années contre des anciens bus de données comme Small Computer System
Interface (SCSI) avant de s’imposer difficilement. Firewire a dû aussi faire face
à une concurrence importante de la part du bus USB (voir l’article « Universal
Serial Bus USB » [S 8 150]). Par exemple, USB 1.1 est très présent dans les
domaines où les performances importent peu et USB 2.0 l’est pour les applica-
tions où des variations de performances importantes et inopinées sont
supportables. Ne présentant pas ces défauts, Firewire a trouvé une justification
au travers de multiples applications, notamment dans le domaine de l’édition
vidéo, le pérennisant ainsi pour de nombreuses années.
Ce document traite de la norme IEEE 1394 d’origine. Néanmoins, les exten-
sions ou normes d’accompagnement sont détaillées dans les parties pour
p。イオエゥッョ@Z@、←」・ュ「イ・@RPPW
XU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQUR
S
CS Cycle Start
CSR Control and Status Register Des évolutions de la norme initiale sont en cours de normali-
sation (bridges pour connecter jusqu’à 1 024 réseaux Firewire :
FIP Factory Instrumentation Protocol IEEE 1394-1, transport dédié à l’audio-vidéo et définition de flux
asynchrones : CEI 61883, IEEE 1394a, gigabit : IEEE 1394b, etc.), en
FOM fibre optique multimode particulier pour y définir des périphériques génériques comme des
disques durs ou des unités de sauvegarde rapides (SBP-2 : ISO/
FOP fibre optique plastique CEI 14776-232 et OHCI [2]) ou pour définir son utilisation dans le
cadre des applications industrielles (1394TA Specifications
HCI Host Controller Initiative 2005001, 2005099 et 1999016, voir [Doc. S 8 152]).
Loin de signifier que la norme n’est pas prête (de nombreux pro-
IEEE Institute of Electrical and Electronics Engineering duits sont disponibles depuis plusieurs années déjà), cela montre
en fait que la technologie possède un potentiel d’évolution et que
IG isochronous gap ses utilisations potentielles en sont très nombreuses.
Les connecteurs définis par Firewire ont fait l’objet de beaucoup
IRM Isochronous Resource Manager
de soins avec un objectif de coût très bas. Ils permettent des
connexions et déconnexions instantanées et rapides (plug and
MAC Medium Access Control
play). Si ces connecteurs sont adaptés au marché grand public, ils
restreignent grandement leur utilisation dans le domaine indus-
OHCI Open HCI triel. Ils sont d’un coût relativement bas mais les composants
électroniques restent plus onéreux que leurs équivalents USB, ce
PTB paire torsadée blindée qui nuit à la diffusion à grande échelle, notamment dans les pro-
duits grand public pour lesquels le coût est déterminant.
SCSI Small Computer System Interface
Enfin, le câble fournit l’alimentation électrique (et sa gestion) des
SG subaction gap périphériques connectés (dans des limites déterminées), les
rendant ainsi complètement indépendants de leur environnement.
USB Universal Serial Bus Firewire présente d’autres avantages, comme la reconfiguration
automatique du réseau dans le cas de l’insertion ou du retrait d’un
périphérique. Le retrait du réseau d’un nœud en panne et son
remplacement n’implique donc que de brèves réinitialisations, pro-
voquant une rapide reconfiguration ne nécessitant pas l’arrêt du
1. Grands principes réseau ni des nœuds connectés.
de Firewire Firewire autorise la connexion de périphériques dont les vitesses
d’accès au réseau peuvent être différentes. Cette propriété a un
impact sur les vitesses maximales dans les sous-réseaux
concernés, mais elle permet d’augmenter le nombre de produits
1.1 Présentation potentiels et améliore l’interopérabilité.
Tous les nœuds sont potentiellement égaux envers la gestion du
Firewire est une norme définissant un bus sériel pouvant inter-
réseau. Tous peuvent assurer, en fonction de leurs capacités, la
connecter, à des débits importants (25, 50, 100, 200, 400, 800, 1 600
gestion des ressources du réseau, comme l’accès au médium,
et 3 200 Mbit/s, désignés respectivement de S25 à S3200,
l’allocation de bande passante, l’énergie électrique disponible,
tableau 1, jusqu’à 63 périphériques différents, appelés nœuds, au
l’attribution d’adresses, etc. Il n’y a pas de notion de maître ni
sein d’un même réseau. Elle s’appuie sur la norme d’architecture
d’esclave (comme dans Universal Serial Bus) ni de distributeur
dite « à régistres » ISO/CEI 13213.
(comme dans FIP : Factory Instrumentation Protocol, NF C46-602 et
Firewire est aujourd’hui une technologie très utilisée pour la suivantes). Cette caractéristique essentielle permet de répartir les
connexion de périphériques dédiés à la production ou au stockage traitements liés à la communication et à la gestion du réseau et,
de données de grande taille (images) et de flux d’information ainsi, de décharger le processeur principal. De plus, Firewire utilise
(vidéo numérique notamment [1], CEI 61883). Elle a également été un algorithme équitable pour le trafic asynchrone, ce qui permet
adoptée par Sony (et beaucoup d’autres par la suite) sous le nom de garantir qu’aucun nœud ne monopolisera le médium indé-
de i-Link pour les caméras Digital Video. finiment. Chacun des dispositifs ayant demandé l’accès au
XV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQUR
ISO/ICE 13213 (IEEE 1212) CSR Architecture IDB-1394/1 Profil audio/vidéo pour le DVD
IEEE 1394 IEEE Standard for a High IDB-1394/2 Profil audio/vidéo pour le DVB-T
Norme de base Performance Serial Bus
IDB-1394/3 Profil audio/vidéo pour les caméras
IEEE 1394a IEEE Standard for a High
Arbitrage et réinitialisation Performance Serial Bus – IDB-1394/4 Profil pour le contrôle et la gestion des flux
accélérée, gestion de l’énergie Amendment 1 audio/vidéo (streaming and control profile)
améliorée (suspend/résume)
IDB-1394/5 Profil IDB pour la gestion de l’énergie, la
IEEE 1394b IEEE Standard for a High mise en veille et le réveil sur événement
Amélioration de la couche Performance Serial Bus – réseau (power specification, physical media
physique (S800/S1600, jusqu’à Amendment 2
S
dependent for wake-up on LAN)
50 m (fibre plastique) ou
100 m (verre), par égalisation
signal % à 0 V DC), inter-
opérable avec IEEE 1394a longues périodes. Firewire possédait alors les qualités requises
pour pouvoir connecter des caméras vidéo (MiniDV, Hi8, etc.) et il
s’est depuis imposé dans ce domaine.
Firewire peut être utilisé dans une gamme très large d’appli-
médium pour ce type de trafic l’obtiendra donc au bout d’un délai cations. Des profils ont été définis afin de simplifier et de structu-
fini et connu à l’avance. L’implémentation, la maintenance, l’évo- rer les développements des applications et des périphériques.
lution et la gestion du réseau en sont ainsi rendues plus aisées. Renault a par exemple participé à la définition de profils dans le
domaine automobile (tableau 3).
1.2 Architecture Firewire peut aussi être utilisé dans le domaine industriel
comme bus de terrain. Il doit néanmoins faire l’objet d’attentions
Firewire est basée sur la norme ISO/IEC 13213 (ou IEEE 1212) qui particulières quant à la connectique utilisée ainsi qu’à l’envergure
définit les fonctions, caractéristiques et propriétés implantables physique totale (nombre de liens entre les deux nœuds les plus
par les bus de communication. IEEE 1394 s’appuie sur cette norme éloignés) du réseau nécessaire pour l’application.
tout en définissant des extensions spécifiques. Le développeur
d’implémentations de Firewire se référera donc aux normes listées 1.2.3 Modèle de communication
dans le tableau 2. Les dates des dernières versions peuvent être
consultées dans Pour en savoir plus [Doc. S 8 152]. Le principe de communication est basé sur une méthode multi-
La version de Firewire la plus répandue en 2007 est basée sur la maître d’arbitrage décentralisé (§ 2.2.4) qui détermine quel nœud,
norme IEEE 1394a-2000. C’est celle-là que nous détaillons dans ce parmi ceux ayant exprimé la volonté d’émettre, pourra le faire
document, aux côtés de la norme de base IEEE 1394-1995. Lorsque dans l’instant qui suit la phase d’arbitrage (arbitration). Cette
cela est pertinent, les caractéristiques remarquables de phase, jouant le rôle de contrôle d’accès au médium, n’intervient
IEEE 1394b-2002 sont aussi mentionnées. qu’après une période de silence appelé gap dont la durée est fixée
par la norme (environ 20 µs).
Nota : toutes les spécifications sont référencées à la 1394 Trade Association. Ce principe décentralisé impose la vérification soigneuse du
respect des algorithmes décrits par la norme IEEE 1394. En effet, le
1.2.1 Environnements bon fonctionnement du bus dépend du comportement des nœuds
connectés, puisque chacun d’entre eux peut émettre sur le
Firewire peut être utilisé dans des environnements de type fond médium. Si un nœud devait occuper le médium pendant une
de panier (ou carte-mère) ou de type câblé. Les caractéristiques durée incompatible avec la norme, alors les propriétés du réseau
respectives de Firewire dans ces deux environnements sont dif- (latence, isochronisme, débit, etc.) pourraient ne plus être res-
férentes, bien que les services et les principes de fonctionnement pectées. De même, le respect par tous les nœuds de l’algorithme
soient proches ou identiques. La version fond de panier (limitée à de transfert de paquets asynchrones garantit l’équité entre tous les
S25 et S50), dont l’objectif est de remplacer des bus locaux, n’a nœuds du réseau.
pas retenu l’attention des industriels et la présente description se Firewire divise le temps en périodes de 125 µs appelées cycles.
limite à la version câblée, plus performante et beaucoup plus Durant un cycle sont effectués des échanges correspondant à des
répandue. services offerts par Firewire. Un cycle est défini par un paquet par-
ticulier appelé Cycle Start (CS), émis par le nœud appelé Cycle Mas-
1.2.2 Profils applicatifs ter (CM) et se termine par le début du CS suivant. Chaque CS
comporte des informations de gestion à destination de tous les
Apple avait pris l’initiative de développer Firewire pour nœuds, comme par exemple le numéro de cycle, diffusion de la
remplacer le bus SCSI et son bus propriétaire. Les applications référence de temps global du réseau, etc. Un cycle est de plus divisé
envisagées étaient alors la connexion de périphériques comme en deux grandes parties, appelées « phase isochrone » et « phase
des disques durs, des modems, des cartes réseaux, des scanners, asynchrone » dans lesquelles sont respectivement effectués des
des imprimantes, etc. transferts de données isochrones et asynchrones (figure 1).
D’autres besoins se sont fait jour lorsque les équipements audio Les nœuds connectés au réseau peuvent avoir des rôles parti-
et vidéo ont atteint des qualités élevées imposant des débits très culiers lorsqu’ils en sont capables et qu’ils en font la demande,
importants avec la contrainte supplémentaire de l’isochronisme. comme celui de root, Cycle Master, Bus Manager (BM) ou Iso-
Cette propriété impose un débit quasi constant et maintenu sur de chronous Resource Manager (IRM) (tableau 4).
XW
S
XX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQVP
Réseau Profibus
1. Définitions.................................................................................................. S 8 160 - 2 S
2. Couche liaison de données.................................................................... — 3
3. Services de communication.................................................................. — 5
4. Structure des télégrammes DP et FMS ............................................. — 6
5. Couches physiques .................................................................................. — 8
6. Profibus-DP ................................................................................................ — 10
7. Profibus-PA ................................................................................................ — 12
8. Fichiers de configuration GSD ............................................................. — 14
9. Applications industrielles...................................................................... — 14
10. Évolutions ................................................................................................. — 17
11. Conclusion ................................................................................................ — 18
Pour en savoir plus ........................................................................................... Doc. S 8 160
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Informatique industrielle S 8 160 − 1
XY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQVP
S
EN 50170 par le Cenelec en 1996, comme norme européenne.
Depuis 1999, le réseau Profibus est reconnu dans la norme interna- Capteur Vanne
tionale CEI 61158, avec les autres réseaux ControlNet, P-Net, Field-
bus Foundation High-Speed-Ethernet, SwiftNet, WorldFip, Interbus- CNC : Computerized Numerical Control
S. IHM : interface homme-machine
SNCC : système numérique de contrôle-commande
Avec beaucoup de difficultés, le groupe de travail du projet
CEI 61158 a convergé enfin vers un compromis de norme sur les
réseaux de terrain en y intégrant sept réseaux très divers et quelque- Figure 1 – Classification des réseaux Profibus
fois rares. Les travaux d’homogénéisation de la norme CEI 61158 se
poursuivent, notamment pour affiner les différents types identifiés
au niveau des couches 2 et 7. — Profibus-DP (Decentralized Peripheral) : destiné aux applica-
tions de type maître-esclave en monomaître pour la gestion des
équipements d’entrées-sorties déportées avec des temps d’accès
extrêmement courts. Le fonctionnement multimaître est possible ;
1.1 Architecture — Profibus-FMS (Fieldbus Message Specification) : destiné aux
applications nécessitant l’échange entre maîtres pour la synchroni-
sation d’activités de contrôle-commande, basé sur la messagerie
Profibus propose une architecture réseau en trois niveaux, autori-
MMS (Manufacturing Message Specification) ;
sant une communication entre matériels hétérogènes et de diffé-
rents constructeurs, afin de couvrir tous les niveaux — Profibus-PA (Process Automation) : destiné aux applications
d’automatisation d’un système (figure 1) : de contrôle de process nécessitant la communication avec des équi-
pements de terrain (capteurs, actionneurs) permettant une téléa-
— transmission de données de type action réflexe avec un temps limentation des équipements et un fonctionnement avec sécurité
de réaction très court ; intrinsèque en ambiance explosive (EExi).
— raccordement direct de capteurs et d’actionneurs sur le bus ;
Les spécifications de la norme Profibus, définies par les normes
— fonctionnement en sécurité intrinsèque ;
EN 50170 et DIN 19245, portent sur les couches 7, 2 et 1 du modèle
— dialogue entre automatismes et périphérie décentralisée ; OSI (Open System Interconnection) comme le montre l’analogie du
— échange de données complexes et volumineuses pour la ges- réseau Profibus avec le modèle OSI sur la figure 2.
tion de cellules.
Les deux variantes DP et FMS peuvent cohabiter sur le même
En 2002, l’offre de produits communiquant sous Profibus est forte réseau physique car elles partagent les mêmes couches physiques
de plus de 3 000 produits, fournis par un grand nombre de sociétés et de liaison de données. L’interconnexion d’un réseau Profibus-PA
dont Schneider, Siemens, Landys & Gir, Applicom Int., Weidmuller, avec DP est généralement assurée au travers d’une passerelle DP/PA,
Saia, Europep, Hartmann et Braun, Khunke, Mitsubishi, Infranor, qui peut être totalement transparente pour le maître DP qui adresse
Beckhoff, Hirchmann, Wago, Festo, Endress+Hauser, Moeller, ABB. les équipements PA comme s’ils étaient sur DP, la passerelle jouant
Les acteurs principaux de développement de l’offre de produits et le rôle de maître PA. Cela présente un inconvénient : la passerelle
d’évolution du réseau participent à l’organisation internationale des peut limiter la vitesse sur le bus DP à 45,45 kbit/s.
utilisateurs Profibus (Profibus Nutzerorganisation : PNO), qui La couche physique, couche 1, caractérise les supports de trans-
s’appuie sur un réseau d’associations nationales dans plus de mission, leurs caractéristiques électrique et mécanique. Trois stan-
vingt pays, dont l’association France Profibus. dards sont préconisés : RS485, fibre optique (FO) et CEI 61158-2.
Une procédure de certification des équipements communiquant La couche de liaison de données, couche 2, appelée couche FDL
sous Profibus, respectant la norme ISO 9001, est réalisée par des (Fieldbus Data Link Layer), caractérise quant à elle les procédures
centres de certification Profibus, garantissant ainsi une conformité d’accès au bus, les services de transmission supportés ainsi que la
des produits à la norme Profibus et leur conférant un numéro structure des télégrammes.
d’identification Profibus unique.
Les couches 3 à 6 ne sont pas implémentées par Profibus.
La couche application, couche 7, définit pour sa part les fonctions
accessibles à l’utilisateur en s’appuyant sur la notion d’objet de
1.2 Variantes communication au travers de services de gestion d’objets FMS (Fieldbus
Message Specification). Les fonctionnalités de la couche FMS
constituent un sous-ensemble réduit des fonctions du standard
Profibus se décline en trois variantes de protocoles, répondant MMS (Manufacturing Message Specification) du protocole MAP
chacune à des finalités métiers et applicatives spécifiques : (Manufacturing Automation Protocol), optimisées pour les applica-
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
S 8 160 − 2 © Techniques de l’Ingénieur, traité Informatique industrielle
YP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQVP
Profil DP Profil PA
Profil Profibus-DP
équipement Fonctions étendues DP
Fonctions de Base DP
7 Services FMS
M T
3...6
Actionneur Capteur Moteur Transmetteur
S
2 Fieldbus Data Link (FDL) Interface CEI Esclaves : stations passives
1 RS485 / Fibre optique CEI 61158-2 Figure 3 – Principe hybride de gestion du bus
Figure 2 – Structure OSI des trois variantes Profibus Les équipements esclaves, appelés stations passives, sont des
équipements périphériques (blocs d’entrées-sorties, vannes, entraî-
nements et transmetteurs de mesure, etc.) qui n’ont pas le droit
d’accès au bus. Leur action se limite à l’acquittement des messages
tions réseau de terrain, et enrichies de fonctions d’administration reçus des maîtres ou à la transmission de messages en réponse à
d’objets de communication. une demande des maîtres.
La couche FMS exploite la notion d’équipement virtuel VFD (Vir- La nature hybride du principe d’accès au réseau implémenté par
tual Field Device) avancé par la norme MMS [R 7 574]. Selon les Profibus permet :
variantes Profibus-DP ou Profibus-PA, des profils d’application DP
— d’une part une communication entre les stations maîtres par
ou PA assurent des services spécialisés aux applications utilisatri-
un mécanisme de passage de jeton sur bus, déterministe et adapta-
ces.
tif. La circulation du jeton est effectuée selon un anneau logique,
Une interface LLI (Lower Layer Interface) est chargée d’adapter la indépendamment de la topologie bus du réseau ;
couche 7 à la couche 2, en prenant en charge le contrôle de flux et la — d’autre part une communication simple de type maître-esclave
surveillance de la liaison définie par des relations de communica- entre une station maître et les équipements esclaves auxquels elle
tion configurables. Profibus-FMS supporte des relations de commu- veut s’adresser.
nication en mode connecté nécessitant l’ouverture préalable d’une Chaque station maître (station active) disposant du droit d’accès
liaison (par un service Initiate) avec le destinataire avant tout au bus figuré par le passage du jeton – qui est constitué d’une trame
échange, et un mode non connecté permettant une communication spéciale – est libre d’accéder à tout esclave (station passive)
en diffusion. Une interface ALI (Application Layer Interface) réalise connecté au réseau.
quant à elle l’interface de la couche 7 avec le haut de la pile OSI vers
le processus d’application [1].
Par abus de langage, les variantes Profibus-FMS, DP et PA sont
souvent appelées protocoles. On parle ainsi de protocole Profibus- 2. Couche liaison de données
DP, protocole Profibus-FMS et protocole Profibus-PA. Mais comme
le montre la figure 2, Profibus-DP et Profibus-FMS partagent les
mêmes couches 1 et 2, et seul Profibus-FMS définit des services En référence au modèle OSI, la couche 2 de Profibus est désignée
FMS en protocole d’application. par Fieldbus Data Link Layer (FDL).
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Informatique industrielle S 8 160 − 3
YQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQVP
La trame jeton est constituée de trois caractères précédés d’une Après que la station active a terminé ses communications, elle
période de synchronisation de 33 bits au niveau logique 1, appelée passe le jeton à son successeur (NS). En cas de non-réponse de la
SYN : station successeur, et après deux répétitions maximum, la station
— SD4 : délimiteur d’en-tête (DCH) ; active tente de trouver un autre successeur maître en explorant sa
liste LAS. En cas d’échec, la station se trouvera en situation de seul
— DA : adresse de destination ;
maître sur le réseau et se passera le jeton.
— SA : adresse source.
Pour la gestion de l’anneau logique, chaque station active mémo- Lorsqu’une station reçoit le jeton d’une station différente de celle
rise trois paramètres : enregistrée PS dans la LAS, la station active ignore le passage de
jeton. À la deuxième tentative, la station active reconnaît alors que
— TS (this station) : adresse de la station locale ; la configuration de l’anneau logique a changé ; elle remplace
— PS (previous station) : adresse de la station précédente dans l’adresse de PS par l’adresse de la station lui ayant passé le jeton
l’anneau logique ; dans la LAS, et réorganise ainsi l’anneau logique.
— NS (next station) : adresse de la station suivante dans l’anneau
logique. Chaque station active acquitte les trames de passage du jeton. En
cas de non-acquittement sous une temporisation chien de garde
La circulation du jeton sur l’anneau logique sur le bus respecte les (Slot Time), la station émettrice réémet la trame de passage de jeton
S
antécédences décrites par les paramètres TS, PS et NS de chaque à concurrence de trois fois. Après quoi, sans réponse, le jeton est
station, comme le montre la figure 5. De plus, chaque station active
passé à la station suivante. La table LAS et les champs PS et NS sont
maintient à jour trois tables ou listes d’adresses de stations lui per-
mis à jour dans les stations.
mettant de gérer la circulation du jeton et de s’adapter à une décon-
nexion de station ou à une connexion de nouvelle station :
L’initialisation de l’anneau logique est réalisée automatiquement
— Live List : c’est une liste contenant les adresses de toutes les par la première station présente sur le réseau, en interrogeant les
stations présentes sur le bus, qu’elles soient maîtres ou esclaves, stations d’adresse supérieure par une requête Request FDL-Status,
répondant au cycle d’interrogation cyclique du maître ou au pas- comme le montre la figure 6. À la suite d’une demande d’entrée
sage du jeton ; dans l’anneau logique, une station peut répondre par :
— List of Active Station (LAS) : c’est une liste d’adresses consti-
tuée par chaque station active, après la mise sous tension lors de la — prêt à entrer dans l’anneau comme station active ;
phase d’écoute du jeton (listen-token) par l’analyse des trames de
— non prêt;
jeton circulant sur le réseau. La table LAS est identique sur toutes les
stations, en régime permanent du réseau, et elle est mise à jour — station passive.
dynamiquement au gré des stations apparaissant ou disparaissant
du réseau ;
— Gap List (GAPL) : c’est une liste d’adresses, spécifique à cha-
que station active. Gap signifiant intervalle, la GAPL est constituée
de toutes les adresses Profibus qui suivent immédiatement
l’adresse de la station locale (TS) jusqu’à l’adresse de la prochaine
station active dans l’anneau logique (NS). Chaque station surveille TS=1 TS=2 TS=3
l’apparition sur le réseau d’une nouvelle station comprise entre son NS= NS= NS=
adresse (TS) et l’adresse de la prochaine station (NS). Lorsqu’un PS= PS= PS=
temps paramétrable à la configuration du réseau (TGUD : Time Gap
UpDate), appelé gaptime, est dépassé, la station active invite une
station par scrutation d’adresse croissante dans la GAPL à s’intégrer
à l’anneau logique de circulation du jeton. Jeton
Lorsqu’une station active (TS) reçoit le jeton de la station précé- SA=1 DA=1
dente (PS) dans la LAS, elle peut alors démarrer la communication
avec les stations esclaves ou maîtres partenaires.
Request FDL-Status
SA=1 DA=2
Non prêt
TS=1 TS=2 TS=3 Station 2
NS=2 NS=3 NS=1 inscrite dans la
PS=4 PS=1 PS=2 GapList
Request FDL-Status
SA=1 DA=3
Jeton
SA=1 DA=2 Prêt
Jeton
Station 2
SA=2 DA=3 inscrite dans la
LAS
Jeton Jeton
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
S 8 160 − 4 © Techniques de l’Ingénieur, traité Informatique industrielle
YR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQVR
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
©Techniques de l’Ingénieur S 8 162 − 1
YS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQVR
S
sion d’Ethernet précise que les stations présentes sur le réseau
communiquent quand elles le veulent mais jamais en même temps : ■ MA (Multiple Access, accès multiple) : chaque station a potentiel-
écouter avant de parler. Lorsqu’une station communique, elle a un lement accès au canal lorsqu’elle a besoin d’émettre, mais il faut
accès exclusif au support de communication. L’émission sur le câble que le canal soit libre. Il n’y a pas d’attente d’attribution comme
est entendue par toutes les stations (figure 1). dans le cas des réseaux à jeton (polling ), où il faut attendre l’auto-
risation même si le canal est libre (figure 2b).
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
S 8 162 − 2 ©Techniques de l’Ingénieur
YT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQVR
Applicatif
4 Transport
ISO 8073
3 Réseau
ISO 8473
Émission Émission
2 Liaison
b MA
1 Physique
Ethernet IEEE 802.3
S
Figure 2 – Principe CSMA d’Ethernet
SINEC H1 et MAP
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
©Techniques de l’Ingénieur S 8 162 − 3
YU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQVR
4. Support physique
d’Ethernet natif 10 Mbit/s
4.1 10Base5 : le support coaxial
et sa première variante industrielle
SINEC H1
10Base5 est le support physique natif d’Ethernet qui supporte une
vitesse de transmission de 10 Mbit/s sur le fameux câble coaxial
épais, ou thick, de 10 mm, aussi appelé yellow cable à cause de sa
couleur. L’identifiant « 10Base5 » est une contraction de la vitesse
de 10 Mbit/s, une transmission du type bande de base, et de la lon-
Figure 6 – Câble Ethernet SINEC H1 industriel
gueur maximale de segment de 500 m. La connexion des stations
sur le câble coaxial est réalisée au moyen d’un transceiver, ou MAU
S
(Medium Access Unit), monté sur le câble coaxial et un autre câble
appelé Drop Cable pour attacher la station au transceiver. Pour cela,
les stations disposent d’un connecteur Sub-D 15 points appelé AUI
(Attachement Unit Interface).
Nota : transceiver est une contraction de transmitter-receiver, émetteur-récepteur.
À la sortie d’Ethernet dans le monde industriel avec SINEC H1 de
Siemens, un effort particulier avait été fait sur la qualité industrielle
du support de transmission. Le yellow cable standard 10Base5
s’est vu adjoindre un blindage en aluminium massif sous une
gaine extérieure, ce qui lui a permit d’être totalement compatible
avec la norme 10Base5 et un fonctionnement en milieu industriel
à forte pollution électromagnétique. En effet, du fait de la
constitution du blindage extérieur et sa mise à la terre à chaque Figure 7 – Transceiver Ethernet SINEC H1 industriel
extrémité par des tresses de masse imposantes, le câble était
blindé aux hautes fréquences et donc parfaitement immune aux
parasites rayonnés (figure 6).
Des transceivers durcis étaient aussi proposés dans une version
en boîtier d’aluminium coulé qui assurait une séparation galvani-
que des stations par rapport au réseau, réseau qui se connectait de
façon sûre grâce à des connexions vissées (figure 7).
L’avantage de ce support de transmission est sa fiabilité de fonc-
tionnement lorsqu’il est correctement installé.
Les inconvénients résident dans la rigidité du câble mais aussi
dans le fait que le mode de transmission reste half-duplex (pas
d’émission et réception simultanées) et surtout qu’il ne supporte
pas les nouvelles vitesses de transmission supérieures à 10 Mbit/s.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
S 8 162 − 4 ©Techniques de l’Ingénieur
YV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXQVR
lieu des connecteurs RJ45 réputés peu fiables mécaniquement 62,5/125 µm est fixée à 2 000 m. En choisissant des éléments
dans le monde industriel. émetteurs et récepteurs particulièrement puissants, des distances
Qu’il soit industriel ou bureautique, le standard 10BaseT a fait de 3 000 m peuvent être couvertes, voire 26 km avec des fibres
évoluer le câblage Ethernet vers une topologie en étoile, ce qui optiques monomodes 10/125 µm.
aurait pu être interprété comme un recul économique car le
câblage en étoile est plus coûteux qu’un câblage linéaire. Il n’en a Pour mettre en œuvre le mode full duplex, les hubs tradition-
rien été, bien au contraire, car, d’une part, c’est un câble facile à nels, qui ne sont que des répéteurs non intelligents, ne peuvent
installer (par rapport à n’importe quel câble coaxial), d’autre part, pas être utilisés. Ce mode ne peut être mis en œuvre qu’avec
c’est la technologie qui a permis des évolutions techniques des « composants » capables de stocker les paquets de don-
phénoménales comme le full duplex, la commutation et les débits nées, c’est-à-dire des switches (commutateurs). Ces switches
supérieurs (§ 5). sont issus de la technologie des ponts filtrants.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
©Techniques de l’Ingénieur S 8 162 − 5
YW
S
YX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXUYP
Communication
avec les périphériques
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Informatique industrielle S 8 590 − 1
YY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXUYP
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
S 8 590 − 2 © Techniques de l’Ingénieur, traité Informatique industrielle
QPP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXUYP
Dans le mode synchrone la transmission se produit à des instants ■ Type ECP : Extended Capabilities Port
et pendant des durées fixes, définis à l’avance. Ces instants et Ce type de port bidirectionnel peut transférer des données aux
durées peuvent être ajustés en fonction des éléments et de leur vitesses du bus ISA.
vitesse ; on parle alors d’allocation statique. Si par contre la durée
des cycles est adaptée en fonction des éléments et de la disponibi- Les ports ECP comportent des tampons et permettent des trans-
lité du bus, on parle alors d’une allocation dynamique. ferts de DMA (Direct Memory Access) vers des locations FIFO (First
In First Out) et la compression de données.
Le mode asynchrone permet de rythmer les échanges en fonction
des éléments qui communiquent. Il y a donc une phase de demande Le type de port ECP est très utile pour les imprimantes, les scan-
de transfert émise par le maître vers l’esclave. ners et autres périphériques transmettant des blocs de données de
grande taille. Il améliore le port parallèle dans l'optique de techni-
Ces différents types de modes et d’allocations seront évoqués ques d’auto-configuration (plug and play) et de l'environnement
avec plus de détails dans les cas particuliers des différents bus étu- Windows.
diés.
2.3 Signaux
2. Port parallèle
2.1 Définition
Le port parallèle aboutit en général à un connecteur à 25 contacts
(voir la connectique (§ 2.6)). Ces signaux sont divisés en trois
registres :
S
Conçu à l'origine comme simple interface pour une imprimante, — registre ou port de données (data sur 8 bits) ;
le port parallèle a évolué vers un moyen de connecter divers péri- — registre ou port d'état (status port sur 5 bits) ;
phériques à l'ordinateur. Il permet des liaisons d'entrée, de sortie ou — et registre ou port de contrôle (control sur 4 bits).
bidirectionnelles. Pour des applications particulières, il existe La plupart des signaux ont reçu un nom et une fonction basés sur
de nombreux dispositifs de collecte de données, de tests ou de une convention établie par le fabricant d'imprimante Centronics
contrôle. Le port parallèle est l'interface de choix pour de nombreux Data Computer Corporation, dont l'interface est encore utilisée. Le
projets de taille réduite qui nécessitent des communications entre tableau 1 reprend les différents registres avec les contacts corres-
l'ordinateur et un dispositif externe. pondant de deux types de connecteurs.
Un port parallèle transfère plusieurs bits à la fois, tandis que le
port série en transfère un seul (même s'il permet un transfert dans ■ Registre de données
les deux sens à la fois). Le port ou registre de données (D0 à D7) conserve l’octet à écrire
Plusieurs fabricants ont introduit des améliorations du port paral- sur les sorties de données. Dans les ports bidirectionnels, lorsque le
lèle en ajoutant de nouvelles possibilités et en augmentant la port est configuré comme entrée, le registre de données conserve
vitesse de transmission de l'information. l'octet à lire sur les contacts de données du connecteur.
Nota : centronics et la norme IEEE1284 prennent comme référence des lignes de don-
Le port parallèle demeure populaire en raison de sa capacité, de nées D1 à D8; dans ce texte nous choisissons D0 à D7 pour correspondre aux bits du regis-
sa flexibilité et de sa présence dans chaque ordinateur. tre.
■ Registre d’état
2.2 Évolution des ports parallèles Le registre ou port d'état maintient les états logiques de cinq
entrées ( S3 à S7 ). Les bits S0 à S2 n'apparaissent pas au connec-
■ Type SPP : Standard Parallel Port teur. Le registre d'état fonctionne en lecture seule, sauf pour le
signal S0 qui est un repère de fin de séquence (timeout flag) pour les
Type de port d'origine, le port SPP était basé sur une interface
ports acceptant des transferts en mode EPP et qui peut être annulé
Centronics pour imprimante.
par logiciel.
Il peut transmettre 8 bits à la fois vers un périphérique, en utilisant
un protocole semblable à celui de Centronics. Les signaux du registre d'état ont les fonctions suivantes :
— S0 : Timeout. En mode EPP, ce bit à « 1 » indique la fin d’une
Le port SPP n'a pas de port d'entrée de la largeur d'un octet, mais
séquence d'un transfert de données ; sinon il est inutilisé. Ce bit
pour des transferts PC-périphérique, il travaille en mode nibble qui
n'apparaît pas au connecteur ;
transmet à chaque octet 4 bits à la fois (cf. 2.4.3).
— S1 : inutilisé ;
■ Type PS/2 bidirectionnel — S2 : inutilisé, sauf pour quelques ports où il indique l'état
Une des premières améliorations a été le port de données bidirec- d'interruption du port parallèle (PIRQ), « 0 » = l'interruption a eu
tionnel, introduit par IBM dans les PS/2. Il permet au périphérique de lieu, « 1 » = pas d'interruption ;
transmettre 8 bits à la fois vers un PC. L'interface parallèle standard — S3 : nError ou nFault. Niveau « 0 » lorsque le périphérique
comprend des pilotes bidirectionnels en plus des 8 lignes de don- (imprimante) détecte une erreur ;
nées. — S4 : Select. Niveau « 1 » lorsque l'imprimante est allumée ;
— S5 : PaperEnd, PaperEmpty ou PError. Niveau « 1 » lorsqu'il
■ Type EPP : Enhanced Parallel Port n'y a plus de papier dans l'imprimante ;
Le port EPP a été développé dans le but d'augmenter la vitesse de — S6 : nAck ou nAcknowledge. Niveau « 0 » lorsque l'imprimante
transfert de données (à la vitesse du bus ISA) de manière bidirec- reçoit un octet. Lorsque des interruptions sont autorisées, une tran-
tionnelle, qui soit compatible avec l'architecture des registres du sition (en général un flanc montant) à ce contact active une
port parallèle standard. La spécification EPP assigne les fonctions interruption ;
des signaux de bus d'un microprocesseur traditionnel aux lignes du — S7 : Busy. Niveau « 0 » lorsque l'imprimante n'est pas prête à
port parallèle standard pour accéder directement à l'adaptateur accepter de nouvelles données. Ce signal est inversé au connecteur.
hardware. EPP peut commuter rapidement les directions, ce qui le
rend très efficace lorsqu'il est utilisé avec des lecteurs de disque ou ■ Registre de contrôle
de bande ou d'autres périphériques qui transfèrent des données Le registre de contrôle garde l'état de quatre bits ( C0 à C3 ).
dans les deux sens. Habituellement ces bits sont utilisés comme sorties.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Informatique industrielle S 8 590 − 3
QPQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXUYP
(0)
S
Registre d’état (3) (adresse de base + 1)
S3 15 nError (nFault) Périphérique non 32
S4 13 Select Périphérique non 13
S5 12 PaperEnd Périphérique non 12
S6 10 nAck Périphérique non 10
S7 11 Busy Périphérique oui 11
Registres de contrôle (4) (adresse de base + 2)
C0 1 nStrobe PC (5) oui 1
C1 14 nAutoLF PC (5) oui 14
C2 16 nInit PC (5) non 31
C3 17 nSelectIn PC (5) oui 36
(1) Connecteurs D-sub à 25 contacts
(2) Certains ports de données sont bidirectionnels
(3) Les bits supplémentaires ne sont pas disponibles sur le connecteur
0 : peut indiquer un timeout
1, 2 : inutilisés
(4) Les bits additionnels ne sont pas disponibles sur le connecteur
4 : Interrupt Enable : à« 1 » les IRQ passe de nAck vers le contrôleur d’interruption du système, à « 0 » les IRQ ne passe pas vers le contrôleur d’interruption
5 : contrôle de direction pour les ports de données bidirectionnels : à « 0 » les sorties sont permises, à « 1 » les sorties ne sont pas permises ; le port de don-
nées peut lire des tensions externes de niveau logique
6, 7 : inutilisés.
(5) Lorsque le signal est « 1 », le PC peut lire une entrée extérieure (en SPP)
Cependant sur la plupart des ports SPP ils peuvent également fonc- 2.4 Modes de communication
tionner en entrées. Les signaux de contrôle sont les suivants :
— C0 : nStrobe. Le flanc montant de ce signal à « 0 » indique à
l'imprimante de lire D0 à D7. Il est inversé au connecteur. Après 2.4.1 Norme IEEE1284
démarrage de l'ordinateur, le signal est normalement à « 1 » au
connecteur ;
— C1 : AutoLF ou Automatic line feed. À « 0 », ce signal dit à 2.4.1.1 Contenu de la norme
l'imprimante de générer automatiquement une ligne d'alimentation
La norme IEEE1284-1994, « Standard Signaling Method for a Bi-
après chaque retour de chariot. Il est inversé au connecteur. Au
directional Parallel Peripheral Interface for Personal Computers »
démarrage, il est normalement à « 1 » au connecteur ;
définit et décrit les conventions et protocoles des communications
— C2 : nInit ou nInitialize. Il est à « 0 » pour un reset de l'impri-
par le port parallèle.
mante et pour vider le tampon de celle-ci. La largeur minimale de
l'impulsion « 0 » est de 50 microsecondes. Après démarrage, il est Le document décrit les modes de transferts Compatibility (§ 2.4.2)
normalement à « 1 » au connecteur ; (compatible), Nibble (§ 2.4.3), Byte (§ 2.4.4), EPP (§ 2.4.5) et ECP
— C3 : nSelectIn. Il est à « 1 » pour dire à l'imprimante d'autoriser (§ 2.4.6). Il définit les signaux et leurs utilisations dans les différents
les entrées de données. Il est inversé au connecteur. Au démarrage, modes, y compris les spécifications de temps. Il décrit enfin les
il est normalement à « 0 » au connecteur. connecteurs et câbles.
Les autres signaux n'apparaissent pas au connecteur : La norme IEEE1284 ne renseigne pas sur la méthode de program-
— C4 : Enable interrupt requests. À « 1 » pour permettre aux mation et d'accès au port parallèle. Elle ne mentionne pas non plus
requêtes d’interruption (Interrupt Request – IRQ) de passer de S6 les registres du port parallèle du PC ni comment les utiliser pour
(nAck) aux circuits de contrôle d'interruption du PC ; configurer, écrire et lire sur le port.
— C5 : Direction control. Il sert dans les ports bidirectionnels :
à « 0 », les sorties de données sont permises, à « 1 » les sorties de 2.4.1.2 Définitions
données ne le sont pas ;
— C6 : inutilisé ; Le document IEEE1284 décrit les méthodes de communications
— C7 : inutilisé sauf pour quelques ports où il joue le rôle de C5. entre un hôte (un PC) et un dispositif périphérique.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
S 8 590 − 4 © Techniques de l’Ingénieur, traité Informatique industrielle
QPR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXUYP
S
périphérique doivent disposer d'un logiciel et de circuits adaptés.
Chaque signal de contrôle est reconnu par un signal de contrôle — Côté PC, le logiciel d'application ou le système d'exploitation
en réponse. Ceci assure que l'émetteur n'envoie des données que doit fournir un programme de pilotage pour les transferts en modes
lorsque le récepteur est prêt et que les dispositifs récepteurs recon- nibble, byte, EPP ou ECP.
naissent avoir reçu toutes les données. — Un périphérique muni d'un port EPP ou ECP contient son pro-
pre microprocesseur ou microcontrôleur pour gérer les communica-
■ Communication bidirectionnelle tions par le port parallèle. Le programme de contrôle côté
Les données peuvent circuler dans les deux sens (PC vers péri- périphérique est en général lié au fabricant : le code se trouve dans
phérique, et vice versa). une mémoire morte (ROM), une mémoire morte reprogrammée
(EPROM) ou autre mémoire non volatile.
■ Hôte Avec autant de modes de transmission possibles, lorsque hôte et
Il s'agit habituellement de l'ordinateur personnel (PC), mais cela périphérique veulent communiquer, ils ont besoin d'un moyen pour
peut être tout dispositif qui contrôle l'interface. décider quel mode choisir. La norme IEEE 1284 prévoit une phase de
négociation pour choisir le meilleur mode (l'utilisateur ne doit pas
■ Périphérique se soucier de cela en configurant le logiciel pour un mode particu-
Les dispositifs périphériques peuvent être une imprimante, un lier). Par cette négociation, l'hôte peut trouver selon quels modes un
scanner, un convertisseur analogique numérique ou numérique périphérique peut transmettre des informations.
analogique, un microcontrôleur, un autre PC ou tout dispositif qui (0)
peut se connecter au port parallèle.
2.4.1.3 Divers modes de communication Tableau 2 – Registres utilisés par les modes de transfert
par le port parallèle
Adresse Type de port Fonction
La norme IEEE-1284 renseigne cinq modes de transmission de adresse base SPP, PS/2, EPP, ECP Port de données
données. modes 000 et 001
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Informatique industrielle S 8 590 − 5
QPS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXUYP
(0)
S
données 3
D4 bit données 4 non utilisé bit données 4 adresse/bit bit données 4
données 4
D5 bit données 5 non utilisé bit données 5 adresse/bit bit données 5
données 5
D6 bit données 6 non utilisé bit données 6 adresse/bit bit données 6
données 6
D7 bit données 7 non utilisé bit données 7 adresse/bit bit données 7
données 7
S3 nError nDataAvail, nDataAvail bit utilisateur 2 nPeriphReq
bits données 0, 4
S4 Select XFlag, XFlag XFlag/bit utilisateur 3 XFlag
bits données 1, 5
S5 PaperEnd AckDataReq, AckDataReq bit utilisateur 1 nAckReverse
bits données 2, 6
S6 nAck PtrClk PtrClk Intr PeriphClk
S7 Busy PtrBusy, PtrBusy nWait PeriphAck
bits données 3, 7
C0 nStrobe HostClk HostClk nWrite HostClk
C1 nAutoLF HostBusy HostBusy nDStrobe HostAck
C2 nInit nInit nInit nInit nReverseReq
C3 nSlectln 1284Active (option) 1284Active 1284Active nAStrobe 1284Active
Préfixes utilisés :
n périphérique
Ptr printer – imprimante
Host hôte
1284 connecteur
2.4.2 Mode compatible — lorsque le périphérique lit un octet il envoie une impulsion
« nAck » pour avertir le PC que l'octet a été reçu.
Mode semblable au protocole de transfert du BIOS, c'est le mode
par défaut. Le protocole d’accord ou poignée de main n'est pas obligatoire
dans les opérations du port parallèle. Les signaux d’accord sont
Le PC hôte envoie des données au périphérique. L'hôte écrit des
nécessaires lorsqu'il y a un risque que le dispositif récepteur ne soit
octets sur le port de données et les bits des ports d'état et de
contrôle ont un rôle de protocole d’accord (handshake) qui est com- pas prêt, lorsque le dispositif émetteur a des données à envoyer, ou
patible avec celle de la routine du BIOS du PC pour les transferts par bien si le PC veut que le dispositif récepteur accuse réception de
chaque octet.
port parallèle.
Trois des signaux du port parallèle sont prévus comme signaux De nombreux fabricants de PC et d'imprimantes ont introduit des
de poignée de main pour contrôler le débit de données. Le protocole variantes dans la conception du port parallèle et des fonctions BIOS
d’accord remplit plusieurs fonctions : des PC. Actuellement la norme IEEE 1284 sert de base à la concep-
— la sortie « Busy » du périphérique signale au PC lorsqu'il est tion, les variations se situent plus spécifiquement dans les temps
prêt à recevoir des données ; des signaux Busy et nStrobe, dans la définition, les temps et l'usage
— la sortie « nStrobe » du PC avertit le périphérique qu'un octet du signal nAck et dans l'activation ou le verrouillage des signaux
est prêt à être lu sur les lignes de données ; d'interruptions (interrupts).
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
S 8 590 − 6 © Techniques de l’Ingénieur, traité Informatique industrielle
QPT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXUYP
2.4.3 Mode nibble (partition) Tout comme dans le mode compatible, ce mode utilise un proto-
cole d’accord comprenant un signal Busy (C1 : HostBusy) pour
signaler à l'émetteur qu'il peut envoyer l'octet, et un signal Strobe
Ce mode était en usage bien avant la norme IEEE 1284. Il permet (S6 : PtrClk) pour signaler au récepteur qu'une donnée est dispo-
à une interface de port parallèle de recevoir des octets de données nible.
d'un périphérique. Le périphérique utilise quatre sorties d'état pour
envoyer un octet en deux parties. Chaque octet de données arrive En mode Byte, après avoir confirmé un signal de contrôle, le péri-
du périphérique vers 4 entrées d'état du port hôte (PC) par 4 bits à la phérique confirmant attend une reconnaissance d'un autre compo-
fois (morcellement) (tableau 4). Le bit d'état restant et un bit de don- sant avant d'infirmer le signal.
née font office de poignée de main. Le mode nibble est exécuté en
deux phases :
— la phase de transfert de données comprend l'écriture d'un 2.4.5 Mode EPP
octet du périphérique vers l'hôte ;
— la phase inactive définit les états du signal lorsqu'il n'y a pas
transfert.
Le mode EPP permet des transferts à haute vitesse dans les deux
Dans la plupart des applications, après avoir reçu les deux parties sens. Comme il peut commuter rapidement le sens de transfert, le
de l'octet, l'hôte les recombine en un octet. port EPP est utile pour des dispositifs qui échangent des petits blocs
S
Dans le mode nibble compatible, le périphérique doit prévoir un de données avec de fréquents changements de direction, tels que
protocole d’accord (poignée de main) pour compléter les signaux lecteurs de disques externes ou interfaces de réseaux.
du PC. Le moindre périphérique contient un microcontrôleur qui
contrôle l'interface, lit et écrit les signaux de poignée de main aux Un port EPP fait la distinction entre deux types d'informations,
instants voulus. Dans certains microcontrôleurs, les pilotes de port habituellement définis comme données et adresses. Le mode EPP
sont suffisamment puissants pour être connectés directement au permet quatre opérations : écriture d'adresse, écriture de données,
câble sans pilote extérieur. Dans les autres cas, il faut ajouter des lecture d'adresses, lecture de données, chacune ayant un protocole
tampons et des pilotes entre le câble et le microcontrôleur. Une d’accord différent.
autre possibilité est d'utiliser un circuit contrôleur dédicacé au port Les transferts EPP diffèrent des modes compatibilité, nibble et
parallèle (exemple: 82C55 Programmable Peripheral Interface chip). byte par le fait que les circuits du port génèrent automatiquement
des signaux de contrôle et détectent les réponses venant de l'autre
extrémité. Il n'est donc pas nécessaire d'instructions par un logiciel
2.4.4 Mode byte pour charger l’état du signal de sortie Strobe ou pour lire une entrée
occupée.
Il s'agit d'un mode de transfert dans la direction inverse (périphé- Les opérations de donnée et d’adresse en mode EPP utilisent dif-
rique vers hôte) dans le cas de lignes de données bidirectionnelles. férents signaux de contrôle pour verrouiller les octets dans le dispo-
Pour un transfert plus rapide, les ports PS/2, ECP et quelques EPP sitif de réception. Écritures et lectures d’adresse utilisent nAStrobe
peuvent utiliser ce mode pour des transferts en 8 bits du périphé- (C3), lectures et écritures de données utilisent nDStrobe (C1) : ceci
rique vers le PC, contrôlés par logiciel; le périphérique écrit un octet est un moyen simple pour que le récepteur fasse la distinction entre
à la fois vers le port de données, plutôt que de morceler chaque les deux types d'information.
octet en deux partitions et de les écrire en séquence sur la port
d'état. Il faut que l'hôte (le PC) possède un port bidirectionnel et que Un port EPP utilise 8 registres (tableau 5), cinq de plus que le port
le périphérique soit capable d'écrire un octet vers les lignes de don- original SPP. Les trois premiers sont identiques à SPP : données,
nées. état, contrôle (§ 2.2). (0)
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Informatique industrielle S 8 590 − 7
QPU
S
QPV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
inQTW
INNOVATION
S
par Fabrice BRUEL
Architecte sécurité
Orange Business Service
Abstract : The need for hosting application and data continues to grow. But this increase
brings up two opposing constraints : on the one hand we must streamline the machines to
keep operating costs and environmental and on the other hand we must fully isolate applica-
tions and data with each other. This challenge is the basic element of virtualization :
maximum reuse of resources, while giving everyone the feeling of having a dedicated envi-
ronment. This is the challenge that this article seeks to address, by focusing on the local
network. This article explains how, starting from a network designed at a time when these
needs did not exist, partitioning mechanisms have been put in place. It addresses the
Ethernet partitioning (VLAN), its implementation at a firewall level, with an example of virtual
firewall instance per logical network in FreeBSD, but also the partitioning within an hypervisor
covering its implementation in VMware. Finally and as the needs of hosting applications have
increased, this article also describes the evolution in order to define an aggregate of equip-
ments, this aggregate of equipments will be viewed as a single equipment.
Points clés
Domaine : Réseau Ethernet
Degré de diffusion de la technologie : Émergence | Croissance | Maturité
Technologies impliquées : switch, pare-feu, Ethernet, 802.1q, hyperviseur
Domaines d’application : hébergement de serveurs, virtualisation, réseaux locaux
Principaux acteurs français : Industriels : Alcatel-Lucent, Orange
Autres acteurs dans le monde : Juniper, Cisco, VMware, FreeBSD Foundation
p。イオエゥッョ@Z@ュ。ゥ@RPQR
Contact : j.bruel@wanadoo.fr
QPW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
inQTW
INNOVATION
S
avec un contour flou et peu, ou pas, délimité pour l’utilisateur, un concentrateur (hub).
pour l’hébergeur, au contraire, cela représente quelque chose
de très concret et de très précis. Au vu du nombre d’utilisa-
teurs concernés, des marges à dégager, de la rationalisation • Un hub est un équipement très simple, purement
de l’espace et des consommations électriques, l’hébergeur électrique : quand il reçoit un paquet sur un port, il le dif-
choisit très souvent de mettre en place de la virtualisation. Si fuse, c'est-à-dire le recopie électriquement sur tous les
le concept est maintenant assez connu au niveau système, il autres ports.
ne faut pas oublier que la virtualisation doit se décliner au
niveau du réseau local chez l’hébergeur. • Le switch introduit une première intelligence : pour
un port donné, le switch mémorise dans une table toutes les
Nous allons aborder ici plusieurs aspects de la virtualisation
adresses Ethernet sources qu’il voit arriver par ce port.
réseau :
– des réseaux locaux au sein d’un commutateur (VLAN) ;
– de commutateurs sur des pare-feux à base de mécanisme Grâce à cette table, il sait donc, quand il reçoit un paquet, et
d’isolation (jail) ; vers quel port recopier ce paquet. La diffusion, et tous ses
– de commutateurs sur des systèmes à base d’hyperviseur ; défauts, est simplifiée. À présent, sur le câble RJ45 d’un ser-
– d’agrégat de commutateurs (incluant les protocoles de veur, ne transitent plus que les paquets Ethernet qui lui sont
routage de niveau 2). destinés. Ainsi, et bien que nous ne soyons pas encore arrivés à
la virtualisation : tous les serveurs d’un même réseau Ethernet
Pour cela, notre fil rouge sera un hébergeur qui gère pour
savent dialoguer avec tous les autres serveurs de ce réseau.
ses clients des applications (serveurs web). Nous verrons, à la
fois la montée en puissance du nombre de clients, ainsi que la ■ Résultat actuel
solution technique associée.
Si nous reprenons notre fil rouge, notre hébergeur débute
son activité : il héberge quelques serveurs web pour quelques
2. Ethernet : du protocole clients. Pour des raisons évidentes de coût, il souhaite que ses
serveurs soient connectés sur le même switch, mais pour des
« à diffusion » à la virtualisation raisons toutes aussi évidentes de sécurité, il souhaite que ses
Inventé dans le milieu des années 1970 par Xerox, Ethernet serveurs ne puissent pas communiquer entre eux.
est devenu un standard de fait dans les réseaux locaux. Pour- • Pour répondre à ce besoin, les constructeurs (tel que Cisco)
tant, qui, il y a quelques années, aurait misé sur ce protocole ont inventé, puis normalisé, la norme IEEE 802.1q qui définit la
lent, contraignant et très peu évolutif dans sa version coaxiale ? notion de VLAN (Virtual Local Area Network). La virtuali-
sation fait donc son entrée dans le réseau local Ethernet.
Mais, ce protocole a su s’adapter, et ses multiples déclinai-
sons permettent maintenant de transporter des données à Mais qu’est-ce que le VLAN ? Pour le comprendre, il faut
très haute vitesse (10 Gbyte/s), à travers le monde, et en savoir à quoi ressemble un paquet Ethernet et ce qu’introduit
permettant de cloisonner – et donc de virtualiser – plusieurs le mécanisme de VLAN. Un paquet Ethernet est composé
utilisateurs/applications. comme l’indique la figure 1.
■ Rappel des défauts Les champs « préambule » et SFD sont la signalisation
électrique d’un début d’émission, les adresses source et desti-
• Pourtant, l’histoire commençait mal : le protocole Ethernet nation [dites adresses MAC (Medium Access Control)] sont
de base est un protocole de niveau 2 dans le modèle OSI (nor- codées sur 6 octets, les trois premiers représentant le
malisé par la norme IEEE 802.3, puis par ISO/IEC 8802-3), et constructeur de la carte. Le champ « diff » indique le type de
est, par conception, un réseau dit « à diffusion ». protocole inséré dans le champ de données. Une adresse
Ethernet est, par conception, obligatoirement unique.
Un réseau à diffusion est un réseau très simple :
quand un serveur a besoin d’envoyer une information à un
autre serveur sur le même réseau Ethernet, il émet le 46 à
paquet qui va se propager vers tous les serveurs, quelles 6 octets 1 6 octets 6 octets 2 1500 octets 4 octets
que soient leurs adresses, et seul le serveur avec l’adresse
Ethernet visée va le traiter. S
Préambule F @dest @source diff Données FCS
D
• En termes de performances, c’est une catastrophe. Dès
que le nombre de paquets émis augmente, le nombre de En-tête Ethernet
paquets inutilement transportés, de collisions, augmente aussi,
tendant à saturer rapidement le réseau. Figure 1 – Format d’un paquet Ethernet
QPX
Systèmes d'information et de communication
(Réf. Internet 42397)
2– Réseaux industriels
Sûreté de fonctionnement des systèmes industriels complexes. Etude opérationnelle S8252 125
Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
QPY
T
QQP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUP
Sûreté de fonctionnement
Principaux concepts
par Gilles ZWINGELSTEIN
Ingénieur de l’école nationale supérieure d’électrotechnique, d’électronique,
d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT)
Docteur-ingénieur, Docteur ès sciences, Professeur associé des universités en retraite,
Université Paris Est Créteil, France
Note de l’éditeur
Cet article est la version actualisée de l’article [S8250v2] intitulé Sûreté de fonctionnement
des systèmes industriels complexes. Principaux concepts rédigé par Gilles ZWINGELSTEIN
et paru en 2009
1.
1.1
1.2
Préambule ..................................................................................................... S 8 250v3 - 3
Sûreté...............................................................................................................
Sécurité ............................................................................................................
—
—
3
3
T
1.3 Relations entre sûreté et sécurité .................................................................. — 3
2. Enjeux et évolution de la sûreté de fonctionnement........................ — 4
2.1 Enjeux de la sûreté de fonctionnement ........................................................ — 4
2.2 Évolutions de la discipline sûreté de fonctionnement................................. — 4
3. Missions, fonctions et défaillances d’un système
et de ses composants ...................................................................................... — 5
3.1 Missions et fonctions...................................................................................... — 5
3.2 Défaillances ..................................................................................................... — 6
4. Procédés industriels ................................................................................... — 9
4.1 Description générale....................................................................................... — 9
4.2 Terminologie générale ................................................................................... — 9
4.3 Description fonctionnelle ............................................................................... — 10
4.4 Description matérielle .................................................................................... — 11
5. Rappels sur les probabilités ..................................................................... — 11
5.1 Notion de variable aléatoire........................................................................... — 11
5.2 Notion de probabilité d’un événement ......................................................... — 12
5.3 Fonction de répartition d’une variable aléatoire .......................................... — 12
5.4 Valeur moyenne, variance et écart-type d’une variable aléatoire continue ... — 13
5.5 Adaptation des définitions pour la description du comportement
de systèmes physiques .................................................................................. — 13
5.6 Lois de probabilité rencontrées dans les études de fiabilité ....................... — 13
6. Concepts de base et sûreté de fonctionnement ................................ — 14
6.1 Concepts de maintenance .............................................................................. — 14
6.2 Fiabilité (reliability) ......................................................................................... — 15
6.3 Méthodes d’estimation des lois de fiabilité et données du retour
d’expérience .................................................................................................... — 18
6.4 Disponibilité (availability)............................................................................... — 18
6.5 Maintenabilité (maintainability)..................................................................... — 19
6.6 Caractéristiques de la maintenance .............................................................. — 21
7. Fiabilité humaine ......................................................................................... — 22
8. Coût global de possession........................................................................ — 22
9. Maintenabilité intégrée à la conception et soutien logistique
intégré (SLI)................................................................................................... — 24
10. Sécurité .......................................................................................................... — 25
10.1 Enjeux et démarches ...................................................................................... — 25
10.2 Niveau d’intégrité suivant la norme IEC 61508 : SIL (safety integrity level).. — 28
11. Conclusion .................................................................................................... — 28
12. Glossaire ........................................................................................................ — 29
13. Sigles, notations et symboles.................................................................. — 30
Pour en savoir plus ...............................................................................................Doc. S 8 250v3
p。イオエゥッョ@Z@ュ。イウ@RPQY
QQQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUP
QQR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUP
T
correspond à un niveau de risque accepté dans un contexte donné
teurs d’application. et fondé sur les valeurs admises par la société.
■ Sécurité aérienne
1.1 Sûreté La sécurité vise à réduire et maîtriser à un niveau acceptable les
risques liés à l’exploitation des aéronefs. Il s’agit de prévention et
L’acceptation au sens général du terme « sûreté » dépend des de protection contre des événements d’origine accidentelle, quelle
secteurs industriels. Cette section fournit à titre d’exemple les qu’en soit la nature : technique, structurelle, météorologique,
définitions utilisées dans les secteurs aéronautiques et nucléaires humaine non intentionnelle. Si la finalité est la même, à savoir la
et dans les normes internationales. La définition de la sûreté de préservation des personnes et des biens, les notions de sûreté et
fonctionnement, objet de cet article, y est précisée. de sécurité ont leur logique propre et diffèrent tant sur les causes
que sur les remèdes. Elles doivent être pensées de manière
■ Sûreté aérienne conjointe et coordonnée dans un objectif d’efficience.
Ce terme est défini par la DGAC (Direction générale de l’aviation ■ Sécurité nucléaire
civile) : « La sûreté vise à protéger l’aviation civile contre les actes
volontaires malveillants dont les motivations peuvent être très L’article L. 591-1 du Code de l’environnement précise que la
diverses (terrorisme, criminalité, activisme politique, folie indivi- sécurité nucléaire comprend la sûreté nucléaire, la radioprotec-
duelle d’un passager… ». tion, la prévention et la lutte contre les actes de malveillance, ainsi
que les actions de sécurité civile en cas d’accident.
■ Sûreté nucléaire
■ Sécurité industrielle
Le droit français (article L. 591-1 du Code de l’environnement)
La sécurité industrielle désigne les moyens – humains, tech-
précise que la sûreté nucléaire est « l’ensemble des dispositions
niques et organisationnels – de prévention et d’intervention contre
techniques et des mesures d’organisation relatives à la concep-
les risques à caractère accidentel.
tion, à la construction, au fonctionnement, à l’arrêt et au démantè-
lement des installations nucléaires de base ainsi qu’au transport Il peut être question de risques techniques, physiques, chimiques
des substances radioactives, prises en vue de prévenir les acci- ou environnementaux, mais dont l’origine est toujours involontaire.
dents ou d’en limiter les effets ».
■ Sécurité au travail
■ Sûreté dans le secteur des PME et PMI Fortement liée à la santé au travail, la sécurité au travail est une
Suivant Veritas, la sûreté désigne « l’ensemble des moyens démarche pluridisciplinaire qui vise à supprimer ou à réduire les
dédiés à la prévention des actes de malveillance. Ces actes, par risques d’accidents susceptibles de se produire lors de l’exercice
définition volontaires, ont pour finalité le profit et/ou l’intention de d’une activité professionnelle.
nuire ». Cette définition est reprise par la majorité du tissu fran- ■ Sécurité fonctionnelle
çais des PMI et PME.
Elle représente un aspect de la sécurité au sens général. C’est
■ Sûreté de fonctionnement suivant les normes EN et CEI une méthodologie qui permet d’analyser et d’éliminer des
risques à caractère inacceptable qui pourraient engendrer des
Les normes NF EN 13306 et CEI 60050 sont principalement blessures, porter atteinte, directement ou indirectement à la
dédiées à la sûreté de fonctionnement. La norme NF EN 13306 est santé des personnes, dégrader l’environnement et altérer la pro-
dédiée à la maintenance tandis que la norme CEI 60050 propose priété.
des termes génériques applicables à tous les domaines de la
sûreté de fonctionnement, y compris les applications électrotech-
niques.
1.3 Relations entre sûreté et sécurité
• Norme NF EN 13306 – Sûreté de fonctionnement : aptitude à
fonctionner comme cela est requis et lorsque cela est requis ; Si la finalité est la même, à savoir la préservation des per-
elle précise que la sûreté de fonctionnement comprend la dis- sonnes et des biens contre des actions involontaires ou intention-
ponibilité, la sûreté, la sécurité, la durabilité et les facteurs qui nelles de malveillance, les notions de sûreté et de sécurité ont
les influencent (la fiabilité, la maintenabilité, les performances leur logique propre et diffèrent tant sur les causes que sur les
QQS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUP
remèdes. Elles doivent être pensées de manière conjointe et 2.2 Évolutions de la discipline sûreté
coordonnée dans un objectif d’efficience. Ceci d’autant plus
qu’avec les nouveaux outils de la maîtrise des risques, les fron-
de fonctionnement
tières s’interpénètrent, notamment avec les notions de barrières
Historiquement, les premières études firent leur apparition
physiques et organisationnelles et les concepts de défense en
essentiellement dans les transports ferroviaires pour le dévelop-
profondeur comme c’est le cas dans le domaine de l’industrie
pement des recueils statistiques des pièces mécaniques. Les
nucléaire. Dans cet article, les concepts de sûreté de fonctionne-
études quantitatives de l’époque reposaient sur l’identification
ment correspondront strictement aux normes CEI 60050 et ISO/
d’éléments supposés critiques pour lesquels des améliorations de
IEC GUIDE 51.
la conception technique s’imposaient. Le développement des
transports aériens conduisit ensuite à évaluer la sécurité opéra-
tionnelle des vols d’aéronefs propulsés par un, deux, trois et
quatre moteurs. À cette occasion et pour la première fois, on a
2. Enjeux et évolution introduit des objectifs chiffrés en termes de probabilité d’occur-
rence d’accident par heure de fonctionnement. La Seconde Guerre
de la sûreté mondiale sonna le glas du concept du maillon le plus faible.
Quelques années après, en 1949, le capitaine Murphy énonça sa
de fonctionnement fameuse loi « If anything can go wrong, it will » (si un problème
risque de se produire, cela arrivera).
Dans les années 1950, l’avènement de l’électronique dans des
2.1 Enjeux de la sûreté équipements techniques complexes fit prendre conscience de
l’importance de leur fiabilité. En vue de quantifier la fiabilité des
de fonctionnement composants, les premiers indicateurs chiffrés firent leur apparition
QQT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUP
QQU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUP
Exemple
En reprenant l’exemple de la chaudière, une fonction secondaire
est de maintenir l’intégrité du confinement de la vapeur. L’existence
d’une fuite ou le risque d’une explosion entraînerait une défaillance de
la fonction principale. Le calorifugeage de la chaudière est une autre
fonction secondaire de la chaudière ayant pour but de minimiser les
pertes thermiques.
T tifs.
Un moteur électrique possède une fonction de base consistant à
convertir de l’énergie mécanique en énergie électrique.
Exemple
Dans le cas d’une chaudière à vapeur alimentée par un brûleur à
gaz :
• les soupapes de sécurité assurent une protection passive
Les différences entre ces fonctions sont quelquefois subtiles et contre le risque de surpression ;
l’acception de leur terminologie doit toujours faire l’objet d’une
acceptation au sens d’une même entreprise et de ses prestataires. • le système de mesure de pression et de température permet
Pour des systèmes plus complexes, il est indispensable de classer aux opérateurs de contrôler les anomalies de fonctionnement ;
et de hiérarchiser la nature des fonctions : • et le système de détection de gaz à l’intérieur de la chaudière a
pour rôle d’éviter son explosion.
• principales ;
• secondaires ; ■ Fonctions redondantes
• de protection ; Dans les industries telles que celles des secteurs aéronautiques,
• redondantes. nucléaires et spatiaux, des systèmes ou des matériels redondants
(doublés, triplés ou quadruplés) sont couramment mis en œuvre
■ Fonctions principales pour assurer le niveau requis de sécurité ou de sûreté. Ces sys-
Une fonction principale peut se définir comme étant la raison tèmes redondants peuvent fonctionner en permanence (redon-
d’être d’un bien ou d’un système défini souvent avec ses caracté- dance active) ou être en attente (redondance passive).
ristiques associées (durée, caractéristiques physiques,
chimiques… Exemple
Dans l’industrie automobile, c’est ainsi que l’on équipe certains
Exemple véhicules avec un double circuit de freinage. Pour un avion bimoteur,
Une première définition générale de la fonction principale d’une les deux moteurs illustrent la redondance active. En effet, en cas de
chaudière est de fournir de la vapeur. panne d’un des moteurs, le propulseur restant a été conçu pour pou-
Une seconde définition de la fonction de la chaudière à vapeur est voir ramener l’aéronef sur un terrain d’atterrissage avec toutes les
de fournir de la vapeur à 110 °C avec un débit de 40 t/h pendant 24 h. conditions de sécurité.
Cet exemple de définitions montrent la difficulté de décrire une ■ Fonctions instrumentées de sécurité
fonction quand on s’intéresse à ses modes de défaillance. En Les systèmes instrumentés de sécurité (SIS) sont utilisés
effet, dans la première définition, la perte de la fonction corres- comme moyens de prévention pour réaliser les fonctions instru-
pond à une non-fourniture de vapeur. Il n’existe dans ce cas qu’un mentées de sécurité (FIS) lorsque les systèmes automatisés
seul mode de défaillance. En revanche, en utilisant la deuxième présentent des risques potentiels pour les personnes, l’environne-
définition, trois modes de défaillance de la fonction apparaissent : ment ou les biens. Ces fonctions sont conçues pour réaliser des
• non-fourniture de vapeur à 110 °C (température supérieure ou fonctions de prévention et de protection de ces systèmes.
inférieure) ;
• non-fourniture du débit de 40 t/h (débit supérieur ou infé-
rieur) ; 3.2 Défaillances
• non-fourniture de la vapeur à une température de 110 °C, L’évolution de la discipline sûreté de fonctionnement au cours
avec un débit de 40 t/h, pendant 24 h. des trente décennies précédentes a conduit à l’introduction de
Sous l’aspect sémantique, une fonction est définie par un verbe nouvelles définitions relatives aux défaillances et à la dégradation.
à l’infinitif suivi d’un complément d’objet.
■ Défaillance
■ Fonctions secondaires Suivant la norme NF-EN 13306 « la défaillance est la perte de
Dans de nombreux cas, un système assure d’autres fonctions l’aptitude d’un bien à accomplir une fonction requise. Après la
que la fonction principale. Ces fonctions sont appelées « fonctions défaillance, le bien est en panne et correspond à l’état de défail-
QQV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUP
T
implique l’acceptation de deux états totalement exclusifs : le fonc-
tionnement normal et le fonctionnement défaillant. Contrairement
à la maintenance où l’on considère un fonctionnement dégradé, la
sûreté de fonctionnement considère uniquement deux états : un
état de fonctionnement normal et un état de panne. Le passage
d’un état de fonctionnement normal à un état défaillant pouvant
se manifester en fonction du temps de manière progressive, sou-
daine ou de façon aléatoire, la fiabilité ne connaît pas la notion de
défaillance partielle ou progressive. La figure 3 représente trois Figure 3 – Cas de figure conduisant tous à une défaillance
cas conduisant tous à une défaillance.
Cette grande différence d’approche constitue une réelle diffi- ■ Défaillance potentielle
culté pour entreprendre de façon efficace un dialogue entre les Les évolutions récentes relatives à la maintenabilité et aux stra-
concepteurs et les exploitants. C’est la raison pour laquelle, dans tégies de maintenance telles que la maintenance basée sur la fia-
un cahier des charges d’une étude de sûreté de fonctionnement, il bilité et la CBM-PHM-RUL ont nécessité d’introduire de nouvelles
est indispensable de définir un glossaire commun accepté entre notions relatives aux défaillances qui se produisent suite à une
les différents partenaires pour lever toute ambiguïté ultérieure liée dégradation des équipements.
à une mauvaise compréhension.
La figure 4 représente l’évolution de la condition de l’équipe-
ment pendant son cycle de vie. À partir de sa mise en service,
l’équipement commence à se dégrader lentement sans qu’il soit
possible de le détecter avec les moyens de surveillance mis en
place. La défaillance potentielle suivant la norme SAE JA1012 est
une valeur de la condition identifiable qui indique qu’une défail-
lance fonctionnelle est en train de se produire. On associe deux
notions d’intervalle à courbe de dégradation de la condition :
l’intervalle P-F et le « Net P-F interval ». L’intervalle P-F est le
temps qui s’écoule entre le moment où la défaillance potentielle
devient identifiable et celui où on atteint la défaillance fonction-
nelle. Le « Net P-F interval » est défini comme l’intervalle de
temps qui s’écoulera vraisemblablement entre la découverte de la
défaillance potentielle et l’instant de l’occurrence de la défaillance.
En maintenance, cet intervalle de temps permet de définir la meil-
Figure 2 – Domaines de variation d’un paramètre d’une fonction leure stratégie de maintenance.
QQW
T
QQX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUQ
Sûreté de fonctionnement
Analyse et bases de données de fiabilité
par Gilles ZWINGELSTEIN
Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique,
d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT),
Docteur-ingénieur, Docteur ès sciences, Professeur associé des universités en retraite,
Université Paris Est Créteil, France
Note de l’éditeur
Cet article est la version actualisée de l’article S8251V1 intitulé Sûreté de fonctionnement
des systèmes industriels complexes – Analyse prévisionnelle et bases de données de fiabi-
lité rédigé par Gilles ZWINGELSTEIN et paru en 2009.
QQY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUQ
QRP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUQ
1. Étapes d’une analyse de ment. L’utilisation de ces méthodes, par leurs caractères
systématiques et exhaustifs, représente une garantie formelle
sûreté de fonctionnement pour décomposer une installation industrielle en niveaux fonction-
nels et matériels. Elles sont nécessaires pour identifier les modes
de défaillance et leurs conséquences sur les objectifs opération-
Une analyse de sûreté de fonctionnement de système se nels retenus pour l’installation ou l’équipement concerné. De
décompose en plusieurs étapes principales, à savoir : nombreuses méthodes d’analyse fonctionnelle ont été mises au
• l’analyse structurelle et fonctionnelle du système ; point dans le monde depuis la fin de la seconde guerre mondiale
et se déduisent des techniques d’analyse de la valeur, développée
• l’analyse prévisionnelle qualitative du système ; par L.D. Miles, en 1947, dédiées principalement aux produits nou-
• l’analyse prévisionnelle quantitative du système ; veaux. Selon la norme NF EN 1325, l’analyse de la valeur est une
« méthode de compétitivité, organisée et créative, visant la satis-
• la synthèse des analyses précédentes et une conclusion. faction du besoin de l’utilisateur par une démarche spécifique de
Les détails et l’enchaînement de ces étapes sont donnés dans conception à la fois fonctionnelle, économique et pluridiscipli-
l’organigramme de la figure 1. Il faut remarquer que ces étapes ne naire ». L’analyse fonctionnelle consiste à recenser, caractériser,
sont pas totalement disjointes et présentent des aspects communs. ordonner, hiérarchiser et valoriser les fonctions. Les méthodes
De plus, une étude réelle est itérative ; les étapes principales d’analyse fonctionnelle permettent :
sont répétées plusieurs fois jusqu’à l’obtention d’une conclusion • de décrire le besoin d’un utilisateur en termes de fonctions,
acceptable (objectifs réalisés). en faisant abstraction des solutions qui peuvent les réaliser.
La mise en œuvre de ces méthodes rend indispensable des À chaque fonction sont attribués des critères d’appréciation
décompositions hiérarchiques matérielles ou fonctionnelles du et leurs niveaux ; les niveaux des critères d’appréciation sont
système. les caractéristiques quantitatives de chaque fonction du pro-
T
duit. Pour chaque critère d’appréciation, on peut définir une
flexibilité, c’est-à-dire un ensemble d’indications exprimées
par le demandeur sur les possibilités de moduler un niveau
2. Méthodes d’analyse recherché ;
QRQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUQ
T
À partir de la liste de fonctions identifiées par une des
méthodes d’analyse fonctionnelle, celles qui s’appliquent à
l’ensemble du produit sont répertoriées en marge du diagramme
FAST. 2.3 Méthode RELIASEP®
Le diagramme se construit de gauche à droite en plaçant à
La société européenne de propulsion (SEP) [2], maître d’œuvre
gauche la fonction principale et en se déplaçant ensuite vers la
de la propulsion du lanceur européen dans les années 1970, a
droite ou vers le bas. Les liaisons entre les blocs fonctionnels sont
développé sous l’initiative de R. Vogin une méthodologie appelée
réalisées en répondant à trois questions :
« arbre fonctionnel », afin de prendre en compte les exigences de
• Pourquoi ou dans quel but la fonction existe-elle ? sûreté de fonctionnement à toutes les étapes de la vie d’un pro-
duit, et cela à moindre coût (la SEP a été absorbée au sein du
• Comment la fonction d’ordre supérieur est-elle réalisée avec groupe SNECMA en 1997 et cette méthode n’est plus maintenue).
des fonctions d’ordre inférieur ? La SEP a mis au point une méthode empruntée à la fois aux
• Quand est-il nécessaire de disposer simultanément de plu- concepts de l’analyse de la valeur et à ceux de l’analyse et de la
sieurs fonctions ? programmation structurées en informatique (top-down program-
ming). Cette méthode présente l’ensemble de toutes les liaisons
À partir de la liste de fonctions identifiées par une des entre les fonctions, performances, contraintes et caractéristiques
méthodes d’analyse fonctionnelle, on identifie les fonctions qui du matériel à l’aide d’une structure arborescente.
s’appliquent à l’ensemble du produit et on les répertorie en marge
du diagramme FAST. RELIASEP® permet :
Le système est représenté à l’aide d’un diagramme (figure 2) • la modélisation fonctionnelle pour :
comportant trois régions délimitées par des traits interrompus
verticaux : – clarifier le besoin : fonction principale,
• la partie centrale correspond au domaine fonctionnel couvert – construire le système qui répond à ce besoin : fonctions élé-
par le système ; mentaires, choix technologiques et composants (arbre fonctionnel
et arbre matériel) ;
• dans la partie de gauche, on trouve les fonctions de services
du système ; • l’analyse des défaillances ;
• dans la partie de droite, on trouve les ressources extérieures
au système ; ressources qui, si elles n’existaient pas, ne • l’amélioration en conséquence de la conception du système.
modifieraient pas la capacité du système à satisfaire les fonc-
tions. L’analyse fonctionnelle se présente sous forme arborescente et
est régie par une trilogie : capter, transformer et transmettre les
Dans la partie centrale, on passe d’une fonction à une autre en flux d’énergie ou d’information. La décomposition prend en
se posant les questions : « Pourquoi ? », « Comment ? », compte les matériels, introduits en tant que choix technologiques
« Quand ? ». Les fonctions sont ordonnées et représentées dans qui engendrent des fonctions de conception ou de contraintes. La
des « boîtes » rectangulaires. La construction d’un diagramme première étape d’une analyse fonctionnelle passe nécessairement
représenté sur la figure 2 commence en plaçant à gauche la fonc- par l’analyse du besoin. Chaque fonction principale est décrite
tion de service principale. Il est admis que toute fonction située à (sous forme technique, physique ou logique) par un verbe et un
gauche d’une autre est de rang supérieur car elle répond à la complément. À cette fonction, on associe les performances à réa-
question « Pourquoi ? », c’est-à-dire qu’elle va dans le sens de la liser et toutes les performances représentant le besoin à satisfaire.
fonction supérieure du produit. Le graphe se construit progressi- Une fonction s’exerce dans le cadre d’une mission qui peut com-
vement sur une ligne baptisée « chemin critique » (initialement porter des phases différentes : on considère d’abord la phase prin-
appelé « chemin fondamental des fonctions »). Au-dessus ou en cipale puis les autres phases (contraintes) imposent des sous-
dessous d’une fonction, on place les fonctions qui se produisent fonctions. La description fonctionnelle se présente sous une forme
dans le temps, ou en même temps (on se pose la question arborescente de manière à hiérarchiser les fonctions et les flux
« Quand ? »). associés. La réalisation d’une fonction principale se construit à
QRR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUQ
T
Figure 3 – Arbre fonctionnel RELIASEP® et flux
tions sur le « Comment » (avec quels moyens on réalise le « Quoi »).
SADT® utilise un seul type de boîte rectangulaire dont chacun des
base de sous-fonctions en répondant à la question : « Que faut-il quatre côtés possède une signification particulière (figure 4).
faire pour… ? »
Un diagramme SADT®, pour chaque niveau hiérarchique, est
Exemple constitué de trois à six boîtes pour que la représentation soit suf-
fisamment détaillée sans être trop complexe. La figure 5 repré-
La fonction principale : « fournir un vecteur “poussée” à l’étage d’un sente l’enchaînement des boîtes avec leurs relations entre les
moteur de fusée » fait appel aux sous-fonctions suivantes (figure 3) : entrées, les sorties et les contrôles. Elle donne également un
• « recevoir une énergie potentielle (ergols) » ; aperçu de la décomposition du bloc 1 à l’aide d’un diagramme de
• « transformer ces ergols en poussée » ; niveau hiérarchique inférieur.
• « transmettre cette poussée à l’étage ».
QRS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUQ
T tés. Les flèches qui viennent de gauche sont des entrées (I pour
inputs), celles qui partent vers la droite sont des sorties (O pour
outputs). Les flèches qui viennent du haut sont des commandes et
raisonnement et d’outils méthodologiques qui associe des
approches : fonctionnelle, systémique, qualitative et économique,
interdisciplinaire et participative. APTE® est utilisé pour la concep-
contrôles (C pour command), celles qui viennent du bas sont des tion ou la reconception du produit. La méthode APTE® utilise un
mécanismes support, techniques, humains ou organisationnel (M vocabulaire sensiblement diffèrent de celui recommandé par les
pour mechanism). Ces quatre termes forment l’ICOM décrit dans normes AFNOR et européennes :
QRT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUR
Sûreté de fonctionnement
des systèmes industriels complexes
Étude opérationnelle
par Gilles ZWINGELSTEIN
Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique,
d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT)
Docteur-ingénieur, Docteur ès sciences
Professeur des universités associé
T
1.1.3 Méthodes de calcul des estimateurs et intervalles
de confiance ............................................................................. — 2
1.1.4 Estimations des lois de probabilités ....................................... — 3
1.2 Banques de données .......................................................................... — 3
1.3 Précautions d’emploi des données de retour d’expérience.............. — 3
2. Conduite d’une étude opérationnelle ......................................... — 4
2.1 Management de la Sûreté de fonctionnement.................................. — 4
2.2 Assurance Sûreté de fonctionnement ............................................... — 4
2.3 Revue critique et audit ....................................................................... — 5
3. Conclusion........................................................................................ — 5
Pour en savoir plus.................................................................................. Doc. S 8 250v2
ans ce dossier, qui fait suite aux dossiers [S 8 250v2] et [S 8 251], nous
D examinons les aspects liés à l’étude opérationnelle de sûreté de fonction-
nement et à la conduite d’une étude prévisonnelle ou opérationnelle.
Les données de sûreté de fonctionnement sont essentielles pour toute étude
prévisionnelle et principalement quantitative. Elles sont de deux types : événe-
mentielles et fiabilistes.
Les données événementielles sont obtenues à l’aide d’études statistiques des
accidents et des expérimentations en grandeur nature. Elles concernent donc
l’aspect « macroscopique » et donnent des estimations du comportement d’un
système entier dans certaines circonstances (grand nombre d’événements
indiscernables ou non quantifiables). Elles sont surtout utiles pour l’évaluation
des risques (probabilité/gravité des conséquences) et donc de la sécurité.
Par contre, les données fiabilistes sont obtenues par des essais sur des com-
posants de base des systèmes dans des conditions données (événements dis-
cernables et quantifiables). Elles sont donc « microscopiques » et sont essen-
tielles pour les méthodes prédictives, décrites dans le dossier [S 8 251],
largement utilisées.
Dans les grandes entreprises performantes, l’utilisation de logiciels de GMAO
(gestion de maintenance assistée par ordinateur) qui incluent des modules de
collecte du retour d’expériences permet l’analyse de tous les paramètres asso-
ciés aux circonstances de l’apparition des défaillances et des temps consacrés à
la maintenance corrective ou préventive.
L’exploitation des systèmes de recueil de données de retour d’expérience sert
à évaluer les performances des systèmes opérationnels avec des indicateurs
p。イオエゥッョ@Z@、←」・ュ「イ・@RPPY
quantitatifs tels que le MTTF (Mean Time To Failure), les taux de défaillance,
les temps de réparation et les temps de bon fonctionnement.
QRU
T
QRV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUS
Sûreté de fonctionnement
des systèmes industriels complexes
Exemples d’applications
par Gilles ZWINGELSTEIN
Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique,
d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT)
Docteur-ingénieur, Docteur ès sciences
Professeur des universités associé
ans ce dossier, qui fait suite aux dossiers sur la sûreté de fonctionnement
D des systèmes industriels complexes :
– [S 8 250v2] « Principaux concepts » ;
– [S 8 251] « Analyse prévisionnelle » ;
– [S 8 252] « Étude opérationnelle »,
nous examinons trois types d’applications :
– un système à deux composants identiques en redondance active ;
– un système à trois onduleurs avec voteur en 2/3 ;
p。イオエゥッョ@Z@、←」・ュ「イ・@RPPY
QRW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUS
3
et donne par intégration MTTF = = 15 000 h.
2λ
Rappels de définition La maintenabilité M(t) n’a pas de sens dans ce cas. En effet, si
La fiabilité R(t) est la probabilité que le système fonctionne l’on imagine que ce système est installé à bord d’un vaisseau spa-
sans panne sur l’intervalle de temps [0, t]. tial inhabité, il n’est pas possible d’envisager une réparation.
La maintenabilité M(t) est la probabilité que le système soit
remis en service à un instant t sachant qu’il est tombé en & Cas de composants réparables
panne à t = 0. La disponibilité A(t) d’un composant unique réparable se déduit
La disponibilité A(t) est la probabilité que le système ne soit aisément de la formulation suivante :
pas défaillant à l’instant t.
A (t + dt) = Probabilité (fonctionnement à t et pas de défaillance
sur [t + dt]) + Probabilité (panne à t et réparation à [t + dt ]).
1.1 Présentation du système
A (t + dt ) = A (t ) (1 − λdt ) + (1 − A (t )) µdt
Cet exemple a pour but d’illustrer les performances en termes
de fiabilité, disponibilité et maintenabilité d’un système com- Si dt est petit, on obtient l’équation différentielle :
T
posé de deux composants placés en parallèle lorsque ces com-
posants sont non réparables ou réparables. dA (t )
= µ − ( λ + µ ) A (t )
Il traite le cas d’une redondance active caractérisée par le fonc- dt
tionnement simultané d’un ensemble de deux composants mis
en parallèle remplissant les mêmes fonctions ou missions, un En supposant que la condition initiale A(0) = 1 est réalisée pour
seul de ceux-ci suffisant pour les réaliser. t = 0, il vient en intégrant :
µ λ
Le diagramme de fiabilité est du type parallèle comme le montre A (t ) = + exp ( − ( λ + µ )t )
la figure 1 et le seul état de panne est donné par les états de pan- λ+ µ λ+ µ
nes simultanés de X et de Y soit X ∩ Y ou bien noté par X • Y
En général, pour un système composé de N composants en
En effet, pour que le flux partant de l’entrée E ne puisse plus parallèle, avec autant de réparateurs disponibles qu’il y a de com-
atteindre la sortie S, il faut que les deux composants X et Y soient posants défaillants, l’indisponibilité globale s’exprime par :
défaillants (représentés par X ∩ Y ou bien noté par X • Y ).
1− A (t ) = Probabilité que tous les éléments
Pour les calculs, lors de l’hypothèse de composants réparables,
on suppose que les taux de défaillance (déf) et de réparation (rép) soient indisponible
es
sont les mêmes pour X et Y et respectivement constants et égaux à i =N
l et m. = ∏ (1 − Ai (t ))
i =1
Dans les applications numériques et les tracés de courbes avec
des logiciels spécialisés pour les calculs de R(t), A(t) et M(t) les D’où :
valeurs numériques sont identiques et égales respectivement à
i =N
λ = 0,0001 def / h et µ = 0,00005 rep / h A (t ) = 1 − ∏ (1 − Ai (t ))
i =1
(la valeur prise pour le taux de réparation n’est pas une valeur réa- Pour le système à deux éléments X et Y identiques, il vient :
liste et elle a été choisie pour obtenir des courbes à usage
pédagogique). µ λ
1 − AX (t ) = 1 − AY (t ) = 1 − − exp ( − ( λ + µ )t )
& Cas de composants non réparables λ+ µ λ+ µ
2
⎛ λ ⎞
puisque l’on traite de deux composants en parallèle. A (t ) = 1 − ⎜
⎝ λ + µ ⎟⎠
(1 − exp (− ( λ + µ )t ))2
Le calcul de la disponibilité asymptotique A• s’obtient en éva-
X
luant l’expression précédente quand t tend vers l’infini, ce qui
E S donne :
µ2 + 2 λµ
Y A∞ =
( λ + µ )2
Figure 1 – Système redondant
L’application numérique conduit à A• = 0,55555556.
QRX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUS
Disponibilité A (t )
l 1 l
0,9
m 0,8
m
0 3
l l 0,7
0,6
m m
2
0,5
0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
Temps (× 10 000 h)
Figure 2 – Graphe de Markov
a simulation avec logiciel
1.2 Utilisation des graphes de Markov 1
Disponibilité A (t )
L’utilisation des graphes de Markov permet d’obtenir des résul- 0,9
tats identiques et ce paragraphe illustre comment il est possible 0,8
d’obtenir les valeurs de R(t), A(t) et M(t) en faisant des calculs for-
0,7
mels ou bien en utilisant des logiciels spécialisés commerciaux en
sûreté de fonctionnement. 0,6
T
b calcul théorique
babilité d’être dans l’état i, le graphe de Markov associé est repré-
senté sur la figure 2.
Figure 3 – Comparaison des courbes de A(t) théorique et simulée
Les probabilités Pi(t) des quatre états s’obtiennent avec les équa- avec le logiciel Relex
tions différentielles suivantes :
0 = − λP0 (t ) + µP1 (t ) − λP0 (t ) + µP2 (t )
dP0 (t ) 0 = + λP0 (t ) − µP1 (t ) − λP1 (t ) + µP3 (t )
=− λP0 (t ) + µP1 (t ) − λP0 (t ) + µP2 (t ) 0 = + λP0 (t ) − µP2 (t ) − λP2 (t ) + µP3 (t )
dt
dP1 (t ) 0 = + λP1 (t ) − µP3 (t ) − λP2 (t ) − µP3 (t )
=+ λP0 (t ) − µP1 (t ) − λP1 (t ) + µP3 (t )
dt
dP2 (t ) La résolution est celle d’un système homogène : il faut utiliser
=+ λP0 (t ) − µP2 (t ) − λP2 (t ) + µP3 (t )
dt obligatoirement la relation :
(
dP3 t ) P0 + P1 + P2 + P3 = 1
=+ λP1 (t ) − µP3 (t ) − λP2 (t ) − µP3 (t )
dt
Cela revient à résoudre le système :
ou
− λP0 + µP1 − λP0 + µP2 = 0
⎡ dP0 (t ) ⎤
⎥⎢ ⎥
⎡ ⎤⎡ ⎤
− 2λ µ µ 0 P0 (t ) + λP0 − µP1 − λP1 + µP3 = 0
⎢
⎢ dt ⎥
⎢ dP (t ) ⎥ + λP0 − µP2 − λP2 + µP3 = 0
⎢ 1 ⎥ λ − ( λ + µ) 0 + µ ⎥ ⎢ P1 (t ) ⎥
⎢ dt ⎥ = ⎢ ⎥⎢ P0 + P1 + P2 + P3 = 1
⎢ dP2 (t ) ⎥
− ( λ + µ) + µ ⎢P2 (t )⎥
⎢
⎢ dt ⎥ λ 0
⎥ ⎥ Tous calculs faits, il vient :
⎢ dP (t ) ⎥
⎢ 3 ⎥ 0 λ −λ − 2 µ P3 (t ) µ2
⎢⎣ dt ⎥⎦ ⎣⎢ ⎦⎣ ⎦ P0 =
( λ + µ) 2
λ 1
P1 =
En intégrant le système d’équations par la transformée de µ ( λ + µ )2
Laplace et en supposant la condition initiale P0(0) = 1 sachant que λ 1
pour un système redondant actif, la disponibilité instantanée est P2 =
µ ( λ + µ )2
donnée par :
QRY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUS
1 l l
1
Disponibilité A(t)
0,9
m
0 3
0,8 l l
0,7 m 2
Système réparable (2 réparateurs)
0,6
Figure 5 – Graphe de Markov associé au calcul de R(t)
0,5
0,4
1,2
Fiabilité R (t)
0,3
Système non réparable 1
0,2
0,1
0,8
0
0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
Temps (× 10 000 h) 0,6
La probabilité P3 se déduit de : La fiabilité R(t) est donc la somme P0(t) + P1(t) + P2(t), soit :
1
P0 (t ) + P1 (t ) + P2 (t ) = 1 R (t ) = ⎡(R + λ + µ ) exp (R1t ) − (R2 + λ + µ ) exp (R2t )⎤⎦
R1 − R2 ⎣ 1
λ
+2 ⎡exp (R1t ) − exp (R2t )⎤⎦
Le calcul de la fiabilité R(t) s’obtient en partant d’une condition R1 − R2 ⎣
initiale unitaire sur P0(t) puis en calculant :
Finalement :
R (t ) = P0 (t ) + P1 (t ) + P2 (t )
1
R (t ) = ⎡(R + 3 λ + µ ) exp (R1t ) − (R2 + 3 λ + µ ) exp (R2t )⎤⎦
R1 − R2 ⎣ 1
En prenant la transformée de Laplace p du système d’équations,
avec la condition initiale P0(0) = 0, il vient : La figure 6 montre l’allure de R(t) à partir du calcul littéral précédent.
QSP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUS
Dans le cas des systèmes complexes, on fait appel pour l’intégra- La résolution par la transformée de Laplace donne, si la condi-
tion des équations différentielles à des logiciels spécialisés tion est unitaire pour P0(0) = 0 :
(cf. [Doc. S 8 250v2]). La figure 7 montre la comparaison de la
courbe théorique avec celle obtenue avec le logiciel de simulation ⎪⎧pP0 (p ) − 1 = − 2 λP0 (p ) + µP1 (p )
⎨
spécialisé Relex. On peut constater que les résultats sont stricte- ⎪⎩pP1 (p ) = + 2 λP0 (p ) − µP1 (p ) − λP1 (p )
ment identiques.
Pour montrer l’influence de la réparation sur les performances Soit :
⎧ p+ µ+ λ
⎪⎪P0 (p ) = p 2 + p (3 λ + µ ) + 2 λ2
d’un système, la figure 8 montre les tracés des courbes R(t) avec
et sans réparateur. On constate logiquement qu’avec la réparation
la fiabilité est légèrement supérieure (compte tenu des valeurs ⎨ 2λ
⎪P1 (p ) = 2
numériques retenues). ⎪⎩ p + p (3 λ + µ ) + 2 λ2
À partir du calcul formel de R(t), on peut calculer facilement
MMTF : Puis après transformation de Laplace inverse, on obtient :
∞
⎧ 1
MMTF = ∫ R (t ) dt ⎪P0 (t ) = R − R ⎡⎣(R1 + λ + µ ) exp (R1t ) − (R2 + λ + µ ) exp (R2t )⎤⎦
0
⎪ 1 2
⎨
⎪P (t ) = 2 λ ⎡exp (R t ) − exp (R t )⎤
ce qui donne après intégration : ⎪⎩ 1 R1 − R2 ⎣ 1 2 ⎦
⎧ dP0 (t ) 1 ⎛ 1 1⎞ 3 µ
⎪ dt = − 2 λP0 (t ) + µP1 (t )
MTTF = (R + 3 λ + µ ) R − (R2 + 3 λ + µ ) R ⎟ = 2 λ + 2 λ2
R2 − R1 ⎜⎝ 1 1 2 ⎠
⎪
⎪ dP1 (t )
⎨ = + 2 λP0 (t ) − µP1 (t ) − λP1 (t )
⎪ dt 1,2
Fiabilité R (t)
⎪ dP2 (t )
⎪ = + λP1 (t )
⎩ dt
1
0,8
1
Fiabilité R (t)
0,8
0,6
0,6
0,4 Système parallèle réparable
0,2 0,4
0
0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
0,2
Temps (× 10 000 h) Système parallèle
non réparable
a simulation avec un logiciel
0
1 0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
Fiabilité R (t)
Temps (× 10 000 h)
0,8
0,6 Figure 8 – Allures de R(t) avec et sans réparateur
0,4
0,2 2l l
0
0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
Temps (× 10 000 h) 0 1 2
b calcul théorique m
Figure 7 – Allures de R(t) théorique et simulée Figure 9 – Graphe de Markov à trois états
QSQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUS
On obtient exactement les mêmes résultats mais seulement avec de M(t) théorique et simulée avec un logiciel dédié. On constate
trois états au lieu de quatre comme dans le cas précédent. que les deux courbes sont strictement identiques et que la mainte-
nabilité M(t) tend vers 1 quand t tend vers l’infini.
T
calcul de l’intégrale :
permet de connaı̂tre le temps moyen avant la première coupure sur
∞ ∞ l’application. On est amené à construire le graphe d’états. Les trois
1
MTTR = ∫ (1 − M (t ))dt = ∫ (1 − exp (− 2µt ))dt = 2µ onduleurs sont identiques, ce qui permet de grouper les états cor-
0 0 respondant au même nombre d’onduleurs en panne. Les taux de
défaillance et de réparation des onduleurs sont notés l et m.
Le calcul de M(t) peut également s’obtenir en utilisant un graphe
de Markov dédié comme le montre la figure 10 :
1
Maintenabilité M (t)
⎪ dt 0,8
⎪ dP2 (t )
⎪ = − 2 µP2 (t ) 0,6
⎩ dt
0,4
L’étude de ce système montre que seule la dernière équation est 0,2
suffisante pour calculer P2(t). Sachant que la condition initiale est 0
égale à P2(0) = 1, on obtient : 0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
Temps (× 10 000 h)
P2 (t ) = exp ( − 2 µt ) b calcul théorique
M (t ) = 1 − P2 (t ) = 1 − exp ( − 2 µt )
Pour les systèmes complexes, il faut faire appel à des logiciels Onduleur 1 Onduleur 2 Onduleur 3
spécialisés (cf. [Doc. S 8 250v2]) et la figure 11 montre les courbes
2l
0 1 2 Voteur
2/3
m 2m
Figure 10 – Graphe de Markov pour le calcul de la maintenabilité M(t) Figure 12 – Système industriel avec trois onduleurs avec vote en 2/3
QSR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUW
QSS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUW
QST
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUW
possède
Dépositaires
souhaite minimiser
diminue
Mesures
impose de sécurité possède
Vulnérabilités
exploite
Risque
engendre
augmente pour
Source Biens
Menace
de menace génère pour
QSU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUW
Hellman [4], de l’université de Stanford, proposent un principe de Par rapport aux systèmes informatiques classiques, les systèmes
chiffrement entièrement nouveau : la cryptographie à clé de contrôle industriels doivent répondre à un certain nombre de
publique, ou asymétrique. Cette technique permet de distribuer contraintes spécifiques, comme l’aspect temps réel imposé par le
une clé pour chiffrer un message, mais cette clé ne permet pas de système physique ou la durée de vie.
le déchiffrer. Ce principe a été repris dans le système RSA. Pour désigner les ICS, on rencontre les termes DCS (systèmes de
contrôle distribué) ou SCADA (Supervisory Control and Data Acqui-
sition), le premier terme étant plutôt réservé aux systèmes prove-
Cryptographie asymétrique nant d’un fournisseur unique, le second aux systèmes constitués
d’appareils et de logiciels de différents fabricants et mis en place par
De façon imagée le principe est le suivant : si Alice doit rece- un intégrateur. Le terme « IACS » a été proposé par l’ISA dans les
voir un message de Bob, mais qu’elle ne fait pas confiance au années 2000 et a été repris sous une forme simplifiée, « ICS », dans
facteur qui pourrait ouvrir sa lettre, elle va d’abord envoyer à le guide NIST 800-82 en 2008. Cette nouvelle dénomination rend
Bob une boîte à code chiffré ouverte, dont elle seule possède progressivement obsolètes les termes « DCS » et « SCADA ».
le code. Bob va placer son message dans la boîte, et la fermer,
avant de l’envoyer à Alice. Le facteur ne pourra donc pas Un ICS inclut en effet les services de SCADA et les différents élé-
ouvrir la boîte, puisque seule Alice possède la clé. Ainsi, un ments d’un DCS. Cependant, sa définition dans la norme IEC 62443
système cryptographie à clé publique est en fait basé sur deux est plus large et elle comprend aussi le personnel, le logiciel et les
clés : éléments matériels permettant de piloter de façon fiable et sûre un
– une clé publique, pouvant être distribuée librement, c’est processus industriel. On y trouve des éléments qui peuvent être :
la boîte ouverte ; • des contrôleurs logiques programmables (PLC) ;
– une clé secrète, connue uniquement du receveur, c’est le
code de la boîte. • des unités terminales distantes (RTU) ;
• des appareils électroniques intelligents (IED) ;
T
C’est la raison pour laquelle on parle de chiffrement asymé-
trique. • des logiciels de contrôle et d’acquisition de données
D’un point de vue mathématique, on dispose d’une fonction (SCADA) ;
P sur les entiers, qui possède un inverse S. On suppose qu’on • des systèmes instrumentés de sécurité (SIS) ;
peut fabriquer un tel couple (P, S), mais que connaissant uni-
quement P, il est impossible (ou au moins très difficile) de • des interfaces homme-machine pour les opérations de
retrouver S. Autrement dit, il faut déterminer mathématique- contrôle et de fabrication et les actions de sécurité (HMI) ;
ment des fonctions difficilement inversibles, ou « à sens • des systèmes d’information associés, tels que le contrôle
unique ». L’exponentiation modulaire est une telle fonction et avancé/multivariable, les optimiseurs en ligne, les moniteurs
est utilisée dans la méthode de Diffie-Hellman. d’équipements dédiés, les logiciels d’historique, etc.
Un automate programmable, ou PLC, assure une fonction essen-
tielle dans l’automatisation d’un système : il permet de déclencher ou
moduler des actions physiques en fonction de grandeurs observées
3. Architecture des systèmes de façon à réaliser le fonctionnement séquentiel et piloter les asser-
vissements d’un système (BCPS : Basic Control Process System).
de contrôle industriel (ICS) Pour simplifier l’utilisation des PLC, un certain nombre de lan-
gages spécifiques ont été définis. Ceux-ci, décrits dans la norme
IEC 61131-3, sont :
3.1 Composants d’un système • le schéma à contacts ou Ladder diagram (LD) ;
de contrôle industriel • le diagramme fonctionnel (FBD – Fonctional Block Diagram) ;
En termes d’architecture, nous pouvons différencier plusieurs • le diagramme séquentiel (SFC), proche du GRAFCET ;
classes de système. Tout d’abord les installations industrielles, • le texte structuré (ST), proche du langage PASCAL ;
qui peuvent peut-être relativement localisées (usine de produc-
tion) ou s’étendre sur un territoire (distribution d’eau ou d’énergie • la liste d’instructions (IL), proche de l’assembleur.
par exemple). Une seconde catégorie est constituée par les Un automate n’est donc pas programmé dans un langage infor-
systèmes embarqués (transport par exemple), qui peuvent être matique classique. Le programme réalisé dans l’un de ces cinq
connectés entre eux ou à un centre de supervision. Ces deux langages est soit compilé en un exécutable, soit interprété. Pour
types d’architecture sont en train de converger vers un « Internet réaliser ces tâches, une station de développement est utilisée et
des objets industriels ». est souvent présente en permanence dans un ICS.
Les systèmes de contrôle industriel (ICS) se composent : L’automate est connecté au système à contrôler par des cap-
teurs et des actionneurs. Les capteurs permettent de mesurer des
• d’une part, d’un système de traitement de l’information,
informations comme la température, la pression, le niveau, la
proche d’un système classique, composé de postes de travail,
position ou la présence d’objets. Les actionneurs permettent
de serveurs et d’équipements réseau, d’imprimantes, de sys-
d’agir sur le système avec des actions comme l’ouverture d’une
tèmes de stockage et de sauvegarde ;
vanne, la mise en action d’un vérin ou l’ouverture et la fermeture
• et d’autre part, d’un ensemble d’équipements spécifiques qui d’un circuit électrique. Les capteurs et actionneurs peuvent être
permettent de recevoir des grandeurs mesurées, d’agir sur le connectés à l’automate soit via des liaisons électriques, soit via un
système physique, et d’interagir avec les opérateurs ; on bus de terrain avec un protocole spécifique ou, de plus en plus,
trouve par exemple dans cette catégorie les automates pro- via un protocole informatique standard TCP/IP.
grammables (PLC), les capteurs et les actionneurs.
Un ICS comprend le plus souvent au moins un automate
Très souvent, ces éléments sont exploités par des logiciels spé- connecté (PLC) à un système de contrôle et d’acquisition des don-
cifiques, comme les logiciels SCADA (Supervisory control and nées (SCADA) fonctionnant sur un serveur et présentant une vue
data acquisition), les logiciels d’historisation qui stockent les évo- graphique de l’installation sur un poste de travail. Ce système
lutions des variables ou les ateliers de programmation des auto- communique avec l’automate pour lire les valeurs des grandeurs
mates. mesurées sur le processus et envoyer des commandes. Les don-
QSV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUW
HMI
Historian
Supervisory
Control
PLC PLC
nées peuvent être stockées ; on parle d’historique des évolutions ■ Protocoles de communication
des grandeurs en fonction du temps (logiciel d’historique).
Les équipements d’un ICS communiquent entre eux en utilisant
Le schéma d’un ICS simple est présenté sur la figure 2. On y des protocoles spécifiques dont l’un des plus connus est Modbus.
trouve les éléments de base : les capteurs et actionneurs, les auto- Ces protocoles ont été développés initialement pour utiliser des
mates, le système de supervision fonctionnant sur un serveur, un liaisons de type série ou des câbles spécifiques. Les problèmes de
logiciel et serveur d’historique permettant l’archivage des séries cybersécurité n’existaient pas et ces protocoles ne sont pas du
temporelles et une interface utilisateur (HMI). tout sécurisés. Ils sont maintenant transportés par un réseau TCP/
L’interface homme-machine (HMI) est une partie essentielle des IP, dans le cadre de la convergence IT/OT, et constituent une
systèmes industriels de contrôle-commande. Elle permet de visua- source importante de vulnérabilité des ICS.
liser le fonctionnement du système physique et de réaliser les
actions nécessaires. Autrefois réalisée de façon physique, avec De façon schématique, le protocole TCP/IP transporte l’informa-
des murs entiers recouverts d’indicateurs, de cadrans et de bou- tion sous forme de paquets qui contiennent, d’une part l’informa-
tons de réglages, elle a été remplacée par des écrans graphiques tion à transporter sous forme d’octets et d’autre part, un certain
lorsque l’évolution technologique l’a permis. nombre d’éléments supplémentaires comme l’adresse IP source
et l’adresse IP de destination. Les équipements de communication
Ces éléments constituent le noyau de base d’un ICS. Les autres (passerelle, routeur…) utilisent ces informations pour acheminer
éléments sont présents en fonction des besoins. Les IED et RTU le paquet de la source à la destination. Ce protocole de communi-
peuvent être vus comme des automates simplifiés et délocalisés. cation est lui-même assez peu sécurisé.
Certains automates spécifiques jouent un rôle particulier : ce sont
les systèmes instrumentés de sécurité (SIS), en charge des actions
de sécurité (voir encadré). MODBUS
Modbus est l’un des protocoles les plus utilisés dans les ICS.
Il a été développé par Modicon en 1979 pour des liaisons série
SIS
et n’est pas du tout sécurisé. La version IP a été proposée en
2006. Le principe de fonctionnement consiste à voir l’équipe-
Un SIS (Safety Instrumented System) est défini comme un ment comme une table d’octets et de bits dans laquelle on écrit
système composé de capteurs, d’une partie de traitement en fournissant une adresse. Un message de communication,
logique et d’actionneurs conçus pour : appelé « trame », est constitué d’une suite d’octets en clair pour
– permettre automatiquement l’évolution d’un processus définir le code d’action, et si besoin une adresse et une valeur.
industriel vers un état sûr lorsque des conditions spécifiées
sont violées ;
– permettre à un processus d’évoluer de manière sûre lorsque
les conditions spécifiées le permettent (fonctions permissives).
3.2 Modèle de Purdue ou PERA
Un SIS peut par exemple arrêter un système si une tempéra-
ture est trop élevée. Il est prioritaire par rapport au système de
Le modèle de Purdue (figure 4) [1] est utilisé comme modèle de
régulation (BPCS), en principe indépendant de ce dernier et
référence par la norme IEC 62443 présentée dans la suite. Il intro-
d’un niveau de fiabilité garanti.
duit cinq niveaux :
QSW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUW
• niveau 0 (processus physique) : ce niveau correspond aux Les équipements de ce niveau sont généralement associés à
systèmes physiques utilisés pour la production. Les capteurs la zone de production ;
et les actionneurs se situent à ce niveau ;
• niveau 3 (gestion des opérations) : on y trouve les systèmes
• niveau 1 (contrôle local ou de base) : ce niveau inclut les
de gestion des lots ou les systèmes gestion de fabrication
fonctions impliquées dans la détection, l’observation et le
MES (Manufacturing Execution System), ainsi que les ges-
contrôle du processus physique. Elles sont réalisées par les
tionnaires de données d’historiques, les systèmes d’optimisa-
systèmes de traitement de l’information que sont les PLC,
tion et de gestion de qualité à l’échelle du site. Une partie du
RTU, etc. Ces derniers lisent les données provenant des cap-
système de supervision peut aussi se trouver à ce niveau ;
teurs, exécutent des algorithmes si nécessaire, et mémorisent
l’état du système physique. Le SIS se situe aussi à ce niveau ; • niveau 4 (Enterprise Business Systems) : ce niveau inclut les
• niveau 2 (contrôle de supervision) : on y trouve les interfaces fonctions impliquées dans la gestion des opérations de fabri-
homme-machine (HMI) des systèmes de contrôle et d’acquisi- cation et de transformation. L’ERP (Enterprise resource plan-
tion des données (SCADA) et des systèmes distribués (DCS). ning) est le principal système utilisé à ce niveau.
T PROFINET La version IO peut être vue comme un port de Profibus sur Ethernet
Protocole de communication pour les systèmes distribués utilisés par les distributeurs
DNP3
d’eau et énergie en Amérique du Nord
Historian
Operations / Systems
Level 3 Management
MES
Supervisory Control
Supervision Engineering station SCADA server
Site Monitoring &
Level 2 Local Display
Level 0
TI TI
QSX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRVP
QSY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRVP
QTP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRVP
2. Identification des menaces des données personnelles, sans contrôle, est une réelle menace
avec de lourdes conséquences sur la vie privée.
Il y a une volonté de partager notre intimité et notre besoin
d’« estimité » (mise en valeur de soi) avec nos amis, mais sans ren-
2.1 Vulnérabilités logicielles seigner nos ennemis.
Elles regroupent les « bugs » ou failles des systèmes d’exploita- Aujourd’hui, dès que nous sommes connectés au monde infor-
tion, des applications, des protocoles réseaux utilisés, des systè- matique, nous sommes reconnus et géolocalisés, et nous dispo-
mes de sécurité, ou des matériels actifs. sons dans notre environnement de services logiciels. L’utilisateur
L’interopérabilité des protocoles présente beaucoup d’avantages, redevient très actif dans cet espace qui ressemble de plus en plus
notamment celui de fournir des points d’accès réseau économi- à un terrain de jeu, où il peut exercer librement sa créativité.
ques sur de nombreux matériels informatiques, téléphoniques ou Chaque fois que le progrès technique augmente, des menaces
industriels. Si la solution est attrayante, puisqu’elle élimine les tra- nouvelles apparaissent que la sécurité devra traiter.
vaux d’interconnexion, elle est propice à plus de vulnérabilités logi-
cielles du fait de la juxtaposition de couches matérielles et logiciel-
les de plusieurs constructeurs en constante évolution. La 2.4 Cybercriminalité
découverte d’une faille touche désormais de nombreux utilisateurs La cybercriminalité désigne l’ensemble des infractions commises
et permet à un pirate un champ d’attaque important. via les réseaux informatiques ou les réseaux de communication
Les vulnérabilités logicielles sont des faiblesses informatiques ; (télécommunication, radiodiffusion, etc.). Le terme désigne les
l’ouverture des systèmes et leur complexité multiplient les scéna- atteintes aux personnes (diffamation, pédopornographie, incitation
rios d’attaque et exigent une attention permanente des équipes en à la haine, atteintes à la vie privée) et aux biens (piratage d’ordina-
charge de l’exploitation des systèmes. teur, destruction de données, contrefaçon ou escroqueries en tout
genre) commises via les réseaux.
La prévention consiste à corriger les vulnérabilités connues et
T
couvrir le « zero day » (annonce de la vulnérabilité) par des solu- Les technologies de communication sont à l’origine des technolo-
tions de contournement. gies de relation au niveau mondial. Nos économies ont adopté large-
ment ces modes de relation pour favoriser les échanges planétaires.
2.2 Ingénierie sociale Nos économies se mondialisent et se développent grâce aux
nouvelles technologies. La dépendance de l’outil informatique est
C’est une manipulation consistant à obtenir un bien ou une infor- un facteur clé de performance.
mation en exploitant la confiance, l’ignorance ou la crédulité de Ce nouvel Eldorado fragile est convoité par les cybercriminels qui
tierces personnes. exploitent les failles et les vulnérabilités du système. Les cybercrimi-
Les systèmes d’information sont un terrain de jeu fantastique pour nels mobilisent des quantités énormes de ressources sur le Net, et
ce type de menaces, et les règles sont difficiles à faire appliquer. ciblent des entreprises désarmées par la puissance de l’attaque.
Est-il possible, y compris avec beaucoup de moyens, de faire Cette nouvelle guerre est inégale et les parades sont complexes.
l’impasse sur une sensibilisation des utilisateurs ?
La problématique est importante car la sécurité était limitée à la 2.5 Répercutions pour l’entreprise
surface de l’entreprise. L’ensemble des flux était sous contrôle Les entreprises doivent sécuriser leur patrimoine applicatif et
d’une structure propriétaire où les accès et les échanges étaient assurer la confidentialité de leurs données ainsi que celles de
limités bien souvent à la géographie locale. Cette sensibilisation leurs employés. Elles sont confrontées à de grands types de mena-
nouvelle aux aspects de la sécurité s’applique sans exception, à ces comme la perte de données, les attaques informatiques, les
l’intégralité du personnel, car la réussite d’un comportement règles défaillantes en matière de sécurité.
passe par l’adhésion de tous les acteurs.
Les usages privés ou publics des technologies de l’information
À ce titre, par exemple, les services de courrier électronique ne cessent d’augmenter et de se diversifier, multipliant ainsi les ris-
représentent des flux importants d’échanges et de vulnérabilités. ques et leurs impacts.
L’utilisation des moyens de communication se banalise et L’entreprise poursuit inlassablement l’urbanisation de son infor-
accompagne tous nos instants de vie. Les solutions sont en temps matique ; si elle conserve des ressources locales, elle étend son
réel, collaboratives et de plus en plus sophistiquées. La sensibilisa- informatique, et notamment son réseau, à travers des solutions
tion aux techniques et aux modes de communication informatique externes avec des partenaires publics et privés.
est indispensable ; nous devons en connaı̂tre les possibilités mais
aussi les dangers. La surveillance et le contrôle du système global est complexe,
mais doit s’appuyer sur une politique de sécurité et une organisa-
tion sans faille.
2.3 Nouvelles menaces liées aux modes L’espace à protéger ne se cantonne plus à l’entreprise, et est dif-
de communication ficile à contrôler totalement.
Nos outils de communication sont en temps réel et d’amplitude Si les attaques sont principalement des atteintes au fonctionnement
planétaire ; ils ont créé de nouvelles formes d’interaction entre les du réseau, il faut craindre aussi le cyber terrorisme qui peut endom-
médias, les acteurs économiques et la société civile. Les usages mager les matériels interconnectés et provoquer de plus gros dégâts.
sont d’ordre privé et (ou) professionnel, le plus souvent collaboratif Les attaques à profil mercenaire se multiplient car elles bénéficient
et peu confidentiel. Les technologies de l’information traitent, com- d’un Eldorado d’informations leur permettant d’atteindre leur cible.
muniquent, mémorisent, diffusent, tracent les données sans se L’ouverture des systèmes d’information, y compris à leurs systè-
soucier du cycle de vie lié à toute information. La sécurité de l’infor- mes de commande et de pilotage, transforment ces attaques en
mation devra garantir ce cycle de vie afin que le droit à l’oubli véritables sinistres pour les procédés automatisés ou SCADA
puisse être une exigence. (Supervisory Control And Data Acquisition).
De nouvelles menaces apparaissent car derrière tous ces échan- Une menace importante, car elle touche l’individu, est l’usurpa-
ges et partages, il y a toujours un modèle économique pouvant être tion d’identité ; elle consiste à voler l’identité d’une autre personne
déviant, soucieux de valoriser toute information. à son insu et sans son consentement, en vue de commettre une
Il est inconcevable que nos technologies entament notre capital fraude, d’acheter des biens et des services, ou de perpétrer d’autres
humain, à savoir notre identité et notre intimité. La prolifération délits en son nom (ce sont des vols d’informations).
QTQ
T
QTR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRVQ
3.1
La sécurité informatique n’est qu’un moyen pour aboutir
à une sécurité de l’information....................................................
Les impacts redoutés par l’entreprise ...............................................
—
—
4
4
T
3.2 Les manquements à la gouvernance ................................................. — 5
4. Partir de ses craintes pour protéger l’essentiel ....................... — 5
4.1 Focaliser sur les objectifs du contrôle interne de l’entreprise ......... — 5
4.2 Établir la dépendance des services informatiques ........................... — 6
4.3 Inventaire classifié des périmètres fonctionnels ............................... — 6
4.4 Définition des politiques de défense en profondeur ........................ — 6
4.5 Approche PDCA pour l’ensemble des périmètres ............................. — 6
5. Intégrer la menace comme variable du système ...................... — 7
5.1 Prévenir pour protéger ....................................................................... — 7
5.2 Détecter pour agir .............................................................................. — 7
6. Maı̂triser ses risques par la réduction des menaces................ — 7
6.1 Impacts redoutés ................................................................................ — 7
6.2 Pilotage et surveillance ...................................................................... — 8
6.3 Efficience du processus sécurité ....................................................... — 9
7. L’évitement du risque comme ROI ............................................... — 9
7.1 Tableau de bord sécurité.................................................................... — 9
7.2 Modèle qualité et boucle d’amélioration .......................................... — 11
8. Conclusion........................................................................................ — 11
Pour en savoir plus.................................................................................. Doc. S 8 261
QTS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRVQ
T
tion des nouvelles technologies et une augmentation exponentielle
des solutions de mobilité, de virtualisation et de Cloud Computing. C’est le constat de notre entreprise ; elle pratique une politique
Les concepts de nuages informatiques traduisent les futurs services de sécurité sérieuse en se référant au modèle du référentiel
informatiques des opérateurs numériques qui permettront de bâtir ISO 27002, mais vérifie que compte tenu des différents usages,
un système d’information virtuel. contrôlés ou pas, la potentialité de fuite d’informations, y compris
préjudiciables pour l’entreprise, n’est pas maı̂trisée. Le constat est
L’informatique connaı̂t son heure d’industrialisation, qui lui
sans détour : il n’existe pas de contrôle sur les données lors des
confère globalisation et standardisation. Des solutions existent ;
échanges ; elles ne sont pas classifiées par leur niveau de
elles sont économiquement accessibles et fiables.
sensibilité.
Le système d’information est devenu l’un des actifs principaux
Toutes données de l’entreprise qui, par un manque ou une perte
de toute entreprise ; il détermine l’activité passée, présente et à de disponibilité, de confidentialité, d’intégrité ou de preuve provo-
venir. L’espace « informationnel » ignore le temps et la distance. querait un préjudice grave, sont considérées comme des données
Cette mutation rapide, sans contrainte apparente, engendre son sensibles. Celles-ci doivent être identifiées et classifiées selon le
lot de nouvelles menaces. Les systèmes d’information font partie niveau de criticité qu’elles représentent dès leur création ; il est
intégrante de notre quotidien ; ils sont parvenus à être fiables et important de vérifier leurs cycles de vie jusqu’à leur destruction.
performants. Les enjeux portent désormais sur leurs capacités à Si cette classification est du rôle des propriétaires « métiers », les
être et rester conformes, c’est-à-dire intègres, notamment pour politiques d’accès et d’usages sont du ressort de l’informatique. Il
leurs données. doit s’instaurer un contrat de service entre les métiers et le service
informatique sur la valorisation des données de l’entreprise et leurs
échanges. Si ce contrat existe, alors des contrôles seront élaborés
1.2 Usages et comportements sur le ou les périmètres.
des utilisateurs Les progiciels et bases de données ont généré des données
structurées avec un niveau de sécurité adapté ; mais les nombreu-
Le besoin de communiquer est naturel, et répond à la nécessité ses extractions bureautiques ont donné naissance à un ensemble
du lien social de la personne. de données non structurées qui échappent à tout contrôle perdant,
L’entreprise cultive largement ce vecteur de croissance, et et ainsi à toute sécurité. Ces données non structurées représentent
n’hésite pas à porter ses valeurs à travers les différentes formes une menace de fuite d’information ou de compromission pour
de médias, y compris les non-institutionnels. l’entreprise. Celles-ci ne devraient pas recouvrir de données classi-
fiées sensibles.
2. La circulation du savoir
n’est pas sans dommage
QTT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRVQ
œil numérique et un simple clic, toute application reconnaı̂t votre mais aussi pour leurs fonctions d’administration jusqu’à leur cycle
clone numérique et répond de manière immédiate à toutes vos d’auto-destruction.
attentes « numériques »…
La protection des accès par une reconnaissance des identités
Ce concept est fondamental, car il donne naissance à une infor- et profils et un contrôle « comportemental » des usages, afin d’anti-
matique axée sur le développement d’objets informationnels parta- ciper par contrôles toute déviance de ces usages.
geables en réseau. L’application ne ressemble plus à un pro-
La stratégie de la sécurité informatique consiste à rendre opéra-
gramme figé mais à un dialogue permanent entre une base de
tionnel les deux processus et à assurer un pilotage afin de garantir
connaissances et un utilisateur.
un maintien dans le temps et une surveillance des menaces
La capacité de stockage informatique et les algorithmes d’intelli- éventuelles.
gence artificielle transforment nos systèmes d’information en vas-
tes terrains de jeux.
2.2 Les menaces
L’utilisation des systèmes requiert la mise en place de stratégies
de communication et d’échanges ; l’utilisateur retrouve toute sa Plus le progrès se généralise à un grand nombre d’utilisateurs,
créativité, et rompt avec les contraintes procédurales. plus la réduction des risques est difficile, car les menaces augmen-
tent et tout impact devient important.
Les réseaux sociaux, au-delà de leurs concepts communautaires,
définissent l’outil informatique idéal pour travailler en groupe. Les Le sinistre grave est toujours consécutif à une séquence impré-
outils du réseau social permettent au groupe toutes les formes de vue de faits que nous avons exclus de nos raisonnements, soit par
communication, d’échanges de documents, de partage, de collabo- improbabilité forte, soit par incapacité financière de la traiter.
ration et bien sûr d’évolution du groupe sur ces objectifs sans la L’ouverture des systèmes d’information a été pour l’entreprise
nécessité d’une lourdeur administrative. une stratégie de conquête de marchés par la communication. Les
menaces visibles étaient alors principalement liées aux phénomè-
T
Imaginons le département Recherche et Développement de notre
nes d’intrusion, et la sécurité périmétrique des infrastructures a
entreprise organisé en réseau social. La plate-forme de travail est
permis d’assurer disponibilité et confidentialité des solutions
idéale pour favoriser échange et créativité. Le groupe est privé,
déployées.
homogène et restreint, et répond parfaitement aux objectifs fixés
par l’entreprise. Si les résultats du département aboutissent, il Les tendances actuelles de solutions de communication unifiées
conviendra de classifier les données comme sensibles et garantir et collaboratives favorisent l’échange d’informations immédiat.
le cycle de vie du projet. La sécurité de l’information doit s’adapter L’information existe sous toutes ses formes (texte, image, son,
au cycle de vie des données des métiers. vidéo) et sa numérisation la libère de tout support ; nous sommes
entrés dans l’ère de la dématérialisation. L’exigence se focalise
La nouvelle donne informatique oriente la sécurité vers deux alors sur l’intégrité de la donnée numérique, c’est-à-dire son
processus complémentaires (figure 2) : exactitude.
La protection native des données : si elles sont sensibles, alors La dématérialisation consiste à transformer l’information conte-
dès leur création et pendant leur cycle de vie, elles doivent embar- nue sur un support physique (typiquement du papier) en un fichier
quer leur sécurité ; c’est déjà le cas pour des données chiffrées, informatique indépendant d’un quelconque support.
w-z
401-k Payrcil
VB Source
Code
Java Source
Code
Internal
Network
Medical
History
Background
Investigation
Board Meeting
QTU
T
QTV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRVR
Sûreté de fonctionnement
des systèmes de commande
Principes et méthodes
QTW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRVR
T
des limites en termes de mode de représentation des comportements e/ ou
des structures et de mode de représentation e/ ou d’évaluation des grandeurs
de sûreté de fonctionnement.
Ont également contribué à cet article Didier Jampi et Raphaël Schoenig.
1. Méthodes d’analyse En se basant sur des listes guides élaborées par des experts, on
identifiera les accidents potentiels susceptibles d’affecter le sys-
qualitatives tème. On cherchera ensuite à mettre en évidence les causes de ces
accidents potentiels et on évaluera selon une grille leur probabilité
d’occurrence, ainsi que la gravité des dommages qu’ils pourraient
Nous donnons ici quelques rappels, le lecteur peut également se causer.
référer aux références [1] et [2] pour plus de détails.
Enfin, on détermine les mesures de prévention propres à la
réduction de la probabilité et les mesures de protection visant à
1.1 Analyse fonctionnelle réduire le dommage ainsi que des modalités de leur mise en
œuvre.
L’analyse fonctionnelle n’est pas une activité spécifique de la Les résultats de l’analyse sont résumés dans des tableaux qui
sûreté de fonctionnement, mais elle en est un préalable. C’est sont généralement personnalisés dans chaque entreprise.
une méthode d’analyse qui consiste à raisonner en termes de
besoin à satisfaire, exprimé sous forme de fonctions à remplir
avec ses critères de valeur, dans un environnement donné.
1.3 Analyse des modes de défaillance
Son objectif est de construire un produit qui satisfait le juste et de leurs effets (AMDE/AMDEC)
besoin. Elle favorise la créativité, l’objectivité et l’exhaustivité. Elle
procède par décomposition hiérarchique du problème, ce qui
permet de traiter l’analyse des grands systèmes. Elle aboutit géné- L’analyse des modes de défaillance et de leurs effets est une
ralement à proposer différentes solutions en énonçant les critères méthode inductive qui suppose que l’on a au préalable
à prendre en compte dans le choix définitif. décomposé le système en éléments dont on sait caractériser
Elle devrait, normalement, intégrer systématiquement l’analyse les modes de défaillance. Un mode de défaillance est la
de risques. manière par laquelle se manifeste une défaillance. Le principe
de l’AMDE est la recherche de tous les modes de défaillance
De nombreux outils informatisés sont disponibles pour assister possibles des éléments identifiés ; puis on recherche les causes
l’analyste dans sa démarche. Pour les systèmes de commande, on immédiates de ces défaillances et on analyse leurs
peut citer par exemple SADT ou sa version « temps réel » SART conséquences sur le système. Comme dans l’analyse prélimi-
(ou leurs dérivées). naire de risques, on propose des actions correctives. Cepen-
dant, il conviendra de mettre à jour l’analyse après le choix et
la mise en œuvre de ces actions.
1.2 Analyse préliminaire de risques (APR)
L’analyse préliminaire de risques a pour objectif d’établir
Comme dans l’APR, on présente les résultats de l’étude sous
aussi exhaustivement que possible la liste des risques inhé-
forme de tableaux. Il faut noter que ce travail est souvent très fas-
rents à un système donné, afin de pouvoir les réduire à un
tidieux, qu’il doit être mené par une équipe pluridisciplinaire afin
niveau acceptable.
de rassembler toute la connaissance possible du système étudié.
QTX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRVR
QTY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRVR
001 010 100 2 zéros Un lien minimal est tel qu’il n’existe aucun sous-ensemble de
composants strictement inclus en lui qui soit aussi un lien.
Dans notre exemple, {e2 , e3} et {e1} sont les liens minimaux.
000 3 zéros
Figure 3 – Diagramme de Hasse d’un système non cohérent Une coupe minimale est une coupe telle qu’il n’existe aucun
sous-ensemble de composants strictement inclus en elle et qui
soit aussi une coupe.
que la défaillance du composant e2 entraîne la panne du système.
De cet état de panne (101), on voit que la défaillance de e1 ou celle Dans notre exemple, {e1 , e2} et {e1 , e3} sont les coupes minimales.
de e3 ramène le système à un état de fonctionnement (états 001 ou
100) ! On voit facilement sur le diagramme de Hasse d’un système
T
Le but de la fiabilité prévisionnelle est de trouver la fiabilité des cohérent où sont les coupes et les liens minimaux : un lien
systèmes à partir de la connaissance de celle de ses composants. minimal est tel qu’en dessous de lui (en suivant la relation
Pour cela, il faut savoir comment ces derniers agissent dans le sys- d’ordre), il n’y a que des coupes ; une coupe minimale est telle
tème pour que celui-ci fonctionne ou pas. C’est donc en fait définir qu’au-dessus d’elle, il n’y a que des liens.
la fonction y = φ (x ). Cette relation connue, il suffira alors de la
transposer dans le domaine des probabilités en introduisant le
temps par les variables aléatoires représentatives de l’état de bon 2.1.2 Forme analytique de la fonction de structure
fonctionnement du système et des composants.
Revenons maintenant à la fonction de structure y = ϕ (x ) d’un
Pour construire la structure d’un système, plusieurs méthodes système. A. Kaufmann [4] a donné une formalisation à cette fonc-
ont vu le jour et les plus anciennes, historiquement, sont : tion en considérant y et x, définis dans le sous-ensemble {0, 1}, des
– la méthode des diagrammes de fiabilité ; nombres entiers munis des opérations addition, soustraction et
– la méthode de l’arbre des causes. multiplication. Pour un système cohérent, si on connaît au moins
Nous les rappellerons brièvement un peu plus loin mais aupara- tous les liens minimaux ou toutes les coupes minimales, il donne
vant, nous souhaitons introduire les notions tout à fait générales l’expression de la fonction de structure par les formules suivantes :
de « coupes » et de « liens » d’un système [4] :
k
■Lien d’un système ϕ (x ) = 1 − ∏ 1 − ∏ xi
j =1 i
Soit y = ϕ (x1 , x2 , ..., xr) la fonction de structure d’un système ei ∈ a j
constitué par un ensemble de composants e = {e1 , e2 , ..., er}.
Soit un sous-ensemble de composants a ⊂ e, a = {ei , i ∈ I} avec pour un système ayant k liens minimaux aj (j ∈ {1, 2, ..., k }), l’indice
I ⊂ {1, 2, ..., r }. i se référant au nombre de composant de chaque lien,
xi = 1, ∀i ∈ I et :
Si ⇒ y = 1, alors a est un lien. k
xi = 0, ∀i ∉ I
En d’autres termes, c’est un sous-ensemble de composants tels
ϕ (x ) = ∏ 1 − ∏ (1 − x )
j =1 i
i
que s’ils sont tous en état de fonctionnement et que tous les autres ei ∈ b j
sont défaillants, le système (dont y = ϕ (x ) est la fonction de struc-
ture) est en état de fonctionnement. pour un système ayant k coupes minimales bj (j ∈ {1, 2, ..., k }),
l’indice i se référant au nombre de composant de chaque coupe.
■Coupe d’un système
Soit un sous-ensemble de composants b ⊂ e, b = {ej , j ∈ I} avec Ainsi, reprenant l’exemple de la figure 2, avec les liens mini-
I ⊂ {1, 2, ..., r }. maux {e2 , e3} et {e1}, on obtient :
QUP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRVS
Sûreté de fonctionnement
des systèmes de commande
Exemple d’application et rappels sur les RdP
ans cet article, qui fait suite à l’article [S 8 262], nous donnons un exemple
D d’application décliné sur les différentes méthodes d’analyse de la sûreté
de fonctionnement. Nous présentons ensuite un certain nombre de rappels
concernant les réseaux de Petri (RdP).
Introduits au début des années 1960 par Carl Adam Petri, les réseaux de Petri
(RdP) sont des modèles de description des systèmes à événements discrets.
p。イオエゥッョ@Z@ウ・ーエ・ュ「イ・@RPPX
QUQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRVS
T
si les deux régulateurs sont défaillants. Ce commutateur est piloté
Le diagramme de Hasse de la figure 2 représente le
par un système de diagnostic qui, à partir de l’observation de la
comportement de ce système, avec la convention de représenter
température, en déduit l’état de marche ou de panne du régulateur
les variables dans l’ordre xF , xC , xT , xD . Les quadruplets encadrés
qui a le contrôle.
en traits pleins correspondent aux cas où le système fonctionne,
ceux encadrés en traits pointillés aux cas où il ne fonctionne pas.
En grisé apparaissent les combinaisons d’états correspondant aux
deux liens minimaux et aux trois coupes minimales.
Diagnostic Les liens minimaux identifiés sur le diagramme de Hasse sont :
{F,T,D } et {F,C }. On obtient donc pour l’expression de la fonction
Consigne Énergie de structure :
température Régulateur y = ϕ (x) = 1 − [(1 − xF ⋅ xT ⋅ xD ) (1 − xF ⋅ xC )]
PI
Régulateur
0001 0010 0100 1000 continu
Four
Régulateur Diagnostic
TOR
0000
QUR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRWP
Équipements de travail :
sécurité des systèmes programmés
T
1.1 Notion de machine ...................................................................................... — 2
1.2 Principe de sécurité intégrée ...................................................................... — 2
1.3 Caractéristiques du dispositif normatif...................................................... — 3
2. Notions fondamentales et principes généraux
de conception sûre .................................................................................. — 5
2.1 De l’entité dangereuse à l’accident : approche normative
du processus accidentel.............................................................................. — 5
2.2 Processus d’appréciation des risques........................................................ — 5
2.3 Évaluation et réduction du risque .............................................................. — 6
3. Prescriptions applicables à la sécurité des systèmes
de commande de machines................................................................... — 9
3.1 Généralités ................................................................................................... — 9
3.2 Prescription selon la norme EN 954-1/ISO 13849-1 .................................. — 9
3.3 Prescription selon la norme CEI 61508 ...................................................... — 13
3.4 Prescription selon la norme CEI 62061 ...................................................... — 15
4. Conclusion ................................................................................................. — 16
Pour en savoir plus ........................................................................................... Doc. S 8 270
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
©Techniques de l’Ingénieur S 8 270 − 1
QUS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRWP
1. Sécurité intégrée
à la conception Signalisation, Organes de service
des machines affichage,
avertissements
Appareils de
commande
T
l’objet depuis les années 1980 de multiples débats, réflexions et opérative
études. Ces travaux, issus d’un large consensus européen, ont
abouti à l’adoption de nombreux textes qui non seulement ne Éléments de transmission
peuvent être ignorés, mais qui doivent avantageusement guider Éléments de travail
les développements des concepteurs.
Selon son métier, sa formation de base, son expérience, le terme 1.2 Principe de sécurité intégrée
« machine » n’a pas le même sens pour chaque individu (ou
groupe d’individus). Sa définition « normalisée » est donnée dans
le texte de la directive 98/37/CE, dite directive « Machines ». Il est 1.2.1 Genèse
repris par la norme EN ISO 12100-1 où une machine est définie
comme étant « un ensemble de pièces ou d’organes liés entre eux C’est au début des années 1980 que le principe d’intégration de
dont au moins un est mobile et, le cas échéant, d’actionneurs, de la sécurité à la conception des machines fut formellement édicté –
circuits de commande et de puissance, etc., réunis de façon soli- dans des dispositions législatives nationales (loi 76-1106 du
daire en vue d’une application définie, notamment pour la trans- 6 décembre 1976 et décrets 80-542, 543 et 544 du 15 juillet 1980 [4])
formation, le traitement, le déplacement et le conditionnement – et prit réellement place en France. Auparavant, les situations
d’un matériau ». jugées dangereuses étaient plutôt corrigées chez (et par) l’uti-
lisateur après réception de l’équipement. Pour limiter les risques
Un « ensemble de machines » qui, afin de concourir à un même d’accidents graves constatés sur des machines considérées comme
résultat, sont disposées et commandées de manière à être soli- extrêmement dangereuses, les autorités instaurèrent pour les
daires dans leur fonctionnement, est également considéré comme concepteurs et fabricants l’obligation de rendre celles-ci conformes
étant une machine. C’est par exemple le cas d’une ligne à certaines règles de sécurité, avant même leur mise sur le marché.
d’imprimerie. Le principe de sécurité intégrée était né ; tout en imaginant les
solutions techniques permettant à l’équipement d’assurer sa
La représentation schématique générale d’une machine laisse fonction première, il était demandé au concepteur de se soucier
apparaître de nombreux flux d’informations et trois parties prin- des risques inhérents à sa future utilisation. S’il paraît simple à
cipales que sont la partie commande, la partie opérative et l’inter- énoncer et compréhensible pour tout un chacun, on verra plus loin
face opérateur-machine (figure 1). qu’un tel objectif n’est pas sans influencer le métier même du
concepteur et s’inscrit dans une problématique plus large d’ingé-
On remarque que cette définition renvoie à la fois à une vue nierie intégrée.
physique ou technologique de la machine (elle est faite de pièces,
d’actionneurs...), à une vue fonctionnelle (elle transforme, traite, À la fin des années 1980, ce principe de sécurité intégrée
déplace...) et à des éléments structurels (elle comprend une partie largement éprouvé en France pendant une dizaine d’années sur
commande pour « commander », opérative pour « opérer »). certaines catégories de machines (presses, machines à bois) est
étendu et constitue le fondement de la législation européenne en
La composante humaine qui n’est pas explicitement représentée matière de conception des machines ; une directive européenne
sur la figure 1 intervient dans les éléments d’interface ; la machine, dite directive « Machines » est adoptée en 1989, elle est suivie de
dans sa vue exclusivement technique, comprend des parties modifications et d’amendements, intégrés et regroupés depuis
« interface opérateur-machine » représentant à différents niveaux 1998 dans un seul et unique texte : la directive européenne
(organes de commande, capteurs...) les interactions possibles 98/37/CE codifiée (transposée en droit national dans chacun des
entre l’Homme et la machine. pays de l’Union européenne).
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
S 8 270 − 2 ©Techniques de l’Ingénieur
QUT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRWP
La directive Machines entre dans le cadre des principes de la mobiles automatiques pour la protection des machines). La défi-
« Nouvelle Approche » en matière d’harmonisation technique et de nition qui en est donnée est plus large puisqu’il est question de
normalisation adoptée en 1985. Ce principe, peu connu des acteurs « composant mis sur le marché dans le but d’assurer, par son
concernés, mérite d’être rappelé. Les directives Nouvelle Approche utilisation, une fonction de sécurité, et dont la défaillance ou le
constituent en effet un élément fondamental de la libre circulation mauvais fonctionnement met en cause la sécurité ou la santé des
des produits au sein de l’Union européenne. Élaborées dans le personnes exposées ».
cadre du processus de codécision entre la CE et le Parlement
Dans son annexe I, la directive Machines décline les principes
européen, elles sont obligatoirement transposées par les États
d’intégration de la sécurité et stipule notamment que :
membres dans leur droit national. Elles permettent donc un
rapprochement et une harmonisation entre ces États. Elles ont « Les machines doivent par construction être aptes à assurer leur
pour objectifs de faciliter les échanges intracommunautaires et de fonction, à être réglées, entretenues sans que les personnes soient
renforcer le principe de reconnaissance mutuelle. Toutes les entre- exposées à un risque lorsque ces opérations sont effectuées dans
prises qui souhaitent mettre en service ou échanger des produits les conditions prévues par le fabricant.
en Europe sont donc tenues de respecter ces directives.
Les mesures prises doivent avoir pour objectif de supprimer les
Les directives Nouvelle Approche ont nécessité un travail risques d’accidents durant la durée d’existence prévisible de la
conséquent d’harmonisation des textes législatifs et réglementai- machine, y compris les phases de montage et de démontage,
res. La rédaction de normes européennes (CEN et CENELEC) et nor- même dans le cas où les risques d’accidents résultent de situations
mes internationales (ISO et CEI) a été entreprise, guidée par les anormales prévisibles ».
considérations suivantes :
CEN : Comité européen de normalisation (pour les aspects à dominante mécanique)
Elle définit des exigences essentielles de sécurité et de santé
CENELEC : Comité européen de normalisation électrotechnique relatives à la conception et à la construction des machines et des
ISO : Organisation internationale de normalisation (pour les aspects à dominante composants de sécurité, qui portent sur les commandes et sur les
mécanique) mesures de protection à prendre contre les risques mécaniques,
T
CEI : Commission électrotechnique internationale
mais aussi tous les autres risques (explosion, bruit, vibrations,
— les directives contiennent des exigences essentielles ; dans le rayonnements extérieurs...). Elle exige du fabricant qu’il effectue
cas de la directive Machines, des « exigences très générales appli- une analyse des risques afin de rechercher ceux qui s’appliquent à
cables à de nombreuses catégories de machines » ; sa machine ; il doit ensuite concevoir et construire la machine en
— des normes harmonisées établissent des dispositions tech- prenant en compte son analyse.
niques permettant de concevoir et de fabriquer des équipements
conformes aux exigences (« les normes harmonisées servent de Pour les systèmes de commande, sujet traité ici, la directive
guide pour l’application des directives européennes et de référence définit les exigences essentielles suivantes :
pour la conception des produits »). Ces dispositions techniques ne « Les systèmes de commande doivent être conçus et construits
sont pas obligatoires, « elles sont une aide au fabricant mais pour être sûrs et fiables, de manière à éviter toute situation
celui-ci peut choisir tout autre moyen de mise en œuvre pour dangereuse. Ils doivent notamment être conçus et construits de
assurer la conformité » ; manière à résister aux contraintes normales de service et aux
— un équipement conforme aux dispositions d’une norme influences extérieures, et à ce qu’il ne se produise pas de situations
harmonisée est présumé conforme aux exigences réglementaires dangereuses en cas d’erreur de logique dans les manœuvres
qui lui sont applicables, pour autant que ces exigences soient (directive 98/37/CE, annexe I, paragraphe 1.2.1. : Sécurité et fiabilité
couvertes par le champ d’application de cette norme. des systèmes de commande).
L’énoncé d’exigences essentielles de santé et de sécurité à satis- Un défaut affectant la logique du circuit de commande ou une
faire dans les directives montre clairement l’objectif (en termes défaillance ou une détérioration du circuit de commande, ne doit
d’obligation de résultat) fixé au concepteur. Dans la Nouvelle pas créer de situations dangereuses (directive 98/37/CE, annexe I,
Approche, la réglementation prend appui sur la normalisation qui paragraphe 1.2.7. : Défaillance du circuit de commande) ».
de fait occupe une place importante dans l’atteinte de cet objectif.
La conception des machines, systèmes et dispositifs de pro-
Comme le soulignait M. Van Gheluwe, administrateur principal à tection doit donc se préoccuper non seulement de leur aptitude
la Commission des communautés européennes – DG III, reconnu fonctionnelle à assurer la sécurité, mais encore de leur compor-
comme un des principaux fondateurs de la directive Machines, tement en environnement industriel (mécano-climatique et élec-
dans un séminaire sur les nouvelles règles techniques organisé en trique) et en présence de défauts de composants.
1993 par le Centre technique des industries mécaniques
(Cetim) [5] : « ... la Directive énonce les objectifs sans donner les
moyens de les atteindre...... pas de défaitisme, il y a des solutions,
mais il faut les trouver... ». 1.3 Caractéristiques du dispositif normatif
Le dispositif normatif a donc pour objectif de contribuer à
La directive Machines stipule des obligations de résultats ; les
trouver ces solutions. Il s’appuie sur un vaste programme, sans
normes européennes qui lui viennent en appui sont développées
précédent en matière de normalisation technique, non encore
par consensus entre toutes les parties intéressées pour aider les
achevé à ce jour.
différents acteurs (concepteurs, utilisateurs, préventeurs) à
atteindre les objectifs visés.
1.2.2 Directive Machines
La directive Machines 98/37/CE s’applique aux machines telles 1.3.1 Définition d’une norme
que définies au paragraphe 1.1. Elle s’applique également aux
composants de sécurité lorsqu’ils sont mis isolément sur le Une norme est « un document établi par consensus et approuvé
marché. par un organisme reconnu qui fournit, pour des usages communs
et répétés, des règles, des lignes directrices ou des caractéris-
Il est important de noter que le terme de composant de sécurité
tiques, pour des activités ou leurs résultats, garantissant un niveau
ne caractérise pas uniquement les composants listés à l’annexe IV
d’ordre optimal dans un contexte donné » (EN 45020).
de la directive (dispositifs électrosensibles conçus pour la détection
des personnes, notamment barrages immatériels, tapis sensibles, Les dispositions contenues dans une norme peuvent prendre la
détecteurs électromagnétiques ; blocs logiques assurant des forme d’un énoncé, d’une instruction, d’une recommandation ou
fonctions de sécurité pour commandes bimanuelles ; protecteurs d’une exigence ; elles indiquent des prescriptions.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
©Techniques de l’Ingénieur S 8 270 − 3
QUU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRWP
T
sécurité détaillées s’appliquant à une machine particulière ou à un
groupe de machines. Elles traitent de tous les phénomènes
dangereux significatifs concernant la machine considérée, en
s’appuyant notamment sur les normes de type B pertinentes. EN ISO 12100
Principes généraux EN 294
Dans le but de fixer les idées, le tableau 1 met en regard de ces EN 349
de conception
différents types une norme « machine » caractéristique. EN 547
EN 999 EN 61496-1/2/3/4
EN 982
EN 614 EN 983 EN 811
Remarques : Principes EN 1760-1/2/3
ergonomiques
■ Certaines normes, développées initialement dans un de conception EN 954-1
contexte européen comme la norme EN 954-1, ont été reprises Parties des
au niveau international de l’ISO pour devenir ISO 13849-1. Nous systèmes de
utilisons ici les références initiales, en donnant la correspon- commande relatives
dance en cas de reprise par l’ISO. à la sécurité
EN 574
■ On note que certaines normes ont été développées dans le
EN 418 EN 1010
cadre du CEN (EN 954-1/ISO 13849-1), mais aussi dans le cadre EN 953
du Cenelec /CEI lorsqu’il s’agissait de prendre en compte des Machines d'impression
ISO TR et de transformation du
aspects électriques ou électroniques. C’est le cas par exemple 11688-1 papier
de la norme CEI 61496, développée initialement dans le cadre du ISO EN 1088
7960 EN 1050
Cenelec, puis reconnue et harmonisée dans le contexte de la
directive Machines. EN 60204 Principes pour
Équipement électrique l'appréciation
des machines des risques
La représentation « planétaire » [6] du dispositif normatif (figure 2)
donne un aperçu de l’interrelation entre normes ; faire graviter des
normes « produit » de type C comme EN 1010 (« Machines d’impres- Figure 2 – Représentation « planétaire » du dispositif normatif
sion et de transformation du papier ») autour de normes de type A et (non exhaustive)
B plus génériques illustre le fait que ces dernières exercent une cer-
taine influence en propageant les principes et concepts de base sur
lesquels doivent s’appuyer les normes de type C.
Ces travaux de normalisation sont menés au sein de comités
techniques (TC) comprenant des groupes de travail composés des
acteurs rappelés sur la figure 3. « Préventeurs » :
Constructeurs/fabricants : - organismes de prévention ;
Pour mieux visualiser les différents champs techniques et généralement les concepteurs - autorités publiques
disciplines couverts par la normalisation machines, on peut éga- des produits objets de la nationales ;
norme - organismes de contrôle
lement utiliser une représentation en matrice (figure 4) faisant technique.
apparaître les notions de « norme horizontale » et de « norme
verticale » :
— les normes horizontales (de type A ou B) traitant d’aspects Utilisateurs :
communs applicables à presque toutes les machines comme représentants des salariés,
l’ergonomie, le bruit... ; consommateurs,
employeurs...
— les normes verticales (de type C) déterminant les dispositions
spécifiques d’une catégorie de machines en faisant référence aux
dispositions des normes horizontales, évitant ainsi la duplication
du travail réalisé et donnant une certaine cohérence à l’ensemble
des normes. (0) Figure 3 – Acteurs des comités techniques
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
S 8 270 − 4 ©Techniques de l’Ingénieur
QUV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
mtYRPR
Maintenance, sûreté
de fonctionnement et management
des actifs de production
QUW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
mtYRPR
Bien qu’ayant les mêmes buts, leurs points de vue et leurs préoccupations pré-
sentent des différences. Les fiabilistes perçoivent généralement la maintenance
comme une composante de la sûreté de fonctionnement ; le management des
actifs de production, pour sa part, apparaît comme un élargissement des problé-
matiques de maintenance ; enfin, les responsables de maintenance, en prise
directe avec le terrain, réclament des approches pragmatiques et efficaces
parfois éloignées des considérations plus conceptuelles et théoriques des deux
autres domaines. Où sont les différences ? Quels sont les périmètres, les
influences et les objectifs communs ? Nous tâcherons de répondre à ces ques-
tions en distinguant les deux facettes de la maintenance : bouclier et fer de
lance. Nous montrerons ainsi que, selon les situations, les responsables de
maintenance adoptent une attitude « défensive » pour s’opposer à des risques
graves et rares, ou une attitude que l’on pourra qualifier « d’offensive » pour
créer de la valeur en améliorant la compétitivité de leur installation.
L’horizon d’exploitation considéré constitue une dimension supplémentaire,
source de différents enjeux. Il peut en effet conduire à séparer les responsabi-
lités entre, d’une part, la gestion des performances à court terme qui est le rôle
de l’exploitant, et d’autre part, la gestion des actifs de production sur le long
terme qui incombe au propriétaire.
QUX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
mtYRPR
Disponibilité
T
b représentation de la sûreté de fonctionnement selon la révision en cours CEI 60050-191 (2009)
Processus
Fiabilité intrinsèque Maintenabilité intrinsèque
Maintenance
la terminologie que le concept s’élargit. Si la SdF reste « la science cours des différentes phases de cycle de vie de l’installation
des défaillances » [S 8 250], elle se définit davantage par les effets (étude, préparation, planification, gestion des ressources, réalisa-
de ces défaillances sur les objectifs attendus par l’utilisateur que tion des interventions correctives et préventives, collecte et ana-
par leur probabilité d’apparition (fiabilité) et la durée des états lyse du retour d’expérience, calcul d’indicateurs, etc.).
d’indisponibilité (maintenabilité).
Pour mettre en évidence les effets du processus maintenance
sur les caractéristiques de sûreté de fonctionnement des équipe-
ments, nous pouvons le décomposer en trois sous-processus
1.2 Processus maintenance (figure 2) :
La maintenance est un processus au sens de la norme ISO 9000 • la prise en compte de la maintenance en phase de conception
puisqu’elle est constituée d’un ensemble d'activités corrélées et (et lors de modifications ou d’améliorations) qui permet de
coordonnées, qui utilisent des ressources et sont réalisées par des déterminer au mieux la fiabilité et la maintenabilité intrinsè-
acteurs pour obtenir un résultat (« ... actions techniques, adminis- que d’un bien ;
tratives et de management [...], destinées à maintenir [un bien] ou
à le rétablir dans un état dans lequel il peut accomplir la fonction • la maintenance en phase d’exploitation qui produit la fiabilité
requise » [EN 13306]). opérationnelle ;
Ce processus, qui peut être représenté de multiples • le soutien logistique qui conduit à la maintenabilité opéra-
façons [MT 9 020], comprend l’ensemble des activités menées au tionnelle.
QUY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
mtYRPR
Observations
Pour caractériser les interventions de maintenance réalisées sur défaillance s’accroît au cours du temps (ceux qui ne vieillissent pas
les matériels, nous pouvons de nouveau nous référer à la norme n’ont bien sûr pas besoin d’être rajeunis). La figure 4 représente
européenne [EN 13306] et distinguer : l’allure de λ (t ) pour un matériel qui vieillit lorsque des remplace-
• la maintenance préventive systématique : « exécutée à des ments sont effectués avec une période T aux dates R 1 , R 2 ...
intervalles de temps préétablis ou selon un nombre défini On constate que si la période est bien choisie, le taux reste pra-
d’unités d’usage mais sans contrôle préalable de l’état du tiquement constant ce qui revient à dire que le matériel ne se
bien » ; dégrade plus (ou plus lentement si le remplacement ne concerne
• la maintenance préventive conditionnelle « consistant en une que certains composants et ne conduit pas à une remise à neuf).
surveillance du fonctionnement du bien et/ou des paramètres L’inconvénient de ces tâches est qu’elles obligent généralement à
significatifs de ce fonctionnement intégrant les actions qui en arrêter le matériel et à effectuer des démontages, ce qui crée de
découlent » ; l'indisponibilité :
• la maintenance corrective « exécutée après détection d’une – le graissage et certaines tâches simples de petit entretien (par
panne et destinée à remettre un bien dans un état dans exemple : dépoussiérage, purges) qui ont pour effet de préserver
lequel il peut accomplir une fonction requise ». le matériel contre une dégradation trop rapide. Elles ne le rajeu-
nissent pas et se limitent à ralentir l’accroissement de leur taux de
La figure 3 illustre la distinction entre ces différents types de
défaillance au cours du temps. L’allure de λ (t ) lorsque ces tâches
maintenance dont nous allons montrer les effets sur la fiabilité
sont effectuées avec une période T est représentée sur la figure 5.
opérationnelle des équipements [MT 9 310].
QVP
GAGNEZ DU TEMPS ET SÉCURISEZ VOS PROJETS
EN UTILISANT UNE SOURCE ACTUALISÉE ET FIABLE
RÉDIGÉE ET VALIDÉE MISE À JOUR 100 % COMPATIBLE SERVICES INCLUS
PAR DES EXPERTS PERMANENTE SUR TOUS SUPPORTS DANS CHAQUE OFFRE
NUMÉRIQUES
www.techniques-ingenieur.fr
CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com
LES AVANTAGES ET SERVICES
compris dans les offres Techniques de l’Ingénieur
ACCÈS
SERVICES ET OUTILS PRATIQUES
Archives Impression à la demande Alertes actualisations
Technologies anciennes et versions Commandez les éditions papier Recevez par email toutes les nouveautés
antérieures des articles de vos ressources documentaires de vos ressources documentaires
*Questions aux experts est un service réservé aux entreprises, non proposé dans les offres écoles, universités ou pour tout autre organisme de formation.
www.techniques-ingenieur.fr
CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com